Solaris IP 필터 구성 방법

다음 절차를 수행하여 클러스터에서 Solaris IP 필터를 구성합니다.

페일오버 데이터 서비스가 있는 Solaris IP 필터만 사용합니다. 확장 가능한 데이터 서비스가 있는 Solaris IP 필터를 사용하는 것은 지원되지 않습니다.

다음 지침을 확인합니다.

• NAT 라우팅은 지원되지 않습니다.

• 로컬 주소 변환을 위해 NAT를 사용하는 것은 지원됩니다. NAT 변환은 전송 도중 패킷을 다시 기록하므로 클러스터 소프트웨어에서 이를 명확하게 알 수 있습니다.

• 상태 없는 필터링만 지원됩니다.

Solaris IP 필터 기능에 대한 자세한 내용은 System Administration Guide: IP Services의 제IV부, IP Security을 참조하십시오.

1. (Solaris 10 11/06에만 해당) /etc/iu.ap 파일에서 항목을 수정하여 IP 필터가 비클러스터 모드에서 작동하도록 합니다.

   1. 공용 NIC 항목을 수정하여 clhbsndr pfil을 모듈 목록으로 나열합니다.

      pfil은 목록에서 마지막 모듈이어야 합니다.

      ---

      주 –

      개인 및 공용 네트워크에 대해 동일한 유형의 어댑터를 가진 경우 /etc/iu.ap 파일을 편집하면 pfil이 개인 네트워크 스트림에 전달됩니다. 그러나 클러스터 전송 모듈은 스트림 생성 시에 원치 않는 모듈을 모두 자동으로 제거하므로 pfil은 개인 네트워크 스트림에서 제거됩니다.

      ---

   2. 공용 네트워크 인터페이스를 /etc/ipf/pfil.ap 파일에 추가합니다.

      자세한 내용은 System Administration Guide: IP Services의 26 장, Solaris IP Filter (Tasks)를 참조하십시오.

   3. 영향을 받는 모든 노드를 재부트합니다.

      순환하는 방식으로 노드를 부트할 수 있습니다.

2. 영향을 받는 모든 노드의 /etc/ipf/ipf.conf 파일에 필터 규칙을 추가합니다.

   필터 규칙을 Sun Cluster 노드에 추가할 때는 다음 지침과 요구 사항을 준수합니다.

   • (Solaris 10 8/07에만 해당) 각 노드의 ipf.conf 파일에서 클러스터 상호 연결 트래픽이 필터링되지 않고 통과하도록 명시적으로 허용하기 위해 규칙을 추가합니다. 인터페이스와 관련되지 않은 규칙은 클러스터 상호 연결을 비롯한 모든 인터페이스에 적용됩니다. 이러한 인터페이스의 트래픽이 실수로 차단되지 않는지 확인합니다. 예를 들어, 다음 규칙이 현재 사용된다고 가정합니다.

     # Default block TCP/UDP unless some later rule overrides block return-rst in proto tcp/udp from any to any # Default block ping unless some later rule overrides block return-rst in proto icmp all

     클러스터 상호 연결 트래픽을 차단 해제하려면 다음 규칙을 추가합니다. 사용된 서브넷은 예제용입니다. ifconfig interface 명령을 사용하여 사용할 서브넷을 확인합니다.

     # Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.0.128/25 to any pass out quick proto tcp/udp from 172.16.0.128/25 to any # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.1.0/25 to any pass out quick proto tcp/udp from 172.16.1.0/25 to any # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet) pass in quick proto tcp/udp from 172.16.4.0/23 to any pass out quick proto tcp/udp from 172.16.4.0/23 to any

   • Sun Cluster 소프트웨어는 네트워크 주소를 한 노드에서 다른 노드로 페일오버합니다. 페일오버 시에 특수한 프로시저나 코드는 필요하지 않습니다.

   • 논리 호스트 이름 및 공유 주소 자원의 IP 주소를 참조하는 모든 필터링 규칙은 모든 클러스터 노드에서 동일해야 합니다.

   • 대기 노드의 규칙은 존재하지 않는 IP 주소를 참조합니다. 이 규칙은 여전히 IP 필터의 활성 규칙 집합의 일부이며 페일오버 후에 노드에서 주소를 수신할 때 적용됩니다.

   • 모든 필터링 규칙은 동일한 IPMP 그룹의 모든 NIC에 대해 동일해야 합니다. 즉, 규칙이 인터페이스와 관련된 경우 동일한 IPMP 그룹의 다른 모든 인터페이스에 대해서도 동일한 규칙이 존재해야 합니다.

   Solaris IP 필터 규칙에 대한 자세한 내용은 ipf(4) 매뉴얼 페이지를 참조하십시오.

3. ipfilter SMF 서비스를 활성화합니다.

   phys-schost# svcadm enable /network/ipfilter:default

다음 순서

클러스터 노드에 Sun Cluster 소프트웨어를 구성하십시오. 새 클러스터 또는 새 클러스터 노드 설정으로 이동합니다.