Oracle® Solaris Cluster 4.3 ソフトウェアのインストール

印刷ビューの終了

更新: 2016 年 7 月
 
 

IP Filter を構成する方法

この手順を実行して、グローバルクラスタで Oracle Solaris ソフトウェアの IP Filter 機能を構成します。

注 -  IP Filter は、フェイルオーバーデータサービスでのみ使用してください。スケーラブルデータサービスでの IP Filter の使用はサポートされていません。

IP Filter 機能の詳細は、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 6 章, Oracle Solaris での IP フィルタファイアウォールを参照してください。

始める前に

クラスタで IP Filter を構成するときに従うガイドラインと制限事項を確認します。Oracle Solaris OS 機能の要件と制限の「IP Filter」の箇条書き項目を参照してください。

  1. root 役割になります。
  2. 影響を受けたすべてのノード上の /etc/ipf/ipf.conf ファイルにフィルタルールを追加します。

    フィルタルールを Oracle Solaris Cluster ノードに追加する場合、次のガイドラインと要件に従います。

    • 各ノードの ipf.conf ファイルで、クラスタインターコネクトトラフィックにフィルタなしでの通過を明示的に許可するルールを追加します。 インタフェース固有でないルールは、クラスタインターコネクトを含めたすべてのインタフェースに適用されます。これらのインタフェース上のトラフィックが誤ってブロックされていないことを確認します。インターコネクトトラフィックがブロックされている場合、IP Filter 構成はクラスタのハンドシェーク処理やインフラストラクチャー処理に干渉します。

      たとえば、現在、次のルールが使用されていると仮定します。

      # Default block TCP/UDP unless some later rule overrides
block return-rst in proto tcp/udp from any to any

# Default block ping unless some later rule overrides
block return-rst in proto icmp all

      クラスタインターコネクトトラフィックのブロックを解除するには、次のルールを追加します。使用されているサブネットは、例示用にのみ使用しています。ifconfig show-addr | grep interface コマンドを使用して、使用するサブネットを取得します。

      # Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.0.128/25 to any
pass out quick proto tcp/udp from 172.16.0.128/25 to any

# Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.1.0/25 to any
pass out quick proto tcp/udp from 172.16.1.0/25 to any

# Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet)
pass in quick proto tcp/udp from 172.16.4.0/23 to any
pass out quick proto tcp/udp from 172.16.4.0/23 to any

    • クラスタのプライベートネットワークのアダプタ名または IP アドレスのいずれかを指定します。 たとえば、次のルールは、アダプタ名によってクラスタのプライベートネットワークを指定します。

      # Allow all traffic on cluster private networks.
pass in quick on net1 all
…

    • Oracle Solaris Cluster ソフトウェアは、ノード間でネットワークアドレスをフェイルオーバーします。フェイルオーバー時に特別な手順やコードは不要です。

    • 論理ホスト名と共有アドレスリソースを参照するすべてのフィルタリングルールは、すべてのクラスタノードで一意になるようにします。

    • スタンバイノードのルールは存在しない IP アドレスを参照します。このルールはまだ IP フィルタの有効なルールセットの一部であり、フェイルオーバー後にノードがアドレスを受け取ると有効になります。

    • すべてのフィルタリングルールが同じ IPMP グループ内のすべての NIC で同じになるようにします。つまり、ルールがインタフェース固有である場合、同じ IPMP グループ内のほかのすべてのインタフェースにも同じルールが存在するようにします。

    IP Filter のルールについての詳細は、ipf(4) のマニュアルページを参照してください。

  3. ipfilter SMF サービスを有効にします。 
    phys-schost# svcadm enable /network/ipfilter:default

次のステップ

クラスタノード上で Oracle Solaris Cluster ソフトウェアを構成します。新規グローバルクラスタまたは新規グローバルクラスタノードの確立に進みます。

Copyright © 2000, 2016, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