如何对群集专用互连配置 IP 安全体系结构 (IPsec)

可以为 clprivnet 接口配置 IP 安全体系结构 (IP Security Architecture, IPsec)，以便在群集互连上提供安全的 TCP/IP 通信。

有关 IPsec 的信息，请参见《系统管理指南：IP 服务》中的第 IV 部分, “IP 安全性”和 ipsecconf(1M) 手册页。有关 clprivnet 接口的信息，请参见 clprivnet(7) 手册页。

在要配置为使用 IPsec 的每个全局群集投票节点上执行此过程。

1. 成为超级用户。

2. 在每个节点上，确定该节点的 clprivnet 接口的 IP 地址。

   phys-schost# ifconfig clprivnet0

3. 在每个节点上，配置 /etc/inet/ipsecinit.conf 策略文件，并在要使用 IPsec 的每对专用互连 IP 地址之间添加安全关联 (Security Association, SA)。

   请按照《系统管理指南：IP 服务》中的“如何使用 IPsec 保证两个系统之间的通信安全”中的说明操作。此外，请遵循以下指导：

   • 确保这些地址的配置参数值在所有的伙伴节点上一致。

   • 将每个策略配置为配置文件中的单独行。

   • 要在不重新引导的情况下实现 IPsec，请按照过程示例“在不重新引导的情况下使用 IPsec 保证通信安全”中的说明操作。

   有关 sa unique 策略的更多信息，请参见 ipsecconf(1M) 手册页。

   1. 在每个文件中，为群集中每个 clprivnet IP 地址添加一个条目，以便使用 IPsec。

      包括本地节点的 clprivnet IP 地址。

   2. 如果使用 VNIC，还请为 VNIC 使用的每个物理接口的 IP 地址添加一个条目。

   3. （可选的）要对所有的链路启用数据分散读写，请在该条目中包括 sa unique 策略。

      此功能可帮助驱动程序以最佳方式利用群集专用网络的带宽，从而提供较高的分发粒度和更高的吞吐量。clprivnet 接口使用包的安全参数索引 (Security Parameter Index, SPI) 来分散读写通信。

4. 在每个节点上，编辑 /etc/inet/ike/config 文件以设置 p2_idletime_secs 参数。

   将此条目添加到为群集传输配置的策略规则中。此设置可为在群集节点重新引导时重新生成安全关联提供时间，并可限制重新引导的节点重新加入群集的快慢。30 秒的值应该足够。

   phys-schost# vi /etc/inet/ike/config … { label "clust-priv-interconnect1-clust-priv-interconnect2" … p2_idletime_secs 30 } …

接下来的操作

查看以下列表以确定下一项要执行的任务（该任务应适用于您的群集配置）。如果需要执行此列表中的多项任务，请转至其中在列表中排在最前面的那项任务。

• 要安装卷管理器，请转至第 4 章和第 5 章 以安装卷管理软件。

  ---

  注 –

  如果向使用 VxVM 的群集中添加了新节点，则必须执行以下任务之一：

  • 在该节点上安装 VxVM。

  • 修改该节点的 /etc/name_to_major 文件，以支持与 VxVM 的共存。

  请按照如何安装 Veritas Volume Manager（Veritas 卷管理器） 软件中的过程执行要求完成的上述任务之一。

  ---

• 要创建群集文件系统，请转至如何创建群集文件系统。

• 要在节点上创建非全局区域，请转至如何在全局群集节点上创建非全局区域。

• SPARC：要配置 Sun Management Center 以监视群集，请转至SPARC: 为 Sun Management Center 安装 Sun Cluster 模块。

• 请安装第三方应用程序、注册资源类型、设置资源组并配置数据服务。请参见应用程序软件随附的文档以及《Sun Cluster Data Services Planning and Administration Guide for Solaris OS》。

• 将群集投入生产之前，请记录群集配置的基本信息以供将来进行诊断时使用。请转至如何记录群集配置的诊断数据。