可以为专用互连接口配置 IP 安全体系结构 (IPsec),以便在群集互连上提供安全的 TCP/IP 通信。
有关 IPsec 的信息,请参见《系统管理指南:IP 服务》中的第 IV 部分, “IP 安全性”和 ipsecconf(1M) 手册页。有关 clprivnet 接口的信息,请参见 clprivnet(7) 手册页。
在要配置为使用 IPsec 的每个群集节点上执行此过程。
成为超级用户。
或者,如果为您的用户帐户指定了主管理员 (Primary Administrator) 配置文件,则可通过配置文件 shell 以非超级用户身份执行命令,或者在命令的前面加上 pfexec 命令。
在每个节点上,确定 clprivnet 接口的 IP 地址。
phys-schost# ifconfig clprivnet0 |
如果您使用虚拟 NIC (virtual NIC, VNIC) 通过公共网络来路由专用互连通信,还请确定 VNIC 使用的物理接口的 IP 地址。
显示群集中所有传输路径的状态以及所使用的物理接口。
输出内容将类似如下:
phys-schost# /usr/cluster/bin/clinterconnect status -- Cluster Transport Paths -- Endpoint Endpoint Status -------- -------- ------ Transport path: phys-schost-1:adapter1 phys-schost-2:adapter1 Path online Transport path: phys-schost-1:adapter2 phys-schost-2:adapter2 Path online |
识别每个节点上使用的每个接口的 IP 地址。
phys-schost-1# ifconfig adapter phys-schost-2# ifconfig adapter |
在每个节点上,配置 /etc/inet/ipsecinit.conf 策略文件,并在要使用 IPsec 的每对专用互连 IP 地址之间添加安全关联 (Security Association, SA)。
请按照《系统管理指南:IP 服务》中的“如何使用 IPsec 保证两个系统之间的通信安全”中的说明操作。此外,请遵循以下指导:
确保这些地址的配置参数值在所有的伙伴节点上一致。
将每个策略配置为配置文件中的单独行。
要在不重新引导的情况下实现 IPsec,请按照过程示例“在不重新引导的情况下使用 IPsec 保证通信安全”中的说明操作。
有关 sa unique 策略的更多信息,请参见 ipsecconf(1M) 手册页。
在每个节点上,编辑 /etc/inet/ike/config 文件以设置 p2_idletime_secs 参数。
将此条目添加到为群集传输配置的策略规则中。此设置可为在群集节点重新引导时重新生成安全关联提供时间,并可限制重新引导的节点重新加入群集的快慢。30 秒的值应该足够。
phys-schost# vi /etc/inet/ike/config … { label "clust-priv-interconnect1-clust-priv-interconnect2" … p2_idletime_secs 30 } … |
配置要在群集上运行的数据服务。请转至配置数据服务。