Sun Cluster Geographic Edition 설치 안내서

3장 Sun Cluster Geographic Edition 소프트웨어 구성

이 장은 파트너십에 대한 Sun Cluster Geographic Edition 의 구성 및 활성화의 단계에 대해 설명합니다. 또한 Sun Cluster Geographic Edition 소프트웨어의 설치 해제 방법에 대한 정보를 포함하고 있습니다.

이 장은 다음 내용으로 구성되어 있습니다.

보안 구성

두 파트너 클러스터 간의 보안 관리 통신을 위한 Sun Cluster Geographic Edition 소프트웨어를 구성해야 합니다. 구성이 호환 가능해야 합니다. 예를 들어, 클러스터 cluster-paris의 각 노드는 클러스터 cluster-newyork의 각 노드를 인증하도록 구성되어야 합니다.

클러스터 구성의 예제를 보려면 Sun Cluster Geographic Edition 시스템 관리 설명서Sun Cluster Geographic Edition 시스템 관리 설명서클러스터 구성 예.

클러스터의 노드가 내부 클러스터 통신에 대한 Sun Cluster Geographic Edition 기반 구조 자원 그룹 및 논리 호스트이름을 호스트할 수 있으므로 파트너에 대한 인증된 호스트 인증서가 클러스터의 모든 노드에 구성되어야 합니다.

/usr/j2se/bin/keytool 명령을 사용하여 인증된 호스트 인증서를 구성합니다.

Procedure파트너 클러스터의 인증서 설치 방법

이 절차는 클러스터 cluster-paris의 노드 phys-paris-1 phys-paris-2와 클러스터 cluster-newyork의 노드 phys-newyork-1phys-newyork-2를 참조합니다.

시작하기 전에

다음의 Network Security Services 소프트웨어 패키지가 설치되어 있는지 확인하십시오.

단계
  1. 각 클러스터의 1개의 노드에 클러스터 cluster-parisphys-paris-1 및 클러스터 cluster-newyorkphys-newyork-1은 다음과 같은 작업을 완료합니다.

    1. 클러스터의 한 노드에 루트로 로그인합니다.

    2. 일반 에이전트 캐리어를 중지합니다.


      # /opt/SUNWcacao/bin/cacaoadm stop
    3. JSSE/NSS 키 및 인증서를 재생성합니다.

      이 절차는 /etc/opt/SUNWcacao/security/nss/localca/localca.cert 파일을 작성합니다. 키가 읽히는 동안, localca.cert 파일은 임시 저장소로 사용됩니다.


      # /opt/SUNWcacao/bin/cacaoadm create-keys

    로컬 trustore의 모든 기타 키를 삭제하려면 --force 옵션을 사용합니다. --force 옵션을 사용하는 경우, 이 절차를 완료한 후 이러한 키를 다시 추가해야 합니다.

    키 겹쳐쓰기를 막으려면 --directory 옵션을 사용하여 기본 보안 디렉토리로부터 다른 디렉토리의 이 파일을 생성할 수 있습니다. 그러나, 일반 에이전트 캐리어만 기본 디렉토리로부터 키를 사용함으로 이후에 기본 디렉토리의 파일로 생성하는 키를 추가하는데 필요하게 됩니다.

    일단 클러스터가 구성되면 create-keys - -force 명령을 실행하는 해당 단계를 반복하지 않습니다. 그렇지 않으면 이전에 구성된 인증서는 손실됩니다.

    일반 에이전트 캐리어 키 및 인증서의 재생성에 대한 자세한 내용은 Solaris OS용 Sun Cluster 시스템 관리 설명서Sun Cluster System Administration Guide for Solaris OSHow to Configure a New Security Certificate.

  2. 노드 phys-paris-1 phys-newyork-1 사이의 로컬 인증서 권한을 교환합니다

    1. 노드 phys-paris-1에서 인증 디렉토리로 해당 디렉토리를 변경합니다.


      phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca
    2. 노드 localca.cert에서 노드 phys-paris-1로 인증서 파일을 복사합니다.

      본 절차는 다음의 파일 클러스터에서 언급된 것처럼localca.cert 파일을 localca.cert.cluster-paris 파일로 이름 변경 합니다.


      phys-paris-1# rcp  localca.cert \
      phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris
    3. 파일을 복사한 노드 phys-newyork-1의 디렉토리로 변경합니다.


      phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse
    4. localca.cert.cluster-paris 파일에서 노드 phys-newyork-1의 로컬 키스토어로 인증서를 가져옵니다.

