Tempos limite da sessão F5


7

Nossos balanceadores de carga F5 executam a versão 10.2.4. Migramos das placas de balanceador de carga da Cisco no Catalyst 6500 e costumávamos executar sessões xterm para nossos servidores solaris e linux sem que as sessões morressem após 15 minutos.

Nosso chefe tem medo de aumentar o número de 900 segundos em nosso perfil F5 tcp, porque em outra empresa ele fez isso e esgotou todos os recursos no F5 de conexões travadas.

Existe outra maneira de impedir que as sessões sejam redefinidas sem alterar o tempo limite? Esta é a nossa configuração

profile fastL4 fwd_fastL4_15m {
  defaults from fastL4
  idle timeout 900
}

virtual route_outbound {
  destination any:any
  mask none
  ip forward
  profile fwd_fastL4_15m
}

Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:


9

Existe outra maneira de impedir que as sessões sejam redefinidas sem alterar o tempo limite?

Você já mencionou que as keepalives não foram usadas no seu antigo balanceador de carga da Cisco; portanto, vou me concentrar no que você pode fazer com o F5.

Há dois problemas que você precisa resolver ...

  • O F5 envia uma redefinição para o cliente quando a sessão TCP expira da tabela de estados
  • O F5 remove a sessão TCP após expirar

Esses dois problemas parecem relacionados, mas eles têm soluções diferentes no F5.

Resolvendo redefinições de TCP :

O F5 redefine as sessões TCP expiradas por padrão. Você pode desativar esse comportamento reset on timeout disabledentro do seu perfil TCP. No entanto, tudo o que isso faz é impedir que o F5 redefina a conexão do cliente, mas a sessão ainda expirará na tabela de estados do F5 na próxima vez que alguém fizer uma pausa por algumas horas e depois mover o ponteiro do mouse novamente no xterm .

Resolvendo a expiração da sessão dentro do F5 :

Use loose initiation enableno seu perfil TCP. loose initiationpermite que o F5 crie uma entrada na tabela de estados TCP sempre que vir um pacote TCP desconhecido. Desde que essas conexões sejam confiáveis ​​e dentro da sua empresa, não há problema loose initiationem ativar .

Essencialmente, loose initiationfaz o F5 se comportar mais como um roteador do que como um balanceador de carga, que é o que você precisa nessa situação. As sessões xterm criam um soquete TCP originário do TCP / 6000 para o cliente. Nesse caso, você não está balanceando a carga das sessões xterm de qualquer maneira.

Solução final :

Seu perfil final deve ficar assim ...

profile fastL4 fwd_fastL4_5m_loose {
  defaults from fastL4
  reset on timeout disable
  idle timeout 300
  loose initiation enable
}
virtual route_outbound {
  destination any:any
  mask none
  ip forward
  profile fwd_fastL4_5m_loose
}

Tecnicamente, você pode alterar o tempo limite de 900 segundos para 300 segundos, pois está ativando a iniciação de sessão solta no route_outboundserviço. O Documento de Solução F5 7595 é uma boa referência para o encaminhamento de configurações de servidores virtuais como este ... consulte a seção "Emulando o roteamento IP sem estado com servidores virtuais de encaminhamento BIG-IP LTM".


6

Para sessões de período, acredito que a melhor opção é usar o keepalives de aplicativos ou sistemas operacionais para manter a conexão através do SLB, o que permite que você mantenha o tempo limite ocioso onde desejar.

Isso depende do aplicativo e do sistema operacional. Consulte Mantenha sua sessão SSH do Linux desconectada como um método que pode funcionar.

A preocupação do seu gerente em aumentar o tempo limite ocioso é altamente subjetiva. A taxa de fluxo típica (conexão / s) e as durações inativas entre o ambiente e o último podem ser muito diferentes. Se sua taxa de fluxo ou durações inativas forem muito menores, você poderá aumentar o tempo limite. Você precisará zerar a capacidade de fluxo, o que você tem de graça e a rapidez com que os percorre.

O tempo limite inativo padrão do CSM é 3600. O mesmo para o ACE para conexões TCP inativas .


Eu sugeri isso. A equipe de desenvolvimento continua me perguntando por que eles não precisaram ativar o Exceed Keep Alive quando usaram o balanceador de carga da Cisco. Você sabe por quê? Eles dizem que este é um problema com o nosso F5.
user2561

@ user2561 você estava usando o CSM (ou Módulo ACE)? [Acabei de resolver um problema com o CSS Cisco cujo padrão ocioso tempo limite de fluxo é de apenas 16 segundos, então você já melhor do que eu estava com 900 está!]
generalnetworkerror
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.