使用 IPsec 配置安全群集通信

您可以使用 IP 安全性体系结构 (IPsec) 来配置伙伴群集之间的安全通信。IPsec 允许您使用 IP 在相互通信的计算机之间设置安全策略（即允许或要求进行安全数据报验证，或进行实际数据加密，或两者均进行）。对于以下群集通信，请考虑使用 IPsec：

• 安全 Sun StorEdge Availability Suite 3.2.1 通信（如果您使用 Sun StorEdge Availability Suite 3.2.1 进行数据复制）

• 安全 TCP/UDP 心跳通信

Sun Cluster 软件和 Sun Cluster Geographic Edition 软件仅使用手动密钥来支持 IPsec。必须在群集节点上为服务器和客户机 IP 地址的每种组合手动存储密钥。还必须在每个客户机上手动存储这些密钥。

有关 IPsec 配置参数的完整描述，请参阅《System Administration Guide: IP Services》。

如何为安全群集通信配置 IPsec

在 Sun Cluster Geographic Edition 基础结构中，逻辑主机的主机名与群集名称完全一样。逻辑主机名是一种特殊的高可用性 (HA) 资源。根据群集配置情况，您必须为 Sun Cluster Geographic Edition 的各种组件设置多个不同的 IP 地址。

在每个伙伴群集上，必须配置加密和授权，以便在物理节点和逻辑主机名地址之间交换传入和外发包。 在伙伴群集之间，这些地址上的 IPsec 配置参数值必须保持一致。

IPsec 使用两个配置文件：

• IPsec 策略文件， /etc/inet/ipsecinit.conf。包含了用于支持授权和加密心跳的指导性规则。 在伙伴关系双方的两个群集上该文件的内容是不同的。

• IPsec 密钥文件， /etc/init/secret/ipseckeys。包含了特定授权和加密算法的密钥文件。在伙伴关系双方的两个群集上该文件的内容是相同的。

以下过程配置了一个示例群集 cluster-paris，它与另一个示例群集 cluster-newyork 进行 IPsec 安全通信。两个群集均运行 Solaris OS 版本 9。该过程假定 cluster-paris 上的本地逻辑主机名为 lh-paris-1，远程逻辑主机名为 lh-newyork-1。传入的消息被发送至 lh-paris-1，外发的消息被发送至 lh-newyork-1。

在 cluster-paris 的每个节点上执行以下过程。

步骤

1. 作为超级用户登录至主群集的第一个节点 phys-paris-1。

   有关哪一个节点是 phys-paris-1 的提示信息，请参见Sun Cluster Geographic Edition 群集配置示例。

2. 在 IPsec 策略文件中为本地地址和远程地址设置一个条目。

   策略文件位于 /etc/inet/ipsecinit.conf。此文件的权限应为 644。有关此文件的更多信息，请参阅 ipsecconf(1M) 手册页。

   有关 Sun Cluster Geographic Edition 软件支持的名称和值的信息，请参见附录 B，Sun Cluster Geographic Edition 实体合法的名称和值。

   1. 配置通信策略。

      tcp_udp 插件的默认端口是 2084。这是在 /etc/opt/SUNWcacao/modules/com.sun.cluster.agent.geocontrol.xml 文件中指定的。

      以下命令配置了一种没有设置授权或加密算法首选项的策略：

      # {raddr lh-newyork-1 rport 2084} ipsec {auth_algs any encr_algs any \ sa shared} {laddr lh-paris-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared}

      在辅助群集 cluster-newyork 上配置通信策略时，策略应该相反：

      # {laddr lh-newyork-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared} {raddr lh-paris-1 rport 2084} ipsec {auth_algs any encr_algs \ any sa shared}

   2. 通过重新引导节点或运行以下命令的方式添加策略。

      # ipsecconf -a /etc/inet/ipsecinit.conf

3. 设置传入和外发通信的加密和授权密钥。

   通信文件位于 /etc/init/secret/ipseckeys。此文件上的权限应为 600。

   通过运行以下命令添加密钥：

   # ipseckey -f /etc/init/secret/ipseckeys

   密钥条目具有以下常规格式：

   # inbound to cluster-paris add esp spi <paris-encr-spi> dst lh-paris-1 encr_alg <paris-encr-algorithm> \ encrkey <paris-encrkey-value> add ah spi <newyork-auth-spi> dst lh-paris-1 auth_alg <paris-auth-algorith> \ authkey <paris-authkey-value> # outbound to cluster-newyork add esp spi <newyork-encr-spi> dst lh-newyork-1 encr_alg \ <newyork-encr-algorithm> encrkey <newyork-encrkey-value> add ah spi <newyork-auth-spi> dst lh-newyork-1 auth_alg \ <newyork-auth-algorithm> authkey <newyork-authkey-value>

   有关通信文件的更多信息，请参阅 ipsecconf(1M) 手册页。