グローバルクラスタ上で Solaris IP Filter を構成するには、次の手順を実行します。
Solaris IP Filter はフェイルオーバーデータサービスでのみ使用します。スケーラブルデータサービスでの Solaris IP Filter の使用はサポートされていません。
NAT ルーティングはサポートされません。
ローカルアドレスを変換するための NAT の使用はサポートされません。NAT 変換は回線上でパケットを再書き込みするため、クラスタソフトウェアには影響がありません。
ステートレスフィルタリングのみサポートされます。
Solaris IP Filter 機能についての詳細については、『Solaris のシステム管理 (IP サービス)』のパート IV「IP セキュリティー」を参照してください。
スーパーユーザーになります。
影響を受けたすべてのノード上の /etc/ipf/ipf.conf ファイルにフィルタルールを追加します。
フィルタルールを Sun Cluster ノードに追加する場合、次のガイドラインと要件に従います。
(Solaris 10 のみ) 各ノード上の ipf.conf ファイルに、ルールを追加してクラスタ相互接続トラフィックがフィルタリングされずに明示的に渡されるようにします。 インタフェース固有でないルールは、クラスタ相互接続を含めたすべてのインタフェースに適用されます。これらのインタフェース上のトラフィックが誤ってブロックされていないことを確認します。
たとえば、現在、次のルールが使用されていると仮定します。
# Default block TCP/UDP unless some later rule overrides block return-rst in proto tcp/udp from any to any # Default block ping unless some later rule overrides block return-rst in proto icmp all |
クラスタ相互接続トラフィックのブロックを解除するには、次のルールを追加します。使用されているサブネットは、例示用にのみ使用しています。ifconfig interface コマンドを使用して、使用するサブネットを取得します。
# Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.0.128/25 to any pass out quick proto tcp/udp from 172.16.0.128/25 to any # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.1.0/25 to any pass out quick proto tcp/udp from 172.16.1.0/25 to any # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet) pass in quick proto tcp/udp from 172.16.4.0/23 to any pass out quick proto tcp/udp from 172.16.4.0/23 to any |
Sun Cluster ソフトウェアは、ノード間でネットワークアドレスをフェイルオーバーします。フェイルオーバー時に特別な手順やコードは不要です。
論理ホスト名と共有アドレスリソースを参照するすべてのフィルタリングルールは、すべてのクラスタノードで一意になるようにします。
スタンバイノードのルールは存在しない IP アドレスを参照します。このルールはまだ IP フィルタの有効なルールセットの一部であり、フェイルオーバー後にノードがアドレスを受け取ると有効になります。
すべてのフィルタリングルールが同じ IPMP グループ内のすべての NIC で同じになるようにします。 つまり、ルールがインタフェース固有である場合、IPMP グループ内のほかのすべてのインタフェースにも同じルールが存在するようにします。
Solaris IP Filter のルールについての詳細は、ipf(4) のマニュアルページを参照してください。
ipfilter SMF サービスを有効にします。
phys-schost# svcadm enable /network/ipfilter:default |
クラスタノード上で Sun Cluster ソフトウェアを構成します。「新規グローバルクラスタまたは新規グローバルクラスタノードの確立」に進みます。