在 ADC 的高可用性设置中配置 Thales Luna HSM

July 15, 2024

投稿者:

在高可用性 (HA) 中配置 Thales Luna HSM，即使除了其中一台设备之外的所有设备都不可用，也可确保不间断的服务。在 HA 设置中，每个 HSM 以主动-主动模式加入 HA 组。HA 设置中的 Thales Luna HSM 为所有组成员提供负载平衡，以提高性能和响应时间，同时提供高可用性服务的保证。有关更多信息，请联系 Thales Luna 销售和支持。

必备条件：

至少有两台泰雷兹 Luna HSM 设备。HA 组中的所有设备必须具有 PED（受信任路径）身份验证或密码身份验证。不支持 HA 组中可信路径身份验证和密码身份验证的组合。
即使标签（名称）不同，每台 HSM 设备上的分区也必须具有相同的密码。
HA 中的所有分区必须分配给客户端（NetScaler 设备）。

如在 ADC 上配置 Thales Luna 客户端中所述，在 ADC 上配置 Thales Luna 客户端后，请执行以下步骤在 HA 中配置 Thales Luna HSM：

在 NetScaler shell 提示符下，启动 lunacm （/usr/safenet/lunaclient/bin）

示例：
```
root@ns# cd /var/safenet/safenet/lunaclient/bin/

root@ns# ./lunacm
 
```

识别分区的插槽 ID。要列出可用插槽（分区），请键入：

lunacm:> slot list
 

示例：

    Slot Id ->              0
    HSM Label ->            trinity-p1
    HSM Serial Number ->    481681014
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              1
    HSM Label ->            trinity-p2
    HSM Serial Number ->    481681018
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

     Slot Id ->              2
     HSM Label ->            neo-p1
     HSM Serial Number ->    487298014
     HSM Model ->            LunaSA 6.2.1
     HSM Firmware Version -> 6.10.9
     HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              3
    HSM Label ->            neo-p2
    HSM Serial Number ->    487298018
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              7
    HSM Label ->            hsmha
    HSM Serial Number ->    1481681014
    HSM Model ->            LunaVirtual
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
    HSM Status ->           N/A - HA Group

    Slot Id ->              8
    HSM Label ->            newha
    HSM Serial Number ->    1481681018
    HSM Model ->            LunaVirtual
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
    HSM Status ->           N/A - HA Group

    Current Slot Id: 0
 

创建 HA 组。第一个分区称为主分区。您可以添加多个辅助分区。

lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >

lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******

添加辅助成员（HSM 分区）。重复此步骤，将所有分区添加到 HA 组。

lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
 

代码：

lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
 

启用仅限 HA 模式。
```
lunacm:> hagroup HAOnly –enable
 
```

启用主动恢复模式。

lunacm:.>hagroup recoveryMode –mode active
 

设置自动恢复间隔时间（以秒为单位）。默认值为 60 秒。

lunacm:.>hagroup interval –interval <value in seconds>
 

示例：

lunacm:.>hagroup interval –interval 120
 

设置恢复重试次数。值为 -1 时允许无限次重试。

lunacm:> hagroup retry -count <xxx>
 

示例：

lunacm:> hagroup retry -count 2
 

将配置从复制 Chrystoki.conf 到 SafeNet 配置目录。
```
cp /etc/Chrystoki.conf /var/safenet/config/
 
```
重新启动 ADC 设备。
```
reboot
 
```

在 HA 中配置 Thales Luna HSM 后，请参阅其他 ADC 配置以了解 ADC 的进一步配置。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

在 ADC 的高可用性设置中配置 Thales Luna HSM

July 15, 2024

投稿者:

在 ADC 的高可用性设置中配置 Thales Luna HSM

在本文中