test

Open HA Cluster インストールガイド

Procedureクラスタプライベートインターコネクト上で IP セキュリティーアーキテクチャー (IPSec) を構成する

クラスタインターコネクト上で安全な通信を提供するため、プライベートインターコネクトインタフェースに対して IP セキュリティーアーキテクチャー (IPsec) を構成できます。

IPsec の詳細については、『Solaris のシステム管理 (IP サービス)』のパート IV「IP セキュリティー」と、ipsecconf(1M)のマニュアルページを参照してください。clprivnet インタフェースの詳細については、clprivnet(7)のマニュアルページを参照してください。

IPsec を構成するクラスタノードごとに、この手順を実行します。

  1. スーパーユーザーになります。

    または、ユーザーアカウントに「主管理者」プロファイルが割り当てられている場合は、ルートユーザー以外でプロファイルシェルからコマンドを実行するか、またはコマンドの前に pfexec コマンドを付けます。

  2. 各ノードで、clprivnet インタフェースの IP アドレスを決定します。


    phys-schost# ifconfig clprivnet0

  3. 仮想 NIC (Virtual NIC、VNIC) を使用して、パブリックネットワーク上のプライベートインターコネクト通信をルーティングする場合は、VNIC で使用される物理インタフェースの IP アドレスも決定します。

    1. クラスタ内のすべてのトランスポートパスのステータスおよび使用される物理インタフェースを表示します。

      次に出力例を示します。


      phys-schost# /usr/cluster/bin/clinterconnect status
-- Cluster Transport Paths --

                   Endpoint                Endpoint                Status
                   --------                --------                ------
  Transport path:  phys-schost-1:adapter1  phys-schost-2:adapter1  Path online
  Transport path:  phys-schost-1:adapter2  phys-schost-2:adapter2  Path online

    2. 各ノードで使用される各インタフェースの IP アドレスを特定します。


      phys-schost-1# ifconfig adapter
phys-schost-2# ifconfig adapter

  4. 各ノード上で、 /etc/inet/ipsecinit.conf ポリシーファイルを構成し、IPsec を使用するプライベートインターコネクトの IP アドレスの各ペア間にセキュリティーアソシエーション (Security Association、SA) を追加します。

    『Solaris のシステム管理 (IP サービス)』「IPsec で 2 つのシステム間のトラフィックを保護するには」の手順に従ってください。それに加えて、次のガイドラインも参照してください。

    • 対象アドレスの構成パラメータの値が、すべてのパートナーノードで一貫性があることを確認します。

    • 構成ファイルで、独立した行として各ポリシーを構成します。

    • 再起動せずに IPsec を実装するには、「リブートせずに IPsec でトラフィックを保護する」の手順例に従ってください。

    sa unique ポリシーの詳細については、ipsecconf(1M)マニュアルページを参照してください。

    1. 各ファイルで、IPsec を使用するクラスタ内の各 clprivnet の IP アドレスにエントリを 1 つ追加します。

      ローカルノードの clprivnet プライベートインターコネクトの IP アドレスを追加します。

    2. VNIC を使用する場合は、VNIC で使用される各物理インタフェースの IP アドレスにもエントリを 1 つ追加します。

    3. (省略可能) すべてのリンク上でデータのストライプ化を有効にするため、エントリに sa unique ポリシーを含めます。

      この機能を使用すると、ドライバはクラスタプライベートネットワークの帯域を最適に利用することができるようになるため、高い分散粒度が実現し、スループットも向上します。プライベートインターコネクトインタフェースは、トラフィックをストライプ化するため、パケットのセキュリティーパラメータインデックス (Security Parameter Index、SPI) を使用します。

  5. 各ノード上で /etc/inet/ike/config ファイルを編集して、p2_idletime_secs パラメータを設定します。

    クラスタトランスポート用に構成されたポリシールールに、このエントリを追加します。この設定により、クラスタノードを再起動したときに再生成されるセキュリティーアソシエーションの時間が指定され、再起動したノードがクラスタを再結合できる速度が制限されます。値は 30 秒が適切です。


    phys-schost# vi /etc/inet/ike/config
…
{
    label "clust-priv-interconnect1-clust-priv-interconnect2"
…
p2_idletime_secs 30
}
…
次の手順

クラスタで実行するデータサービスを構成します。「データサービスの構成」に進みます。