Storage Foundation and High Availability 8.0.2 設定およびアップグレードガイド - Linux
- 第 I 部 SFHA の概要
- 第 II 部 SFHA の設定
- 設定の準備
- データ整合性のための SFHA クラスタ設定の準備
- SFHA の設定
- インストーラを使った Storage Foundation High Availability の設定
- 製品インストーラを使って SFHA を設定するタスクの概要
- Storage Foundation and High Availability Solutions の設定に必要な情報
- ソフトウェアの設定の開始
- 設定するシステムの指定
- クラスタ名の設定
- プライベートハートビートリンクの設定
- クラスタの仮想 IP の設定
- セキュアモードでの SFHA の設定
- ノード別のセキュアクラスタノードの設定
- VCS ユーザーの追加
- SMTP 電子メール通知の設定
- SNMP トラップ通知の設定
- グローバルクラスタの設定
- SFHA 設定の完了
- Veritas ライセンス監査ツールについて
- システム上のライセンスの確認と更新
- SFDB の設定
- インストーラを使った Storage Foundation High Availability の設定
- データ整合性のための SFHA クラスタの設定
- データ整合性のための SFHA クラスタの手動設定
- 応答ファイルを使用した SFHA 自動設定の実行
- 応答ファイルを使用した自動 I/O フェンシング設定の実行
- 応答ファイルを使った I/O フェンシングの設定
- ディスクベースの I/O フェンシングを設定するための応答ファイルの変数
- ディスクベースの I/O フェンシングを設定するための応答ファイルの例
- サーバーベースの I/O フェンシングを設定するための応答ファイルの変数
- サーバーベースの I/O フェンシングを設定するためのサンプル応答ファイル
- 非 SCSI-3 I/O フェンシングを設定するための応答ファイルの変数
- 非 SCSI-3 I/O フェンシングを設定するための応答ファイルの例
- マジョリティベース I/O フェンシングを設定するための応答ファイルの変数
- 過半数ベースの I/O フェンシングを設定するための応答ファイルの例
- 第 III 部 SFHA のアップグレード
- SFHA のアップグレード計画
- アップグレードについて
- サポート対象のアップグレードパス
- Oracle リソースを使って設定されたシステムで SFHA を 8.0.2 にアップグレードする場合の注意事項
- SFHA のアップグレードの準備
- REST サーバーのアップグレードに関する注意事項
- インストールバンドルを使ったフルリリース (ベース、メンテナンス、ローリングパッチ) と個々のパッチの同時インストールまたは同時アップグレード
- Storage Foundation and High Availability のアップグレード
- SFHA のローリングアップグレードの実行
- SFHA の段階的アップグレードの実行
- 応答ファイルを使用した SFHA 自動アップグレードの実行
- アップグレード後のタスクの実行
- オプションの設定手順
- 現在のディスクグループへのバックアップブートディスクグループの再結合
- アップグレードに失敗した場合にバックアップブートディスクグループに戻す
- 自動アップグレードが失敗した場合の VVR のリカバリ
- VCS Agents for VVR が設定されている場合のアップグレード後のタスク
- DAS ディスク名をリセットして FSS 環境のホスト名を含める
- ディスクレイアウトバージョンのアップグレード
- VxVM ディスクグループのバージョンのアップグレード
- 変数の更新
- デフォルトディスクグループの設定
- セキュアモードで動作するクラスタの LDAP 認証の有効化について
- Storage Foundation and High Availability のアップグレードの確認
- SFHA のアップグレード計画
- 第 IV 部 インストール後の作業
- 第 V 部 ノードの追加と削除
- 第 VI 部 設定およびアップグレードの参照
- 付録 A. インストールスクリプト
- 付録 B. SFHA サービスとポート
- 付録 C. 設定ファイル
- 付録 D. セキュアシェルまたはリモートシェルの通信用の設定
- 付録 E. CP サーバーベースの I/O フェンシングのためのサンプル SFHA クラスタ設定図
- 付録 F. UDP 上での LLT の設定
- 付録 G. RDMA 上での LLT の使用
- RDMA 上での LLT の使用
- クラスタ環境の RoCE または InfiniBand ネットワーク上の RDMA について
- アプリケーション間のより高速の相互接続のための LLT での RDMA 機能のサポートについて
- RDMA 上の LLT の使用: サポート対象の使用例
- RDMA 上の LLT の設定
- RDMA 上の LLT のトラブルシューティング
CP サーバーのための手動によるキーと証明書の生成
CP サーバーは HTTPS プロトコルを使用してクライアントノードとの安全な通信を確立します。 HTTPS は通信の安全な手段であり、SSL/TLS プロトコルを使用して確立された安全な通信チャネルを介して行われます。
HTTPS は x509 規格の証明書を使用し、PKI(Public Key Infrastructure)に基づいて CP サーバーとクライアント間の安全な通信を確立します。 PKI と同様、CP サーバーとそのクライアントには CA(認証局)によって署名された固有の証明書一式があります。サーバーとそのクライアントは証明書を信頼します。
すべての CP サーバーはそれ自体、およびそのすべてのクライアントノードに対する証明局として機能します。CP サーバーには固有の CA キーと CA 証明書、およびサーバーの専用キーから生成されたサーバー証明書があります。 サーバー証明書は CP サーバーの UUID(汎用一意識別子)に対して発行されます。 CP サーバーが応答するすべての IP アドレスまたはドメイン名は CP サーバーのサーバー証明書にある Subject Alternative Name セクションで言及されています。
