第 3 章 配置 Sun Cluster Geographic Edition 软件
本章介绍为伙伴关系配置和启用 Sun Cluster Geographic Edition 的步骤。本章的内容还涉及如何卸载 Sun Cluster Geographic Edition 软件。
本章包括以下内容:
配置安全性
为了在伙伴群集之间进行安全的管理通信,必须对 Sun Cluster Geographic Edition 软件进行配置。这种配置必须是彼此照应的。例如:群集 cluster-paris 中的每个节点必须被配置为信赖群集 cluster-newyork 中的每个节点。
有关群集配置的实例,请参阅《Sun Cluster Geographic Edition 系统管理指南》中的“群集配置示例”。
必须在群集的每一个节点上都为伙伴配置可信赖的主机证书,因为群集中的任何节点都可以容纳 Sun Cluster Geographic Edition 基础结构资源组和用于群集间通信的逻辑主机名。
使用 /usr/j2se/bin/keytool 命令配置可信赖的主机证书。
如何在伙伴群集中安装证书
本步骤引用群集 cluster-paris 中的节点 phys-paris-1 和 phys-paris-2 以及群集 cluster-newyork 中的节点 phys-newyork-1 和 phys-newyork-2。
开始之前
确保已安装了下列 Network Security Services 软件包:
-
SUNWpr,4.5.0 版
-
SUNWprx
-
SUNWtls,3.9.4 版
-
SUNWtlsu
步骤
-
在每个群集的一个节点上,即群集 cluster-paris 的节点 phys-paris-1 和群集 cluster-newyork 的节点 phys-newyork-1 上完成以下任务:
-
以超级用户身份登录到群集的一个节点上。
-
停止通用代理载体。
# /opt/SUNWcacao/bin/cacaoadm stop
-
重新生成 JSSE/NSS 密钥和证书。
该步骤创建一个名为 /etc/opt/SUNWcacao/security/nss/localca/localca.cert 的文件。在读取密钥时,localca.cert 文件用作临时存储。
# /opt/SUNWcacao/bin/cacaoadm create-keys
要删除本地密钥库中所有的其他密钥,请使用 --force 选项。如果您使用 --force 选项,则在您完成本步骤后,必须重新添加这些密钥。
如果您想避免覆写密钥,则可以使用 --directory 选项在一个不同于默认安全目录的目录中生成该文件。但是,通用代理载体仅使用默认目录中的密钥,因此您需要稍后将生成的密钥添加至默认目录中的该文件。
一旦群集配置完毕,就不要再执行 create-keys --force 命令。否则您先前配置的证书将会丢失。
有关重新生成通用代理载体的密钥和证书的详细信息,请参阅《Sun Cluster System Administration Guide for Solaris OS》中的“How to Configure a New Security Certificate”。
-
-
在节点 phys-paris-1 和 phys-newyork-1 之间交换本地证书授权。
-
将目录切换到节点 phys-paris-1 的证书目录。
phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca
-
将证书文件 localca.cert 从节点 phys-paris-1 复制到节点 phys-newyork-1。
该步骤将 localca.cert 文件重命名为 localca.cert.cluster-paris,以提示该文件来自哪个群集。
phys-paris-1# rcp localca.cert \ phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris
-
切换到节点 phys-newyork-1 的目标目录(您复制文件的目标位置)。
phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse
-
将证书从 localca.cert.cluster-paris 文件导入节点 phys-newyork-1 的本地密钥库。
本步骤将公共密钥从 cluster-paris 群集载入 cluster-newyork 群集的 phys-newyork-1 节点。
注 –要执行该步骤,您必须位于 /etc/opt/SUNWcacao/security/jsse 目录中。
phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \ -file localca.cert.cluster-paris
keytool 命令中的 truststore 参数,是步骤 b 的复制操作中目标目录下的文件。 -alias 选项指定远程群集(证书在此生成)的名称。
当系统提示您键入密钥库密码时,请键入 trustpass。trustpass 密码是由通用代理载体提供的非保密密码。truststore 参数保留了公共和专用对的公共密钥,因此不需要绝对保密。
在系统询问您是否信赖该证书时,键入 yes。
-
检验是否已将证书正确地添加到密钥库。
phys-newyork-1# keytool -list -v -keystore truststore
-
-
在节点 phys-newyork-1 和 phys-paris-1 之间交换本地证书授权。
-
将目录切换到节点 hys-newyork-1 的证书目录。
phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca
要导入的证书位于名为 localca.cert 的文件中。
-
将证书文件从节点 phys-newyork-1 复制到节点 phys-paris-1。
该步骤将 localca.cert 重命名为 localca.cert.cluster-newyork,以提示该文件来自哪个群集。
# rcp localca.cert \ phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork
-
切换到节点 phys-paris-1 的目标目录(您复制文件的目标位置)。
phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse
-
将证书导入节点 phys-paris-1 的本地密钥库。
注 –要执行该步骤,您必须位于 /etc/opt/SUNWcacao/security/jsse 目录中。
phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \ -file localca.cert.cluster-newyork
keytool 命令中的 truststore 参数,是步骤 b 的复制操作中目标目录下的文件。 -alias 选项指定远程群集(证书在此生成)的名称。
当系统提示您键入密钥库密码时,请键入 trustpass。trustpass 密码是由通用代理载体提供的非保密密码。truststore 参数保留了公共和专用对的公共密钥,因此不需要绝对保密。
在系统询问您是否信赖该证书时,键入 yes。
-
检验是否已将证书正确地添加到密钥库。
phys-paris-1# keytool -list -v -keystore truststore
-
-
将节点 phys-paris-1 上的 /etc/opt/SUNWcacao/security/ 目录及其所有子目录,复制到群集 cluster-paris 中除该节点以外的所有其他节点的 /etc/opt/SUNWcacao/ 目录下。
phys-paris-2# cd /etc/opt/SUNWcacao phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security .
