Was ist der Unterschied zwischen iControl REST und AS3?

AS3 ist ein deklarativer Wrapper, der auf iControl REST läuft. Während iControl REST verlangt, dass Sie das 'Wie' (schrittweise Erstellung) verwalten, ermöglicht es AS3 Ihnen, das 'Was' (den gewünschten Endzustand) zu definieren, und der F5 übernimmt die Reihenfolge und Bereinigung.

Welche Risiken birgt eine teilweise Migration zu AS3?

Die größte Herausforderung ist das State Management. Wenn jemand eine manuelle Änderung über die GUI vornimmt, während Sie AS3 verwenden, überschreibt die nächste AS3-Deklaration diese manuellen Änderungen. Sie müssen Git als einzige Quelle der Wahrheit etablieren und den GUI/CLI-Zugriff sperren.

Kann ich REST/AS3 für systemweite Einstellungen wie VLANs und NTP verwenden?

Obwohl Sie TMSH verwenden können, um lokale Benutzer zu konfigurieren, ist der moderne Ansatz, die Declarative Onboarding (DO)-Extension zu verwenden. Dies ermöglicht es Ihnen, systemweite Einstellungen wie VLANs, DNS, self-IPs und Benutzerkonten über eine einzige JSON-Deklaration zu verwalten.

Gibt es ein Tool zum Konvertieren bestehender TMSH-Konfigurationen in AS3?

Ja, die BIG-IP Visual Studio Code Extension ist sehr zu empfehlen. Sie enthält einen 'AS3 Schema Validator' und einen 'TMSH zu AS3' Konverter, der Ihnen helfen kann, Ihre Migration zu beschleunigen, indem er bestehende Konfigurationen in JSON-Deklarationen umwandelt.

Wohin sende ich den AS3 JSON Payload eigentlich?

Der AS3-Endpunkt wird normalerweise auf der Management-Schnittstelle unter /mgmt/shared/appsvcs/declare gehostet. Für Umgebungen mit hohem Volumen stellen Sie sicher, dass Sie BIG-IP Version 15.1 oder neuer verwenden, um Leistungsverbesserungen im REST-Framework zu nutzen.

Wie handhabt AS3 Multi-Cloud-Implementierungen?

Für Legacy-Datencenter werden lokale BIG-IP iSeries oder rSeries bevorzugt. Für Cloud-Umgebungen funktionieren dieselben AS3-Deklarationen identisch auf BIG-IP Virtual Editions in AWS, Azure und GCP, was es zum perfekten Tool für die Hybrid-Cloud-Anwendungsbereitstellung macht.

F5 BIG-IP TMSH zu REST/AS3: Das Migrations-Playbook 2026

Die Ära der F5 BIG-IP-Verwaltung über imperative Legacy TMSH-Skripte und anfällige Expect-basierte Automatisierung ist vorbei. Wenn Sie sich immer noch per SSH auf Ihre VIPRION- oder iSeries-Chassis verbinden, um tmsh create ltm virtual auszuführen, hinken Sie nicht nur hinterher – Sie häufen technische Schulden an, die Ihre Automatisierungs-Roadmap für 2026 zum Scheitern bringen werden. Die Branche hat sich definitiv dem deklarativen AS3 (Application Services 3)-Modell zugewandt, und der Übergang von der imperativen iControl REST API zu einem reinen GitOps-Workflow unter Verwendung der F5 Automation Toolchain ist für hochskalierte Netzwerk-Engineering-Umgebungen nicht länger optional.

Das strukturelle Versagen des imperativen TMSH

TMSH (Traffic Management Shell) wurde für Menschen und nicht für Maschinen entwickelt. Obwohl die iControl SOAP- und frühen iControl REST-Schnittstellen eine Brücke schlugen, litten sie unter dem „Order of Operations“-Albtraum. In einem typischen TMSH-Skript, wenn Sie versuchen, einen Node zu löschen, bevor Sie ihn aus seinem Pool entfernen, oder einen Pool zu löschen, während er noch an einen Virtual Server gebunden ist, schlägt die Transaktion fehl. Dies erfordert, dass Ingenieure komplexe Fehlerbehandlungslogik schreiben, um Objekt-Abhängigkeiten zu verfolgen.

