F5 BIG-IP VE no Azure preso no estado Desconectado Offline com erros de exaustão de porta Inet

Navegue suas respostas
1

Temos o BIG-IP versão 13.1.0.2 implantado no Azure usando as Escala automática BIG-IP WAF (LTM + ASM) - Modelo de conjunto de escala de VM e tem funcionado bem até recentemente, quando uma das 5 instâncias começou a ser mostrada como (cfg-sync desconectado) (offline) . Se eu verificar os registros de um dispositivo saudável, vejo entradas como: 

Sep 27 03:38:31 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)
Sep 27 03:38:32 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)
Sep 27 03:38:32 waf-vmss_0 crit tmm5[10398]: 01010201:2: Inet port exhaustion on 10.0.0.9 to 10.0.0.13:4353 (proto 6)

Ao seguir o guia ConfigSync e tentar executar tmsh load sys config verify no dispositivo desconectado, obtenho 

Validating configuration...
  /config/bigip_base.conf
  /config/bigip_user.conf
  /config/bigip.conf
  /config/bigip_script.conf
  /config/partitions/CloudLibsLocal/bigip.conf
There were warnings:
/Common/f5.service_discovery definition:71: warning: [use curly braces to avoid double substitution][[string first , $orderPath]]

01071747:3: ASM/DOS must be provisioned when a Virtual Server is using a DoS profile (/Common/misc.prod.dos) with Application Security enabled.
Unexpected Error: Validating configuration process failed.
username@(waf-vmss_2)(cfg-sync Disconnected)(Offline)(/Common)(tmos)#

Eu já tentei reiniciar o dispositivo, reiniciar a VM do VMSS, revogar e reatribuir a licença, mas isso não teve nenhum efeito. Eu mesmo manualmente limpei os arquivos / config / o suficiente para obter a configuração para validar e removi o dispositivo de todos os grupos e do grupo de confiança. Isso fez com que ele ficasse on-line em um estado ativo como uma instância independente, mas assim que eu tento adicioná-lo de volta, ele volta a ficar desconectado e off-line.

As VMs são todas parte do mesmo vmss, usando a mesma sub-rede, com acesso total em seus NSG aos outros dispositivos. Não há muito tráfego agora (apenas algumas verificações de saúde), então eu duvido que haja esgotamento da porta SNAT devido ao volume de solicitações. Eu também posso pingar ou enrolar IPADDRESS: 8443 muito bem.

Existe alguma maneira de redefinir a configuração e / ou obter a VM atribuída a um endereço IP diferente?

    
por Greg Bray 28.09.2018 / 01:02

1 resposta

0

Tivemos um teste de estresse agendado e necessário para que o WAF voltasse à capacidade máxima, então decidi excluir a VM do VMSS que estava com problemas. Demorou cerca de 15 minutos e, depois de o eliminar, foi recriado com um nome diferente. O Azure mostra o waf-vmss_0 até o 4, mas o dispositivo waf-vmss_2 está ausente no gerenciamento de dispositivos e, em vez disso, há uma nova instância do waf-vmss_5.

Depois que a nova instância foi provisionada, ela conseguiu sincronizar (usando um IP diferente dessa vez). Ainda não tenho idéia do problema, ou se a diferença no nome vmss / instance causar algum problema. Antes de excluir a VM, removi-a dos grupos de dispositivos e revoguei a licença, pois tivemos problemas com a falta de limpeza quando as VMs foram excluídas.

    
por 28.09.2018 / 01:02

Tags

Obtendo o problema com o VPC na função Lambda Fail2ban na verdade não está proibindo, mas diz que está banindo