ADC の高可用性セットアップで Thales Luna HSM を構成する
Thales Luna HSM をハイアベイラビリティ(HA)に設定することで、いずれかのデバイスをすべて使用できない場合でも、サービスが中断されないようにします。HA 設定では、各 HSM はアクティブ-アクティブモードで HA グループに加入します。HA セットアップの Thales Luna HSM は、すべてのグループメンバーのロードバランシングを提供し、パフォーマンスと応答時間を向上させながら、高可用性サービスを保証します。詳細については、Thales Luna のセールスおよびサポートにお問い合わせください。
前提条件:
- 最低 2 台のThales Luna HSM デバイス。HA グループ内のすべてのデバイスには、PED(信頼できるパス)認証またはパスワード認証が必要です。HA グループでの信頼できるパス認証とパスワード認証の組み合わせはサポートされていません。
- ラベル(名前)が異なる場合でも、各 HSM デバイスのパーティションには同じパスワードが必要です。
- HA内のすべてのパーティションをクライアント(Citrix ADCアプライアンス)に割り当てる必要があります。
ADC での Thales Luna クライアントの設定の説明に従って、ADC で Thales Luna クライアントを構成した後、次の手順を実行して HA で Thales Luna HSM を設定します。
-
Citrix ADC のシェルプロンプトで、
lunacm(/usr/safenet/lunaclient/bin)を起動します。例:
root@ns# cd /var/safenet/safenet/lunaclient/bin/ root@ns# ./lunacm -
パーティションのスロット ID を識別します。使用可能なスロット(パーティション)を一覧表示するには、次のように入力します。
lunacm:> slot list例:
Slot Id -> 0 HSM Label -> trinity-p1 HSM Serial Number -> 481681014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 1 HSM Label -> trinity-p2 HSM Serial Number -> 481681018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 2 HSM Label -> neo-p1 HSM Serial Number -> 487298014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 3 HSM Label -> neo-p2 HSM Serial Number -> 487298018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 7 HSM Label -> hsmha HSM Serial Number -> 1481681014 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Slot Id -> 8 HSM Label -> newha HSM Serial Number -> 1481681018 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Current Slot Id: 0 -
HA グループを作成します。最初のパーティションは、プライマリパーティションと呼ばれます。2 つ以上のセカンダリパーティションを追加できます。
lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password > lunacm:> hagroup createGroup -slot 1 -label gp12 -password ****** -
セカンダリメンバー(HSM パーティション)を追加します。HA グループに追加するすべてのパーティションに対して、この手順を繰り返します。
lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>コード:
lunacm:> hagroup addMember -slot 2 -group gp12 -password ****** -
HA 専用モードを有効にします。
lunacm:> hagroup HAOnly –enable -
アクティブリカバリモードを有効にします。
lunacm:.>hagroup recoveryMode –mode active -
自動リカバリ間隔を秒単位で設定します。デフォルト値は60秒です。
lunacm:.>hagroup interval –interval <value in seconds>例:
lunacm:.>hagroup interval –interval 120 -
リカバリの再試行回数を設定します。値が-1 の場合、再試行回数は無限になります。
lunacm:> hagroup retry -count <xxx>例:
lunacm:> hagroup retry -count 2 -
設定を
Chrystoki.confから SafeNet 設定ディレクトリにコピーします。cp /etc/Chrystoki.conf /var/safenet/config/ -
ADCアプライアンスを再起動します。
reboot
HA で Thales Luna HSM を設定した後、 ADC での詳細設定については、その他の ADC の設定を参照してください。