Darüber hinaus ist TMSH notorisch langsam bei Bulk-Operationen. Serialisierte SSH-Sitzungen führen zu Latenz, die bei RESTful-Aufrufen über HTTPS nicht auftritt. Noch wichtiger ist, dass TMSH keine native Zustandsvalidierung bietet. Sie teilen ihm mit, was zu tun ist, es versucht es, und wenn es mitten im Prozess fehlschlägt, bleiben Sie mit einer „halbfertigen“ Konfiguration zurück, die ein Albtraum zu auditieren ist. Die Umstellung auf REST und schließlich auf AS3 ermöglicht idempotente Konfigurationen – zustandsbasiertes Management, bei dem das Endergebnis definiert ist, anstatt der Schritte, die dorthin führen.

Phase 1: Zuordnung von TMSH zu iControl REST

Bevor Sie zu AS3 übergehen, müssen Sie verstehen, wie die zugrunde liegende REST API den Befehlen zugeordnet ist, die Sie seit einem Jahrzehnt verwenden. Die F5 iControl REST API folgt einer vorhersagbaren URI-Struktur: /mgmt/tm/ltm/.... Zum Beispiel ein Standard-TMSH-Befehl zum Erstellen eines Node:

tmsh create ltm node 10.1.1.50 address 10.1.1.50 description "WebSrv01"

Übersetzt sich in einen POST-Request an /mgmt/tm/ltm/node mit einem JSON-Payload:

{
  "name": "10.1.1.50",
  "address": "10.1.1.50",
  "description": "WebSrv01"
}

Dies löst zwar den SSH-Overhead, erfordert aber immer noch mehrere Aufrufe, um einen vollständigen Stack (Node -> Pool -> Virtual Server) zu erstellen. Hier fordert das 2026-Playbook eine Umstellung auf die F5 Automation Toolchain, insbesondere die App Services Extension.

Phase 2: Übergang zum deklarativen Modell (AS3)

AS3 (Application Services 3 Extension) ist der Industriestandard für die F5-Automatisierung. Anstatt mehrere Endpunkte aufzurufen, um eine Anwendung zu erstellen, senden Sie eine einzige JSON-Deklaration an den Endpunkt /mgmt/shared/appsvcs/declare. AS3 übernimmt die Abhängigkeitslogik, die Reihenfolge der Operationen und die Bereinigung ungenutzter Ressourcen.

Betrachten Sie die „Anwendung“ als die atomare Einheit der Bereitstellung. In AS3 verwalten Sie keine „Virtual Servers“, sondern „Tenants“ und „Applications“. Eine typische AS3-Deklaration für einen Standard-HTTPS-VIP mit einer LTM-Policy und einem WAF-Profil könnte wie folgt aussehen:

{
    "class": "ADC",
    "schemaVersion": "3.0.0",
    "id": "TechLeague_Migration_01",
    "Tenant_Web": {
        "class": "Tenant",
        "App_Secure": {
            "class": "Application",
            "template": "https",
            "serviceMain": {
                "class": "Service_HTTPS",
                "virtualAddresses": ["192.168.10.100"],
                "pool": "web_pool",
                "serverTLS": "tls_common"
            },
            "web_pool": {
                "class": "Pool",
                "monitors": ["http"],
                "members": [{
                    "servicePort": 80,
                    "serverAddresses": ["10.10.1.10", "10.10.1.11"]
                }]
            }
        }
    }
}

Diese Deklaration wird in einem Zug gesendet. Wenn der Pool bereits existiert, aktualisiert AS3 ihn. Wenn ein Mitglied entfernt werden muss, entfernt AS3 es. Deshalb ist AS3 dem reinen REST überlegen: Es ist wirklich idempotent.

Phase 3: Aufbau der CI/CD-Pipeline (GitOps)

Modernes F5-Management sollte der Softwareentwicklung ähneln. Ihre „Source of Truth“ ist nicht länger die Datei /config/bigip.conf auf dem Gerät; es ist eine YAML- oder JSON-Datei in einem Git-Repository. Wir empfehlen einen GitLab- oder GitHub Actions-Workflow, der bei jedem Pull Request ausgelöst wird.

