执行此过程可在全局群集上配置 Oracle Solaris 软件的 IP 过滤器功能。
有关 IP 过滤器功能的更多信息,请参见在 Oracle Solaris 11.2 中确保网络安全 中的第 4 章 关于 Oracle Solaris 中的 IP 过滤器。
开始之前
在群集中配置 IP 过滤器时,请阅读要遵循的准则和限制。请参见Oracle Solaris OS 功能要求和限制中的“IP 过滤器”项目。
将过滤器规则添加到 Oracle Solaris Cluster 节点时,请注意以下准则和要求。
在每个节点上的 ipf.conf 文件中,添加规则以明确允许群集互连通信不经过滤即可通过。非接口特定的规则适用于所有的接口,包括群集互连。确保这些接口上的通信不会错误地被阻止。如果互连通信被阻止,IP 过滤器配置会妨碍群集握手和基础结构操作。
例如,假设当前应用了以下规则:
# Default block TCP/UDP unless some later rule overrides block return-rst in proto tcp/udp from any to any # Default block ping unless some later rule overrides block return-rst in proto icmp all
要取消对群集互连通信的阻止,请添加以下规则。所用的子集仅作为示例目的。使用 ifconfig show-addr | grep interface 命令推断要使用的子网。
# Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.0.128/25 to any pass out quick proto tcp/udp from 172.16.0.128/25 to any # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.1.0/25 to any pass out quick proto tcp/udp from 172.16.1.0/25 to any # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet) pass in quick proto tcp/udp from 172.16.4.0/23 to any pass out quick proto tcp/udp from 172.16.4.0/23 to any
可以指定群集专用网络对应的适配器名称或 IP 地址。例如,以下规则按适配器名称指定了一个群集专用网络:
# Allow all traffic on cluster private networks. pass in quick on net1 all …
Oracle Solaris Cluster 软件会在各节点之间进行网络地址故障转移。在进行故障转移时不需要任何特殊的过程或代码。
引用逻辑主机名 IP 地址和共享地址资源的所有过滤规则在所有群集节点上都必须相同。
待机节点上的规则将引用不存在的 IP 地址。该规则仍是 IP 过滤器的活动规则集的一部分,并且会在故障转移后节点收到地址时生效。
对于同一 IPMP 组中的所有 NIC,所有过滤规则都必须相同。换句话说,如果规则特定于接口,那么对于同一 IPMP 组中的所有其他接口,也必须存在相同的规则。
有关 IP 过滤器规则的更多信息,请参见 ipf(4) 手册页。
phys-schost# svcadm enable /network/ipfilter:default
接下来的步骤
在群集节点上配置 Oracle Solaris Cluster 软件。请转至建立新的全局群集或新的全局群集节点。