test

Sun Cluster ソフトウェアのインストール (Solaris OS 版)

Procedureクラスタプライベートインターコネクト上で IP セキュリティーアーキテクチャー (IPSec) を構成する

クラスタインターコネクトに安全な TCP/IP 通信を提供するには、clprivnetインタフェースに IP セキュリティアーキテクチャー (IPsec) を構成します。

IPsec の詳細については、『Solaris のシステム管理 (IP サービス)』のパート IV「IP セキュリティー」と、ipsecconf(1M)のマニュアルページを参照してください。clprivnet インタフェースの詳細については、clprivnet(7)のマニュアルページを参照してください。

IPsec を構成するグローバルクラスタ投票ノードごとに、この手順を実行します。

  1. スーパーユーザーになります。

  2. 各ノードで、ノードの clprivnet インタフェースの IP アドレスを決定します。


    phys-schost# ifconfig clprivnet0

  3. 各ノード上で、 /etc/inet/ipsecinit.conf ポリシーファイルを構成し、IPsec を使用するプライベートインターコネクトの IP アドレスの各ペア間にセキュリティーアソシエーション (Security Association、SA) を追加します。

    『Solaris のシステム管理 (IP サービス)』「IPsec で 2 つのシステム間のトラフィックを保護するには」の手順に従ってください。それに加えて、次のガイドラインも参照してください。

    • 対象アドレスの構成パラメータの値が、すべてのパートナーノードで一貫性があることを確認します。

    • 構成ファイルで、独立した行として各ポリシーを構成します。

    • 再起動せずに IPsec を実装するには、「リブートせずに IPsec でトラフィックを保護する」の手順例に従ってください。

    sa unique ポリシーの詳細については、ipsecconf(1M)マニュアルページを参照してください。

    1. 各ファイルで、IPsec を使用するクラスタ内の各 clprivnet の IP アドレスにエントリを 1 つ追加します。

      ローカルノードの clprivnet IP アドレスを含めます。

    2. VNIC を使用する場合は、VNIC で使用される各物理インタフェースの IP アドレスにもエントリを 1 つ追加します。

    3. (省略可能) すべてのリンク上でデータのストライプ化を有効にするため、エントリに sa unique ポリシーを含めます。

      この機能を使用すると、ドライバはクラスタプライベートネットワークの帯域を最適に利用することができるようになるため、高い分散粒度が実現し、スループットも向上します。clprivnet インタフェースは、トラフィックをストライプ化するため、パケットのセキュリティーパラメータインデックス (Security Parameter Index、SPI) を使用します。

  4. 各ノード上で、/etc/inet/ike/config ファイルを編集してp2_idletime_secs パラメータを設定します。.

    クラスタトランスポート用に構成されたポリシールールに、このエントリを追加します。この設定により、クラスタノードを再起動したときに再生成されるセキュリティーアソシエーションの時間が指定され、再起動したノードがクラスタを再結合できる速度が制限されます。値は 30 秒が適切です。


    phys-schost# vi /etc/inet/ike/config
…
{
    label "clust-priv-interconnect1-clust-priv-interconnect2"
…
p2_idletime_secs 30
}
…
次の手順

次のリストから、ご使用のクラスタ構成に次に適用するタスクを決めます。このリストから複数のタスクを実行する必要がある場合は、このリストのそれらのタスクのうち最初のタスクに進みます。