如何对群集互连配置 IP 安全 (IP Security, IPsec) 体系结构

可以为 clprivnet 接口配置 IP 安全 (IP Security, IPsec) 体系结构，以便在群集互连上提供安全的通信。有关 IPsec 的信息，请参见《系统管理指南：IP 服务》中的第 IV 部分, “IP 安全性”和 ipsecconf(1M) 手册页。有关 clprivnet 接口的信息，请参见 clprivnet(7) 手册页。

在要配置为使用 IPsec 的每个全局群集投票节点上执行此过程。

1. 成为超级用户。

2. 在每个节点上，确定该节点的 clprivnet 接口的 IP 地址。

   phys-schost# ifconfig clprivnet0

3. 在每个节点上，配置 /etc/inet/ipsecinit.conf 策略文件，并且在要使用 IPsec 的每对 clprivnet IP 地址之间添加安全关联 (Security Association, SA)。

   请按照《系统管理指南：IP 服务》中的“如何使用 IPsec 保证两个系统之间的通信安全”中的说明操作。

   ---

   注 –

   要在不重新引导的情况下实现 IPsec，请按照过程示例“在不重新引导的情况下使用 IPsec 保证通信安全”中的说明操作。

   ---

   在向配置文件中添加条目时，请遵循以下指导信息：

   • 在每个文件中，为每个 clprivnet IP 地址（包括本地节点的 clprivnet IP 地址）添加一个条目以使用 IPsec。

   • 将每个策略配置为配置文件中的单独行。

   • 确保这些地址的配置参数值在所有的伙伴节点上一致。

   • 要对所有的链路启用分散读写，请在该条目中包括 sa unique 策略。此功能可帮助驱动程序以最佳方式利用群集专用网络的带宽，从而提供较高的分发粒度和更高的吞吐量。clprivnet 接口使用包的安全参数索引 (Security Parameter Index, SPI) 来分散读写通信。有关 sa unique 策略的更多信息，请参见 ipsecconf(1M) 手册页。

接下来的操作

查看以下列表以确定下一项要执行的任务（该任务应适用于您的群集配置）。如果需要执行此列表中的多项任务，请转至其中在列表中排在最前面的那项任务。

• 要安装卷管理器，请转至第 4 章和第 5 章 以安装卷管理软件。

  ---

  注 –

  如果向使用 VxVM 的群集中添加了新节点，则必须执行以下任务之一：

  • 在该节点上安装 VxVM。

  • 修改该节点的 /etc/name_to_major 文件，以支持与 VxVM 的共存。

  请按照如何安装 Veritas Volume Manager 软件中的过程执行要求完成的上述任务之一。

  ---

• 要创建群集文件系统，请转至如何创建群集文件系统。

• 要在节点上创建非全局区域，请转至如何在全局群集节点上创建非全局区域。

• SPARC：要配置 Sun Management Center 以监视群集，请转至SPARC: 为 Sun Management Center 安装 Sun Cluster 模块。

• 请安装第三方应用程序、注册资源类型、设置资源组并配置数据服务。请参见应用程序软件随附的文档以及《Sun Cluster Data Services Planning and Administration Guide for Solaris OS》。

• 将群集投入生产之前，请记录群集配置的基准线信息以供将来进行诊断时使用。请转至如何记录群集配置的诊断数据。