      이 절차는 cluster-paris 에서 phys-newyork-1 node of cluster-newyork 로 공개키를 로드합니다.


      주 –

      이 절차를 수행하려면 /etc/opt/SUNWcacao/security/jsse 디렉토리에 있어야 합니다.



      phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \
      -file localca.cert.cluster-paris

      keytool 명령의 truststore 매개변수는 파일을 복사한 디렉토리에 있는 파일입니다. -alias 옵션은 인증서가 생성된 원격 클러스터의 클러스터 이름을 지정합니다.

      키스토어 암호에 대해 물을 때 trustpass를 입력합니다. trustpass 암호는 일반 에이전트 캐리어가 제공하는 비보안 암호입니다. truststore 매개변수는 공용 및 개인 쌍의 공용 키를 보유하므로 확실한 보안이 필요하지 않습니다.

      인증서를 신뢰할 수 있는지 물을 때 yes를 입력합니다.

    5. 인증서가 키스토어로 올바르게 추가되었는지 확인합니다.


      phys-newyork-1# keytool -list -v -keystore truststore
  3. 노드 phys-newyork-1 phys-paris-1 사이의 로컬 인증서 권한을 교환합니다.

    1. 노드 phys-newyork-1의 인증서 디렉토리로 변경합니다.


      phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca

      가져온 인증서는 localca.cert 파일에 있습니다.

    2. 인증서 파일을 노드 phys-newyork-1에서 노드 phys-paris-1로 복사합니다.

      이 절차는 파일이 어느 클러스터에서 오는 지 언급하기 위해 localca.certlocalca.cert.cluster-newyork로 이름 변경합니다.


      # rcp localca.cert \
      phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork
    3. 파일을 복사한 노드 phys-paris-1의 디렉토리로 변경합니다.


      phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse
    4. 인증서를 노드 phys-paris-1의 로컬 키스토어로 가져옵니다.


      주 –

      이 절차를 수행하려면 /etc/opt/SUNWcacao/security/jsse 디렉토리에 있어야 합니다.



      phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \
      -file localca.cert.cluster-newyork

      keytooltruststore 매개변수는 파일을 복사한 디렉토리에 있는 파일입니다. -alias 옵션은 인증서가 생성된 원격 클러스터의 클러스터 이름을 지정합니다.

      키스토어 암호에 대해 물을 때 trustpass를 입력합니다. trustpass 암호는 일반 에이전트 캐리어가 제공하는 비보안 암호입니다. truststore 매개변수는 공용 및 개인 쌍의 공용 키를 보유하므로 확실한 보안이 필요하지 않습니다.

      인증서를 신뢰할 수 있는지 물을 때 yes를 입력합니다.

    5. 인증서가 키스토어로 올바르게 추가되었는지 확인합니다.


      phys-paris-1# keytool -list -v -keystore truststore
  4. 노드 phys-paris-1을 제외하고 클러스터 cluster-paris의 각 노드에 /etc/opt/SUNWcacao/security/ 디렉토리 및 노드 phys-paris-1에서 /etc/opt/SUNWcacao/ 디렉토리로 검색되는 모든 하위디렉토리를 복사합니다.


    phys-paris-2# cd /etc/opt/SUNWcacao
     phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security .
  5. 노드 phys-newyork-1을 제외하고 클러스터 cluster-newyork의 각 노드에 /etc/opt/SUNWcacao/security 디렉토리 및 노드 phys-newyork-1에서 /etc/opt/SUNWcacao/security로 검색되는 모든 하위디렉토리를 복사합니다.


    phys-newyork-2# cd /etc/opt/SUNWcacao
     phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security .
  6. 각 클러스터의 각 노드에 인증서가 올바르게 추가되었는지 확인합니다.


    주 –

    보안 디렉토리를 복사한 후, 한 클러스터의 모든 노드에 keytool list 명령의 결과는 로컬 및 원격 키에 대해 동일한 값을 표시합니다. 원격 클러스터의 모든 노드는 동일한 값을 표시하지만, 로컬 및 원격 태그는교환됩니다.



    # cd /etc/opt/SUNWcacao/security/jsse
    # keytool -list -v -keystore truststore
  7. 각 클러스터의 각 노드에 일반 에이전트 캐리어를 다시 시작합니다.


