【BIG-IP】設定バックアップとリストア手順（UCS） | f5mku と交換対応

はじめに

F5 BIG-IP の運用において、設定情報のバックアップは基本中の基本です。 しかし、「定期的に UCS ファイル（バックアップ）を取得しているから安心」と思っていませんか？

実は、機器故障によるハードウェア交換（RMA）などで別筐体に載せ替える際、「手元にある UCS ファイルをただリストアしようとしてもエラーで失敗する」 というトラブルが後を絶ちません。 その最大の原因は、暗号化に使われる 「マスターキー（Master Key）」 の不一致です。

本記事では、通常のバックアップ手順に加え、いざという時に「リストアできない！」と青ざめないための必須知識である「f5mku」コマンドの使い方も合わせて解説します。

BIG-IP のバックアップファイル「UCS」とは

F5 BIG-IP の設定バックアップには、UCS（User Configuration Set）という形式が使用されます。 これは単なるテキストの設定ファイル（コンフィグ）ではありません。

システム全体を復元するために必要な、以下の重要データを丸ごと圧縮して固めた 「アーカイブファイル（拡張子は .ucs）」 です。

• 設定ファイル: bigip.conf など（IP アドレス、Virtual Server 設定など）
• SSL 証明書と秘密鍵: HTTPS 通信に必要な証明書データ
• ライセンスファイル: 機器の使用権限情報
• ユーザーアカウント: 管理画面のログイン情報
• ログやシステム設定: トラップ設定やホスト名など

テキスト形式のコンフィグ（SCF など）だけでは、SSL 証明書の実体が含まれないため、障害時の完全復旧ができません。 そのため、BIG-IP のバックアップといえば、基本的にはこの UCS ファイルを取得すること を指します。

【重要】リストア失敗を防ぐ「マスターキー（f5mku）」の話

BIG-IP のバックアップ運用で、多くのエンジニアが躓くのが 「別筐体へのリストア失敗」 です。 その原因のほとんどは、「マスターキー（Master Key）」の不一致 にあります。

BIG-IP はセキュリティ強化のため、設定ファイル（bigip.conf）に含まれる「パスワード情報」や「SSL 秘密鍵のパスフレーズ」などを、平文ではなく暗号化して保存しています。この暗号化に使われている鍵が マスターキー です。

同一筐体へのリストア

キーが変わらないため、問題なく復号・リストアできる。

別筐体（RMA 交換品など）へのリストア

機器ごとにキーが異なるため、UCS 内の暗号化データを復号できず、設定読み込み時（Config Load）にエラーが発生する。

これを防ぐためには、UCS ファイルだけでなく、マスターキーそのもののバックアップと移行 が必要になります。

マスターキーの確認とバックアップコマンド（f5mku -K）

バックアップを取得する際、必ず以下の CLI コマンドを実行して、現在のマスターキーを確認・保管してください。 ※UCS ファイルの中にマスターキーの情報は含まれていません！別途メモが必要です。

実行コマンド（CLI）

f5mku -K

出力例

(tmos)# f5mku -K
O+Qd3/8w/s+Z0... (ランダムな文字列が表示されます)

この出力された文字列がマスターキーです。この値をテキストファイルなどにコピーし、UCS ファイルと一緒に厳重に保管してください。

マスターキーのリストアコマンド（f5mku -r）

故障交換などで新しい筐体（代替機）に UCS をリストアする場合、UCS をインストールする前に、保管しておいたマスターキーを新しい筐体に適用します。

実行コマンド（CLI）

f5mku -r <バックアップしておいたキーの文字列>

実行例

(tmos)# f5mku -r O+Qd3/8w/s+Z0...

