no one is safe ...

F5 BigIP upgrade 9.4.x auf 10.0.1

Major Upgrades sind immer eine spannende Sache. Die BigIP übernimmt zwar normalerweise die alte Konfiguration ohne Probleme aber unter speziellen Umständen halt doch nicht.

Wird beispielsweise ein iRules Konstrukt verwendet in dem unter verschiedenen Umständen das ASM (Application Security Module oder kurz WAF) deaktiviert wird kommt es bei dem Upgrade zu Problemen. F5 hat die verwendete Funktion umbenannt und der Installer kann die alte Schreibweise nicht korrekt parsen, wodurch die Konfiguration nicht vollständig geladen wird.

In der KB Datenbank von F5 ist hierzu folgender Artikel zu finden. Demnach wurde die Funktion von PLUGIN::disable ASM zu ASM::disable umbenannt.

Ein Systemupgrade wird zwar durchgeführt, allerdings bricht der abschließende Ladevorgang der Konfiguration mit Fehlermeldungen ab.

Um die Konfiguration trotzdem ans Laufen zu bekommen können Sie alle iRules deaktivieren, ändern und anschl. neu aktivieren oder Sie ändern die Konfig. händisch. Viel einfacher geht die Änderung mit Sed, anschl. lässt sich die Konfig neu laden.

Testvorgang:

sed 's/PLUGIN::disable ASM/ASM::disable/g' /config/bigip.conf > /config/bigip.conf.bak

Anschl. sollten Sie die neue Datei (bigip.conf.bak) unbedingt auf Korrektheit prüfen.

Um die Änderungen nun tatsächlich durchzuführen arbeiten Sie beispielsweise mit folgendem Kommando:

sed 's/PLUGIN::disable ASM/ASM::disable/g' -i /config/bigip.conf

Im Anschluss sollten Sie die überarbeitete Konfig mit folgendem Kommando manuell laden können:

[root@bigip:Active] config # bigpipe load
Reading configuration from /defaults/config_base.conf.
Reading configuration from /config/bigip_base.conf.
Reading configuration from /config/bigip_sys.conf.
Reading configuration from /usr/bin/monitors/builtins/base_monitors.conf.
Reading configuration from /config/profile_base.conf.
Reading configuration from /config/daemon.conf.
Reading configuration from /config/bigip.conf.
Reading configuration from /config/bigip_local.conf.
Loading the configuration ...

hf
m1k3