Le 24/08/2012 11:04, Radu-Adrian Feurdean a écrit : > J'ai pas mal travaille avec F5, et il y a 2 parties : la partie hard > (lb de base) et la partie soft (qui gere le L4+). > La partie soft est pas mal chez eux, pas de bug manifeste, et le > SSL-offloading je l'ai bien abuse pendant 5 ans sans aucune probleme. > Le L7-routing (content switching), pareil, ca peut aller tres loin, > modulo perfs du CPU. Par contre cote prix........ AIE !
Marrant comment les expériences peuvent différer, nous avons fait le "pari" d'une upgrade haproxy (sur des blades HP, problèmes de perfs dues aux cartes broadcom a l'époque) vers F5 (BigIP 3600) il y a 5 ans. Alors effectivement déjà le prix "AIE", et le support "double AIE". Et à coté de ça: * Spanning-tree (MSTP) qui "leak" des paquets sur des interfaces sensées être down (résolu par modification de la configuration physique pour désactiver le spanning-tree sur le boitier * Système de licensing qui met une grouille du tonnerre lors de la re-activation (obligatoire pour mises a jours): certains composants du systèmes semblent désynchronisés avec le reste, exemple une iRule qui check le nombre de node actif va renvoyer une erreur, une fois l'irule désactivée les requêtes passent (donc pour le reste du système le pool est bien actif). * Divers bugs bien complexes sur les iRules, crashs, ... * Support pas toujours au niveau: record 15 mois et une dizaine de participant pour une analyse de bug a la con sur les iRules ou qui renvoi vers les services (payants) pour une "optimisation de votre configuration" quand la configuration de base, sur des virtual servers http "de base" donne des résultats ... de merde (max 30% de la BP disponible en Vserver "standard" avec les profiles TCP de base, 100% en "Performance L4"). * Des version majeurs très "beta", attendre les .2/.3 pour migrer est un minimum et encore: sur la 11.2.0HF1 attendez vous à des reset de connections HTTP intempestifs et demandez les Hotfix Engineering... * des comportements réseau par défaut surprenant (ex le "auto last hop" qui renvoi un paquet à son émetteur et non à la gateway configurée) Bref, plus le temps passe, moins je suis content de la solution... --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/