コマンド実行後、エラーが出なければ適用完了です。 これで新旧の筐体でキーが一致したため、UCS ファイルからのリストア（復号）が正常に行えるようになります。

バックアップ手順（GUI / CLI）

UCS バックアップは、Web ブラウザ（GUI）から行う方法と、コマンドライン（CLI）から行う方法の 2 通りがあります。 通常は GUI で問題ありませんが、作業効率化のために CLI も覚えておくと便利です。

GUI での手順

直感的に操作できる方法です。作成したバックアップファイルは、必ず PC 等のローカル環境へダウンロードして保存してください。

1. 管理画面へログインし、メニューから [System] > [Archives] を開きます。
2. 画面右上の [Create] ボタンをクリックします。

3. File Name に任意の名前を入力します（例: backup_20230529）
   • ※ Private Keys のオプションは通常 Include（含める）のままで OK です。
4. [Finished] をクリックすると、バックアップ作成処理が始まります。

5. 完了後、一覧に表示されたファイル名をクリックし、[Download] ボタンを押して PC に保存します。

【重要】 BIG-IP 内に置いておくだけでは、機器が全損した時に取り出せなくなります。必ず外部へ保存しましょう。

CLI での手順

SSH で接続して実行する方法です。コマンド一発で完了するため、手慣れたエンジニアはこちらを好みます。

実行コマンド

tmsh save /sys ucs [ファイル名]

実行例

# 日付付きのファイル名で保存する場合
tmsh save /sys ucs backup_20230529.ucs

• 拡張子 .ucs は省略しても自動的に付与されます。
• 作成されたファイルは、BIG-IP 内の /var/local/ucs/ ディレクトリに保存されます。WinSCP などを使って PC へ取得してください。

リストア手順（GUI / CLI）

UCS ファイルを使った復旧手順です。 同一筐体へのリストア（設定ロールバック）であれば「手順2」だけで済みますが、機器交換の場合は必ず「手順1」から実施してください。

STEP

マスターキーの適用（別筐体の場合のみ）

故障交換などで「シリアル番号が異なる別の筐体」にリストアする場合は、UCS を読み込む前に必ずマスターキーを移行します。 ※これをスキップすると、設定読み込み時に decryption failed 等のエラーが発生し、正常に起動しません。

1. SSH (CLI) で新しい BIG-IP にログインします。
2. 以下のコマンドで、事前にバックアップしておいたキーを適用します。

f5mku -r <バックアップしたキー文字列>

3. エラーが出なければ完了です。

STEP

UCS ファイルのアップロードとインストール

キーの準備ができたら、UCS ファイルを読み込みます。

GUI で行う場合（同一筐体への戻しにおすすめ）

1. [System] > [Archives] を開き、[Upload] から PC 上の UCS ファイルを選択してアップロードします。

2. 一覧から対象ファイルをクリックし、[Restore] ボタンを押します。

3. 確認画面が表示されるので実行します。システムが再起動し、設定が反映されます。

CLI で行う場合（RMA・機器交換におすすめ）

特に機器交換時は、ライセンス周りのトラブルを避けるため、CLI での実行を推奨します。

1. WinSCP 等で /var/local/ucs/ 配下に UCS ファイルを転送します。
2. 以下のコマンドを実行してリストアします。

tmsh load /sys ucs backup_20230529.ucs

【重要】機器交換時のリストア（no-license オプション）

代替機への移行時は、バックアップ元のライセンス情報で上書きしてしまうと、新筐体のベースライセンスと不整合を起こす可能性があります。これを防ぐために no-license オプションを付けます。

tmsh load /sys ucs backup_20230529.ucs no-license

※このオプションを付けると、設定情報は復元されますが、ライセンスファイルだけは現在の筐体のものを維持（または除外）します。

リストア後の確認ポイント

リストアが完了し、機器が再起動してきたら、以下のポイントを確認します。

ステータス確認

CLI または GUI の左上を見て、ステータスを確認します。

• Active: 正常に稼働中（単体、または HA のアクティブ機）
• Standby: 正常に待機中（HA 構成のスタンバイ機）
• Offline / Inoperative: 失敗しています。マスターキーの不一致等を確認してください。

接続確認

• 設定した Management IP で GUI/SSH に接続できるか。
• Virtual Server の IP アドレスに対して Ping や通信が通るか。

まとめ

本記事では、BIG-IP の UCS バックアップとリストア手順について解説しました。

以上、最後までお読みいただきありがとうございました。