在伙伴群集之间配置信任
在两个群集之间创建伙伴关系之前,必须配置 Sun Cluster Geographic Edition 软件,使其能在这两个群集之间进行安全通信。这种配置必须是彼此照应的。例如,必须将群集 cluster-paris 配置为信任群集 cluster-newyork,同时必须将群集 cluster-newyork 配置为信任群集 cluster-paris。
如何在两个群集之间配置信任
开始之前
确保满足以下条件:
-
您要在其上创建伙伴关系的群集正在运行。
-
已在该群集和伙伴群集上运行 geoadm start 命令。有关使用 geoadm start 命令的更多信息,请参见第 4 章,启用和配置 Sun Cluster Geographic Edition 软件。
-
伙伴群集的群集名称为已知。
-
必须在本地主机文件中对伙伴群集的主机信息进行了定义。本地群集必须知道如何按名称访问伙伴群集。
-
登录到一个群集节点。
要完成此过程,必须为您指定 Geo Management RBAC 权限配置文件。有关 RBAC 的更多信息,请参见《Sun Cluster Geographic Edition 系统管理指南》中的“Sun Cluster Geographic Edition 软件和 RBAC”。
-
将公钥从远程群集导入到本地群集中。
在本地群集的某个节点上运行下面的命令可将密钥从远程群集导入到本地群集的某个节点。
# geops add-trust -c remotepartnerclustername
- -cremoteclustername
-
指定与其组成伙伴关系的群集的逻辑主机名。逻辑主机名由 Sun Cluster Geographic Edition 软件使用,并映射到远程伙伴群集的名称。例如,远程伙伴群集名可能与以下格式类似:
cluster-paris
当您在 add-trust 或 remote-trust 子命令中使用此选项时,可指定远程群集上公钥的存储位置的别名。远程群集上的证书的别名具有以下模式:
remotepartnercluster.certificate[0-9]*
只有属于远程群集的密钥才应具有这种模式的别名。
有关 geops 命令的更多信息,请参阅 geops(1M) 手册页。
-
在远程伙伴群集的一个节点上重复以上步骤。
-
从每个群集的一个节点上检验信任关系。
# geops verify-trust -c remotepartnerclustername
另请参见
有关如何配置和加入伙伴关系的完整示例,请参见《Sun Cluster Geographic Edition 系统管理指南》中的“加入现有伙伴关系”。
如何删除两个群集间的信任关系
开始之前
确保满足以下条件:
-
要删除其上信任关系的群集正在运行。
-
伙伴群集的群集名称为已知。
-
必须在本地主机文件中对伙伴群集的主机信息进行了定义。本地群集必须知道如何按名称访问伙伴群集。
-
登录到一个群集节点。
要完成此过程,必须为您指定 Geo Management RBAC 权限配置文件。有关 RBAC 的更多信息,请参见《Sun Cluster Geographic Edition 系统管理指南》中的“Sun Cluster Geographic Edition 软件和 RBAC”。
-
在两个群集的所有节点上,将所有远程群集密钥从本地节点的 truststore 文件中删除。
# geops remove-trust -c remotepartnerclustername
请在本地群集的所有节点上执行此步骤,然后再在伙伴群集的所有节点上重复此步骤。
- -cremoteclustername
-
指定要从中删除密钥的群集的逻辑主机名。远程群集的名称必须与您使用 geops add-trust 命令添加信任关系时所指定的群集名称一致。如果可使用名称的一部分访问远程群集,则无需指定全限定名。
当您在 add-trust 或 remote-trust 子命令中使用此选项时,可指定远程群集上公钥的存储位置的别名。远程群集上的证书的别名具有以下模式:
remotepartnercluster.certificate[0-9]*
只有属于远程群集的密钥才应具有这种模式的别名。
有关 geops 命令的更多信息,请参阅 geops(1M) 手册页。
-
在远程伙伴群集的一个节点上重复以上步骤。
- © 2010, Oracle Corporation and/or its affiliates