IBM認證知識:HACMP網絡安全規劃
規劃網絡安全性對於避免集羣節點上未經授權的訪問也是非常重要的。
從 HACMP V5.1 開始,通過爲節點之間所有與 HACMP 配置相關的通信提供公共通信基礎設施(守護進程),從而引入了一種新的安全機制。
新的集羣通信守護進程 (clcomdES) 的引入在 HACMP 集羣中提供了增強的安全性,同時還加快了與配置相關的操作速度。
存在三個級別的通信安全性:
標準級別
缺省安全級別。直接由集羣通信守護進程 (clcomdES) 實現。使用 HACMP ODM 類別和 /usr/es/sbin/cluster/rhosts 文件來確定合法夥伴。增強級別
在 SP 集羣中使用。利用基於 Kerberos 提供的第三方身份驗證方法的增強身份驗證方法。虛擬專用網(Virtual Private Network,VPN)
VPN 是在 AIX 中配置的。然後將 HACMP 配置爲使用 VPN 來進行所有與節點間配置相關的通信操作。通過使用集羣安全通信子系統,HACMP 消除了對每個集羣節點上的` /ts 文件或 Kerberos 配置的需要。
但是,可能仍然需要 /ts 來支持需要這種遠程通信機制的應用程序的操作。
注意:並非所有集羣通信都通過 clcomdES 進行保護;其他守護進程具有自己的通信機制(不是基於“r”命令)。
集羣管理器 (clstrmgrES)集羣鎖守護進程 (cllockdES)集羣多對等擴展通信守護進程 (clsmuxpdES)clcomdES 用於集羣配置操作,例如集羣同步、集羣管理 (C-SPOC) 和動態重新配置 (DARE) 操作。
通過使用“最低權限”原則,集羣通信守護進程 clcomdES 提供安全的遠程命令執行和 HACMP ODM 配置文件更新。
因而,只有存在於 /usr/es/sbin/cluster/ 中的程序才以 root 身份運行;其他所有程序都以“nobody”用戶身份運行。除了 clcomdES 以外,還使用了以下程序:
cl_rsh 是集羣遠程 Shell 執行程序。clrexec 用於以 root 身份運行特定的危險命令,例如修改 /etc 目錄中的文件。cl_rcp 用於複製 AIX 配置文件。這些命令硬編碼在 clcomdES 中,不支持由用戶運行。
集羣通信守護進程 (clcomdES) 具有以下特徵:
由於集羣通信不需要標準 AIX“r”命令,因此可以消除對 /ts 文件的依賴性。因而,即使在“標準”安全模式下,集羣安全性也得到了增強。爲其他節點在本地節點(從中執行配置變更和同步的節點)上的 ODM 副本提供可靠的緩存機制。限制可在遠程節點上作爲 root 身份執行的命令(只有 /usr/es/sbin/cluster 中的命令才以 root 身份運行)。clcomdES 從 /etc/inittab 啓動,並由系統資源控制器(system resource controller,SRC)子系統進行管理。提供自己的心跳檢測機制,並發現活動的集羣節點(即使是在集羣管理器或 RSCT 未運行的情況下)。注意:ClcomdES 爲諸如 clverify、godm、rsh 和 rexec 等各種 HACMP 服務提供了傳輸機制。
針對傳入連接的 clcomdES 身份驗證過程的基礎是對照以下文件檢查節點的身份:
HACMPadapter ODM 類別(此類別中定義的 IP 標籤)HACMPnode ODM(用作集羣中節點的通信路徑的 IP 地址/標籤)/usr/sbin/cluster/etc/rhosts 文件如果 /usr/sbin/cluster/etc/rhosts 文件丟失,或者未包含針對遠程發起節點的條目(IP 地址或可解析的 IP 標籤),則不允許進入的連接。
