У нас есть версия BIG-IP 13.1.0.2, развернутая в Azure с использованием Auto Scale BIG-IP WAF (LTM + ASM) - шаблон набора масштабирования виртуальной машины и он работал нормально до недавнего времени, когда один из 5 экземпляров начал отображаться как (cfg-sync отключен) (Offline). Если я проверю журналы исправного устройства, я вижу такие записи, как:
Sep 27 03:38:31 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)
Sep 27 03:38:32 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)
Sep 27 03:38:32 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)
Следуя Руководство по ConfigSync и пытаюсь бежать tmsh load sys config verify на отключенном устройстве я получаю
Validating configuration...
/config/bigip_base.conf
/config/bigip_user.conf
/config/bigip.conf
/config/bigip_script.conf
/config/partitions/CloudLibsLocal/bigip.conf
There were warnings:
/Common/f5.service_discovery definition:71: warning: [use curly braces to avoid double substitution][[string first , $orderPath]]
01071747:3: ASM/DOS must be provisioned when a Virtual Server is using a DoS profile (/Common/misc.prod.dos) with Application Security enabled.
Unexpected Error: Validating configuration process failed.
username@(waf-vmss_2)(cfg-sync Disconnected)(Offline)(/Common)(tmos)#
Я уже пытался перезапустить устройство, перезапустить виртуальную машину VMSS, отозвать и переназначить лицензию, но это не дало никакого эффекта. Я даже вручную очистил / config / files, чтобы получить конфигурацию для проверки, и удалил устройство из всех групп и группы доверия. Это привело к тому, что он перешел в активное состояние в качестве автономного экземпляра, но как только я попытаюсь добавить его обратно, он снова будет отключен и отключен.
Все виртуальные машины являются частью одной vmss, используют одну подсеть и имеют полный доступ в своей NSG к другим устройствам. В настоящее время нет большого трафика (всего несколько проверок работоспособности), поэтому я сомневаюсь, что порт SNAT исчерпан из-за объема запросов. Я также могу проверить IPADDRESS: 8443 с помощью ping или curl.
Есть ли способ сбросить конфигурацию и / или назначить виртуальной машине другой IP-адрес?
У нас был запланирован стресс-тест, и нам нужно было вернуть WAF на полную мощность, поэтому я решил просто удалить виртуальную машину из VMSS, у которой возникли проблемы. На это ушло ~ 15 минут, после удаления он был воссоздан с другим именем. Azure показывает waf-vmss_0 - 4, но устройство waf-vmss_2 отсутствует в управлении устройствами, и вместо этого есть новый экземпляр waf-vmss_5.
Как только новый экземпляр был подготовлен, он смог синхронизироваться (на этот раз с использованием другого IP-адреса). По-прежнему не знаю, в чем была проблема, и может ли разница в именах vmss / instance вызвать какие-либо проблемы. Перед удалением виртуальной машины я удалил ее из групп устройств и отозвал лицензию, поскольку у нас были проблемы с теми, которые не очищались при удалении виртуальных машин.