前へ | 次へ | 目次 | 索引 |
ネットワーク・セキュリティは,ネットワーク全体で相互運用性と統一されたセキュリティ・アプローチを促進するものでなければなりません。ネットワーク・セキュリティは以下の 3 つの分野に大きく分類できます。
OpenVMS Cluster システム管理者は,クラスタ内通信に関して,DECnet ソフトウェアを一貫性のある方法で使用しなければなりません。
5.9.1 メカニズム
必要なネットワーク・セキュリティのレベルに応じて,プロトコル暗号化/復号化などの他のセキュリティ・メカニズムが,クラスタ全体でセキュリティ保護をどのように促進することができるかを考慮しなければならないことがあります。
関連項目: 『OpenVMS Guide to System Security』を参照してください。
5.10 システム・ファイルの調整
システム・ファイルを調整するには,以下のガイトラインに従います。
設定するもの | 関連項目 |
---|---|
新たにインストールされたシステムで構成される共通環境 OpenVMS Cluster | これらのファイルを作成するには,『OpenVMS システム管理者マニュアル』を参照する。新たにインストールされたオペレーティング・システムのファイルは, DEC が提供するアカウントに関するファイルを除き,空白であるため,調整はほとんど必要ない。 |
1 台以上のコンピュータが,コンピュータ固有のファイル使用して稼動している OpenVMS Cluster | コンピュータ固有のファイルからファイルの共通コピーを作成するには, 付録 B を参照する。 |
1 つの共通システム・ディスクを使用する共通環境クラスタでは,各システム・ファイルの共通のコピーを使用し,ファイルは共通システム・ディスク,またはすべてのクラスタ・ノードにマウントされているディスクの SYS$COMMON:[SYSEXE] ディレクトリに格納します。この他の操作は不要です。
複数の共通 VAX システム・ディスクまたは複数の共通の Alpha システム・ディスクを使用する OpenVMS Cluster システムで,共通ユーザ環境を準備するには,これらのディスクに格納されているシステム・ファイルを調整しなければなりません。
規則: 表 5-4 で説明する手順には,以下の規則が適用されます。
ステップ | 操作 |
---|---|
1 | SYSUAF.DAT ファイルと NETPROXY.DAT ファイルの場所を判断する。複数のシステム・ディスクを使用するクラスタでは,システム・ディスクではない 1 つのディスクに共通システム・ファイルを格納しておくと,システム管理がはるかに容易になる。 |
2 | SYS$SYSTEM:SYSUAF.DAT と SYS$SYSTEM:NETPROXY.DAT をシステム・ディスク以外の場所にコピーする。 |
3 | SYS$SYSTEM:RIGHTSLIST.DAT と SYS$SYSTEM:VMSMAIL_PROFILE.DATA を, SYSUAF.DAT および NETPROXY.DAT と同じディレクトリにコピーする。 |
4 |
各システム・ディスクで SYS$COMMON:[SYSMGR]SYLOGICALS.COM ファイルを編集し,クラスタ共通ファイルの場所を指定する論理名を定義する。
例: ファイルが $1$DJA16 に格納される場合は,論理名を以下のように定義する。
|
5 | リブートのたびにシステム・ディスクが正しくマウントされるようにするには,以下の操作を実行する。
|
6 | キューイング・システムを起動する準備ができたら,キューおよびジャーナル・ファイルをクラスタ全体で利用可能なディスクに移動する。クラスタ共通ディスクに十分な空き領域がある場合は,そのディスクが最適である。
以下のコマンドを入力する。
|
LAN および複合インターコネクト・クラスタの OpenVMS Cluster システムでは, SYS$MANAGER:NETNODE_UPDATE.COM ファイルも調整しなければなりません。このファイルには,サテライトの重要なすべてのネットワーク構成データが格納されています。NETNODE_UPDATE.COM は,サテライトを追加または削除するたびに更新され,サテライトのイーサネットまたは FDDI ハードウェア・アドレスを変更するたびに更新されます。このファイルの詳細については, 第 10.4.2 項 を参照してください。