如果 HACMPnode、HACMPadapter ODM 類別和 /usr/sbin/cluster/etc/rhosts 文件爲空,則 clcomdES 假設集羣正在進行配置,並接受傳入的連接,然後在初始配置完成後,將對等節點的 IP 標籤(地址)添加到 /usr/sbin/cluster/etc/rhosts 文件。
如果請求連接的 IP 地址與上述位置(HACMPadapter、HACMPnode 和 /usr/es/sbin/cluster/etc/rhosts)中的某個標籤匹配,則 clcomdES 將反過來連接到請求節點,並要求提供 IP 標籤(主機名稱);如果返回的 IP 標籤(主機名稱)與請求 IP 地址匹配,則身份驗證成功完成。
相關文章
-
IBM認證知識:HACMP集羣規劃
集羣規劃也許是實現成功的配置過程中最重要的步驟。HACMP 規劃應該包括以下方面:硬件規劃節點網絡存儲軟件規劃操作系統版本HACMP 版本應用程序兼容性測試和維護規劃測試過程變更管理管理操作硬件規劃實現高可用性配置 -
IBM的HACMP認證知識:HACMP的規劃
規劃是成功的實現的一半,但是就 HACMP 而言,如何強調正確規劃的重要性都不爲過。如果規劃不當,您可能會在以後某個時候發現自己陷入種種限制之中,而要擺脫這些限制可能是非常痛苦的經歷。因此,請保持鎮定從容,並使用產品附 -
IBM認證知識:HACMP術語
從 HACMP V5.1 開始,用於描述 HACMP 配置和操作的術語已發生了很大的變化。做出此更改是爲了簡化 HACMP 的總體使用和維護,同時也是爲了使術語與 IBM 產品系列保持一致。例如,在早期的 HACMP 版本中,取決於上下文,術語適配 -
IBM認證知識:HACMP心跳檢測
與在許多其他類型的集羣中一樣,心跳檢測用於監視網絡接口、通信設備和 IP 標籤(服務、非服務和持久 IP 標籤)的可用性,從而監視節點的可用性。從 HACMP V5.1 開始,心跳檢測完全基於 RSCT 拓撲服務(因而 HACMP V5.1 只是E -
HACMP認證知識:資源組規劃
資源組是一個邏輯實體,其中包含 HACMP 要使其高度可用的資源。資源可以是:存儲空間(應用程序代碼和數據)文件系統網絡文件系統原始邏輯卷原始物理磁盤服務 IP 地址/標籤(由客戶端用於訪問應用程序數據)應用程序服務器應 -
IBM認證HACMP概述
High Availability Cluster Multi-Processing for AIX (HACMP) 基本軟件產品處理部分連續操作問題。它處理單個站點的計算聯合體中的計算機、適配器或局域網的故障恢復。 HACMP/XD:HAGEO 組件該軟件具有三個重要功 -
HACMP認證知識:共享LVM要求
HACMP 集羣的共享 LVM 規劃取決於共享磁盤訪問方法和共享磁盤設備的類型。應該爲共享 LVM 考慮的元素包括:數據保護方法存儲訪問方法存儲硬件冗餘注意:HACMP 本身不提供存儲保護。存儲保護是通過以下途徑提供的:AIX(LVM -
HACMP認證知識:災難恢復計劃
從 HACMP V5.1 開始,HAGEO 和 GeoRM 已作爲 IBM HACMP/XD(擴展距離)功能集成到 HACMP 中。HAGEO 軟件產品提供了一個用於構建容災計算環境的靈活、可靠的平臺。HAGEO 組件可以通過 TCP/IP 點對點網絡在無限距離的地理 -
HACMP認證知識:資源組類型
級聯資源組級聯資源組定義了可控制該資源組的所有節點的列表,以及每個節點在接管該資源組方面的優先級。級聯資源組的行爲如下:在集羣啓動時,在缺省情況下,級聯資源組在其主節點(在該節點組中具有最高優先級的節點)上 -
HACMP認證知識:應用程序監視
除了資源組管理以外,HACMP 還可以通過以下兩種方法之一監視應用程序:應用程序進程監視:使用 RSCT 事件管理功能檢測進程是否終止。應用程序自定義監視:基於您定義的監視方法(程序或腳本)來監視應用程序的運行狀況。注意:不