| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第3章 二重化システム(Solaris版) | > 3.4 システム/ネットワークの二重化 | > 3.4.4 環境設定 |
ファイアウォール(サーバ)上では、必要な製品のインストール、及び実行環境を設定します。
以下の手順で設定します。
なお、それぞれの設定内容については、ネットワークの二重化、またはシステムの二重化を参照してください。
PRIMECLUSTER導入
システムに PRIMECLUSTER をインストールします。
PRIMELUSTER 初期設定
導入した PRIMECLUSTER の初期設定を行います。
PRIMECLUSTER(GLS伝送路二重化機能) 導入
PRIMECLUSTER(GLS伝送路二重化機能)の環境設定(NIC 切替え、高速切替え)
NIC 切替え運用における待機インタフェースの初期化
NIC 切替え機能を使用する場合、待機インタフェースをシステム起動時に初期化するよう設定します。
待機インタフェースのドライバ状態設定
待機インタフェースに対応するSTREAM 上から PRIMECLUSTER(GLS伝送路二重化機能)のモジュールをアンリンクするよう設定します。
NIC 切替え運用におけるファイアウォール機能の初期化
NIC 切替え運用時、代表IPアドレス(論理インタフェース)の活性化後にファイアウォール機能の初期化を実行するよう、PRIMECLUSTER(GLS伝送路二重化機能) のユーザコマンド実行スクリプトを設定します。
PRIMECLUSTER(GLS伝送路二重化機能)、PRIMECLUSTERの環境設定(サービス/リソース登録、引継ぎIPアドレス設定など)
導入したPRIMECLUSTERの環境設定を行います。
PRIMECLUSTERの引継ぎ IP アドレスは、この時点で設定します。
引継ぎ IP アドレスの登録は、クラスタ管理ビューから行います。クラスタ管理ビューからのサービスの登録方法の詳細は、 “PRIMECLUSTER導入運用手引書”を参照してください。
PRIMECLUSTER(GLS伝送路二重化機能)、PRIMECLUSTERの動作検証(ネットワーク切替え/システム切替え機能)
本製品の導入
本製品をインストールします。
ファイアウォール機能の環境設定
本製品の環境設定を行います。
ファイアウォール機能を適用する物理インタフェース情報を設定します。
ネットワーク二重化機能で使用される論理インタフェース情報と物理インタフェース情報の設定を行います。
システム二重化機能で使用される引継ぎIPアドレスの設定を行います。
PRIMECLUSTERに ファイアウォール機能のリソースを登録します。
ファイアウォール機能のサービス登録
PRIMECLUSTERに ファイアウォール機能のサービスを登録します。
サービス登録は、クラスタ管理ビューから行います。クラスタ管理ビューからのサービスの登録方法の詳細は、"PRIMECLUSTER導入運用手引書"を参照してください。
クラスタ環境でネットワーク二重化運用( NIC 切替え)を行う場合、PRIMECLUSTER(GLS伝送路二重化機能)の初期化とファイアウォール機能の初期化をシリアライズする必要があります。このため、初期化スクリプトを編集してください。
システムの再起動
システムを再起動します。
以下では、ネットワークの二重化、及びシステムの二重化の環境設定に対する追加手順(初期化スクリプト編集)について説明します。
システム二重化機能で使用される引継ぎIPアドレスの設定を行います。
以下のファイルを作成してください。
ファイル名(二重化インタフェース設定ファイル)
|
/var/opt/FSUNfwip/fwclif.conf |
ファイルのアクセス権は、以下のように設定してください。
|
設定内容 |
設定値 |
|---|---|
| owner | root |
| アクセス権 | 0600 |
以下の手順で、二重化インタフェースの設定ファイルを作成し、環境ファイルに反映してください。
エディタを使用し、二重化インタフェース設定ファイルを編集します。
ファイルの一行目には、必ず、定義開始を示す以下の文字列を設定してください。
|
[REDUNDANCY] |
引継ぎIPアドレスの設定
システム二重化で使用する引継ぎIPアドレスは、以下の行で設定します。
なお、$IFで設定するインタフェース名は、システム二重化の場合と異なりますので注意してください。
|
[REDUNDANCY] SYS_Cluster="$IF,$IP1,$IP2" |
設定内容
|
項目 |
説明 |
|---|---|
|
SYS_Cluster |
システム二重化機能で使用する引継ぎIPアドレスの設定情報であることを識別するキーワード |
|
$IF |
