我负责configuration我们的F5 Big-IP LTM。 它正在运行9.4.8。
我已经读了一些文档,我有点困惑。 它指定有两个默认的VLAN:内部和外部。 问题是我想要负载平衡的服务器在我们的DMZ中,这也是负载平衡器的地方。 在运行configuration向导时,它不会让我在内部接口上指定DMZnetworking,因为它已经在另一个VLAN(外部接口)上定义了。
在像我这样的设置中,是否需要由向导定义的internal和external VLAN? 由于负载平衡器与平衡的服务器在同一个子网上,我可以只使用一个接口吗?
这是可能的,即使向导不会让你这样configuration它。
要configuration它,您只需在您的接口上设置一个可处理内部和外部stream量的单个VLAN。 F5支持把这称为“单臂”拓扑。
必须在使用该VLAN的虚拟服务器上启用SNAT以正确stream量。 这是支持让我意识到的唯一警告。
使用内部和外部VLAN是保护内部networking的最佳实践,但这不是强制性的。
我不记得v9向导,但无论如何,只要按照它,你就可以改变一切。
您可以在一个接口上负载均衡stream量,但这不是理想的,因为您将在同一链路上累积客户端和服务器端stream量,如果您的负载很高,这可能是一个问题。
如果可能,请在同一个DMZ上使用内部和外部,但使用不同的子网。
f5盒IP设置不必反映确切的DMZ子网。
另外请注意,如果你有一个DMZ,这意味着你有一个防火墙。 您可以将防火墙和服务器之间的bigip,通过创build转发VS,使bigip作为所有非负载均衡的交通网关。
现在,如果你想在同一个子网上拥有所有的东西(注意pipe理接口不能与其他任何f5自己的IP在同一个子网上,但是你可以通过自己的IP来pipe理这个盒子),只需要创build一个单一的VLAN自己的IP。
大IP将通过相同的接口访问节点和处理交通,但一切都会正常工作。
事实上,bigip平台允许任何networking设置(我从来没有真正限制)。 您的设置将取决于您所需的安全级别和networkingdevise。
单个VLANdevise在实验室中不是问题。 但是,如果你需要处理公共交通,那么你将不得不多思考一下bigip必须站在哪里。