-
将节点 phys-newyork-1 上的 /etc/opt/SUNWcacao/security/ 目录及其所有子目录,复制到群集 cluster-newyork 中除该节点以外的所有其他节点的 /etc/opt/SUNWcacao/ 目录下。
phys-newyork-2# cd /etc/opt/SUNWcacao phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security .
-
在所有群集的每个节点上检验是否已正确地添加了证书。
注 –复制安全性目录之后,在一个群集的所有节点上运行 keytool list 命令,您会发现其输出信息中本地和远程密钥的值相同。远程群集的所有节点的密钥值均相同,但是本地和远程标记将会互换。
# cd /etc/opt/SUNWcacao/security/jsse # keytool -list -v -keystore truststore
-
重新启动所有群集的每个节点上的通用代理载体。
# /opt/SUNWcacao/bin/cacaoadm start
启用 Sun Cluster Geographic Edition 基础结构
启用 Sun Cluster Geographic Edition 软件后,当前群集就可以与另一个已启用了该软件的群集构成伙伴关系。创建群集伙伴关系时,可以使用 CLI,也可以使用 GUI。
有关设置和安装 Sun Cluster Geographic Edition 的更多信息,请参阅《Sun Cluster Geographic Edition 系统管理指南》中的第 3 章 “管理 Sun Cluster Geographic Edition 基础结构”。
要使用 geoadm 命令为伙伴关系成员关系启用本地群集,您必须具有 Geo Management 基于角色的访问控制 (RBAC) 权限配置文件。
有关详细信息,请参阅 rbac(5) 手册页和《Sun Cluster Geographic Edition 系统管理指南》中的“Sun Cluster Geographic Edition 软件和 RBAC”。
如何启用 Sun Cluster Geographic Edition 软件
开始之前
在群集上启用 Sun Cluster Geographic Edition 软件之前,请首先满足以下条件:
-
该群集正在运行 Solaris 操作系统 和 Sun Cluster 软件。
-
SunPlex Manager 的 Sun Cluster 管理代理容器正在运行。
-
已安装了 Sun Cluster Geographic Edition 软件。
步骤
-
登录至其中一个群集节点。
要完成此过程,您必须具有 Geo Operation RBAC 权限配置文件。有关 RBAC 的详细信息,请参阅《Sun Cluster Geographic Edition 系统管理指南》中的“Sun Cluster Geographic Edition 软件和 RBAC”。
-
确保逻辑主机名(与群集名称相同)可用并且已定义。
# scconf -p | grep -i "群集名称"
如果您不想使用某个群集名称,可使用以下命令更改群集名称:
# scconf -c -C cluster=群集名称
有关详细信息,请参阅 scconf(1M) 手册页。
-
确认逻辑主机名(与群集名称相同)可用,并且已在本地主机文件中进行了定义。
本地主机文件(即 hosts)位于 /etc/inet 目录下。
确认也在网络名称空间数据库(比如 NIS)中对逻辑主机名进行了定义。
-
在群集的一个节点上创建 Sun Cluster Geographic Edition 基础结构资源组,然后启用 Sun Cluster Geographic Edition 控制模块。
# geoadm start
geoadm start 命令仅能在本地群集上启用 Sun Cluster Geographic Edition 控制模块。有关详细信息,请参阅 geoadm(1M) 手册页。
-
检验是否已启用了基础结构,以及 Sun Cluster Geographic Edition 资源组是否处于联机状态。
# geoadm show # scstat -g
geoadm show 命令的输出结果应该表明群集中某一节点的 Sun Cluster Geographic Edition 基础结构是活动的。
scstat -g 命令的输出结果应该表明群集中某一节点的 geo-failovercontrol、geo-hbmonitor 和 geo-clustername 资源以及 geo-infrastructure 资源组处于联机状态。
有关详细信息,请参阅 scstat(1M) 手册页。
示例 3–1 启用群集
以下实例说明了如何在群集上启用 Sun Cluster Geographic Edition 软件:
# geoadm start # geoadm show # scstat -g |
接下来的操作
有关创建保护组的信息,请参阅《Sun Cluster Geographic Edition 系统管理指南》中的“管理 Sun StorEdge Availability Suite 3.2.1 保护组”或《Sun Cluster Geographic Edition 系统管理指南》中的“管理 Hitachi TrueCopy 保护组”。
- © 2010, Oracle Corporation and/or its affiliates