Sun Cluster は Solaris IP フィルタリングをサポートしますが、次の制限があります。
フェイルオーバーデータサービスのみがサポートされます。
Sun Cluster は、スケーラブルデータサービスと一緒には IP フィルタリングをサポートしません。
ステートレスフィルタリングのみがサポートされます。
NAT ルーティングはサポートされません。
ローカルアドレスの変換のための NAT の使用はサポートされます。NAT 変換は、パケットを無線で書き換えるため、クラスタソフトウェアからは見えません。
/etc/iu.ap ファイル内で、clhbsndr pfil をモジュールリストにリストするようにパブリック NIC エントリを変更します。
pfil は、リストの最後のモジュールである必要があります。
プライベートおよびパブリックネットワークに対して同じタイプのアダプタを使用している場合、/etc/iu.ap ファイルへの編集は、pfil をプライベートネットワークストリームにプッシュします。ただし、ストリーム生成時に、クラスタトランスポートモジュールは望ましくないモジュールをすべて自動的に削除するため、pfil はプライベートネットワークストリームから削除されます。
IP フィルタが非クラスタモードで確実に機能するようにするには、/etc/ipf/pfil.ap ファイルを更新します。
/etc/iu.ap ファイルに対する更新は、多少異なります。詳細は、IP フィルタのマニュアルを参照してください。
影響を受けるすべてのノードを再起動します。
ノードを順次、起動できます。
影響を受けるすべてのノード上の /etc/ipf/ipf.conf ファイルに、フィルタルールを追加します。IP フィルタルールについては、ipf(4) を参照してください。
Sun Cluster ノードにフィルタルールを追加する際は、次のガイドラインと要件に留意してください。
Sun Cluster は、ネットワークアドレスをノードからノードへフェイルオーバーします。フェイルオーバー時に特別な手順やコードは必要ありません。
論理ホストネームの IP アドレスと共有アドレスリソースを参照するすべてのフィルタリングルールは、すべてのクラスタノード上で同一である必要があります。
予備ノードに関するルールは、存在しない IP アドレスを参照します。このルールは、依然として IP フィルタの有効なルールセットの一部であり、フェイルオーバー後にノードがアドレスを受け取ると有効になります。
すべてのフィルタリングルールは、同じ IPMP グループ内のすべての NIC で同一である必要があります。言い換えると、ルールがインタフェース特有の場合、同じ IPMP グループ内のすべてのほかのインタフェースにも同じルールが存在する必要があります。
ipfilter SMF サービスを有効にします。
# svcadm enable /network/ipfilter:default |