クラスタ上で Solaris IP Filter を構成するには、この手順を実行します。
Solaris IP Filter はフェイルオーバーデータサービスでのみ使用します。スケーラブルデータサービスでの Solaris IP Filter の使用はサポートされていません。
NAT ルーティングはサポートされません。
ローカルアドレスを変換するための NAT の使用はサポートされません。NAT 変換は回線上でパケットを再書き込みするため、クラスタソフトウェアには影響がありません。
ステートレスフィルタリングのみサポートされます。
Solaris IP Filter 機能についての詳細は、『System Administration Guide: IP Services』のパート IV「IP Security」を参照してください。
(Solaris 10 11/06 のみ)IP フィルタが非クラスタモードで機能するように、/etc/iu.ap ファイルのエントリを変更します。
clhbsndr pfil をモジュールリストとして表示するように、パブリック NIC エントリを変更します。
pfil がリストの最後のモジュールになるようにします。
プライベートネットワークとパブリックネットワークに同じ種類のアダプタがある場合は、pfil をプライベートネットワークストリームにプッシュするように /etc/iu.ap ファイルを編集します。ただし、クラスタ転送モジュールは、ストリーム作成時に不要なモジュールをすべて自動的に削除するため、pfil はプライベートネットワークストリームから削除されます。
/etc/ipf/pfil.ap ファイルにパブリックネットワークインタフェースを追加します。
詳細は、『System Administration Guide: IP Services』の第 26 章「Solaris IP Filter (Tasks)」を参照してください。
影響を受けたすべてのノードを再起動します。
ローリング形式でノードを起動できます。
影響を受けたすべてのノード上の /etc/ipf/ipf.conf ファイルにフィルタルールを追加します。
フィルタルールを Sun Cluster ノードに追加する場合、次のガイドラインと要件に従います。
(Solaris 10 8/07 のみ) 各ノードの ipf.conf ファイルで、クラスタ相互接続トラフィックにフィルタなしでの通過を明示的に許可するルールを追加します。インタフェース固有でないルールは、クラスタ相互接続を含めたすべてのインタフェースに適用されます。これらのインタフェース上のトラフィックが誤ってブロックされていないことを確認します。たとえば、現在、次のルールが使用されていると仮定します。
# Default block TCP/UDP unless some later rule overrides block return-rst in proto tcp/udp from any to any # Default block ping unless some later rule overrides block return-rst in proto icmp all |
クラスタ相互接続トラフィックのブロックを解除するには、次のルールを追加します。使用されているサブネットは、例示用にのみ使用しています。ifconfig interface コマンドを使用して、使用するサブネットを取得します。
# Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.0.128/25 to any pass out quick proto tcp/udp from 172.16.0.128/25 to any # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.1.0/25 to any pass out quick proto tcp/udp from 172.16.1.0/25 to any # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet) pass in quick proto tcp/udp from 172.16.4.0/23 to any pass out quick proto tcp/udp from 172.16.4.0/23 to any |
Sun Cluster ソフトウェアは、ノード間でネットワークアドレスをフェイルオーバーします。フェイルオーバー時に特別な手順やコードは不要です。
論理ホスト名と共有アドレスリソースを参照するすべてのフィルタリングルールは、すべてのクラスタノードで一意になるようにします。
スタンバイノードのルールは存在しない IP アドレスを参照します。このルールはまだ IP フィルタの有効なルールセットの一部であり、フェイルオーバー後にノードがアドレスを受け取ると有効になります。
すべてのフィルタリングルールが同じ IPMP グループ内のすべての NIC で同じになるようにします。 つまり、ルールがインタフェース固有である場合、IPMP グループ内のほかのすべてのインタフェースにも同じルールが存在するようにします。
Solaris IP Filter のルールについての詳細は、ipf(4) のマニュアルページを参照してください。
ipfilter SMF サービスを有効にします。
phys-schost# svcadm enable /network/ipfilter:default |
クラスタノード上で Sun Cluster ソフトウェアを構成します。「新規クラスタまたは新規クラスタノードの確立」に進みます。