|
|
臺灣-繁體中文 | |
|
|
 |
|
HP Serviceguard A.11.17 版版本需知適用於 HP-UX 11i v3 > 第 1 章. Serviceguard
A.11.17 版版本需知適用於 HP-UX 11i v3
相容性資訊及安裝需求 |
|
|
開始安裝前,需先閱讀此整本文件 (及其他您可能有的相關產品的版本需知或 README (讀我檔案))。 若需相容性的完整資訊,請參閱發佈於 http://www.docs.hp.com -> High Availability-> Serviceguard -> Support Matrixes 的《《Serviceguard Compatibility and Feature Matrix》》。 如欲確認 Serviceguard (和 Serviceguard 管理員) 以及 Bastille
之間的相容性,請根據您的環境進行下列作業:若 Bastille 使用 Sec10Host (host.config) 層級的鎖定 (lock down) 而啟動,請將 SecureInetd.deactivate_ident=Y 變更為 若 Bastille 使用 Sec20MngDMZ (mandmz.config) 層級的鎖定而啟動,請將 SecureInetd.deactivate_ident=Y 變更為 若 Bastille 使用 SIM.config 而啟動,請將 SecureInetd.deactivate_ident=Y 變更為 SecureInetd.deactivate_ident=N 若 Bastille 使用 Sec30DMZ (dmz.config) 層級的鎖定而啟動,請將 SecureInetd.deactivate_ident=Y 變更為 SecureInetd.deactivate_ident=N,並將下列規則新增至 ipf.customrules。 pass in quick proto tcp from any to any port = 2301 pass in quick proto tcp from any to any port = 2381 pass in quick from <叢集節點> to any pass out quick from any to <叢集節點> 在以上的規則中,<叢集節點>是叢集中的所有節點 (包含本機節點)。 ipf.customrules 檔案位於 Bastille 本身的目錄底下。 IPFilter-Serviceguard 規則記錄於最新版的《《HP-UX IPFilter Version Administrator's Guide》》,該指南發佈於 http://docs.hp.com/-> Internet and Security Solutions -> IPFilter。 若需如何配置 HP-UX Bastille Sec10Host 以允許 identd 協助程式執行的相關資訊,請參閱 http://docs.hp.comCore HP-UX/Operating 自 HP-UX 11i v2 Update 2 (0409) 和 Serviceguard A.11.16 起,Serviceguard 可支援「混合」叢集,包含 HP 9000 和 Integrity 伺服器。混合叢集可支援相同版本層級的相同容體管理員,與 Serviceguard 叢集相同,但需使用下列限制 (括號內目前版本的特有限制):
安裝 Serviceguard A.11.17 版前,需先確認叢集皆已正確的昇級硬體。如欲昇級舊型的系統,則需先請 HP 業務代表評估 SCSI 控制器配接卡的韌體層級,並安裝最新的版本。 Serviceguard A.11.16 版推出新的存取方法。自 A.11.16 起,Serviceguard 會使用「存取控制規則」(而非 cmclnodelist 或 .rhosts) 來驗證使用者。 若欲允許非 root 的身份存取叢集,必須在叢集配置或套件配置檔內配置一個「存取控制規則」。 若需以角色為基礎之存取的相關資訊,請參閱《《管理 Serviceguard》》手冊 (docs.hp.com -> High Availability)、Serviceguard 管理員輔助說明 (「配置叢集」->「角色」),以及叢集與套件配置檔本身。 若您在舊版叢集中依賴 .rhosts 進行存取,那麼請務必手動配置叢集使用者的「存取控制規則」。 當您自舊版進行昇級時,Serviceguard 會將 cmclnodelist 項目轉換為寫入叢集配置檔的新項目,如下所示:
萬用字元 + (加號) 會依下列所示轉換:
完成輪替式昇級後,請確認利用 cmgetconf 命令建立與儲存新配置的複本。若下達 cmapplyconf,請確認它是否套用新轉移的「存取控制規則」。 首次在節點上安裝 Serviceguard 時,節點尚不屬於叢集,因此沒有「存取控制規則」。若需如何進行的指示說明,請參閱《《管理 Serviceguard》》手冊第五章「存取角色」下的「設定未配置節點的控制」一節。 若 Serviceguard 叢集具有 A.11.16 版以前的版本,則在 cmclnodelist 或 .rhosts 檔案內授與存取。僅 root 使用者可以修改這些檔案以授權存取。 A.11.16 版以前的叢集內,「監視」是非 root 使用者僅有的角色。 欲監視叢集,請修改 (A.11.16 版之前) 叢集節點的 cmclnodelist 檔案。輸入<使用者_主機名稱> <非Root使用者_名稱>組,即可授權唯讀存取,或者可輸入 + (加號) 萬用字元,以允許任何使用者。 命令行使用者可以此項目下達 cmviewcl 命令。 Serviceguard 管理員使用者可以檢視叢集圖與結構樹內的叢集,並讀取所有叢集物件的「屬性」。Serviceguard 管理員使用者若以 root 身份登入階段作業伺服器,便可下達管理命令,若輸入其中一個叢集節點的 root 密碼,便可下達配置命令。 Serviceguard 管理員針對存取檢查兩處: 一次是當使用者登入階段作業伺服器時,再者是當階段作業伺服器連絡目標節點時。若需 Serviceguard 管理員規則的相關資訊,請參閱《《Serviceguard 管理員版本需知》》或線上輔助說明。 若為 A.11.16 版以前的版本,/.rhosts 檔案不能讓 group 或 other 寫入。/.rhosts 檔案若啟用 other 或 group 的寫入存取權限,Serviceguard 命令便會失敗,並登錄「Permission denied for user」訊息。未使用 Serviceguard 遠端安全性檔案 /etc/cmcluster/cmclnodelist,且遠端節點安全性是由 .rhosts 機制解決時,便會發生此問題 (這些規則僅適用於執行 Serviceguard A.11.16 版以前版本的目標節點)。 Serviceguard 在每個叢集節點上需要大約 15.5MB 的可鎖定記憶體。
Serviceguard 使用下列連接埠。安裝前,請先檢查 /etc/services,確認這些連接埠未保留供其他程式使用。
執行配置命令,如 cmcheckconf 或 cmapplyconf 和 cmquerycl 時,Serviceguard 亦在網路探測設定期間使用 9/udp discard 連接埠。若停用連接埠 (在 inetd.conf 中),則網路探測可能會較慢,且在某些情況下錯誤訊息會寫入 syslog。 Serviceguard 亦針對部份叢集服務使用動態連接埠 (範圍通常為 49152 - 65535)。若使用核心程式可調整參數調整動態連接埠範圍,請隨之改變您的規則。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 可列印版本 |
|
|
|
|
|
|||||||||||||||
|
|||||||||||||||
