Le 24/08/2012 11:04, Radu-Adrian Feurdean a écrit :
> J'ai pas mal travaille avec F5, et il y a 2 parties : la partie hard
> (lb de base) et la partie soft (qui gere le L4+).
> La partie soft est pas mal chez eux, pas de bug manifeste, et le
> SSL-offloading je l'ai bien abuse pendant 5 ans sans aucune probleme.
> Le L7-routing (content switching), pareil, ca peut aller tres loin,
> modulo perfs du CPU. Par contre cote prix........ AIE !
Marrant comment les expériences peuvent différer, nous avons fait le
"pari" d'une upgrade haproxy (sur des blades HP, problèmes de perfs
dues aux cartes broadcom a l'époque) vers F5 (BigIP 3600) il y a 5 ans.
Alors effectivement déjà le prix "AIE", et le support "double AIE".
Et à coté de ça:
* Spanning-tree (MSTP) qui "leak" des paquets sur des interfaces
sensées être down (résolu par modification de la configuration physique
pour désactiver le spanning-tree sur le boitier
* Système de licensing qui met une grouille du tonnerre lors de la
re-activation (obligatoire pour mises a jours): certains composants du
systèmes
semblent désynchronisés avec le reste, exemple une iRule qui check
le nombre de node actif va renvoyer une erreur, une fois l'irule
désactivée les
requêtes passent (donc pour le reste du système le pool est bien actif).
* Divers bugs bien complexes sur les iRules, crashs, ...
* Support pas toujours au niveau: record 15 mois et une dizaine de
participant pour une analyse de bug a la con sur les iRules ou
qui renvoi vers les services (payants) pour une
"optimisation de votre configuration" quand la configuration de base,
sur des virtual servers http "de base" donne
des résultats ... de merde (max 30% de la BP disponible en
Vserver "standard" avec les profiles TCP de base, 100% en "Performance L4").
* Des version majeurs très "beta", attendre les .2/.3 pour migrer
est un minimum et encore: sur la 11.2.0HF1 attendez vous à des reset de
connections HTTP intempestifs
et demandez les Hotfix Engineering...
* des comportements réseau par défaut surprenant (ex le "auto last
hop" qui renvoi un paquet à son émetteur et non à la gateway configurée)
Bref, plus le temps passe, moins je suis content de la solution...
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
