負荷分散にF5BIG-IPサーバーを使用する潜在的なクライアントがあります。製品をロードバランサーときれいに統合できるかどうかを判断する際に、F5が提供するAPIを調べ始めました。問題は、F5サーバーがないとAPIを使用してカスタムコードを実行できないことです。テストに相当するソフトウェアがあるかどうか誰かが知っていますか？

F5製品がどのように機能するかを学ぼうとしているので、自分でモックを作成しても役に立ちません。さまざまなAPI関数をヒットして、何が返されるかを学びたいです。

ロードバランサー (bigip/f5) 環境では、Web サイトを asp.net 4.0 で実行するように設定した後、WCF サービスが機能しません。JavaScript プロキシ リクエストは、asp.net 4 で https ではなく http として送信され、JS で「アクセスが拒否されました」というエラーが発生します。

以前のバージョンのasp.netでも問題なく同じように動作します。何か案が？？

現在のセットアップ: - wsHttpBding を使用した WCF サービスがあります。以下のサービス構成を参照してください - ServiceHostFactory を実装して、不適切なスキーマの場所と SOAP アドレスの問題を解決し、それらをマシン名から正しいサーバー ホスト名に変更しました - 私のテスト クライアント(WCFStorm) プロキシを生成し、すべてのメソッドを表示して、それらを正常に呼び出すことができます。- 私の開発環境 (クライアント -> HTTPS -> サービス) は完全に動作します。

問題: - prod 環境 (クライアント -> HTTPS -> F5 -> HTTP -> サービス) - 私のサービスは SSL をオフロードする F5 ロード バランサーの背後にあります - 私のテスト クライアント (WCFStorm) プロキシを生成してすべてのメソッドを表示できますが、メソッドのいずれかを呼び出すと、リモート サーバーが見つかりません 404 エラーが発生します

• 私のサービス構成: <services> <service behaviorConfiguration="Service1Behavior" name="MyService"> <endpoint name="secure" address="" binding="wsHttpBinding" bindingConfiguration="custBinding" contract="IService"/> <endpoint address="mex" binding="mexHttpsBinding" contract="IMetadataExchange" /> </service> </services> <bindings> <wsHttpBinding> <binding name="custBinding"> <security mode="Transport"> <transport clientCredentialType="None" /> <message clientCredentialType="None" negotiateServiceCredential="false" establishSecurityContext="false" /> </security> </binding> </wsHttpBinding> </bindings> <behaviors> <serviceBehaviors> <behavior name="Service1Behavior"> <serviceMetadata httpsGetEnabled="true" httpGetEnabled="true" httpGetUrl="http://myserver/MyService.svc"/> <serviceDebug includeExceptionDetailInFaults="true"/> <dataContractSerializer maxItemsInObjectGraph="6553600" /> </behavior> </serviceBehaviors> </behaviors>

• wsdl のすべてのスキーマの場所と SOAP アドレスは製品では正しいですが、メソッドを呼び出すことができないことに注意してください。

助けてください。

WS2007FederationHttpBinding を使用して、WIF で保護された WCF サービスを開発しています。これらはすべて開発中は正常に機能しますが、サービスが F5 の背後でホストされているシステム テストに移ると、F5 アドレスを使用したサービスへの呼び出しは失敗します。

http:///myservice/service.svc に接続できませんでした。TCP エラー コード 10060: 接続先が一定時間後に適切に応答しなかったため、接続の試行に失敗したか、接続されたホストが応答しなかったために確立された接続が失敗しました

システム テスト環境は、プール内の 3 つのメンバーで構成されます。アプリサーバーアドレスでサービスに直接接続するようにクライアントを構成すると、すべて正常に動作します。F5 アドレスに接続するように再構成すると、上記の問題が発生します。

カスタム サービス ホストを使用して、DB の構成情報からサービスを構成しています。サービスでは、listenuri を http://[appserverhostname]/myservice/service.svc に設定し、エンドポイント アドレスを http://[f5 dns]/myservice/service.svc に設定しています。現時点ではログをオンにするアクセス権がありませんが、サービス側でアクティビティを確認できません (これに取り組んでいます)。

