X

News, tips, partners, and perspectives for the Oracle Solaris operating system

Configuración de la compatibilidad de filtro IP con los servicios de conmutación por error con Solaris Cluster 3.2

Guest Author

Para obtener información acerca de la función de filtro IP, es recomendable que consulte la Guía de administración del sistema Solaris 10.  Esta reseña no se incluye en la documentación actual de Solaris Cluster 3.2, pero se incluirá en nuestro próximo parche.

El filtro IP de Solaris 10 (FCS hasta Solaris 10 11/06, actualización 3) existe como un módulo STREAMS que debe residir justo debajo de IP en cualquier canal. El SMF network/pfil y network/ipfilter se ocupa del módulo pfil de empuje automático (basado en /etc/ipf/pfil.ap) y carga reglas de filtrado (desde /etc/ipf/ipf.conf) durante el arranque. Las reglas de filtrado pueden estar basadas en la interfaz, las subredes/direcciones IP, los protocolos y los puertos.

NOTA: de momento, los servicios escalables no son compatibles con ipfilter. Estos pasos describen únicamente cómo configurar ipfilter para servicios de conmutación por error. Para la activación de los filtros del clúster, asegúrese de que el procedimiento de configuración se repita en todos los nodos

Paso 1

Edite /etc/iu.ap de modo que las líneas que corresponden a dispositivos NIC públicos cuenten con "clhbsndr pfil" como la lista de módulos. Los nodos deben reiniciarse para que el cambio surta efecto. Los nodos pueden reiniciarse de forma progresiva.

Tenga en cuenta que "pfil" debe ser el último módulo de la lista.

ejemplo: # scstat -i -h `uname -n`

-- Grupos IPMP --

 Nombre del nodo Grupo Estado Adaptador Estado
 Grupo IPMP: nodo1 sc_ipmp1 Conectado ce2 Conectado
 Grupo IPMP: nodo1 sc_ipmp1 Conectado bge2 Conectado
 Grupo IPMP: nodo1 sc_ipmp0 Conectadoce0 Conectado
 Grupo IPMP: nodo1sc_ipmp0 Conectadobge0 Conectado

                                
/etc/iu.ap tendrán estas líneas modificadas tal y como se muestra a continuación (para ce/bge)
ce    -1    0    clhbsndr pfil
bge  -1    0    clhbsndr pfil

Paso 2

Agregue reglas de filtrado a /etc/ipf/ipf.conf en todos los nodos, si fuera necesario. Consulte la página de comando man de ipf(4) para obtener información adicional sobre la sintaxis de las reglas de filtrado IP.

ejemplo:    block in quick on bge0 from 129.146.106.0/23 to any
         block in quick on ce0 from 129.146.106.0/23 to any

Paso 3

Habilite el servicio SMF ipfilter.

svcadm enable /network/ipfilter:default

Reglas de filtrado

El clúster realiza conmutaciones por error para las direcciones de red de un nodo a otro. Durante la conmutación por error, no se necesita ningún tipo de procedimiento ni código especial.

Asegúrese que las reglas de filtrado que hagan referencia a direcciones IP de recursos LogicalHostname y SharedAddress sean idénticas en todos los nodos de clúster.

Las reglas en un nodo en espera harán referencia a una dirección IP que no existe. Sin embargo, esta regla aún forma parte del conjunto de reglas activas de filtro IP y se aplicará una vez que el nodo reciba la dirección tras una conmutación por error.

Además, las reglas deben configurarse para que se apliquen de forma uniforme en todas las NIC del mismo grupo IPMP. Es decir, si una regla se aplica a una interfaz, la misma regla debe también aplicarse a las demás interfaces del mismo grupo IPMP.

Modo sin clúster

En el modo sin clúster, la línea en /etc/iu.ap que incluye clhbsndr no se aplicará porque clhbsndr no está registrado. No obstante, la configuración de empuje automático posterior a través de network/pfil de servicio SMF (que falla en el modo con \*clúster\*) se realizará satisfactoriamente. Esto garantiza que pfil se empuja también en el modo sin clúster.

El usuario debe actualizar también /etc/ipf/pfil.ap, además de /etc/iu.ap. Las actualizaciones a pfil.ap apenas varían. Consulte la documentación del filtro IP para obtener información adicional.

Filtro con estado

El filtro IP no admite filtros con estado con IPMP, ya que los paquetes salientes para la misma sesión pueden atravesar varias interfaces. Sun Cluster requiere el uso de grupos IPMP y, por tanto, hereda la misma limitación.

De este modo, el filtro sin estado sólo se admite con la agrupación de clústeres.

Modo NAT

No se admite NAT en el modo de enrutamiento. Es decir, un nodo de clúster no debe configurarse como un enrutador/puerta de enlace para el envío de paquetes a otro nodo y desde éste. Esto se debe a que dicha configuración crea de forma sencilla un único punto de error para todo el clúster sin convertir, en primer lugar, el mecanismo de enrutamiento en una opción de alta disponibilidad.

Se admite el uso de NAT para la conversión de direcciones locales. La conversión de NAT reescribe los paquetes en línea y, por lo tanto, es transparente en el software de clúster.

Nota: las reglas NAT que incluyen direcciones IP administradas por la agrupación de clústeres (por ejemplo, recursos LogicalHostname) deben repetirse en todos los nodos del clúster.

IPFILTER en transporte de clústeres

Si dispone del mismo tipo de adaptador para la red privada y la red pública, las modificaciones realizadas en /etc/iu.ap pueden provocar que pfil se empuje en canales de red privados. No obstante, el módulo de transporte de clústeres eliminaría todos los módulos no deseados durante la creación de canales. Por lo tanto, pfil debería eliminarse. El usuario no necesita realizar ningún tipo de procedimiento especial.

John Blair
Director de control de calidad (QA)
Solaris Cluster

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.