この章では、パートナーシップが利用できるように Sun Cluster Geographic Edition を構成し、有効にする手順を説明します。また、Sun Cluster Geographic Edition ソフトウェアをアンインストールする方法も示します。
この章には、以下の節があります。
パートナークラスタ間で安全な管理通信を行うためには、Sun Cluster Geographic Edition ソフトウェアを構成する必要があります。この構成は相互に行う必要があります。たとえば、クラスタ cluster-paris の各ノードがクラスタ cluster-newyork の各ノードを信頼するように構成する必要があります。
クラスタ構成の例については、『Sun Cluster Geographic Edition のシステム管理』の「クラスタ構成例」を参照してください。
クラスタのすべてのノードで、パートナーに関する信頼ベースのホスト証明書を構成する必要があります。これは、クラスタ内のノードはどれでも、クラスタ間通信のために Sun Cluster Geographic Edition インフラストラクチャーリソースグループと論理ホスト名をホストできるためです。
信頼ベースのホスト証明書を構成するには、/usr/j2se/bin/keytool コマンドを使用します。
この手順では、クラスタ cluster-paris 上のノード phys-paris-1 および phys-paris-2 と、クラスタ cluster-newyork 上のノード phys-newyork-1 および phys-newyork-2 を使用します。
次の Network Security Services ソフトウェアパッケージがインストールされていることを確認します。
SUNWpr、バージョン 4.5.0
SUNWprx
SUNWtls、バージョン 3.9.4
SUNWtlsu
各クラスタの 1 つのノード上、つまりクラスタ cluster-paris上の phys-paris-1 と、クラスタ cluster-newyork 上の phys-newyork-1 で、次の作業を行います。
クラスタの 1 つのノードにルートとしてログインします。
共通エージェントキャリアを停止します。
# /opt/SUNWcacao/bin/cacaoadm stop |
JSSE/NSS 鍵と証明書を再生成します。
この手順により、/etc/opt/SUNWcacao/security/nss/localca/localca.cert という名前のファイルが作成されます。localca.cert ファイルは、鍵が読み込まれる間に一時的な保管場所として使用されます。
# /opt/SUNWcacao/bin/cacaoadm create-keys |
ローカル truststore 内のその他の鍵をすべて削除するには、--force オプションを使用します。--force オプションを使用する場合、この手順を完了した後あとで、これらの鍵を再度追加する必要があります。
鍵を上書きすることを避ける場合は、--directory オプションを使用すると、デフォルトのセキュリティーディレクトリとは異なるディレクトリにこのファイルを生成できます。ただし、共通エージェントキャリアはデフォルトディレクトリの鍵だけを使用するため、生成した鍵をあとでデフォルトディレクトリのファイルに追加する必要が生じます。
クラスタがいったん構成されたあとは、create-keys - -force コマンドを実行するこの手順は繰り返さないでください。この手順を繰り返すと、以前に構成した証明書が失われます。
共通エージェントキャリアの鍵と証明書の再生成については、『Sun Cluster のシステム管理 (Solaris OS 版)』の「新しいセキュリティ証明書を構成する」を参照してください。
ノード phys-paris-1 とノード phys-newyork-1 の間で、ローカル認証局を交換します。
ノード phys-paris-1 上の証明書ディレクトリに移動します。
phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca |
ノード phys-paris-1 からノード phys-newyork-1 に、証明書ファイル localca.cert をコピーします。
この手順では、ファイルのコピー元のクラスタを思い出せるように、localca.cert ファイルの名前を localca.cert.cluster-paris に変更します。
phys-paris-1# rcp localca.cert \ phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris |
ファイルをコピーした、ノード phys-newyork-1 上のディレクトリに移動します。
phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse |
localca.cert.cluster-paris ファイルから、ノード phys-newyork-1 上のローカルキーストアに証明書をインポートします。
この手順により、cluster-paris から、cluster-newyork の phys-newyork-1 ノードに、公開鍵が読み込まれます。
この手順は、/etc/opt/SUNWcacao/security/jsse ディレクトリから実行する必要があります。
phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \ -file localca.cert.cluster-paris |
keytool コマンドの truststore パラメータには、ファイルをコピーしたディレクトリに入っているファイルを指定します。-alias オプションには、証明書が生成されたリモートクラスタのクラスタ名を指定します。
キーストアパスワードを求められた場合は、trustpass と入力します。trustpass パスワードは、共通エージェントキャリアが提供する、秘密扱いではないパスワードです。truststore パラメータは、公開鍵と秘密鍵のペアの公開鍵を保持しているため、絶対的なセキュリティーは必要ありません。
証明書を信頼するかどうかを尋ねるメッセージには、yes と入力します。
証明書が正しくキーストアに追加されたことを確認します。
phys-newyork-1# keytool -list -v -keystore truststore |
ノード phys-newyork-1 とノード phys-paris-1 の間で、ローカル認証局を交換します。
ノード phys-newyork-1 上の証明書ディレクトリに移動します。
phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca |
インポートされる証明書は、localca.cert というファイル内にあります。
ノード phys-newyork-1 からノード phys-paris-1 に、証明書ファイルをコピーします。
この手順では、ファイルのコピー元のクラスタを思い出せるように、localca.cert の名前を localca.cert.cluster-newyork に変更します。
# rcp localca.cert \ phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork |
ファイルをコピーした、ノード phys-paris-1 上のディレクトリに移動します。
phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse |
ノード phys-paris-1 上のローカルキーストアに証明書をインポートします。
この手順を実行するには、ユーザーは /etc/opt/SUNWcacao/security/jsse ディレクトリに存在する必要があります。
phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \ -file localca.cert.cluster-newyork |
keytool コマンドの truststore パラメータは、ユーザーがファイルをコピーしたディレクトリ内に位置しています。-alias オプションは、証明書が生成されたリモートクラスタのクラスタ名を指定します。
キーストアパスワード求められた場合は、trustpass と入力します。trustpass パスワードは、共通エージェントキャリアが提供する、秘密扱いではないパスワードです。truststore パラメータは、公開鍵と秘密鍵のペアの公開鍵を保持しているため、絶対的なセキュリティーは必要ありません。
証明書を信頼するかどうかを尋ねるメッセージには、yes と入力します。
証明書が正しくキーストアに追加されたことを確認します。
phys-paris-1# keytool -list -v -keystore truststore |
ノード phys-paris-1 を除くクラスタ cluster-paris の各ノード上で、ノード phys-paris-1 から取得された /etc/opt/SUNWcacao/security/ ディレクトリとそのサブディレクトリのすべてを、/etc/opt/SUNWcacao/ ディレクトリにコピーします。
phys-paris-2# cd /etc/opt/SUNWcacao phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security . |
ノード phys-newyork-1 を除くクラスタ cluster-newyork の各ノード上で、ノード phys-newyork-1 から取得された /etc/opt/SUNWcacao/security ディレクトリとそのサブディレクトリのすべてを、/etc/opt/SUNWcacao/security にコピーします。
phys-newyork-2# cd /etc/opt/SUNWcacao phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security . |
各クラスタの各ノードで、証明書が正しく追加されたことを確認します。
セキュリティーディレクトリをコピーしたあと、1 つクラスタの全ノードに対する keytool list コマンドの出力では、ローカルの鍵とリモートの鍵に関して同じ値が示されます。リモートクラスタの全ノードで同じ値が表示されますが、ローカルタグとリモートタグは交換されます。
# cd /etc/opt/SUNWcacao/security/jsse # keytool -list -v -keystore truststore |
各クラスタの各ノード上で共通エージェントキャリアを再起動します。
# /opt/SUNWcacao/bin/cacaoadm start |
Sun Cluster Geographic Edition ソフトウェアを有効にした時点で、そのクラスタは、有効になっているほかのクラスタとパートナーシップ関係に入る準備が完了します。クラスタパートナーシップの作成には、CLI または GUI を使用できます。
Sun Cluster Geographic Edition の設定とインストールの詳細は、『Sun Cluster Geographic Edition のシステム管理』の第 3 章「Sun Cluster Geographic Edition インフラストラクチャーの管理」を参照してください。
geoadm コマンドを使用してパートナーシップのメンバーシップ用ローカルクラスタを有効にするには、Geo Management の RBAC (Role-Based Access Control、役割ベースアクセス制御) 権利プロファイルを保持していなければなりません。
詳細はrbac(5) のマニュアルページと『Sun Cluster Geographic Edition のシステム管理』の「Sun Cluster Geographic Edition ソフトウェアと RBAC」を参照してください。
クラスタ上で Sun Cluster Geographic Edition ソフトウェアを有効にする場合は、あらかじめ次の条件が満たされているか確認してください。
クラスタ上で Solaris オペレーティングシステム と Sun Cluster ソフトウェアが実行されている。
SunPlex Manager 用の Sun Cluster 管理エージェントコンテナが稼働している。
Sun Cluster Geographic Edition ソフトウェアがインストールされている。
クラスタノードの 1 つにログインします。
この作業を行うには、Geo Operation RBAC 権利プロファイルが割り当てられていなければなりません。RBAC の詳細は、『Sun Cluster Geographic Edition のシステム管理』の「Sun Cluster Geographic Edition ソフトウェアと RBAC」を参照してください。
論理ホスト名 (クラスタ名と同じ) が使用可能で、定義されていることを確認します。
# scconf -p | grep -i "cluster name" |
クラスタ名が、使用すべき名前と異なる場合は、次のコマンドを使用してクラスタ名を変更できます。
# scconf -c -C cluster=cluster-name |
詳細は、scconf(1M) のマニュアルページを参照してください。
クラスタ名に一致する論理ホスト名が使用可能で、ローカルホストファイルで定義されていることを確認します。
ローカルホストファイル hosts は、/etc/inet ディレクトリに入っています。
さらに、論理ホスト名がネットワークネームスペースデータベース (NIS など) 内でも定義されているか確認します。
クラスタの 1 つのノードで Sun Cluster Geographic Edition インフラストラクチャーリソースグループを作成し、Sun Cluster Geographic Edition 制御モジュールを有効にします。
# geoadm start |
geoadm start コマンドは、ローカルクラスタ上の Sun Cluster Geographic Edition 制御モジュールだけを有効にします。詳細は、geoadm(1M) のマニュアルページを参照してください。
インフラストラクチャーが有効であり、Sun Cluster Geographic Edition リソースグループがオンライン状態であることを確認します。
# geoadm show # scstat -g |
geoadm show コマンドの出力は、クラスタ内の特定のノード上で Sun Cluster Geographic Edition インフラストラクチャーが有効であることを示しているはずです。
scstat -g コマンドの出力は、geo-failovercontrol、geo-hbmonitor、および geo-clustername リソースと、geo-infrastructure リソースグループが 1 つのクラスタノードでオンライン状態であることを示しているはずです。
詳細は、scstat(1M) のマニュアルページを参照してください。
次に、クラスタ上で Sun Cluster Geographic Edition ソフトウェアを有効にする例を示します。
# geoadm start # geoadm show # scstat -g |
保護グループの作成については、『Sun Cluster Geographic Edition のシステム管理』の「Sun StorEdge Availability Suite 3.2.1 保護グループの管理」または『Sun Cluster Geographic Edition のシステム管理』の「Hitachi TrueCopy 保護グループの管理」を参照してください。