二进制flannle部署，非cni网络模式下与k8s CIS结合方案 环境描述 flannel以etcd为存储，直接使用二进制文件部署，不走cni模式的k8s集群 k8s 集群版本v1.18 CIS版本 v1.14 或 v2.1.1 结合方案 由于flannel直接以二进制安装，且以etcd为存储，因此flanneld不会给node patch 相关的flannel注解，而CIS需要读取这些annotations来了解节点的public ip， vtepmac信息来构建vxlan，因此需要手工为这些node节点增加…

在Istio体系下，为了保证策略协调与体验的统一性，用户会考虑使用Istio自身的Ingressgateway作为南北流量的入口， ingressgateway一般是通过deployment方式部署多个pods，分散在集群的多个node上，取决于具体的暴露type，特别是在on-prem部署下，仍然需要在k8s集群外部部署相关负载均衡器来对这些ingressgateway进行负载均衡，一方面可以避免多个入口带来的访问困难与运维难度，另一方面通过高性能高可靠的F5 BIGIP可为k8s集群入口流量提供更多功能控制和安…

[crayon-6148eb61a0a44021863504/]

GET nginx-repo.crt and nginx-repo.key， put them into the root of kubernetets-ingress/ Docker login your docker hub with： docker login . or using private repo. follow https://github.com/nginxinc/kubernetes-ingress/blob/master/build/README.md, and build the dock…

需求： K8S中的服务不可用的时候（假定k8s的某个服务出现完全不可用，理论上k8s本身会避免这个问题的出现，这里姑且认为客户需求是合理的），需要为通过CIS已经发布的VS 提供备份访问，及该vs将自动把业务导向其它静态vm提供的服务。 Solution： 需借助BIGIP AS3来实现该需求。即CIS通过部署AS3的方式来部署服务，通过在AS3里直接配置静态的低优先级组member来实现备份，一个例子如下： 上述配置中的pool members部分是重点，静态添加低优先级组member，高优先级组由CIS自动化发…

openssl req -new -x509 -set_serial 20180704 -keyout ca1.key -out ca1.pem -days 365 -nodes 用上述命令产生两个 Subject Name一样的CA（提示中输入的信息完全一致），例如CA1, CA2 openssl genrsa -out client1.key 2048 openssl req -new -key client1.key -out client1.csr openssl x509 -req -in client1…

DEMO环境与操作方法说明 DEMO功能说明： 通过python脚本调用ansible自动化部署F5 VE集群 1、自动激活F5 License 2、初始化全局配置 3、网络配置 4、高可用集群配置 5、L4-L7 LTM配置 DEMO环境介绍： ansible 2.4 python 2.7 F5 VE TMOS v12 操作步骤： 1、修改f5_netops_for_ve.py中的变量，如被管理F5 VE地址，VE license base key。 2、保证你的python 2 环境有如下module： [cr…

如何使用REST接口控制zonezunner zone配置 点此下载

IRULE THE TABLE COMMAND So that we can rate-limit traffic the iRule command 'table' is used. The table command (as the name suggests) provides the ability to create, delete, and append tables, along with being able to define timeouts for each table entry. Each…

该工具帮助用户在不同硬件平台或云之间快速安全迁移配置。 详见https://devcentral.f5.com/articles/welcome-to-the-f5-big-ip-migration-assistant-29191

在配置文件里配置f5_external_physical_mappings = default:1.1:False 但是实际创建vlan还是用tagged方式 （F5 VE in openstack)，是因为代码里对这个变量又设置了一遍缺省值default:1.1:True，导致外部配置实际没生效。 对于正常连OS外部F5的，一般都会用tagged方式，所以一般没什么问题（如果外部F5方式也要用非tagged vlan，则同样出问题）   解决方法： 最好不要直接修改代码里的缺省值，防止连接外部F5时候需…

[crayon-6148eb61a1759659762296/] [crayon-6148eb61a175e514601492/] openstack stack create -t deploy-lb.yaml -e deploy-lb-params.yaml f5-heat-stack

[crayon-6148eb61a18c1481171775/]  

F5 bigip自11.5.0版本后增加了socks profile的支持，即可以利用LTM提供socks4,4a以及socks5的服务。socks位于OSI模型的会话层上,可以透明的为TCP或UDP提供中转代理服务。 [title]socks profile配置项含义[/title] protocol versions：选择需要支持的协议版本，可以为4，4a，5，默认则全部支持 DNS resolver：一个需要提前在网络部分配置好的resolver（只需配置resolver，无需配置系统级的DNS IP），以提…

思路： k8s内使用headless service，service配置文件中配置selector，这样k8s内部的dns服务将把endpoint的IP作为 A记录到相关服务的名称下 让F5可以使用k8s的DNS 服务 在F5内使用FQDN方式配置pool，这样F5将自动获取所有k8s内的endpoint   优点： 不用关心容器内复杂的服务调度及iptables 无需使用api来创建F5配置 F5直接将流量送给endpoint效率高 endpoint内容器的健康性、扩展性由k8s负责，未被破坏,F5 m…