Storage Foundation and High Availability 7.4 設定およびアップグレードガイド- Solaris
- 第 I 部 SFHA の概要
- 第 II 部 SFHA の設定
- 設定の準備
- データ整合性のための SFHA クラスタ設定の準備
- SFHA の設定
- インストーラを使った Storage Foundation High Availability の設定
- 製品インストーラを使って SFHA を設定するタスクの概要
- Storage Foundation and High Availability Solutions の設定に必要な情報
- ソフトウェアの設定の開始
- 設定するシステムの指定
- クラスタ名の設定
- プライベートハートビートリンクの設定
- クラスタの仮想 IP の設定
- セキュアモードでの SFHA の設定
- ノード別のセキュアクラスタノードの設定
- VCS ユーザーの追加
- SMTP 電子メール通知の設定
- SNMP トラップ通知の設定
- グローバルクラスタの設定
- SFHA 設定の完了
- Veritas ライセンス監査ツールについて
- システム上のライセンスの確認と更新
- SFDB の設定
- インストーラを使った Storage Foundation High Availability の設定
- データ整合性のための SFHA クラスタの設定
- データ整合性のための SFHA クラスタの手動設定
- 応答ファイルを使用した SFHA 自動設定の実行
- 応答ファイルを使用した自動 I/O フェンシング設定の実行
- 第 III 部 SFHA のアップグレード
- SFHA のアップグレード計画
- Storage Foundation and High Availability のアップグレード
- SFHA のローリングアップグレードの実行
- SFHA の段階的アップグレードの実行
- 応答ファイルを使用した SFHA 自動アップグレードの実行
- ブート環境のアップグレードを使用した SFHA のアップグレード
- アップグレード後のタスクの実行
- オプションの設定手順
- 自動アップグレードが失敗した場合の VVR のリカバリ
- VCS Agents for VVR が設定されている場合のアップグレード後のタスク
- DAS ディスク名をリセットして FSS 環境のホスト名を含める
- ディスクレイアウトバージョンのアップグレード
- VxVM ディスクグループのバージョンのアップグレード
- 変数の更新
- デフォルトディスクグループの設定
- ASL のアップグレード
- QuickLog からマルチボリュームサポートへの変換
- セキュアモードで動作するクラスタの LDAP 認証の有効化について
- Storage Foundation and High Availability のアップグレードの確認
- 第 IV 部 インストール後のタスク
- 第 V 部 ノードの追加と削除
- 第 VI 部 設定およびアップグレードの参照
- 付録 A. インストールスクリプト
- 付録 B. SFHA サービスとポート
- 付録 C. 設定ファイル
- 付録 D. セキュアシェルまたはリモートシェルの通信用の設定
- 付録 E. CP サーバーベースの I/O フェンシングのSFHA cluster設定図サンプル
- 付録 F. NFS 共有ディスクのメジャー番号とマイナー番号の一致
- 付録 G. UDP 上での LLT の設定
クライアントノードにおけるクライアントキーと証明書の手動による生成
HTTPS を使用して CP サーバーに接続しようとするクライアントノードには専用キーおよび CP サーバーの CA (認証局)によって署名された証明書が必要です。
クライアントはその専用キーと証明書を使用して CP サーバーとの接続を確立します。キーと証明書はノードの事前定義済みの場所にある必要があります。各クライアントには 1 つのクライアント証明書、および各 CP サーバーごとに 1 つの CA 証明書があります。そのため証明書ファイルは特定の命名規則に従っている必要があります。個別の証明書名は、クライアントノードが特定の CP サーバーに接続するときに cpsadm コマンドがどの証明書を使う必要があるのかを識別する上で助けになります。
証明書の名前は次のようにします。ca_cps-vip.crt および client _cps-vip.crt
ここで、cps-vip は /etc/vxfenmode ファイルにリストされている CP サーバーの VIP または FQHN です。たとえば、サンプル VIP の 192.168.1.201 に対応する証明書名は ca_192.168.1.201 です。
クライアントノードで証明書を手動設定するには
- 証明書を格納するディレクトリを作成します。
# mkdir -p /var/VRTSvxfen/security/keys /var/VRTSvxfen/security/certs
メモ:
クライアントノードで openssl ユーティリティが利用できない場合もあるため、SSH を使って CP サーバーにアクセスしてクライアントキーまたは証明書を CP サーバーで生成し、各ノードに証明書をコピーすることを推奨します。
- クライアントノードの専用キーを生成します。
# /usr/bin/openssl genrsa -out client_private.key 2048
- クラスタのクライアント CSR を生成します。CN はクライアントのクラスタの UUID です。
# /usr/bin/openssl req -new -key -sha256 client_private.key\
-subj '/C=countryname/L=localityname/OU=COMPANY/CN=CLUS_UUID'\
-out client_192.168.1.201.csr
ここで、countryname は国番号 、localityname は市、COMPANY は会社名、CLUS_UUID は証明書の名前です。
- CA キーと CA 証明書を使ってクライアント証明書を生成します。CP サーバーからこのコマンドを実行します。
# /usr/bin/openssl x509 -req -days days -sha256 -in client_192.168.1.201.csr\
-CA /var/VRTScps/security/certs/ca.crt -CAkey\
/var/VRTScps/security/keys/ca.key -set_serial 01 -out client_192.168.10.1.crt
ここで、days は希望する証明書の有効日数、192.168.1.201 は CP サーバーの VIP または FQHN です。
- クライアントキー、クライアント証明書、CA 証明書を各クライアントノードの次の場所にコピーします。
クライアントキーは
/var/VRTSvxfen/security/keys/client_private.keyにコピーします。クライアントはすべてのクライアントノードで共通なので一度だけしか生成する必要はありません。クライアント証明書を
/var/VRTSvxfen/security/certs/client_192.168.1.201.crtにコピーします。CA 証明書を
/var/VRTSvxfen/security/certs/ca_192.168.1.201.crtにコピーします。メモ:
証明書とキーをすべてのノードのこの手順で示した場所にコピーします。
- クライアントノードが FQHN またはホスト名を使用して CP サーバーにアクセスする必要がある場合は、生成した証明書のコピーを作成し、VIP を FQHN またはホスト名で置き換えます。これらの証明書をすべてのノードにコピーするようにしてください。
- すべての CP サーバーに対して同じ手順を行います。
- 各クライアントノードにキーと証明書をコピーしたら、CP サーバーのクライアントキーおよびクライアント証明書を削除します。