F5 BIG-IQ 8.4.0 新增功能简介

作者：sysin

2025-06-18
北京
本文字数：2795 字
阅读完需：约 9 分钟

F5 BIG-IQ 8.4.0 - 集中管理 BIG-IP

BIG-IQ Centralized Management

请访问原文链接：https://sysin.org/blog/f5-big-iq-8/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

BIG-IQ Centralized Management

BIG-IQ 是 BIG-IP 的集中管理软件和平台

针对完整可见性和控制的 BIG-IQ 集中式管理，借助一个统一的管理平台 (sysin)，管理您的所有 BIG-IP 设备和服务。

产品介绍请参看：F5 BIG-IQ Centralized Management - 集中管理 BIG-IP 设备和服务

BIG-IQ 8.4.0 新增功能

BIG-IP device management

通用

✅ BIG-IQ 对 AWS IMDSv2 的支持

AWS 推出了基于令牌的实例元数据服务 API（IMDSv2），该服务增强了安全性，需要进行身份验证以访问元数据。此前，BIG-IQ 使用旧版的 IMDSv1，该版本不需要身份验证，并且仍作为启动实例的默认方式。由于缺乏对 IMDSv2 的支持，要求使用该版本的实例无法完成授权、重新授权或使用基于元数据的功能 (sysin)。对 BIG-IQ 来说，此限制影响了 SSH 密钥认证和许可证激活，因为其对 EC2 实例（如 m5.xlarge）的 API 调用因缺少身份验证令牌实现而失败。

本版本添加了对 IMDSv2 的支持，使 BIG-IQ 能在需要 IMDSv2 的 AWS 环境中正常工作。实例现在可以完成授权，基于元数据的功能也能正常运行，SSH 密钥认证也运作良好，确保全面兼容 AWS 的安全标准。

✅ BIG-IQ 对 BIG-IP 17.5.0 的支持

BIG-IQ 现全面支持 BIG-IP 17.5.0，确保所有模块之间的无缝发现与兼容性。用户升级到 BIG-IP 17.5.0 后，其管理操作将继续保持一致，不受影响。

✅ BIG-IP Access 17.5.0 的互操作性支持

BIG-IQ 支持创建、导入、修改和部署 BIG-IP Access 17.5.0 的配置。本更新确保 BIG-IQ 与 BIG-IP 17.5.0 在访问策略管理方面的全面互操作性。

✅ AS3 与 BIG-IQ 8.4.0 的兼容性支持

本版本中，AS3 架构与 BIG-IQ 8.4.0 完全兼容，可通过 BIG-IQ 用户界面使用应用模板顺利部署应用程序。

✅ 对 Venafi 22.x、23.x 和 24.x 的支持

BIG-IQ 现已集成对 Venafi 22.x、23.x 和 24.x 版本的支持，可对 BIG-IP 设备实现集中式证书生命周期管理。此更新引入了对 AES256 加密算法的支持，提升了安全性，超越现有 OpenSSL 算法。通过自动化证书管理，该集成消除了在多个 BIG-IP 设备上手动维护证书的繁琐过程。

支持的 BIG-IP 服务

BIG-IQ 8.4.0 新增对以下 BIG-IP 服务的支持：

✅ 支持 BIG-IP 17.5.0

BIG-IQ 现支持运行于 BIG-IP 17.5.0 上的以下服务：

Access Policy Manager (APM)
Advanced Firewall Manager (AFM)
Application Delivery Controller (ADC)
Web Application Security (ASM / WAF)
Fraud Protection Service (FPS)
Statistics and Monitoring (sysin)

✅ 支持 Application Services Extension 3 (AS3)

BIG-IQ 支持 AS3 版本 3.53.0 及以上版本。

✅ 支持 Declarative Onboarding (DO)

BIG-IQ 支持 DO 版本 1.29 及以上版本，支持所有直至 17.5.0 的对象。

✅ 支持 BIG-IP SSL Orchestrator (SSLO)

BIG-IQ 现支持 SSLO RPM 版本 12.0。您可以发现、导入、配置并部署运行该 RPM 版本的托管 BIG-IP 设备的配置。如需了解该 SSLO RPM 版本支持的功能，请参见 BIG-IP SSLO 17.5.0-12.0 发布说明。

F5OS 平台管理

BIG-IQ 8.4.0 新增以下 F5OS 平台管理功能：

✅ 支持显示 VELOS 设备信息

您现在可以查看 VELOS 平台的详细信息，例如模式类型、序列号、平台版本和刀片配置。

✅ 支持导出 F5OS 库存信息

无论状态或分配情况如何，您现在可以将 F5OS 平台或设备的库存信息导出为 CSV 格式文件。

✅ 支持删除远程备份

当您在 BIG-IQ 中删除本地 F5OS 备份文件时，也可删除存储在 F5OS rSeries 或 VELOS 平台上的远程备份文件及其对应的分区备份文件。

✅ 支持为 F5OS VELOS 分区分配 IPv6 地址

本版本现支持为 F5OS VELOS 分区分配 IPv6 地址。

✅ 支持将 F5OS 备份导出到外部服务器

您现在可以将 F5OS 备份副本远程存储到 SCP 或 SFTP 服务器上。

BIG-IQ 许可证管理

BIG-IQ 8.4.0 新增以下许可证管理功能：

✅ 许可证池属性增强

许可证池 UI（路径为 Devices > LICENSE MANAGEMENT > Licenses > <license pool>）进行了以下增强：

现在可以选择每页显示的注册密钥数量。
现在可以查看注册密钥的服务检查日期、最大允许吞吐率、最大允许 VE 核心数以及许可软件版本等信息。

✅ 所有许可证使用报告

您现在可以生成一份 CSV 报告，详尽列出所选组中的所有许可证。

将 F5 Advanced WAF (On-Box) 服务作为 SSL Orchestrator 服务

✅ 支持 BIG-IP SSL Orchestrator (SSLO)

BIG-IQ 8.4.0 支持在 SSL Orchestrator 界面中为所有拓扑配置和部署 Advanced WAF 配置文件 (sysin)，具体位于“Solutions Catalog”中的“F5”选项卡下。本更新提升了用户体验，使您能够直接在 SSL Orchestrator 中配置 Advanced WAF 配置文件。此外，您还可以将该服务验证为服务链对象。要使用此配置，需在 BIG-IQ 中已配置、许可并启用 Application Security Manager (ASM) 和 Advanced WAF 配置文件。

✅ 安全策略增强

SSL Orchestrator 安全策略步骤在创建新规则时具有以下增强功能：

新增下拉菜单，提供 “is” 和 “is not” 运算符，可用于比较或否定指定条件。此前只能使用 “is/are” 或 “contains” 运算符。现在引入的 “is not” 运算符可将条件转化为 “is not”/“are not” 或 “not contains”。
新增条件 “IP Protocol”，可基于 Internet 协议（如 TCP 和 UDP）匹配 SSL 流量。
在 SSL Proxy Action 中新增设置 “Bypass (Client Hello)”，可在特定条件下绕过 TLS 握手进行流量转发。但像 “Server Certificate (Issuer DN, SANs, Subject DN)” 和 “Category Lookup (All)” 这类 SSL 条件不支持此绕过设置 (sysin)。
在自定义安全策略中，您现在可以根据指定条件将流量重定向至远程 URL。为启用此功能，请在操作下拉列表中选择 “Redirect” 选项，并输入希望重定向到的目标 URL。