1. Linting: Verwenden Sie den AS3 Schema Validator, um die syntaktische Korrektheit des JSON zu gewährleisten.
2. Staging: Pushen Sie die Deklaration an eine BIG-IP VE (Virtual Edition), die in einem Dev-Lab läuft.
3. Validierung: Führen Sie automatisierte curl- oder Postman-Tests gegen den Staging-VIP durch.
4. Produktion: Nach Genehmigung sendet der CI-Runner den POST-Request an die Produktions-F5-Cluster.

Durch die frühzeitige Nutzung von F5 BIG-IP Next Mustern bereiten Sie Ihr Unternehmen auf die nächste Generation von F5-Hardware (rSeries) und -Software vor, die vollständig auf diesen REST/AS3-Grundlagen aufbaut. Die ältere rSeries-Hardware (r5000/r10000) profitiert davon besonders, da sie die F5OS-Schicht von der Tenant-Schicht trennt, wodurch Automatisierung für Skalierung obligatorisch wird.

Telemetry und Visibilität: Jenseits von SNMP

Die Migration von TMSH betrifft nicht nur die Konfiguration, sondern auch die Observability. Wenn Sie immer noch SNMP-Polling verwenden, um Ihre F5s zu überwachen, fehlen Ihnen granulare Daten. Die Telemetry Streaming (TS)-Extension – Teil der Automation Toolchain – ermöglicht es Ihnen, Echtzeit-Metriken deklarativ, ähnlich wie bei AS3, an Splunk, ELK oder Datadog zu pushen.

Hören Sie auf, benutzerdefinierte Perl-Skripte zu schreiben, um show ltm virtual-Ausgaben zu parsen. Konfigurieren Sie stattdessen einen TS-Consumer, um Pool-Member-Health, SSL Handshake-Latenz und Durchsatzmetriken direkt zu streamen. Dies ermöglicht es Ihrem SOC, F5-Logs mit Anwendungsserver-Logs in einem einzigen Dashboard zu korrelieren.

Umgang mit Legacy Persistence und iRules

Ein häufiger Reibungspunkt bei der TMSH → REST-Migration ist der Umgang mit komplexen iRules. In TMSH haben Sie möglicherweise Hunderte von Zeilen Tcl-Code. In AS3 behandeln wir iRules als „BigIP“-Objekte, die referenziert oder inline definiert werden können. Wir schlagen jedoch vor, Logik wo immer möglich aus iRules in LTM-Policies zu verlagern. Policies werden nativ im AS3-Schema unterstützt und sind wesentlich performanter als iRules, da sie effizient in den TMM (Traffic Management Microkernel)-Bytecode kompiliert werden.

Für iRules, die beibehalten werden müssen, verwenden Sie die base64-Codierungsfunktion in AS3, um sicherzustellen, dass Sonderzeichen und Zeilenumbrüche Ihr JSON-Payload nicht beschädigen. Dies hält Ihr Git-Repository sauber und lesbar.

Das Urteil 2026: Performance und Kosten

Der Betrieb eines BIG-IP-Ökosystems über TMSH/SSH skaliert linear mit dem Personalaufwand. Sie benötigen mehr Ingenieure, um mehr VIPs zu verwalten. Der Betrieb über AS3 und GitOps skaliert logarithmisch. Ein einziger Ingenieur kann 500+ Virtual Servers über 20 globale Cluster mit dem gleichen Aufwand verwalten, wie er fünf verwalten würde. Bei Hardware wie der iSeries 5800 oder der neueren rSeries r10900, die über 100.000 bis 200.000 US-Dollar kosten kann, bedeutet das Versäumnis der Automatisierung, dass Sie den rohen Durchsatz und die Multi-Tenancy-Fähigkeiten Ihrer Investition verschwenden.

Wir haben diese Muster für Fortune-500-Finanzunternehmen implementiert und ihre „Time-to-VIP“ von 5 Tagen (manuelles Ticket) auf 4 Minuten (automatisiertes PR) reduziert. Wenn Sie die Reife Ihrer aktuellen F5-Automatisierung bewerten oder ein benutzerdefiniertes AS3-Schema-Design benötigen, erkunden Sie unsere professionellen Dienstleistungen unter techleague.io.