[title]CC简介[/title] 前面安装部署了k8s集群环境,看上去工作正常,下一步在k8s内安装F5公司发布的container connector,也叫F5 CC。CC是一个开源的F5产品,主要目的是通过在k8s集群内运行一个k8s-bigip-ctlr pod实例,通过定义一个config map实现将k8s的service或者pod配置到F5 BIGIP产品上,实现集群环境内业务南北向流量的外部发布,从而实现对业务的对外发布并充分利用F5 BIGIP产品的丰富功能,例如LB,SSL,WAF,火墙,抗…
思路: k8s内使用headless service,service配置文件中配置selector,这样k8s内部的dns服务将把endpoint的IP作为 A记录到相关服务的名称下 让F5可以使用k8s的DNS 服务 在F5内使用FQDN方式配置pool,这样F5将自动获取所有k8s内的endpoint 优点: 不用关心容器内复杂的服务调度及iptables 无需使用api来创建F5配置 F5直接将流量送给endpoint效率高 endpoint内容器的健康性、扩展性由k8s负责,未被破坏,F5 m…
近日国内安全公司发现Apache struts 出现基于content-type的value的远程可执行漏洞,由于漏洞不需要实质性的上传文件,普通的经过构造的请求都可以简单的实现攻击,因此危害较大。 针对此漏洞,BIGIP可以帮助客户快速部署防御措施,以下进行简单总结。 注意,由于攻击可能存在各种各样的变形特征,考虑到尽可能少的误杀,以及规避尽可能的逃逸技术,以下irule内容是在和Support安全工程师Bean以及SDM Jobs经过反复讨论及测试后的结果,非常感谢Bean搭建攻击环境及反复斟酌测试。 防御措施…
这是很早前写的一个样例,基于业务模板,系统自动化创建业务配置 业务输入模板(可以通过任何形式产生,例如一个自服务的portal website): createvs.txt createpool.txt createmonitor.txt 中间程序F5_Deploy.py, 中间输出 tmsh.txt (作为ssh.py的输入) (如果系统支持iControlRest,可以直接利用Python执行REST) 自动执行ssh.py [crayon-683917533f190835842457/] &n…
SNMP (Simple Network Management Protocol) is an internet protocol used to monitor and manage devices including servers, routers, switches and assorted other devices. It allows gathering a glut of data - this can be hardware information (eg. cpu temperature), n…
http://www.gartner.com/technology/reprints.do?id=1-2P2AS8G&ct=151007&st=sb 有趣的是Gartner网站使用了F5的WAM产品。 Gartner magic 2014
文档描述了V12 DNS的行为变化,以及由此带来的配置、运维方面的影响。 下载密码请关注微信 F5技术 后回复downloadpwd 即可获得 手机可以长按如下二维码并识别
418128, 当一个被disabled的 members/POOL在启用后,如果irule在LB selected事件之前的其它事件中执行pool 类命令的话,会导致LB::status对该对象返回的状态信息为session_disabled或down,此版本修正为输出unset 469020, 为gtm_add增加 -y参数,代表对所有问题输入YES 471856, version 11.x TMSH and REST GTM Pool and Wide IP related commands are not …
224022:HTTP response 统计信息(例如版本,状态码等)从以前的server side改到在client side统计,这样可以更准确反映客户端所得到的responses 224131:GSLB中全局设置send-wildcard-rrs(控制是否跟随掩码wideip的创建而自动在BIND中创建通配A记录,例如*.cnadn.net)默认被启用,即以后会自动创建对应的通配A记录 227347,增加可以控制cookie 属性的irule命令 250670,修正http cookie 命令不再增加无用的…
对应的SOL: https://support.f5.com/kb/en-us/solutions/public/17000/100/sol17181.html https://support.f5.com/kb/en-us/solutions/public/17000/200/sol17227.html 影响: 如果没有开启BIND的递归则不受(CVE-2015-5986)影响,如果开启则会在特定情况下收到影响,具体参考SOL17227,如果必须开启递归,请考虑使用ACL限制只有可信网络可以使用递归。 如果没有开…
如果一个企业希望当用户访问任意SSL加密的数据时也能监控其内容的话,同时又希望用户不要觉察到TA可能在被监控(至少对于绝大部分普通用户来说),可以考虑使用SSL forward proxy。该功能的基本原理类似于前段时间某强大的传说中的火墙干的那样,当请求通过时候,实时on-fly签发一张让用户感觉不到的server证书,这样客户端SSL实际是和中间设备(F5)在通信,F5在server侧模拟充当普通客户与实际网站通信,从而实现数据解密。 对于F5来说,其实际通信过程如下: client 发起 client hel…
漏洞发生在BIND分析接收到的query数据包阶段,因此对于BIND来说没有任何workaround,除了打补丁。 在F5 GTM上,被攻击的现象是,named会被重启,同时产生一个named的dump文件,日志类似如下: [crayon-683917533f75e068151148/] 若攻击不是持续发生,理论上GTM智能解析不会受到影响,当然如果那个时候必须需要BIND返回消息的解析则会在crash期间受到影响,但named重启后则解析恢复正常。 防范: 首先F5有一篇SOL,请查看 https://suppo…
