Выбор Load Balancer

[slavik_ru(ripev)]

to Artem Volkov:
Привет, Артём.

Использую F5 LTMs чуть больше 4 лет, с версии 9.x до 11.x.
В целом железки очень нравятся, админить можно как через Web интерфейс, там и через CLI.

Основана на Red Hat, т.е. стандартный линукс в качестве платформы, а над ней уже свой софт. Ну и железо.
Есть много прикольных фич, в том числе iRules, которые позволяют обрабатывать потоки данных на лету и их видо изменять.
В основном конечно HTTP, но и другие тоже можно.

Плюс в том, что на базе той же железки можно развернуть дополнительные модули, как Application Firewall. Надо конечно заплатить денежку сначала.

Вообще у них можно купить специальную урезанную версию для виртуалки, стоит вроде $150. Для тестов.

Вам для каких целей?

[Serge De Vorop]

to Artem Volkov:
Подводных камней и багов у Цитрикса достаточно. Про Ф5 не скажу, не использовал.
Баги вылезают, если делаь что-то выше стандартных процедур. В базовом функционале это не заметно.
С точки зрения эксплуатации я бы выбрал Ф5. Проще получить поддержку, по крайней мере читая интернет, пользуясь гуглом и задавая вопросы в форумах. Больше и лучше документация.

[slavik_ru(ripev)]

По поводу подводных камней на F5.
Если использовать data-group в iRules (это как object-group у Cisco, т.е. можно определять IP адреса в группе, а потому использовать эту группу в iRule), то там есть ограничение, что data-group не может быть вложена в другую data-group.

Простой пример, мы разрешаем доступ к сервису только с определенных IP. Создаем iRule, в котором пишем, что если IP клиента из данной data-group, тогда разрешаем траффик, если нет - тогда <действие>. Если IP каждого клиента не сваливать в одну кучу, а делать по-человечески (определять для каждого data-group), то тогда придется изменять iRule каждый раз, когда добавляем новую data-group.

На Cisco или Juniper мы бы просто засунули эту data-group в другую data-group, которая уже в iRule.

Ну и как обычно, если F5 выкатили новую версию софта, нужно дождаться как минимум 4 патча, до этого в production не ставить.

Документация хорошая.

[Nathan Murr]

А как кстати с лицензированием у них? где более гибко и где больше плюх дают "из коробки" ?

[slavik_ru(ripev)]

У F5 из коробки ничего не дают. Нужно лицензию покупать. И пока лицензию не купишь и не активируешь на железке, ничего не будет вообще.
Каждая лицензия определяет какой модуль активируешь, например Load Balancing (LTM).

Позже захотел GLobal Load Balancing, или Application Firewall, или Remove VPN, или еще что, докупил лицензию, активировал ее и наслаждаешься.

Естественно, от железки зависит сколько она потянет модулей одновременно.

[slavik_ru(ripev)]

Не правильно выразился, когда покупаешь F5 железку, ты одновременно покупаешь какой-то продукт, LTM, GTM, и т.д.
После этого, ты можешь докупить лицензию на дополнительный модуль. Софт один и тот же. Просто лицензию активируешь, перезагружаешь и готово.

Можно взять версию для тестирования (lab edition), там все модули доступны, но ограничена полоса пропускания трафика до 2Mbit/s вроде, или еще меньше.

Так же есть production версии для VMware, и прочего.

[Serge De Vorop]

У Цитрикса в целом все точно так же.

[Serge De Vorop]

На форуме, кстати, есть человек, который максимально близко знает обоих вендоров.
Но я его не сдам.
И в данный момент он меркантильно порекомендует одного из вендоров.

[Nathan Murr]

Забавно очень что сама циска в разных местах своего сайта рекомендует и первого и второго под замену ACE

[Serge De Vorop]

to Nathan Murr:
Ну Ф5 Циска рекомендует на тех страницах и в тех доках, которые еще написаны до принятия политического решения.
Весь свежак должен быть с рекомендацией для Цитрикса.