    # /opt/SUNWcacao/bin/cacaoadm start

Sun Cluster Geographic Edition 기반 구조 활성화

Sun Cluster Geographic Edition 소프트웨어가 활성화되면 해당 클러스터는 다른 활성화된 클러스터를 갖는 파트너십을 입력할 준비를 합니다. CLI 또는 GUI를 사용하여 클러스터 파트너쉽을 작성할 수 있습니다.

Sun Cluster Geographic Edition 설정 및 설치에 대한 자세한 내용은 Sun Cluster Geographic Edition 시스템 관리 설명서Sun Cluster Geographic Edition 기반 구조 관리, Sun Cluster Geographic Edition 시스템 관리 설명서의 3 장, Sun Cluster Geographic Edition 기반구조 관리.

geoadm 명령을 사용하여 파트너쉽 구성원의 로컬 클러스터를 활성화하려면 Geo Management role-based access control (RBAC) 권한 프로파일이 있어야 합니다.

자세한 내용은, Sun Cluster Geographic Edition 시스템 관리 설명서rbac(5) 매뉴얼 페이지 및 Sun Cluster Geographic Edition 시스템 관리 설명서Sun Cluster Geographic Edition 소프트웨어와 RBAC.

ProcedureSun Cluster Geographic Edition 소프트웨어 활성화 방법

시작하기 전에

클러스터의 Sun Cluster Geographic Edition 소프트웨어를 활성화하기 전에 다음 조건을 충족시키는지 확인하십시오.

단계
  1. 클러스터 노드 중 하나로 로그인합니다.

    이 절차를 완료하려면 Geo Operation RBAC 권한 프로파일이 할당되어야 합니다. RBAC에 대한 자세한 내용은 Sun Cluster Geographic Edition 시스템 관리 설명서Sun Cluster Geographic Edition 시스템 관리 설명서Sun Cluster Geographic Edition 소프트웨어와 RBAC.

  2. 클러스터 이름과 동일한 논리 호스트이름이 사용중이며 정의되어 있는지 확인하십시오.


    # scconf -p | grep -i "cluster name"
    

    해당 클러스터 이름이 사용하려는 이름이 아닌 경우, 다음 명령을 사용하여 클러스터 이름을 변경할 수 있습니다.


    # scconf -c -C cluster=cluster-name
    

    자세한 내용은 scconf(1M) 매뉴얼 페이지를 참조하십시오.

  3. 클러스터 이름과 일치하는 논리 호스트이름이 로컬 호스트 파일에서 사용중이며 정의되어 있는지 확인하십시오.

    로컬 호스트 파일 hosts/etc/inet 디렉토리에 있습니다.

    또한 논리 호스트이름이 네트워크 이름공간 데이터베이스에 정의되어 있는지 확인합니다. 예:NIS

  4. 해당 클러스터의 한 노드에 Sun Cluster Geographic Edition 기반 구조 자원 그룹을 작성하고 Sun Cluster Geographic Edition 제어 모듈을 활성화합니다.


    # geoadm start
    

    geoadm start 명령은 로컬 클러스터에서만 Sun Cluster Geographic Edition 제어 모듈을 활성화합니다. 자세한 내용은 geoadm(1M) 매뉴얼 페이지를 참조하십시오.

  5. 기반 구조의 활성화 및 Sun Cluster Geographic Edition 자원 그룹이 온라인 상태인지를 확인합니다.


    # geoadm show
    # scstat -g
    

    geoadm show 명령의 결과는 Sun Cluster Geographic Edition 기반 구조가 클러스터의 특정 노드에서 활성화되어야 합니다.

    scstat -g 명령의 결과는 geo-failovercontrol, geo-hbmonitor geo-clustername 자원과 geo-infrastructure 자원 그룹이 클러스터의 한 노드에서 온라인 상태여야 합니다.

    자세한 내용은 scstat(1M) 매뉴얼 페이지를 참조하십시오.


예 3–1 클러스터 활성화

다음 예제는 Sun Cluster Geographic Edition 소프트웨어가 한 클러스터에서 활성화하는 방법에 대해 설명합니다.


# geoadm start
# geoadm show
# scstat -g

다음 순서

보호 그룹 작성에 대한 자세한 내용은 Sun Cluster Geographic Edition 시스템 관리 설명서Sun Cluster Geographic Edition 시스템 관리 설명서Sun StorEdge Availability Suite 3.2.1 보호 그룹 관리Sun Cluster Geographic Edition 시스템 관리 설명서Hitachi TrueCopy 보호 그룹 관리를 참조하십시오.