2 ノード・クラスターの作成
2 ノード・クラスターを作成する方法および発生する可能性があるエラーについて説明します。
クラスターの作成を開始する前に、クラスター・ノードのネットワーキングが正しくセットアップされているかどうかを確認することが重要です。
- 各クラスター・ノードの IP、ネットマスク、およびブロードキャスト・アドレ スに一貫性がある必要があります。
- ネーム解決が正しく、DNS 項目に一貫性がある必要があります。または、各ローカル /etc/hosts ファイルにすべてのクラスター・ノードの項目が含まれている必要があります。 長いホスト名と短いホスト名は、preprpnode および mkrpdomain などの RSCT コマンドで大/小文字を区別して処理されます。そのため、それらのスペルがホスト名および /etc/hosts 項目として正しいことを確認してください。 すべての文字を小文字または大文字にすると、分かりやすくなります。
- 同じホスト名を参照する無関係な項目 (
127.0.0.2 my_hostname
などの項目) を /etc/hosts 表から削除します。 このような項目は、オペレーティング・システムをインストールする際に作成されることがありますが、クラスター・インフラストラクチャーとは矛盾しています。 - 各ノード上で同一サブネットへの複数のネットワーク・インターフェースを定義しないでください。
- ローカルのファイアウォールを含むすべてのファイアウォールが、クラスター・ノード間の ICMP ping および IP トラフィックに対して、次のポート番号の通過を許可する必要があります。
- RSCT
cthats
サブシステム用の 12347/udp 。 - RSCT
cthags
サブシステム用の 12348/udp 。 - RSCT
rmc
サブシステム用の 657/udp 。 - RSCT
rmc
サブシステム用の 657/tcp 。
- RSCT
クラスター・ノード間のネットワーキングをセットアップするための詳細な手順と提案については、 ネットワーク・インターフェースの使用 を参照してください。
- クラスターの各ノードにログオンします。
- 各ノード上でシェルを開き、root としてログオンします。 sudo コマンドを使用する適切な権限を持つ非 root ユーザー ID を使用することもできます。
- 各ノードで環境変数
CT_MANAGEMENT_SCOPE
を 2 に設定してエクスポートします。 この環境変数は、RSCT および System Automation for Multiplatforms コマンドの実行時に必ず設定する必要があるため、この変数は永続的に設定してください。 例えば、/etc/profile 内で変数を設定します。CT_MANAGEMENT_SCOPE
変数は、すべての RSCT および System Automation for Multiplatforms コマンドがローカル (1) またはクラスター (2) 有効範囲で実行されるように構成します。 - すべてのノードで preprpnode コマンドを実行し、クラスター・ノード間の通信を許可します。
preprpnode node01 node02
- これで、ノード node01 および node02 を含む
SA_Domain
という名前のクラスターを作成する準備ができました。 コマンドは、2 つのノードのいずれかから 1 回入力する必要があります。mkrpdomain SA_Domain node01 node02
mkrpdomain コマンドを使用して RSCT ピア・ドメイン (クラスター) を作成する場合、ピア・ドメイン名に許可される文字は、 A-Z、 a-z、 0-9、および限定されています (ピリオド)、 _ (アンダースコアー ドメイン名は大/小文字を区別して処理されます。
クラスター
SA_Domain
の状況を確認するには、lsrpdomain コマンドを入力します。
出力:lsrpdomain
Name OpState RSCTActiveVersion MixedVersions TSPort GSPort SA_Domain Offline 3.1.5.3 No 12347 12348
クラスターは定義済みですが、まだ始動されていないため、オフラインです。
- -k フラグを使用して、クラスター共有秘密鍵 (CSSK) を設定できます。 CSSK は、ピア・ドメイン内のノード間で送信される制御メッセージを認証するために、RSCT コンポーネントによって使用されます。 デフォルトでは、CSSK は使用不可です (つまり、CSSKTYPE_None に設定されています)。 メッセージ認証を使用可能にするには、-k フラグを指定して CSSKTYPE_DES_MD5 などの CSSK 値を使用します。 メッセージ認証を使用可能にすると、パフォーマンスに影響します。 暗号化アルゴリズムの複雑度によってこの影響が変わります。
メッセージ認証は、ピア・ドメイン内のノードの時刻クロック (TOD) が、システム時刻に従って相互に 2 分以内で同期していることも必要とします。 ノードの TOD がピア・ドメイン全体にわたって同期しているとき、この機能はメッセージのリプレイ・アタックから防御するのに役立ちます。 ノードの TOD が、相互に 2 分以内で同期していない場合、送信ノードから受信ノードに渡されるメッセージのうち時差が 2 分より長いものは破棄されます。
-k フラグを使用してメッセージ認証を使用可能にするときに、-r フラグを使用して鍵のリフレッシュ間隔を指定できます。 デフォルトでは、鍵は毎日リフレッシュされます。
CSSK 設定のセットアップと管理について詳しくは、「 Administering RSCT 」ガイドを参照してください。
よりセキュアなアルゴリズムを使用するには、ノードまたはクラスターを、米国連邦情報・技術局 (NIST) SP800-131a コンプライアンス準拠に準拠するようにマイグレーションすることができます。
