如何配置 Solaris IP 过滤器

要在群集中配置 Solaris IP 过滤器，请执行此过程。

只能将 Solaris IP 过滤器用于故障转移数据服务。不支持将 Solaris IP 过滤器用于可伸缩数据服务。

请遵循以下指导：

• 不支持 NAT 路由选择。

• 支持使用 NAT 进行本地地址转换。NAT 转换在线上 (on-the-wire) 重写数据包，因此 NAT 转换对于群集软件来说是透明的。

• 仅支持无状态过滤。

有关 Solaris IP 过滤器功能的更多信息，请参见《System Administration Guide: IP Services》中的第 IV 部分, “IP Security”。

1. （仅适用于 Solaris 10 11/06）修改 /etc/iu.ap 文件中的条目以确保 IP 过滤器在非群集模式下工作。

   1. 修改公共 NIC 条目以将 clhbsndr pfil 作为模块列表列出。

      pfil 必须是列表中的最后一个模块。

      ---

      注 –

      如果在专用网络和公共网络中使用相同类型的适配器，则对 /etc/iu.ap 文件的编辑会将 pfil 推送至专用网络流中。不过，群集传输模块会在创建流时自动删除所有不需要的模块，因此将会从专用网络流中删除 pfil。

      ---

   2. 将公共网络接口添加到 /etc/ipf/pfil.ap 文件。

      有关更多信息，请参见《System Administration Guide: IP Services》中的第 26  章 “Solaris IP Filter (Tasks)”。

   3. 重新引导所有受影响的节点

      您可以采用滚动方式引导节点。

2. 将过滤器规则添加到所有受影响节点的 /etc/ipf/ipf.conf 文件中。

   将过滤器规则添加到 Sun Cluster 节点时，请遵循以下指导和要求：

   • （仅适用于 Solaris 10 8/07）在每个节点的 ipf.conf 中，添加规则以明确地允许群集互连通信不经过虑即可通过。非接口特定的规则适用于所有的接口，包括群集互连。确保这些接口上的通信不会错误地被阻止。例如，假设当前应用了以下规则：

     # Default block TCP/UDP unless some later rule overrides block return-rst in proto tcp/udp from any to any # Default block ping unless some later rule overrides block return-rst in proto icmp all

     要取消对群集互连通信的阻止，请添加以下规则。所用的子集仅作为示例目的。使用 ifconfig interface 命令派生所使用的子集。

     # Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.0.128/25 to any pass out quick proto tcp/udp from 172.16.0.128/25 to any # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.1.0/25 to any pass out quick proto tcp/udp from 172.16.1.0/25 to any # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet) pass in quick proto tcp/udp from 172.16.4.0/23 to any pass out quick proto tcp/udp from 172.16.4.0/23 to any

   • Sun Cluster 软件会在各节点之间进行网络地址故障转移。在进行故障转移时不需要任何特殊的过程或代码。

   • 引用逻辑主机名 IP 地址和共享地址资源的所有过滤规则在所有群集节点上都必须相同。

   • 待机节点上的规则将引用不存在的 IP 地址。该规则仍是 IP 过滤器的活动规则集的一部分，并且会在故障转移后节点收到地址时生效。

   • 对于同一 IPMP 组中的所有 NIC，所有过滤规则都必须相同。换句话说，如果规则特定于接口，那么对于同一 IPMP 组中的所有其他接口，也必须存在相同的规则。

   有关 Solaris IP 过滤器规则的更多信息，请参见 ipf(4) 手册页。

3. 启用 ipfilter SMF 服务。

   phys-schost# svcadm enable /network/ipfilter:default

接下来的操作

在群集节点上配置 Sun Cluster 软件。请转至建立新的群集或群集节点。