Migration de F5 BIG-IP
Vous vous rendez compte que j’écris de temps en temps des choses que j’ai fait ou que j’ai appris dans mon boulot. En effet, il y a beaucoup d’articles sur la cybersécurité et les réseaux dans ce blog, où je range mes idées, qu’ils sont très nécessaire plus tard pour moi quand je dois rappeler quelque chose ou je dois le faire encore. C’est-à-dire, ce sont mes remarques et ma mémoire pour les tâches au travail.
Aujourd’hui, j’aimerais vous raconter brièvement comment j’ai migré les paramètres d’un dispositif F5 à un autre sans modifier la configuration des équipements en production. Bien que ajouter le nouvel F5 au cluster soit la meilleure option pour la synchronisation de la configuration, ce n’était pas possible parce que le client ne voulait pas modifier les paramètres du dispositif en production alors qu’on doit copier peu à peu la configuration d’un dispositif à l’autre.
D’abord, il est nécessaire que les deux appareils aient la même version du micrologiciel. Ensuite, on doit télécharger une sauvegarde de chaque appareil. Le dispositif en production et le nouveau dispositif. La sauvegarde sera un fichier avec l’extension .ucs qu’on peut décompresser pour analyser et copier les paramètres. Donc, il faut ajouter dans les fichiers bigip.conf et bigip_base.conf les paramètres qu’on veut migrer d’un appareil à l’autre. Le fichier bigip.conf contient la plupart de la configuration comme les serveurs virtuels, pools et noeuds tandis que le fichier bigip_base.conf conf sert à enregistrer la configuration des cartes réseau. Or, c’est un peu difficile de localiser le dossier filestore dans la sauvegarde parce qu’il se trouve dans le dossier /var/tmp où on a les iFiles ou moniteurs externes.
Aujourd’hui, j’aimerais vous raconter brièvement comment j’ai migré les paramètres d’un dispositif F5 à un autre sans modifier la configuration des équipements en production. Bien que ajouter le nouvel F5 au cluster soit la meilleure option pour la synchronisation de la configuration, ce n’était pas possible parce que le client ne voulait pas modifier les paramètres du dispositif en production alors qu’on doit copier peu à peu la configuration d’un dispositif à l’autre.
D’abord, il est nécessaire que les deux appareils aient la même version du micrologiciel. Ensuite, on doit télécharger une sauvegarde de chaque appareil. Le dispositif en production et le nouveau dispositif. La sauvegarde sera un fichier avec l’extension .ucs qu’on peut décompresser pour analyser et copier les paramètres. Donc, il faut ajouter dans les fichiers bigip.conf et bigip_base.conf les paramètres qu’on veut migrer d’un appareil à l’autre. Le fichier bigip.conf contient la plupart de la configuration comme les serveurs virtuels, pools et noeuds tandis que le fichier bigip_base.conf conf sert à enregistrer la configuration des cartes réseau. Or, c’est un peu difficile de localiser le dossier filestore dans la sauvegarde parce qu’il se trouve dans le dossier /var/tmp où on a les iFiles ou moniteurs externes.
 |
| Sauvegarde de F5 BIG-IP |
Par exemple, s’il y a des iApps, on trouvera la section « sys folder » dans bigip_base.conf et la section « sys application service » dans bigip.conf. Les deux sections doivent être copiées pour migrer les iApps vers le nouvel appareil. Ce sont les premiers objets à migrer puis on peut continuer avec les certificats numériques, profils, nœuds, pools, etc. Il est important de signaler qu’il est préférable d’exporter et d’importer les sections sur les certificats numériques, les profils APM et les politiques de sécurité plutôt que de copier les paramètres d’un fichier à un autre.
 |
| Configuration d'iApp |
En dernier lieu, il faut exécuter « tmsh load sys config verify » pour savoir si le fichier de configuration a été copié correctement et « tmsh load sys config » pour charger la configuration dans le système. Ma recommandation est de charger peu à peu la configuration au lieu d'importer tous les paramètres en une seule étape.
 |
| tmsh load sys verify |
Commentaires
Enregistrer un commentaire