如何对群集专用互连配置 IP 安全体系结构 (IPsec)

可以为专用互连接口配置 IP 安全体系结构 (IPsec)，以便在群集互连上提供安全的 TCP/IP 通信。

有关 IPsec 的信息，请参见《系统管理指南：IP 服务》中的第 IV 部分, “IP 安全性”和 ipsecconf(1M) 手册页。有关 clprivnet 接口的信息，请参见 clprivnet(7) 手册页。

在要配置为使用 IPsec 的每个群集节点上执行此过程。

1. 成为超级用户。

   或者，如果为您的用户帐户指定了主管理员 (Primary Administrator) 配置文件，则可通过配置文件 shell 以非超级用户身份执行命令，或者在命令的前面加上 pfexec 命令。

2. 在每个节点上，确定 clprivnet 接口的 IP 地址。

   phys-schost# ifconfig clprivnet0

3. 如果您使用虚拟 NIC (virtual NIC, VNIC) 通过公共网络来路由专用互连通信，还请确定 VNIC 使用的物理接口的 IP 地址。

   1. 显示群集中所有传输路径的状态以及所使用的物理接口。

      输出内容将类似如下：

      phys-schost# /usr/cluster/bin/clinterconnect status -- Cluster Transport Paths -- Endpoint Endpoint Status -------- -------- ------ Transport path: phys-schost-1:adapter1 phys-schost-2:adapter1 Path online Transport path: phys-schost-1:adapter2 phys-schost-2:adapter2 Path online

   2. 识别每个节点上使用的每个接口的 IP 地址。

      phys-schost-1# ifconfig adapter phys-schost-2# ifconfig adapter

4. 在每个节点上，配置 /etc/inet/ipsecinit.conf 策略文件，并在要使用 IPsec 的每对专用互连 IP 地址之间添加安全关联 (Security Association, SA)。

   请按照《系统管理指南：IP 服务》中的“如何使用 IPsec 保证两个系统之间的通信安全”中的说明操作。此外，请遵循以下指导：

   • 确保这些地址的配置参数值在所有的伙伴节点上一致。

   • 将每个策略配置为配置文件中的单独行。

   • 要在不重新引导的情况下实现 IPsec，请按照过程示例“在不重新引导的情况下使用 IPsec 保证通信安全”中的说明操作。

   有关 sa unique 策略的更多信息，请参见 ipsecconf(1M) 手册页。

   1. 在每个文件中，为群集中每个 clprivnet IP 地址添加一个条目，以便使用 IPsec。

      包括本地节点的 clprivnet 专用互连 IP 地址。

   2. 如果使用 VNIC，还请为 VNIC 使用的每个物理接口的 IP 地址添加一个条目。

   3. （可选的）要对所有的链路启用数据分散读写，请在该条目中包括 sa unique 策略。

      此功能可帮助驱动程序以最佳方式利用群集专用网络的带宽，从而提供较高的分发粒度和更高的吞吐量。专用互连接口使用包的安全参数索引 (Security Parameter Index, SPI) 来分散读写通信。

5. 在每个节点上，编辑 /etc/inet/ike/config 文件以设置 p2_idletime_secs 参数。

   将此条目添加到为群集传输配置的策略规则中。此设置可为在群集节点重新引导时重新生成安全关联提供时间，并可限制重新引导的节点重新加入群集的快慢。30 秒的值应该足够。

   phys-schost# vi /etc/inet/ike/config … { label "clust-priv-interconnect1-clust-priv-interconnect2" … p2_idletime_secs 30 } …

接下来的操作

配置要在群集上运行的数据服务。请转至配置数据服务。