まれに、しばらくの間の最初のリクエストで TCP エラーが返され、その後のリクエストが成功することがあります。しばらくすると、このシーケンスが再び発生し、何らかの形でタイムアウトに関連していることが示唆されます。プールから特定のメンバーを削除する、1 つのメンバーを持つようにプールを構成する、プール内の唯一のメンバーでサービスとクライアントを実行するなど、プールの設定にいくつかの変更を試みましたが、一貫した結果を得ることができません。

サービスは自己発行の証明書を使用して保護されており、クライアントは DNSIdentity (証明書の CN を含む) のみを ID として使用しています。

F5 の背後で負荷分散されている場合に WCF サービスへの呼び出しが失敗する、このシナリオの構成の何が問題になっていますか?

更新: プールには 3 つのサーバーがあり、サーバーの 1 つ (サーバー 1) からサービス アドレスを参照しようとすると、IE でインターネット セキュリティ設定を行った後、標準のサービス ページが表示されます。が表示されます (そして wsdl url は、他のサーバーの 1 つ、つまりサーバー 2 にアクセスしていることを示します)。そのため、アドレスはブラウザ レベルで問題なく解決できます。

コンテクスト

Glassfish3.1にデプロイされたアプリケーションを開発しました。このアプリケーションにはhttpsからのみアクセスでき、顧客のネットワークにあるサードパーティのWebサービスに接続する必要がある場合があります。顧客は自分のネットワーク内に他のアプリケーションを持っています。私のは新しい「サービス」にすぎません。

トポロジー近似

• Big-ipF5はsslエンドポイントです。お客様はこのデバイスに有効な証明書を持っています
• IISは、ドメインごとにそれぞれのサービスにリダイレクトします
• glassfishは、アプリケーションを備えたマシンです（もちろん、glassfish 3.1以上）

使い方

ユーザーが_https：// somedomainに接続しようとすると、SSL暗号化が終了するF5にリクエストが到着します。これで、_http：//somedomainへのリクエストがあります。次のステップで、F5はこの要求をIISにリダイレクトし、これが最後にGlassfishにリダイレクトします。この請願は正常に処理されます。

興味がある点

• Glassfishサーバーとそれが配置されているVMのSOを完全に制御しました。他のアプリケーションはこのサーバーにデプロイされていないか、デプロイされる予定はありません。これは、アプリとそれが必要とするいくつかのサービス専用のサーバーです。Glassfishは、DebianディストリビューションがSOであるVM上で実行されます。このVMはVMサーバーによって提供されますが、ブランド、モデルなどはわかりません。Glassfishにはデフォルトのhttpリスナー構成があります。
• ネットワークやその他のデバイスに関する情報がこれ以上なく、他のデバイスの構成ファイルにアクセスできません。ネットワークのどの部分も自分で変更することはできませんが、変更を依頼、提案、またはアドバイスすることができます。ネットワークの動作は変わらないはずです。
• 実際、ユーザーは問題なくアプリケーションにアクセスできます。
• 使用する証明書は、Verysignによって信頼されている単純なドメイン証明書です。
• 顧客はこれを解決する方法がわかりません。

問題

アプリケーションがアクセスする必要のあるすべてのサードパーティWSには一意のhttpsアクセスが必要であり、場合によっては、必要な認証が相互（双方向）であり、ここで問題が見つかります。アプリケーションが相互SSL認証を使用してWSに接続する場合、Glassfishローカルキーストア構成のターゲット証明書を送信します。お客様は、可能であれば、着信と発信の安全な接続に同じ証明書を使用することを望んでいます。この証明書はF5にあり、Glassfishキーストアに追加できません。これを行うと、Verysignの契約要件に違反することになります。私はグーグル、ここ（stackoverflow）、ジタ、...で解決策を探していましたが、私が見つけた着信トラフィックの解決策だけです。SSLプロキシが必要な場合があることは理解していますが、今後のssl接続の例や代替ソリューションは見つかりませんでした。

私が求めているもの

私は英語を話せません（わかりませんか？）。検索用語で正しい用語を使用していない可能性があります。このコンテキストは悪夢であり、解決するのが難しい場合があることは理解できますが、私は立ちます...最初に必要なのは、この問題の解決策が存在するかどうか、および問題がどこに存在するかを知ることです。またはどうすればそれ/それらを見つけることができますか。私は顧客と交渉するためにさまざまな代替案を用意しましたが、真実を知る必要があります。私はこれに何時間も費やしました。

http以外のトラフィックでF5OneConnectを使用することは可能ですか？いつアタッチ/デタッチするかを判断できるiRulesを作成できるようですが、例は見ていません。

