IPsec によるセキュリティー保護されたクラスタ通信の構成

IP Security Architecture (IPsec) を使用して、パートナークラスタ間にセキュリティー保護された通信を構成できます。IPsec では、IP を使用して通信しているマシン間で、セキュリティー保護されたデータグラム認証、実際のデータ暗号化、またはこの両方を許可または要求するポリシーを設定できます。次のようなクラスタ通信では、IPsec を使用することを検討してください。

• セキュリティー保護された Sun StorEdge Availability Suite 3.2.1 通信 (Sun StorEdge Availability Suite 3.2.1 ソフトウェアを使用してデータ複製を行う場合)

• セキュリティー保護された TCP/UDP ハートビート通信

Sun Cluster ソフトウェアと Sun Cluster Geographic Edition ソフトウェアは、手動鍵だけを使用して IPsec をサポートします。鍵は、サーバーとクライアント IP アドレスの組み合わせごとに、クラスタノード上に手動で格納する必要があります。鍵は、各クライアント上にも手動で格納する必要があります。

IPsec 構成パラメタの詳細は、『Solaris のシステム管理 (IP サービス)』を参照してください。

セキュリティー保護されたクラスタ通信用に IPsec を構成する方法

Sun Cluster Geographic Edition インフラストラクチャーでは、論理ホストのホスト名はクラスタ名に同じです。論理ホスト名は特殊な HA リソースです。クラスタ構成によっては、Sun Cluster Geographic Edition のさまざまなコンポーネントに多数の IP アドレスを設定する必要があります。

各パートナークラスタ上で、物理ノードと論理ホスト名アドレス間のインバウンドパケットとアウトバウンドパケットを交換するための暗号化と承認の設定を行う必要があります。これらのアドレス上の IPsec 構成パラメタの値は、パートナークラスタ間で一致しなければいけません。

IPsec は次の 2 つの構成ファイルを使用します。

• IPsec ポリシーファイル /etc/inet/ipsecinit.conf。ハートビートの認証と暗号化をサポートする指示規則を含みます。このファイルの内容は、パートナー関係にある 2 つのクラスタ間で異なります。

• IPsec 鍵ファイル /etc/init/secret/ipseckeys。特定の認証および暗号化アルゴリズムのための鍵ファイルを含みます。このファイルの内容は、パートナー関係にある 2 つのクラスタ間で一致します。

次の手順では、クラスタ cluster-newyork との間で IPsecによるセキュリティー保護された通信が行われるようにクラスタ cluster-paris を構成します。両クラスタとも Solaris OS 9 リリースを使用していると想定します。この手順では、cluster-paris 上のローカルの論理ホスト名を lh-paris-1、リモートの論理ホスト名を lh-newyork-1 と想定しています。インバウンドメッセージは lh-paris-1、アウトバウンドメッセージは lh-newyork-1 に送信されます。

cluster-paris の各ノードで、次の手順を実行します。

1. 主クラスタ phys-paris-1 の最初のノードに、スーパーユーザーとしてログインします。

   どのノードが phys-paris-1 であるかについては、「Sun Cluster Geographic Edition クラスタ構成の例」を参照してください。

2. IPsec ポリシーファイル内に、ローカルアドレスとリモートアドレスのエントリを設定します。

   ポリシーファイルは /etc/inet/ipsecinit.conf にあります。このファイルのアクセス権は 644 にするべきです。このファイルについては、ipsecconf(1M) のマニュアルページを参照してください。

   Sun Cluster Geographic Edition ソフトウェアでサポートされる名前と値については、付録 B 「Sun Cluster Geographic Edition エンティティーに使用できる名前と値」を参照してください。

   1. 通信ポリシーを構成します。

      tcp_udp プラグインのデフォルトのポートは 2084 です。この値は /etc/opt/SUNWcacao/modules/com.sun.cluster.agent.geocontrol.xml ファイルで指定できます。

      特定の承認または暗号化アルゴリズムを優先する必要がない場合は、次のコマンドを使用してポリシーを構成します。

      # {raddr lh-newyork-1 rport 2084} ipsec {auth_algs any encr_algs any \ sa shared} {laddr lh-paris-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared}

      二次クラスタ cluster-newyork 上で通信ポリシーを構成するときは、ポリシーの設定を逆にする必要があります。

      # {laddr lh-newyork-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared} {raddr lh-paris-1 rport 2084} ipsec {auth_algs any encr_algs \ any sa shared}

   2. ノードを再起動するか、次のコマンドを実行して、ポリシーを追加します。

      # ipsecconf -a /etc/inet/ipsecinit.conf

3. インバウンド通信とアウトバウンド通信用に、暗号化鍵と認証鍵を設定します。

   通信ファイルは /etc/init/secret/ipseckeys にあります。このファイルのアクセス権は 600 にするべきです。

   鍵を追加します。

   # ipseckey -f /etc/init/secret/ipseckeys

   鍵は、一般に次のような形式で入力します。

   # inbound to cluster-paris add esp spi <paris-encr-spi> dst lh-paris-1 encr_alg <paris-encr-algorithm> \ encrkey <paris-encrkey-value> add ah spi <newyork-auth-spi> dst lh-paris-1 auth_alg <paris-auth-algorith> \ authkey <paris-authkey-value> # outbound to cluster-newyork add esp spi <newyork-encr-spi> dst lh-newyork-1 encr_alg \ <newyork-encr-algorithm> encrkey <newyork-encrkey-value> add ah spi <newyork-auth-spi> dst lh-newyork-1 auth_alg \ <newyork-auth-algorithm> authkey <newyork-authkey-value>

   通信ファイルについては、ipsecconf(1M) のマニュアルページを参照してください。