Konfigurieren Sie Thales Luna HSMs in einem Hochverfügbarkeits-Setup auf dem ADC
Die Konfiguration von Thales Luna HSMs in einer Hochverfügbarkeit (HA) gewährleistet einen unterbrechungsfreien Service, auch wenn alle, außer eines der Geräte, nicht verfügbar sind. In einem HA-Setup schließt sich jeder HSM im Aktiv-Aktiv-Modus einer HA-Gruppe an. Thales Luna HSMs in einem HA-Setup bieten einen Lastenausgleich aller Gruppenmitglieder, um die Leistung und Reaktionszeit zu erhöhen und gleichzeitig die Gewährleistung eines Hochverfügbarkeitsdienstes zu gewährleisten. Für weitere Informationen wenden Sie sich an den Verkauf und Support von Thales Luna.
Voraussetzungen:
- Mindestens zwei Thales Luna HSM-Geräte. Alle Geräte in einer HA-Gruppe müssen entweder eine PED-Authentifizierung (vertrauenswürdiger Pfad) oder eine Kennwortauthentifizierung aufweisen. Eine Kombination aus vertrauenswürdiger Pfadauthentifizierung und Kennwortauthentifizierung in einer HA-Gruppe wird nicht unterstützt.
- Partitionen auf jedem HSM-Gerät müssen dasselbe Kennwort haben, auch wenn das Label (Name) anders ist.
- Alle Partitionen in HA müssen dem Client zugewiesen werden (Citrix ADC Appliance).
Nachdem Sie einen Thales Luna-Client auf dem ADC konfiguriert haben, wie unter Konfigurieren eines Thales Luna-Clients auf dem ADCbeschrieben, führen Sie die folgenden Schritte aus, um Thales Luna HSMs in HA zu konfigurieren:
-
Starten Sie an der Citrix ADC Shell-Eingabeaufforderung
lunacm
(/usr/safenet/lunaclient/bin)Beispiel:
root@ns# cd /var/safenet/safenet/lunaclient/bin/ root@ns# ./lunacm <!--NeedCopy-->
-
Identifizieren Sie die Slot-IDs der Partitionen. Geben Sie Folgendes ein, um die verfügbaren Slots (Partitionen) aufzulisten:
lunacm:> slot list <!--NeedCopy-->
Beispiel:
Slot Id -> 0 HSM Label -> trinity-p1 HSM Serial Number -> 481681014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 1 HSM Label -> trinity-p2 HSM Serial Number -> 481681018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 2 HSM Label -> neo-p1 HSM Serial Number -> 487298014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 3 HSM Label -> neo-p2 HSM Serial Number -> 487298018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 7 HSM Label -> hsmha HSM Serial Number -> 1481681014 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Slot Id -> 8 HSM Label -> newha HSM Serial Number -> 1481681018 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Current Slot Id: 0 <!--NeedCopy-->
-
Erstellen Sie die HA-Gruppe. Die erste Partition wird als primäre Partition bezeichnet. Sie können mehrere sekundäre Partitionen hinzufügen.
lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password > lunacm:> hagroup createGroup -slot 1 -label gp12 -password ** **** <!--NeedCopy-->
-
Fügen Sie die sekundären Elemente (HSM-Partitionen) hinzu. Wiederholen Sie diesen Schritt für alle Partitionen, die der HA-Gruppe hinzugefügt werden sollen.
lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password> <!--NeedCopy-->
Code:
lunacm:> hagroup addMember -slot 2 -group gp12 -password ** **** <!--NeedCopy-->
-
Nur HA-Modus aktivieren.
lunacm:> hagroup HAOnly –enable <!--NeedCopy-->
-
Aktiven Wiederherstellungsmodus aktivieren.
lunacm:.>hagroup recoveryMode –mode active <!--NeedCopy-->
-
Einstellen der automatischen Wiederherstellungsintervall (in Sekunden). Die Standardeinstellung ist 60 Sekunden.
lunacm:.>hagroup interval –interval <value in seconds> <!--NeedCopy-->
Beispiel:
lunacm:.>hagroup interval –interval 120 <!--NeedCopy-->
-
Festlegen der Anzahl der Wiederherstellungswiederholungen. Ein Wert von -1 erlaubt eine unendliche Anzahl von Wiederholungen.
lunacm:> hagroup retry -count <xxx> <!--NeedCopy-->
Beispiel:
lunacm:> hagroup retry -count 2 <!--NeedCopy-->
-
Kopieren Sie die Konfiguration von
Chrystoki.conf
in das SafeNet-Konfigurationsverzeichnis.cp /etc/Chrystoki.conf /var/safenet/config/ <!--NeedCopy-->
-
Starten Sie die ADC-Appliance neu.
reboot <!--NeedCopy-->
Nach der Konfiguration von Thales Luna HSM in HA finden Sie unter Andere ADC-Konfiguration für weitere Konfiguration auf dem ADC.