NIC 切替えを行う場合、運用系のインタフェース名を設定します(NW_NicSwitch行の$IF1、または$IF2)。 高速切替えを行う場合、論理インタフェース名を設定します(NW_FastSwitch行の$LOGICAL-IF)。 |
|
$IP1 |
引継ぎIPアドレス(IPv4)を設定します。 |
|
$IP2 |
引継ぎIPアドレス(IPv6)を設定します。 なお、本製品ではサポートされていないため、"*"(アスタリスク)を設定してください。 |
設定例(NIC 切替え)
|
[REDUNDANCY] SYS_Cluster="qfe2,192.168.10.1,*" NW_NicSwitch="qfe2,qfe3,192.168.0.1,24,*,*" |
この場合、NIC 切替えを行うqfe2, qfe3インタフェース(論理IPは192.168.0.1)が引継ぎIPアドレスが割り当てられる物理インタフェースであり、引継ぎIPアドレスは、192.168.10.1であることを示しています。
設定例(高速切替え)
|
[REDUNDANCY] SYS_Cluster="sha0,192.168.30.1,*" NW_FastSwitch="hme0,hme1,sha0" |
この場合、高速切替えを行うhme0, hme1インタフェースに割り当てられる論理インタフェースがsha0であり、このsha0が引継ぎIPアドレスが割り当てられるインタフェースであり、引継ぎIPアドレスは、192.168.30.1であることを示しています。
二重化インタフェース設定ファイルの内容を動作環境に反映します。
以下のコマンドを使用して、二重化インタフェース設定ファイルに設定した情報を、ファイアウォール機能の動作環境に反映します。
整合性チェック
|
/opt/FSUNfwip/bin/fwchkclif -c |
動作環境へ反映する
|
/opt/FSUNfwip/bin/fwchkclif -s |
fwchkclifコマンドの詳細については、二重化情報の操作を参照してください。
クラスタ環境でネットワーク二重化運用( NIC 切替え)を行う場合、PRIMECLUSTER(GLS伝送路二重化機能)の初期化とファイアウォール機能の初期化をシリアライズする必要があります。
ファイアウォール機能では、PRIMECLUSTER に登録する状態遷移スクリプトのなかで、PRIMECLUSTER (GLS伝送路二重化機能)の初期化完了を待ち合わせることができます。PRIMECLUSTER (GLS伝送路二重化機能)の NIC 切替え機能を使用する場合、必ず本機能を利用して、PRIMECLUSTER (GLS伝送路二重化機能)の論理インタフェースの初期化を待ち合わせてください。
初期化スクリプトの編集方法について説明します。
スクリプト名
|
/opt/FSUNfwip/etc/rc2.d/user.sh |
本製品導入時、以下のサンプルスクリプトを提供しています。
運用環境に応じて、サンプルスクリプトを上記ファイルにコピーして利用してください。
サンプルスクリプト名
|
/opt/FSUNfwip/etc/rc2.d/user.sh.sample |
編集例
以下に、hme0:1, hme1:1, hme2:1, hme3:1 のそれぞれのインタフェースでPRIMECLUSTER (GLS伝送路二重化機能)の NIC 切替え機能を使用する場合のスクリプト編集方法を示します。
他のインタフェースについても、以下の設定例を参考に、運用環境に応じて編集してください。
活性化完了待合せインタフェースの設定
スクリプト内の CHKIF_??(??は数字) 行を設定します。
NIC 切替えの仮想デバイスが1つの場合には、CHKIF_11 / CHKIF_12 の論理インタフェース名を変更し、CHKIF_21 / CHKIF_22 の行は必要ありません。NIC 切替えの仮想デバイスが2つの場合には、CHKIF_11 / CHKIF_12 の論理インタフェース名を変更し、もう一方の仮想デバイスように CHKIF_21 / CHKIF_22 を有効行に変更して編集します。
以下では、仮想デバイスが2つ定義されている場合を説明しています。
編集前
編集後
活性化完了待合せ処理の追加
スクリプト内のインタフェース活性状態チェック処理を有効化します。
編集前
編集後
活性化完了待合せ処理の有効化
上記で設定した内容( check_interface関数 )を有効化します。
なお、NIC 切替えの仮想デバイスが1つの場合には、変更する必要はありません。
以下では、仮想デバイスが2つ定義さている場合を説明しています。
編集前
編集後
処理内容確認
PRIMECLUSTER (GLS伝送路二重化機能)の NIC 切替え方式で、スクリプトを実行し、復帰値が0 となることを確認してください。
|
目次
索引
|