Cluster Server 8.0.2 設定およびアップグレードガイド - Linux
- 第 I 部 スクリプトベースのインストーラを使った Cluster Server の設定
- I/O フェンシングの必要条件
- データ整合性のための VCS クラスタ設定の準備
- VCS の設定
- データ整合性のための VCS クラスタの設定
- 第 II 部 応答ファイルを使った自動設定
- VCS の自動設定の実行
- 応答ファイルを使用した自動 I/O フェンシング設定の実行
- 応答ファイルを使った I/O フェンシングの設定
- ディスクベースの I/O フェンシングを設定するための応答ファイルの変数
- ディスクベースの I/O フェンシングを設定するための応答ファイルの例
- サーバーベースの I/O フェンシングを設定するための応答ファイルの変数
- サーバーベースの I/O フェンシングを設定するためのサンプル応答ファイル
- 非 SCSI-3 I/O フェンシングを設定するための応答ファイルの変数
- 非 SCSI-3 I/O フェンシングを設定するための応答ファイルの例
- マジョリティベース I/O フェンシングを設定するための応答ファイルの変数
- 過半数ベースの I/O フェンシングを設定するための応答ファイルの例
- 第 III 部 手動設定
- VCS の手動設定
- データ整合性のためのクラスタの手動設定
- 第 IV 部 VCS のアップグレード
- VCS のアップグレード計画
- VCS 8.0.2 へのアップグレードについて
- ローリングアップグレードについて
- セキュアエンタープライズ環境での VCS のアップグレード
- サポート対象のアップグレードパス
- セキュリティ保護された VCS 6.x クラスタを VCS 8.0.2 にアップグレードするための注意事項
- Oracle リソースを使って設定されたシステムで VCS を 8.0.2 にアップグレードする場合の注意事項
- CP サーバーのアップグレードに関する注意事項
- CP クライアントのアップグレードに関する注意事項
- REST サーバーのアップグレードに関する注意事項
- インストールバンドルを使ったフルリリース (ベース、メンテナンス、ローリングパッチ) と個々のパッチの同時インストールまたは同時アップグレード
- インストーラを使用した VCS アップグレードの実行
- オンラインアップグレードの実行
- VCS の段階的アップグレードの実行
- 応答ファイルを使用した VCS 自動アップグレードの実行
- VCS のアップグレード計画
- 第 V 部 クラスタノードの追加と削除
- 第 VI 部 インストールの参考情報
- 付録 A. サービスとポート
- 付録 B. 設定ファイル
- 付録 C. UDP 上での LLT の設定
- 付録 D. TCP 上での LLT の設定
- 付録 E. LLT リンクの IPv4 から IPv6 またはデュアルスタックへの移行
- 付録 F. RDMA 上での LLT の使用
- RDMA 上での LLT の使用
- クラスタ環境の RoCE または InfiniBand ネットワーク上の RDMA について
- アプリケーション間のより高速の相互接続のための LLT での RDMA 機能のサポートについて
- RDMA 上の LLT の使用: サポート対象の使用例
- RDMA 上の LLT の設定
- RDMA 上の LLT のトラブルシューティング
- 付録 G. セキュアシェルまたはリモートシェルの通信用の設定
- 付録 H. インストールスクリプトオプション
- 付録 I. VCS の設定のトラブルシューティング
- 付録 J. CP サーバーベースの I/O フェンシングのためのサンプル VCS クラスタ設定図
- 付録 K. Steward プロセスのアップグレード
クライアントノードにおけるクライアントキーと証明書の手動による生成
HTTPS を使用して CP サーバーに接続しようとするクライアントノードには専用キーおよび CP サーバーの CA (認証局)によって署名された証明書が必要です。
クライアントはその専用キーと証明書を使用して CP サーバーとの接続を確立します。キーと証明書はノードの事前定義済みの場所にある必要があります。各クライアントには 1 つのクライアント証明書、および各 CP サーバーごとに 1 つの CA 証明書があります。そのため証明書ファイルは特定の命名規則に従っている必要があります。個別の証明書名は、クライアントノードが特定の CP サーバーに接続するときに cpsadm コマンドがどの証明書を使う必要があるのかを識別する上で助けになります。
証明書の名前は次のようにします。ca_cps-vip.crt および client _cps-vip.crt
ここで、cps-vip は /etc/vxfenmode ファイルにリストされている CP サーバーの VIP または FQHN です。たとえば、サンプル VIP の 192.168.1.201 に対応する証明書名は ca_192.168.1.201 です。
クライアントノードで証明書を手動設定するには
- 証明書を格納するディレクトリを作成します。
# mkdir -p /var/VRTSvxfen/security/keys /var/VRTSvxfen/security/certs
メモ:
クライアントノードで openssl ユーティリティが利用できない場合もあるため、SSH を使って CP サーバーにアクセスしてクライアントキーまたは証明書を CP サーバーで生成し、各ノードに証明書をコピーすることを推奨します。
- クライアントノードの専用キーを生成します。
# /opt/VRTSperl/non-perl-libs/bin/openssl genrsa -out client_private.key 2048
- クラスタのクライアント CSR を生成します。CN はクライアントのクラスタの UUID です。
# /opt/VRTSperl/non-perl-libs/bin/openssl req -new -key -sha256 client_private.key\
-subj '/C=countryname/L=localityname/OU=COMPANY/CN=CLUS_UUID'\
-out client_192.168.1.201.csr
ここで、countryname は国番号 、localityname は市、COMPANY は会社名、CLUS_UUID は証明書の名前です。
- CA キーと CA 証明書を使ってクライアント証明書を生成します。CP サーバーからこのコマンドを実行します。
# /opt/VRTSperl/non-perl-libs/bin/openssl x509 -req -days days -sha256 -in client_192.168.1.201.csr\
-CA /var/VRTScps/security/certs/ca.crt -CAkey\
/var/VRTScps/security/keys/ca.key -set_serial 01 -out client_192.168.10.1.crt
ここで、days は希望する証明書の有効日数、192.168.1.201 は CP サーバーの VIP または FQHN です。
- クライアントキー、クライアント証明書、CA 証明書を各クライアントノードの次の場所にコピーします。
クライアントキーは
/var/VRTSvxfen/security/keys/client_private.keyにコピーします。クライアントはすべてのクライアントノードで共通なので一度だけしか生成する必要はありません。クライアント証明書を
/var/VRTSvxfen/security/certs/client_192.168.1.201.crtにコピーします。CA 証明書を
/var/VRTSvxfen/security/certs/ca_192.168.1.201.crtにコピーします。メモ:
証明書とキーをすべてのノードのこの手順で示した場所にコピーします。
- クライアントノードが FQHN またはホスト名を使用して CP サーバーにアクセスする必要がある場合は、生成した証明書のコピーを作成し、VIP を FQHN またはホスト名で置き換えます。これらの証明書をすべてのノードにコピーするようにしてください。
- すべての CP サーバーに対して同じ手順を行います。
- 各クライアントノードにキーと証明書をコピーしたら、CP サーバーのクライアントキーおよびクライアント証明書を削除します。