ADCの高可用性セットアップでThales Luna HSMを構成する
Thales Luna HSM をハイアベイラビリティ(HA)に設定することで、いずれかのデバイスをすべて使用できない場合でも、サービスが中断されないようにします。HA 設定では、各 HSM はアクティブ-アクティブモードで HA グループに加入します。HA セットアップの Thales Luna HSM は、すべてのグループメンバーのロードバランシングを提供し、パフォーマンスと応答時間を向上させながら、高可用性サービスを保証します。詳細については、Thales Luna のセールスおよびサポートにお問い合わせください。
前提条件:
- 最低 2 台のThales Luna HSM デバイス。HA グループ内のすべてのデバイスには、PED(信頼できるパス)認証またはパスワード認証が必要です。HA グループでのトラステッドパス認証とパスワード認証の組み合わせはサポートされていません。
- 各 HSM デバイスのパーティションには、ラベル (名前) が異なっていても同じパスワードが必要です。
- HA内のすべてのパーティションをクライアント(Citrix ADCアプライアンス)に割り当てる必要があります。
ADC での Thales Luna クライアントの設定の説明に従って、ADC で Thales Luna クライアントを構成した後、次の手順を実行して HA で Thales Luna HSM を設定します。
-
NetScaler のシェルプロンプトで、
lunacm(/usr/safenet/lunaclient/bin)を起動します。例:
root@ns# cd /var/safenet/safenet/lunaclient/bin/ root@ns# ./lunacm <!--NeedCopy--> -
パーティションのスロット ID を識別します。使用可能なスロット (パーティション) を一覧表示するには、次のように入力します。
lunacm:> slot list <!--NeedCopy-->例:
Slot Id -> 0 HSM Label -> trinity-p1 HSM Serial Number -> 481681014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 1 HSM Label -> trinity-p2 HSM Serial Number -> 481681018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 2 HSM Label -> neo-p1 HSM Serial Number -> 487298014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 3 HSM Label -> neo-p2 HSM Serial Number -> 487298018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 7 HSM Label -> hsmha HSM Serial Number -> 1481681014 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Slot Id -> 8 HSM Label -> newha HSM Serial Number -> 1481681018 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Current Slot Id: 0 <!--NeedCopy--> -
HA グループを作成します。最初のパーティションはプライマリパーティションと呼ばれます。複数のセカンダリパーティションを追加できます。
lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password > lunacm:> hagroup createGroup -slot 1 -label gp12 -password ****** <!--NeedCopy--> -
セカンダリメンバー (HSM パーティション) を追加します。HA グループに追加するすべてのパーティションに対してこの手順を繰り返します。
lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password> <!--NeedCopy-->コード:
lunacm:> hagroup addMember -slot 2 -group gp12 -password ****** <!--NeedCopy--> -
HA 専用モードを有効にします。
lunacm:> hagroup HAOnly –enable <!--NeedCopy--> -
アクティブリカバリモードを有効にします。
lunacm:.>hagroup recoveryMode –mode active <!--NeedCopy--> -
自動回復の間隔時間 (秒単位) を設定します。デフォルト値は60秒です。
lunacm:.>hagroup interval –interval <value in seconds> <!--NeedCopy-->例:
lunacm:.>hagroup interval –interval 120 <!--NeedCopy--> -
リカバリの再試行回数を設定します。値が -1 の場合、再試行回数は無限です。
lunacm:> hagroup retry -count <xxx> <!--NeedCopy-->例:
lunacm:> hagroup retry -count 2 <!--NeedCopy--> -
設定を SafeNet
Chrystoki.conf設定ディレクトリにコピーします。cp /etc/Chrystoki.conf /var/safenet/config/ <!--NeedCopy--> -
ADCアプライアンスを再起動します。
reboot <!--NeedCopy-->
HA で Thales Luna HSM を設定した後、 ADC での詳細設定については、その他の ADC の設定を参照してください。