Sun Cluster での Solaris IP フィルタリングの使用
Sun Cluster は Solaris IP フィルタリングをサポートしますが、次の制限があります。
-
フェイルオーバーデータサービスのみがサポートされます。
Sun Cluster は、スケーラブルデータサービスと一緒には IP フィルタリングをサポートしません。
-
ステートレスフィルタリングのみがサポートされます。
-
NAT ルーティングはサポートされません。
-
ローカルアドレスの変換のための NAT の使用はサポートされます。NAT 変換は、パケットを無線で書き換えるため、クラスタソフトウェアからは見えません。
Solaris IP フィルタリングを設定する
-
/etc/iu.ap ファイル内で、clhbsndr pfil をモジュールリストにリストするようにパブリック NIC エントリを変更します。
pfil は、リストの最後のモジュールである必要があります。
注 –プライベートおよびパブリックネットワークに対して同じタイプのアダプタを使用している場合、/etc/iu.ap ファイルへの編集は、pfil をプライベートネットワークストリームにプッシュします。ただし、ストリーム生成時に、クラスタトランスポートモジュールは望ましくないモジュールをすべて自動的に削除するため、pfil はプライベートネットワークストリームから削除されます。
-
IP フィルタが非クラスタモードで確実に機能するようにするには、/etc/ipf/pfil.ap ファイルを更新します。
/etc/iu.ap ファイルに対する更新は、多少異なります。詳細は、IP フィルタのマニュアルを参照してください。
-
影響を受けるすべてのノードを再起動します。
ノードを順次、起動できます。
-
影響を受けるすべてのノード上の /etc/ipf/ipf.conf ファイルに、フィルタルールを追加します。IP フィルタルールについては、ipf(4) を参照してください。
Sun Cluster ノードにフィルタルールを追加する際は、次のガイドラインと要件に留意してください。
-
Sun Cluster は、ネットワークアドレスをノードからノードへフェイルオーバーします。フェイルオーバー時に特別な手順やコードは必要ありません。
-
論理ホストネームの IP アドレスと共有アドレスリソースを参照するすべてのフィルタリングルールは、すべてのクラスタノード上で同一である必要があります。
-
予備ノードに関するルールは、存在しない IP アドレスを参照します。このルールは、依然として IP フィルタの有効なルールセットの一部であり、フェイルオーバー後にノードがアドレスを受け取ると有効になります。
-
すべてのフィルタリングルールは、同じ IPMP グループ内のすべての NIC で同一である必要があります。言い換えると、ルールがインタフェース特有の場合、同じ IPMP グループ内のすべてのほかのインタフェースにも同じルールが存在する必要があります。
-
-
ipfilter SMF サービスを有効にします。
# svcadm enable /network/ipfilter:default
- © 2010, Oracle Corporation and/or its affiliates