キーまたは証明書を作成するには CP サーバーに OpenSSL ライブラリがインストールされている必要があります。OpenSSL がインストールされていないと、キーおよび証明書を作成できません。SSL が起動したときにどのキーまたは証明書を CP サーバーで使用するかを決める設定ファイルが vxcps.conf ファイルによって指定されます。設定値は ssl_conf_file に保存されており、デフォルト値は /etc/vxcps_ssl.properties です。
手動で CP サーバーのキーと証明書を生成するには
- CP サーバーにセキュリティファイル用のディレクトリを作成します。
# mkdir -p /var/VRTScps/security/keys /var/VRTScps/security/certs
- VIP を含む OpenSSL 構成ファイルを生成します。
CP サーバーはこれらの VIP のクライアントノードからの要求に応答します。サーバー証明書には VIP、FQDN、CP サーバーのホスト名が含まれます。 クライアントはこれらの値のいずれかを使用することによって CP サーバーにアクセスできます。 ただし、クライアントノードが IP アドレスを使って CP サーバーと通信することを推奨します。
設定例では次の値を使用します。
設定ファイル名: https_ssl_cert.conf
VIP: 192.168.1.201
FQDN: cpsone.company.com
ホスト名: cpsone
設定ファイルの [alt_names] セクションで使用されている IP アドレス、VIP、FQDN 値はサンプル値です。サンプル値を任意の設定値に置き換えます。設定ファイルのその他の値は変更しないでください。
[req] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] countryName = Country Name (2 letter code) countryName_default = US localityName = Locality Name (eg, city) organizationalUnitName = Organizational Unit Name (eg, section) commonName = Common Name (eg, YOUR name) commonName_max = 64 emailAddress = Email Address emailAddress_max = 40 [v3_req] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = cpsone.company.com DNS.2 = cpsone DNS.3 = 192.168.1.201
- CA 証明書を作成するのに使用される 4096 ビット CA キーを生成します。
キーは
/var/VRTScps/security/keys/ca.keyに格納する必要があります。キーは偽証明書の作成に誤用され、セキュリティが損なわれる可能性があるので、root ユーザーだけが CA キーにアクセスできるようにしてください。# /opt/VRTSperl/non-perl-libs/bin/openssl genrsa -out /var/VRTScps/security/keys/ca.key 4096
- 自己署名の CA 証明書を作成します。
# /opt/VRTSperl/non-perl-libs/bin/openssl req -new -x509 -days days -sha256 -key /var/VRTScps/security/keys/ca.key -subj \
'/C=countryname/L=localityname/OU=COMPANY/CN=CACERT' -out \
/var/VRTScps/security/certs/ca.crt
ここで、days は希望する証明書の有効日数、countryname は国名、localityname は市、CACERT は証明書の名前です。
- CP サーバーの 2048 ビットの専用キーを生成します。
キーは
/var/VRTScps/security/keys/server_private keyに格納する必要があります。# /opt/VRTSperl/non-perl-libs/bin/openssl genrsa -out \
/var/VRTScps/security/keys/server_private.key 2048
- サーバー証明書の CSR(Certificate Signing Request)を生成します。
証明書の CN(Certified Name)は CP サーバーの UUID です。
# /opt/VRTSperl/non-perl-libs/bin/openssl req -new -sha256 -key /var/VRTScps/security/keys/server_private.key \
-config https_ssl_cert.conf -subj \
'/C=CountryName/L=LocalityName/OU=COMPANY/CN=UUID' \
-out /var/VRTScps/security/certs/server.csr
ここで、countryname は国名、localityname は市、 UUID は CN です。
- CA のキー証明書を使ってサーバー証明書を生成します。
# /opt/VRTSperl/non-perl-libs/bin/openssl x509 -req -days days -sha256 -in /var/VRTScps/security/certs/server.csr \
-CA /var/VRTScps/security/certs/ca.crt -CAkey \
/var/VRTScps/security/keys/ca.key \
-set_serial 01 -extensions v3_req -extfile https_ssl_cert.conf \
-out /var/VRTScps/security/certs/server.crt
ここで、days は希望する証明書の有効日数、https_ssl_cert.conf は設定ファイル名です。
CP サーバーに必要なキーと証明書の作成が完了しました。
- root ユーザー以外のユーザーがキーおよび証明書を見ることができないようにしてください。
- CP サーバーの設定を完了します。
詳細情報