要在群集中配置 Solaris IP 过滤器,请执行此过程。
只能将 Solaris IP 过滤器用于故障转移数据服务。不支持将 Solaris IP 过滤器用于可伸缩数据服务。
不支持 NAT 路由选择。
支持使用 NAT 进行本地地址转换。NAT 转换在线上 (on-the-wire) 重写数据包,因此 NAT 转换对于群集软件来说是透明的。
仅支持无状态过滤。
有关 Solaris IP 过滤器功能的更多信息,请参见《System Administration Guide: IP Services》中的第 IV 部分, “IP Security”。
(仅适用于 Solaris 10 11/06)修改 /etc/iu.ap 文件中的条目以确保 IP 过滤器在非群集模式下工作。
修改公共 NIC 条目以将 clhbsndr pfil 作为模块列表列出。
pfil 必须是列表中的最后一个模块。
如果在专用网络和公共网络中使用相同类型的适配器,则对 /etc/iu.ap 文件的编辑会将 pfil 推送至专用网络流中。不过,群集传输模块会在创建流时自动删除所有不需要的模块,因此将会从专用网络流中删除 pfil。
将公共网络接口添加到 /etc/ipf/pfil.ap 文件。
有关更多信息,请参见《System Administration Guide: IP Services》中的第 26 章 “Solaris IP Filter (Tasks)”。
重新引导所有受影响的节点
您可以采用滚动方式引导节点。
将过滤器规则添加到所有受影响节点的 /etc/ipf/ipf.conf 文件中。
将过滤器规则添加到 Sun Cluster 节点时,请遵循以下指导和要求:
(仅适用于 Solaris 10 8/07)在每个节点的 ipf.conf 中,添加规则以明确地允许群集互连通信不经过虑即可通过。非接口特定的规则适用于所有的接口,包括群集互连。确保这些接口上的通信不会错误地被阻止。例如,假设当前应用了以下规则:
# Default block TCP/UDP unless some later rule overrides block return-rst in proto tcp/udp from any to any # Default block ping unless some later rule overrides block return-rst in proto icmp all |
要取消对群集互连通信的阻止,请添加以下规则。所用的子集仅作为示例目的。使用 ifconfig interface 命令派生所使用的子集。
# Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.0.128/25 to any pass out quick proto tcp/udp from 172.16.0.128/25 to any # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.1.0/25 to any pass out quick proto tcp/udp from 172.16.1.0/25 to any # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet) pass in quick proto tcp/udp from 172.16.4.0/23 to any pass out quick proto tcp/udp from 172.16.4.0/23 to any |
Sun Cluster 软件会在各节点之间进行网络地址故障转移。在进行故障转移时不需要任何特殊的过程或代码。
引用逻辑主机名 IP 地址和共享地址资源的所有过滤规则在所有群集节点上都必须相同。
待机节点上的规则将引用不存在的 IP 地址。该规则仍是 IP 过滤器的活动规则集的一部分,并且会在故障转移后节点收到地址时生效。
对于同一 IPMP 组中的所有 NIC,所有过滤规则都必须相同。换句话说,如果规则特定于接口,那么对于同一 IPMP 组中的所有其他接口,也必须存在相同的规则。
有关 Solaris IP 过滤器规则的更多信息,请参见 ipf(4) 手册页。
启用 ipfilter SMF 服务。
phys-schost# svcadm enable /network/ipfilter:default |
在群集节点上配置 Sun Cluster 软件。请转至建立新的群集或群集节点。