F5 Big-Ip v. 11.x の iRule を書いています。CRYPTO ライブラリに問題があります。

この方法で文字列を復号化しようとすると

ここで、$key は 16 進形式の文字列で、$to_decrypt は暗号化された文字列です。

エラーが表示されます:

tmm err tmm[7107]: 01220001:3: TCL エラー: /Common/testirule - 必要なパラメータがありません

ここでドキュメントを見つけることができます: https://devcentral.f5.com/wiki/iRules.CRYPTO__decrypt.ashx

どのパラメータが欠落しているか理解できません。助けてもらえますか? 前もって感謝します！

編集:ここにドキュメントのスニペットを追加します:

CRYPTO::decrypt [-alg <>] [-ctx <> [-final]] [-key[hex] <>] [-iv[hex] <>] []

いくつかのパラメータに基づいてデータを復号化します

alg - アルゴリズム。指定されたリストからの ASCII 文字列 (以下を参照) スペルは小文字であり、iRule はリストにないものに対して失敗します。ctx モードでは、alg は最初の CRYPTO:: コマンドで指定する必要があり、変更できません。 ctx- context は Tcl 変数の名前であり、CRYPTO コマンドからのみ生成および使用できます。注: ctx 変数の値を取得または設定しようとすると失敗します。CTX 変数が iRule で最初に使用されると、指定された引数 (alg、key、iv など) から tcl オブジェクトが生成されます。特定の CTX 変数は、1 つの CRYPTO:: コマンドにのみ使用できます。CTX が別の目的で再利用されると、iRule CRYPTO:: コマンドは失敗します。CRYPTO:: コマンドを終了するには、同じ CTX 変数の最後の CRYPTO:: コマンドに「–final」を使用する必要があります。「-final」を使用すると、CTX 変数が解放され、同じ ctx 変数名を再利用できます。CTX 変数に既にキーと IV 値が格納されている場合、値は CRYPTO コマンドが実際に開始される前、つまりデータが与えられる前にのみ更新できます。key - キー (バイナリ データ)。キーの長さは、使用される alg によって決まります。CRYPTO::keygen keyhex - キーを 16 進データとして生成できます。キーの長さは、使用される alg によって決まります。CRYPTO::keygen iv - 初期化ベクトル (バイナリ データ)によって生成できます。長さは、使用する alg によって決まります。CRYPTO::keygen ivhexで生成できます- 16 進データとしての初期化ベクトル。長さは、使用する alg によって決まります。CRYPTO::keygen で生成可能

私は F5 ロード バランサーの方法について十分なトレーニングを受けていないため、できるだけわかりやすく説明するように努めます。基本的に、次のような iRule があります (疑似コード):

私の問題は基本的に、host_num 変数を HTTP_REQUEST に設定してから LB_SELECTED イベントで実際に必要とするまでの間に失われることです。

このシステムは何年も問題なく機能していました。数日前まで、すべての http トラフィックを 1.1 ではなく http 1.0 に強制する別の irule を追加しようとしました。この irule を削除しましたが、この問題はまだ残っています。HTTP プロファイルに欠けている設定はありますか? 他の irules を確認しましたが、どれもこれを上書きする可能性のある host_num 変数を持っていません。

この気の利いたライブラリを使用して BigIP 構成ファイルを解析する方法を見つけようとしています...文法は次のようになります。

もう少し複雑にするために、1 つの例外があります。

名前が「ルール」で始まる場合、内容を「スタンザ」にすることはできません

私はこれから始めました：

上記のコードは、いくつかの無限ループでロックアップしているようです。また、「name」が「rule」で始まる場合に「stanza」を探すことを除外するという私の要件もありません。

F5 と ArcGIS サーバー 9.3.1 で幸運を祈ります。F5 は、ArcGIS サーバーのサービスが利用できないことをどのように認識できますか (サービスが利用できない場合は、常に応答があります)。