我们在 Azure 中部署了 BIG-IP 版本 13.1.0.2,使用自动缩放 BIG-IP WAF (LTM + ASM) - VM 规模集模板并且它一直运行良好,直到最近,5 个实例中的一个开始显示为(cfg-sync 已断开连接)(离线)如果我检查健康设备的日志,我会看到类似这样的条目:
Sep 27 03:38:31 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)
Sep 27 03:38:32 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)
Sep 27 03:38:32 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)
在遵循ConfigSync 指南tmsh load sys config verify并尝试在断开连接的设备上运行,我得到了
Validating configuration...
/config/bigip_base.conf
/config/bigip_user.conf
/config/bigip.conf
/config/bigip_script.conf
/config/partitions/CloudLibsLocal/bigip.conf
There were warnings:
/Common/f5.service_discovery definition:71: warning: [use curly braces to avoid double substitution][[string first , $orderPath]]
01071747:3: ASM/DOS must be provisioned when a Virtual Server is using a DoS profile (/Common/misc.prod.dos) with Application Security enabled.
Unexpected Error: Validating configuration process failed.
username@(waf-vmss_2)(cfg-sync Disconnected)(Offline)(/Common)(tmos)#
我已经尝试过重启设备、重启 VMSS VM、撤销和重新分配许可证,但这些都没有任何效果。我甚至手动清理了 /config/ 文件,足以使配置生效,并从所有组和信任组中删除了设备。这导致它作为独立实例以活动状态上线,但只要我尝试将其重新添加,它就会恢复断开连接和离线状态。
这些虚拟机都是同一 vmss 的一部分,使用同一子网,并且在其 NSG 中具有对其他设备的完全访问权限。目前流量不大(只有一些健康检查),因此我怀疑由于请求量太大导致 SNAT 端口耗尽。我也可以 ping 或 curl IPADDRESS:8443。
有什么方法可以重置配置和/或将 VM 分配到不同的 IP 地址?
答案1
我们安排了一次压力测试,需要让 WAF 恢复满负荷,所以我决定从出现问题的 VMSS 中删除虚拟机。这花了大约 15 分钟,删除后,它以不同的名称重新创建。Azure 显示 waf-vmss_0 到 4,但设备管理中缺少 waf-vmss_2 设备,而是有一个新的 waf-vmss_5 实例。
一旦配置了新实例,它就可以同步(这次使用不同的 IP)。仍然不知道问题是什么,或者 vmss / 实例名称差异是否会导致任何问题。在删除虚拟机之前,我确实将其从设备组中删除并撤销了许可证,因为我们遇到了在删除虚拟机时未清理这些问题。