認証およびセキュア通信のためにセキュリティー・メカニズムを使用するすべてのサービスに対して nist_sp800_131a NIST 準拠モードを使用するには、サービスで最小の鍵強度を使用する必要があります。
ノードが nist_sp800_131a NIST コンプライアンス・モードでクレームされると、クラスター・セキュリティー・サービスは、準拠仕様に準拠している対称鍵または非対称鍵を使用しているノードからのセッションを認証できます。
スタンドアロン・ピア・ドメインは、 nist_sp800_131a モードで動作するように作成することも、ドメインがオンラインになっている間にアクションを実行することによって準拠に移行することもできます。
mkrpdomain コマンドは、作成されるドメインの準拠モードを指定する -C オプションを提供し、 -k オプションを使用して、要求されたセキュリティー・モードに準拠するクラスター鍵タイプを指定することができます。
ドメインを nist_sp800_131a モードにマイグレーションするには、以下のコマンドを実行します。> runact -c IBM.PeerDomain ChangeSecurityMode Mode="nist_sp800_131a" CSSKType="key_type"
ピア・ドメインで nist_sp800_131a セキュリティー・モードを使用可能にする方法の詳細については、 RSCT の管理 ガイドのセクション「セキュリティー準拠モードの構成」を参照してください。
- startrpdomain コマンドを発行して、クラスターを
オンラインにします。
始動がまだ進行している間には、lsrpdomain コマンドを再び実行すると、クラスターの OpState は Pending Online として表示されることがあります。startrpdomain SA_Domain
しばらくすると、クラスターの始動が完了します。lsprdomain コマンドを再び実行すると、クラスターはName OpState RSCTActiveVersion MixedVersions TSPort GSPort SA_Domain Pending online 3.1.5.3 No 12347 12348
Online
として表示されます。Name OpState RSCTActiveVersion MixedVersions TSPort GSPort SA_Domain Online 3.1.5.3 No 12347 12348
クラスター作成中に発生する可能性がある一般的なエラー
- mkrpdomain コマンドを発行すると、以下のようなエラー・メッセージが返されることがあります。
2632-044 The domain cannot be created due to the following errors that were detected while harvesting information from the target nodes:node1: 2632-068 This node has the same internal identifier as node02 and cannot be included in the domain definition.
このエラーは、複製されたオペレーティング・システム・イメージを使用している場合に最も頻繁に発生します。
この場合は、クラスター構成をリセットする必要があります。 このような問題を解決するには、エラー・メッセージ内で示されているノード上で次のコマンドを実行します。 これにより、RSCT ノード ID がリセットされます。
/usr/sbin/rsct/install/bin/recfgct
次に、preprpnode コマンドから始まるクラスター作成手順を繰り返す必要があります。
- 以下のようなエラー・メッセージを受信することがあります。
2632-044 The domain cannot be created due to the following errors that were detected while harvesting information from the target nodes: node1: 2610-418 Permission is denied to access the resources or resource class specified in this command.
ホストのネーム解決を確認します。 すべてのローカル /etc/hosts ファイルで、各クラスター・ノードまたはネーム・サーバー (あるいはその両方) のすべての項目が同一であることを確認します。
- 以下のようなエラー・メッセージを受信することがあります。
2612-022 A session could not be established with the RMC daemon on <node_name>.
このエラーは、ファイアウォールがクラスター・ノード間の通信をブロックしている場合に最も頻繁に発生します。 問題の解決には、以下のポートをファイアウォール・ソフトウェアで使用可能にします。rmc port 657 TCP IN/OUT Source Port Range: ephemeral port rmc port 657 UDP IN/OUT Source Port Range: ephemeral port cthats port 12347 UDP IN/OUT Source Port Range: 1024 - 65535 cthags port 12348 UDP IN/OUT Source Port Range: 1024 - 65535
すべてのファイアウォール・ルールで、BROADCAST パケットが
cthats
ポートを通過できるように許可されている必要があります。 ファイアウォールおよびネットワークの問題について詳しくは、「IBM RSCT 管理ガイド」の『付録 A. RSCT ネットワークの考慮事項 (Appendix A. RSCT network considerations)』を参照してください。