보안 클러스터 통신에 대해 IPsec 구성 방법 (Sun Cluster Geographic Edition 시스템 관리 설명서)

Sun Cluster Geographic Edition 시스템 관리 설명서

보안 클러스터 통신에 대해 IPsec 구성 방법

Sun Cluster Geographic Edition 기반 구조에서 논리 호스트의 호스트 이름이 클러스터의 이름과 동일해야 합니다. 논리 호스트이름은 특수한 고가용성(HA) 자원입니다. 클러스터 구성에 따라 여러 가지 Sun Cluster Geographic Edition 구성 요소에 많은 IP 주소를 설정해야 합니다.

각 파트너 클러스터에서 실제 노드에서 논리 호스트 이름 주소로의 인바운드 및 아웃바운드 패킷 교환을 위해 암호화 및 권한 부여를 구성해야 합니다. 이들 주소의 IPsec 구성 매개변수에 대한 값은 파트너 클러스터 사이에 일관성이 있어야 합니다.

IPsec는 다음 두 구성 파일을 사용합니다.

IPsec 정책 파일, /etc/inet/ipsecinit.conf. 인증되고 암호화된 심박동을 지원하기 위한 지시적 규칙을 포함하고 있습니다. 이 파일의 내용은 파트너쉽의 두 클러스터에서 서로 다릅니다.
IPsec 키 파일, /etc/init/secret/ipseckeys. 특정 인증 및 암호화 알고리즘을 위한 키 파일을 포함하고 있습니다. 이 파일의 내용은 파트너쉽의 두 클러스터 모두에서 동일합니다.

다음 절차는 다른 예제 클러스터 cluster-newyork과의 IPsec 보안 통신을 위해 예제 클러스터 cluster-paris를 구성합니다. 두 클러스터는 Solaris OS 9 릴리스를 실행 중입니다. 이 절차는 cluster-paris의 로컬 논리 호스트 이름이 lh-paris-1이고 원격 논리 호스트 이름이 lh-newyork-1이라고 가정합니다. 인바운드 메시지는 lh-paris-1로 보내지고 아웃바운드 메시지는 lh-newyork-1로 보내집니다.

cluster-paris의 각 노드에서 다음 절차를 사용하십시오.

단계

1차 클러스터 phys-paris-1의 첫 번째 노드에 수퍼유저로서 로그인합니다.

phys-paris-1이 어떤 클러스터인지 다시 보려면 Sun Cluster Geographic Edition 클러스터 구성 예를 참조하십시오.

IPsec 정책 파일에서 로컬 주소 및 원격 주소에 대한 항목을 설정합니다.

정책 파일은 /etc/inet/ipsecinit.conf 에 있습니다. 이 파일에 대한 권한은 644여야 합니다. 이 파일에 대한 자세한 정보는 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.

Sun Cluster Geographic Edition 소프트웨어가 지원하는 이름 및 값에 대한 정보는 부록 B, Sun Cluster Geographic Edition 엔티티의 합법적 이름 및 값를 참조하십시오.
1. 통신 정책을 구성합니다.
  
  tcp_udp 플러그인의 기본 포트는 2084입니다. 이는 /etc/opt/SUNWcacao/modules/com.sun.cluster.agent.geocontrol.xml 파일에 지정되어 있습니다.
  
  다음 명령은 권한 부여 또는 암호화 알고리즘에 대한 환경 설정 없는 정책을 구성합니다.
  # {raddr lh-newyork-1 rport 2084} ipsec {auth_algs any encr_algs any \ sa shared} {laddr lh-paris-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared}
  보조 클러스터 cluster-newyork에서 통신 정책을 구성할 때 정책이 반전되어야 합니다.
  # {laddr lh-newyork-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared} {raddr lh-paris-1 rport 2084} ipsec {auth_algs any encr_algs \ any sa shared}
2. 노드를 재부트하거나 다음 명령을 실행하여 정책을 추가합니다.
  # ipsecconf -a /etc/inet/ipsecinit.conf

인바운드 및 아웃바운드 통신을 위한 암호화 및 인증 키를 설정합니다.

통신 파일은 /etc/init/secret/ipseckeys에 위치합니다. 파일에 대한 권한은 600이어야 합니다.

다음 명령을 실행하여 키를 추가합니다.

# ipseckey -f /etc/init/secret/ipseckeys

키 항목은 다음 일반 형식을 갖습니다.

# inbound to cluster-paris
add esp spi <paris-encr-spi> dst lh-paris-1 encr_alg <paris-encr-algorithm> \
encrkey <paris-encrkey-value>
add ah spi <newyork-auth-spi> dst lh-paris-1 auth_alg <paris-auth-algorith> \
authkey <paris-authkey-value>

# outbound to cluster-newyork
add esp spi <newyork-encr-spi> dst lh-newyork-1 encr_alg \
<newyork-encr-algorithm> encrkey <newyork-encrkey-value>
add ah spi <newyork-auth-spi> dst lh-newyork-1 auth_alg \
<newyork-auth-algorithm> authkey <newyork-authkey-value>

통신 파일에 대한 자세한 정보는 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.