オプションで、インターコネクト上のトラフィックを保護するように IPsec を構成できます。インターコネクトでは、クラスタの内部処理用のトラフィックとグローバルファイルシステム用のユーザーデータの両方が発生します。
Oracle Solaris Cluster のインターコネクト用に IPsec と IKE を構成する際には、次の要件を満たす必要があります。
インターコネクトでの IPsec 用の鍵を自動的に管理するように、IKEv2 を構成します。
IKE および IPsec 構成ファイル内ではクラスタのプライベートネットワークと同じアドレスと接頭辞を使用します。cluster コマンドがこの情報を提供します。詳細は、cluster(8CL) のマニュアルページを参照してください。
network/prefix 識別子を使用すれば、インターコネクトでのローカルアドレス割り当てにかかわらず、同じ IKE ルールと IPsec ポリシーをすべてのクラスタノードにまったく同様に追加できます。
インターコネクト関連の IKEv2 ルールは、「cluster_interconnect」属性とその値「yes」でタグ付けする必要があります。これにより、システムのシャットダウン時にクラスタインターコネクトのトラフィックが適切に処理されることが保証されます。
すべてのクラスタノード上の IKEv2 および IPsec 構成ファイルには、インターコネクト関連の同じ IKEv2 ルールと IPsec ポリシーが含まれている必要があります。クラスタに新しいノードを追加する場合は、そのノードに、既存クラスタ内のほかのノードと同じ IKEv2 ルールと IPsec ポリシーが含まれていることを確認する必要があります。
# /usr/cluster/bin/cluster show-netprops === Private Network === private_netaddr: 172.16.0.0 private_netmask: 255.255.240.0
ネットマスク 255.255.240.0 は、接頭辞の長さが 20 ビットであることを示します。したがって、次の IKE および IPsec 構成ファイルで使用すべきプライベートネットワーク接頭辞は、172.16.0.0/20 になります。
# pfedit /etc/inet/ike/ikev2.config
ikesa_xform { dh_group 21 auth_alg sha512 encr_alg aes }
## Rules for cluster interconnect
{
label "cluster-foobar"
auth_method preshared
local_addr 172.16.0.0/20
remote_addr 172.16.0.0/20
cluster_interconnect yes
}
# pfedit /etc/inet/ike/ikev2.preshared
## label must match the rule that uses this key
{
label "cluster-foobar"
key 0001020304050607
}
# pfedit /etc/inet/ipsecinit.conf
{ laddr 172.16.0.0/20 raddr 172.16.0.0/20 } ipsec
{ encr_algs aes encr_auth_algs sha256 }