在伙伴群集之间配置信任

在两个群集之间创建伙伴关系之前，必须配置 Sun Cluster Geographic Edition 软件，使其能在这两个群集之间进行安全通信。这种配置必须是彼此照应的。例如，必须将群集 cluster-paris 配置为信任群集 cluster-newyork，同时必须也将群集 cluster-newyork 配置为信任群集 cluster-paris。

如何在两个群集之间配置信任

开始之前

确保满足以下条件：

• 您要在其上创建伙伴关系的群集正在运行。

• 必须已在该群集和伙伴群集上运行 geoadm start 命令。有关使用 geoadm start 命令的更多信息，请参见启用 Sun Cluster Geographic Edition 软件。

• 伙伴群集的群集名称为已知。

• 必须在本地主机文件中对伙伴群集的主机信息进行了定义。本地群集必须知道如何按名称访问伙伴群集。

  如果群集位于不同的域中，请在条目中包含域名，如 logicalhostname.domainname。但群集名称本身不得包含域。

1. 登录到一个群集节点。

   要完成此过程，必须为您指定 Geo Management RBAC 权限配置文件。有关 RBAC 的更多信息，请参见Sun Cluster Geographic Edition 软件和 RBAC。

2. 将公钥从远程群集导入到本地群集中。

   在本地群集的某个节点上运行下面的命令可将密钥从远程群集导入到本地群集的某个节点。

   # geops add-trust -c remotepartnerclustername

   -c remotepartnerclustername[.domainname]

   指定与其组成伙伴关系的群集的逻辑主机名。逻辑主机名由 Sun Cluster Geographic Edition 软件使用，并映射到远程伙伴群集的名称。例如，远程伙伴群集名可能与以下格式类似：

   cluster-paris

   如果群集位于不同的域中，则还应指定全限定域名。例如，伙伴关系中两个具有不同域的群集可能类似于：

   cluster-paris.france cluster-newyork.usa

   当您将该选项与 add-trust 或 remote-trust 子命令一起使用时，该选项可指定远程群集上公钥的存储位置的别名。远程群集上的证书的别名具有以下模式：

   remotepartnercluster.certificate[0-9]*

   只有属于远程群集的密钥才应具有这种模式的别名。

   有关 geops 命令的更多信息，请参阅 geops(1M) 手册页。

3. 在远程伙伴群集的一个节点上重复以上步骤。

   如果选择使用 Sun Cluster Manager，请跳过此步骤。Sun Cluster Manager 可在一次操作中处理所有节点。

4. 从每个群集的一个节点上检验信任关系。

   # geops verify-trust -c remotepartnerclustername[.domainname]

   此命令将检验您运行该命令的节点与伙伴群集所有节点之间的信任关系。如果选择使用 Sun Cluster Manager，此命令将检验本地群集所有节点与伙伴群集所有节点之间的信任关系。

另请参见

有关如何配置和加入伙伴关系的完整示例，请参见示例 5–4。

如何删除两个群集间的信任关系

开始之前

确保满足以下条件：

• 要删除其上信任关系的群集正在运行。

• 伙伴群集的群集名称为已知。

• 必须在本地主机文件中对伙伴群集的主机信息进行了定义。本地群集必须知道如何按名称访问伙伴群集。

1. 登录到一个群集节点。

   要完成此过程，必须为您指定 Geo Management RBAC 权限配置文件。有关 RBAC 的更多信息，请参见Sun Cluster Geographic Edition 软件和 RBAC。

2. 如果两个群集间配置有伙伴关系，则解除该伙伴关系。

   在两个群集上均执行以下命令：

   # geops leave

3. 在两个群集的所有节点上，将所有远程群集密钥从本地节点的 truststore 文件中删除。

   # geops remove-trust -c remotepartnerclustername

   请在本地群集的所有节点上执行此步骤，然后再在伙伴群集的所有节点上重复此步骤。

   -c remotepartnerclustername

   指定要从中删除密钥的群集的逻辑主机名。远程群集的名称必须与您使用 geops add-trust 命令添加信任关系时所指定的群集名称一致。如果可使用名称的一部分访问远程群集，则无需指定全限定名。

   当您将该选项与 add-trust 或 remote-trust 子命令一起使用时，该选项可指定远程群集上公钥的存储位置的别名。远程群集上的证书的别名具有以下模式：

   remotepartnercluster.certificate[0-9]*

   只有属于远程群集的密钥才应具有这种模式的别名。

   有关 geops 命令的更多信息，请参阅 geops(1M) 手册页。

   如果选择使用 Sun Cluster Manager，它会在一次操作中处理一个群集的所有节点。

4. 在远程伙伴群集的一个节点上重复以上步骤。