F5セッションのタイムアウト

7

私たちのF5ロードバランサーはバージョン10.2.4を実行します。Catalyst 6500のCiscoロードバランサーカードから移行し、15分後にセッションが停止することなく、xtermセッションをsolarisおよびlinuxサーバーに実行できるようになりました。

私たちの上司は、F5 tcpプロファイルで900秒の数値を上げることを恐れています。別の会社では彼がこれを行っていたため、F5のすべてのリソースがハングした接続から使い果たされたためです。

タイムアウトを変更せずにセッションがリセットされないようにする別の方法はありますか?これは私たちの設定です

profile fastL4 fwd_fastL4_15m {
  defaults from fastL4
  idle timeout 900
}

virtual route_outbound {
  destination any:any
  mask none
  ip forward
  profile fwd_fastL4_15m
}
ipv4  tcp  f5  load-balancer 
user2561
ソース
何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:

9

タイムアウトを変更せずにセッションがリセットされないようにする別の方法はありますか?

キープアライブは古いCiscoロードバランサーでは使用されていなかったとすでに述べたので、F5でできることを中心に説明します。

あなたが解決する必要がある2つの問題があります...

  • TCPセッションが状態テーブルから期限切れになると、F5はクライアントにリセットを送信します
  • F5は、有効期限が切れた後、TCPセッションを削除します

これら2つの問題は関連しているように見えますが、F5では異なる解決策があります。

TCPリセットの解決:

F5は、デフォルトでタイムアウトしたTCPセッションをリセットします。reset on timeout disableTCPプロファイル内でその動作を無効にすることができます。ただし、これはF5がクライアント接続をリセットしないようにするだけですが、セッションがF5の状態テーブルから期限切れになるのは、次に誰かが数時間休憩してから、xtermでマウスポインターを再度移動したときです。 。

F5内のセッションの有効期限を解決する:

loose initiation enableTCPプロファイルで使用します。 loose initiationF5が不明なTCPパケットを検出したときに、TCP状態テーブルにエントリを作成できるようにします。これらの接続が信頼されていて、会社内であれば、電源を入れても問題はありませんloose initiation

基本的にloose initiation、F5はロードバランサーよりもルーターのように動作します。これがこの状況で必要なことです。xtermセッションは、TCP / 6000からクライアントに供給されるTCPソケットを作成します。この場合、とにかくxtermセッションの負荷を分散していません。

最終的な解決策

最終的なプロファイルは次のようになります...

profile fastL4 fwd_fastL4_5m_loose {
  defaults from fastL4
  reset on timeout disable
  idle timeout 300
  loose initiation enable
}
virtual route_outbound {
  destination any:any
  mask none
  ip forward
  profile fwd_fastL4_5m_loose
}

技術的には、route_outboundサービスで緩やかなセッション開始を有効にしているため、タイムアウトを900秒から300秒に変更できます。 F5ソリューションドキュメント7595は、このような仮想サーバー構成を転送するための優れたリファレンスです。「BIG-IP LTM転送仮想サーバーを使用したステートレスIPルーティングのエミュレート」のセクションを参照してください。

マイク・ペニントン
ソース
6

定期的なセッションの場合、最良のオプションは、アプリまたはOSのキープアライブ使用してSLB経由の接続を維持し、アイドルタイムアウトを必要な場所に維持できるようにすることです。

これはアプリとOSに依存します。有効な方法の1つとして、Linux SSHセッションが切断さないようにするを参照してください

マネージャーがアイドルタイムアウトを長くすることへの懸念は非常に主観的です。ご使用の環境とその環境の最後との間の典型的な流量(conn / sec)とアイドル期間は、大きく異なる場合があります。フローレートまたはアイドル期間がはるかに短い場合は、タイムアウトを増やす余裕があります。フローキャパシティ、空き容量、循環速度をゼロにする必要があります。

CSMのデフォルトのアイドルタイムアウトはのための3600と同じであるアイドル状態のTCP接続のACE

一般的なネットワークエラー
ソース
私はそれを提案しました。開発チームは、Ciscoロードバランサーを使用したときに、なぜExceedキープアライブをオンにする必要がなかったのかと尋ね続けます。なぜなのかご存知ですか?彼らはこれが私たちのF5の問題だと言っています。
user2561 2013
@ user2561 CSM(またはACEモジュール)を使用していましたか?[デフォルトのアイドルフロータイムアウトがわずか16秒であるCisco CSSの問題の解決を終えたばかりなので、900を使用したときよりもすでにうまくいっています!]
generalnetworkerror
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.