F5配置应用服务器要开哪些端口?端口清单大全防踩坑,F5配置应用服务器端口清单,全面指南防踩坑
嘿,你刚接手公司F5设备时是不是也懵过?明明服务器跑得好好的,F5 *** 活连不上——八成是端口没整对!今天咱们就掰开揉碎说说,F5和应用服务器之间那些不得不开的门(端口),保你看完再也不怕配置报错!
一、基础通行证:F5和应用服务器必开的"大门"
先记住这个公式:F5监听端口 = 应用服务端口
简单说,用户访问F5的哪个端口,F5就去找服务器上对应的端口敲门。比如:
- 用户访问
https://公司官网:443→ F5找服务器 443端口 - OA系统跑在
http://内网地址:8080→ F5对接服务器 8080端口
重点来了!应用服务器上这些端口必须开绿灯:
- 服务端口:Web服务80/443、数据库3306/1521、文件共享445...
- 健康检查端口:F5会像闹钟一样定时"叮"这个端口(后面细说)
- 管理端口:SSH的22、RDP的3389(运维改配置用)
真实翻车案例:某电商APP改版后服务端口从80改成3000,但F5配置没更新。结果?用户能打开首页,一点支付就404!
二、健康检查端口:F5的"心跳探测器"
这是最容易被忽略的隐形关卡! F5靠它判断服务器是"活蹦乱跳"还是"躺平装 *** ":
plaintext复制// 经典检查流程 //F5每30秒 → 发送TCP SYN包到服务器指定端口服务器回SYN-ACK → F5标记"健康"超时无响应 → F5把流量切到其他服务器
端口配置三大铁律:
| 检查类型 | F5发送内容 | 服务器端口要求 |
|---|---|---|
| TCP健康检查 | SYN包 | 必须开服务端口 |
| HTTP健康检查 | GET /healthcheck | Web端口+特定URL路径 |
| 自定义脚本 | 执行sh/py脚本 | 开22端口+脚本权限 |
血泪教训:某银行用TCP检查3306端口,结果MySQL卡 *** 但端口仍响应。F5继续导流,导致交易批量失败!后来改成SQL查询检查才解决。
三、协议不同,开门方式也不同
▸ Web应用(HTTP/HTTPS)
- F5监听端口:80或443
- 服务器需开放:
- 80(HTTP服务)
- 443(HTTPS服务)
- 特别注意:如果用F5做SSL卸载(省服务器资源),服务器只需开80端口
▸ 数据库(MySQL/Oracle)
- 常规配置:
plaintext复制
F5监听3306 → 服务器开3306(MySQL)F5监听1521 → 服务器开1521(Oracle) - 高阶操作:用自定义监控端口避免干扰生产库
bash复制
这样F5通过3307端口发探测,不影响业务端口3306# F5配置示例monitor custom_mysql {send "SELECT 1;" # 发SQL探测port 3307 # 专用监控端口}
▸ 文件传输(FTP/SFTP)
双端口噩梦来了!
- 控制端口:F5监听21 → 服务器开21
- 数据端口:F5动态分配50000-65535 → 服务器防火墙需放行整个范围
某企业因防火墙只开21和20端口,SFTP传输卡在50%不动——就是因为数据端口被拦!
四、避坑指南:端口冲突的经典 *** 法
1. 端口被占还硬上
某运维在服务器上用netstat -tuln发现:
- 80端口被Nginx占着
- 8080端口被Java进程霸占
强行让F5连80端口?直接报错"Address already in use"!
2. 防火墙只开一半
你以为在服务器开了端口就完事?错!网络层三道关卡:
图片代码graph LRA[用户] --> B{F5}B --> C[防火墙1: 放行F5 IP→服务器端口]C --> D[服务器防火墙: 放行F5 IP]D --> E[应用自身防火墙]
某医院系统就是因为没在OS防火墙放行F5的IP,健康检查永远失败。
3. NAT环境忘映射
当服务器藏在NAT网关后:
- 真实服务器端口:192.168.1.10:8080
- NAT映射端口:公网IP:80
这时候F5必须连公网IP:80,而不是直连内网端口!
五、个人私藏配置口诀
搞了十年负载均衡的 *** 送你三句话:
① 服务端口 = 健康端口 = F5转发端口 —— 三端口统一最省心
② 宁可多开一个检测口,别省权限坑生产 —— 专用监控端口更安全
③ 每次改端口前,先跑telnet F5_IP 端口 —— 5秒测试避免背锅
去年帮客户做迁移,就因为严格执行这三条,原本计划通宵的割接两小时完工。记住啊朋友们——端口配得对,半夜不加班!