Sun Cluster Manager の構成

Sun Cluster Manager は、定足数デバイス、IPMP グループ、インターコネクトコンポーネント、グローバルデバイスなどのあらゆる局面の状態を管理、表示できる GUI です。この GUI は、多くの Sun Cluster CLI コマンドの代わりに使用できます。

Sun Cluster Manager を各自のクラスタにインストールする手順については、『Sun Cluster ソフトウェアのインストール (Solaris OS 版)』を参照してください。GUI を使用してさまざまな作業を行う方法については、Sun Cluster Manager のオンラインヘルプを参照してください。

この節では、初期インストール後、Sun Cluster Manager を再構成するための次のような手順について説明します。

• 「RBAC の役割の設定」

• 「Sun Cluster Manager のサーバーアドレスを変更する」

• 「共通エージェントコンテナのセキュリティー鍵を再生成する」

RBAC の役割の設定

Sun Cluster Manager は、RBAC を使用して、誰がクラスタを管理する権限を持っているかを判別します。 Sun Cluster ソフトウェアには、いくつかの RBAC 権限プロファイルが含まれています。これらの権限プロファイルをユーザーまたは役割に割り当てることで、 Sun Cluster に対するさまざまなレベルのアクセス権をユーザーに与えることができます。 Sun Cluster ソフトウェアの RBAC を設定および管理する方法の詳細については、第 2 章「Sun Cluster と RBAC」 を参照してください。

共通エージェントコンテナを使用して、サービスまたは管理エージェントのポート番号を変更する

共通エージェントコンテナサービスのデフォルトのポート番号 (6789) が実行中の別のプロセスと衝突する場合、cacaoadm コマンドを使用し、各クラスタノード上で、衝突しているサービスまたは管理エージェントのポート番号を変更できます。

1. すべてのクラスタ上で 共通エージェントコンテナ 管理デーモンを停止します。

   # /opt/bin/cacaoadm stop

2. Sun Java Web Console を停止します。

   # /usr/sbin/smcwebserver stop

3. get-param サブコマンドを使用して、共通エージェントコンテナサービスにより現在使用されているポート番号を取得します。

   # /opt/bin/cacaoadm get-param parameterName

   cacaoadm コマンドを使用して、以下の共通エージェントコンテナサービスのポート番号を変更できます。次のリストは、共通エージェントコンテナで管理できるサービスとエージェント、および対応するパラメータ名の例を示しています。

   JMX コネクタポート

   jmxmp-connector-port

   SNMP ポート

   snmp-adaptor-port

   SNMP トラップポート

   snmp-adaptor-trap-port

   コマンドストリームポート

   commandstream-adaptor-port

4. ポート番号を変更します。

   # /opt/bin/cacaoadm set-param parameterName=parameterValue =parameterValue

5. クラスタの各ノード上で手順 4 を繰り返します。

6. Sun Java Web Console を再起動します。

   # /usr/sbin/smcwebserver start

7. すべてのクラスタノード上で 共通エージェントコンテナ 管理デーモンを再起動します。

   # /opt/bin/cacaoadm start

Sun Cluster Manager のサーバーアドレスを変更する

クラスタノードのホスト名を変更する場合、Sun Cluster Manager を実行するアドレスを変更する必要があります。デフォルトのセキュリティー証明書は、Sun Cluster Manager がインストールされる時点でノードのホスト名にもとづいて生成されます。ノードのホスト名をリセットするには、証明書ファイルである keystore を削除し、Sun Cluster Manager を再起動します。Sun Cluster Manager は、新しいホスト名を使用して新しい証明書ファイルを自動的に作成します。この手順は、ホスト名を変更したすべてのノード上で行う必要があります。

1. /etc/opt/webconsole にある証明書ファイル keystore を削除します。

   # cd /etc/opt/webconsole # pkgrm keystore

2. Sun Cluster Manager を再起動します。

   # /usr/sbin/smcwebserver restart

共通エージェントコンテナのセキュリティー鍵を再生成する

Sun Cluster Manager は、強力な暗号化技術を使用して、Sun Cluster Manager web サーバーと各クラスタノード間の安全な通信を確保しています。

Sun Cluster Manager が使用する鍵は、各ノードの /etc/opt/SUNWcacao/security ディレクトリに格納されています。これらの鍵は、すべてのクラスタノードで同一でなければなりません。

通常の動作では、これらのキーはデフォルトの構成のままとなります。クラスタノードのホスト名を変更する場合は、共通エージェントコンテナのセキュリティー鍵を再生成する必要があります。また、鍵が攻撃の対象となる恐れがある場合 (マシンのルート侵入など) にも鍵の再生成が必要となります。セキュリティー鍵を再生成するには、次の手順を実行します。

1. すべてのクラスタ上で 共通エージェントコンテナ 管理デーモンを停止します。

   # /opt/bin/cacaoadm stop

2. クラスタの 1 つのノード上で、セキュリティー鍵を再生成します。

   phys-schost-1# /opt/bin/cacaoadm create-keys --force

3. セキュリティー鍵を再生成したノード上で 共通エージェントコンテナ 管理デーモンを再起動します。

   phys-schost-1# /opt/bin/cacaoadm start

4. /etc/cacao/instances/default ディレクトリの tar ファイルを作成します。

   phys-schost-1# cd /etc/cacao/instances/default phys-schost-1# tar cf /tmp/SECURITY.tar security

5. /tmp/Security.tar ファイルを各クラスタノードにコピーします。

6. /tmp/SECURITY.tar ファイルをコピーした各ノード上で、セキュリティーファイルを解凍します。

   /etc/opt/SUNWcacao/ ディレクトリに既にセキュリティーファイルがある場合は、すべて上書きされます。

   phys-schost-2# cd /etc/cacao/instances/default phys-schost-2# tar xf /tmp/SECURITY.tar

7. クラスタの各ノードから /tmp/SECURITY.tar ファイルを削除します。

   セキュリティーのリスクを避けるために tar ファイルの各コピーを削除する必要があります。

   phys-schost-1# rm /tmp/SECURITY.tar phys-schost-2# rm /tmp/SECURITY.tar

8. すべてのノード上で 共通エージェントコンテナ 管理デーモンを再起動します。

   phys-schost-1# /opt/bin/cacaoadm start

9. Sun Cluster Manager を再起動します。

   # /usr/sbin/smcwebserver restart