Oracle® Solaris Cluster 소프트웨어 설치 설명서

인쇄 보기 종료

 
업데이트 날짜: 2014년 9월
 
 

IP 필터를 구성하는 방법

전역 클러스터에서 Oracle Solaris 소프트웨어의 IP 필터 기능을 구성하려면 이 절차를 수행합니다.

주 -  페일오버 데이터 서비스가 있는 IP 필터만 사용합니다. 확장 가능 데이터 서비스가 있는 IP 필터는 사용할 수 없습니다.

IP 필터 기능에 대한 자세한 내용은 Oracle Solaris 11.2의 네트워크 보안 의 4 장, Oracle Solaris의 IP 필터 정보를 참조하십시오.

시작하기 전에

클러스터에 IP 필터를 구성할 때 따라야 하는 지침 및 제한 사항을 검토합니다. Oracle Solaris OS 기능 요구 사항 및 제한 사항에서 “IP 필터” 게시 항목을 참조하십시오.

  1. root 역할을 수행합니다.
  2. 영향을 받는 모든 노드의 /etc/ipf/ipf.conf 파일에 필터 규칙을 추가합니다.

    필터 규칙을 Oracle Solaris Cluster 노드에 추가할 때는 다음 지침과 요구 사항을 준수하십시오.

    • 각 노드의 ipf.conf 파일에서 클러스터 상호 연결 트래픽이 필터링되지 않고 통과하도록 명시적으로 허용하는 규칙을 추가합니다. 인터페이스와 관련되지 않은 규칙은 클러스터 상호 연결을 비롯한 모든 인터페이스에 적용됩니다. 이러한 인터페이스의 트래픽이 실수로 차단되지 않는지 확인합니다. 상호 연결 트래픽이 차단되면 IP 필터 구성이 클러스터 핸드셰이크 및 인프라 작업을 방해합니다.

      예를 들어 다음 규칙이 현재 사용된다고 가정합니다.

      # Default block TCP/UDP unless some later rule overrides
block return-rst in proto tcp/udp from any to any

# Default block ping unless some later rule overrides
block return-rst in proto icmp all

      클러스터 상호 연결 트래픽을 차단 해제하려면 다음 규칙을 추가합니다. 사용된 서브넷은 예제용입니다. ifconfig show-addr | grep interface 명령을 사용하여 사용할 서브넷을 가져옵니다.

      # Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.0.128/25 to any
pass out quick proto tcp/udp from 172.16.0.128/25 to any

# Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.1.0/25 to any
pass out quick proto tcp/udp from 172.16.1.0/25 to any

# Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet)
pass in quick proto tcp/udp from 172.16.4.0/23 to any
pass out quick proto tcp/udp from 172.16.4.0/23 to any

    • 클러스터 개인 네트워크의 어댑터 이름이나 IP 주소를 지정할 수 있습니다. 예를 들어 다음 규칙에서는 어댑터의 이름별로 클러스터 개인 네트워크를 지정합니다.

      # Allow all traffic on cluster private networks.
pass in quick on net1 all
…

    • Oracle Solaris Cluster 소프트웨어는 네트워크 주소를 한 노드에서 다른 노드로 페일오버합니다. 페일오버 시에 특수한 프로시저나 코드는 필요하지 않습니다.

    • 논리 호스트 이름 및 공유 주소 자원의 IP 주소를 참조하는 모든 필터링 규칙은 모든 클러스터 노드에서 동일해야 합니다.

    • 대기 노드의 규칙은 존재하지 않는 IP 주소를 참조합니다. 이 규칙은 여전히 IP 필터의 활성 규칙 집합의 일부이며 페일오버 후에 노드에서 주소를 수신할 때 적용됩니다.

    • 모든 필터링 규칙은 동일한 IPMP 그룹의 모든 NIC에 대해 동일해야 합니다. 즉, 규칙이 인터페이스와 관련된 경우 동일한 IPMP 그룹의 다른 모든 인터페이스에 대해서도 동일한 규칙이 존재해야 합니다.

    IP 필터 규칙에 대한 자세한 내용은 ipf(4) 매뉴얼 페이지를 참조하십시오.

  3. ipfilter SMF 서비스를 활성화합니다. 
    phys-schost# svcadm enable /network/ipfilter:default

다음 단계

클러스터 노드에 Oracle Solaris Cluster 소프트웨어를 구성합니다. 새 전역 클러스터 또는 새 전역 클러스터 노드 설정으로 이동합니다.

Copyright © 2000, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음