DECnet for OpenVMS ソフトウェアを使用して構成された OpenVMS Cluster システムでは,NETNODE_REMOTE.DAT も調整しなければなりません。これはリモート・ノード・ネットワーク・データベースです。
5.11 クラスタのシステム時刻
コンピュータがクラスタに参加すると,クラスタは参加するコンピュータのシステム時刻をクラスタの現在の時刻に設定しようとします。システム時刻はクラスタの各コンピュータで同じ値になるはずですが,時刻が正しく設定される保証はありません。また,システム時刻がクラスタ全体で同じ値になるように調整されるわけでもありません (たとえば,クロック速度の異なるコンピュータでは,同じ時刻になるような保護機能はありません)。
複数のタイム・ゾーンにまたがっている OpenVMS Cluster システムでは,すべてのノードで 1 つのクラスタ単位の共通時刻を使用しなければなりません。共通時刻を使用すると,OpenVMS Cluster のすべてのメンバで,統一されたタイムスタンプが使用されるようになります (たとえば,アプリケーション間やファイル・システム・インスタンス間で)。
5.11.1 システム時刻の設定
クラスタ全体で時刻を設定するには,SYSMAN の CONFIGURATION SET TIME コマンドを使用します。このコマンドは,すべてのノードの時刻が特定の範囲内に設定されていない場合,警告を出します。SET TIME コマンドの詳細については,『OpenVMS システム管理者マニュアル』を参照してください。
OpenVMS Cluster システムの最も重要な機能の 1 つは,複数のシステム間でデバイスとファイルをアクセスできるようにする機能です。
従来のコンピューティング環境では,1 台のシステムがストレージ・サブシステムに直接接続されていました。システムはネットワークを介して他のシステムと接続することができますが,そのシステムがシャットダウンされると,ネットワーク上の他のシステムは,ダウンされたシステムに接続されているディスクや他のデバイスにアクセスできなくなります。
OpenVMS Cluster システムでは,ディスクとテープは 1 つまたは複数のメンバからアクセス可能になるように設定できます。したがって,1 台のコンピュータがシャットダウンされても,他のコンピュータはそのデバイスにアクセスできます。
6.1 データ・ファイルの共用
クラスタ・アクセス可能デバイスは,OpenVMS Cluster で重要な役割を果たします。データ・ファイルまたはアプリケーションをクラスタ・アクセス可能デバイスに格納しておくと,コンピュータは各共通ファイルのシングル・コピーを共用できるようになるからです。データの共用は,VAX コンピュータ間,Alpha コンピュータ間, VAX コンピュータと Alpha コンピュータの間で可能です。
さらに,複数のシステム (VAX と Alpha) が同時に共用ディスク・ファイルに書き込みを行うことができます。この機能によって,OpenVMS Cluster 内の複数のシステムが 1 つのシステム・ディスクを共用でき,複数のシステムが同じディスクからブートでき,オペレーティング・システム・ファイルやユーティリティを共用して,ディスク領域を節約し,システム管理を単純化することができるのです。
注意: テープの場合,複数のシステムが同時に 1 つのテープ・ファイルにアクセスすることはできません。
6.1.1 アクセス方式
ビジネス・ニーズに応じて,特定のデバイスへのアクセスを,そのデバイスに直接接続されている (ローカルな) コンピュータのユーザに制限しなければならないことがあります。また,ディスクやテープをサービス対象のデバイスとして設定して, OpenVMS Cluster 内のすべてのコンピュータのどのユーザでも,そのデバイスを割り振り,利用できるようにすることもできます。
表 6-1 は,さまざまなアクセス方式を示しています。
方式 | デバイスへのアクセス | 説明 | 図 |
---|---|---|---|
ローカル | デバイスに直接接続されているコンピュータに制限される。 | 他のシステムにサービスを提供するように設定できる。 | 図 6-3 |
デュアル・ポート | 2 つの物理ポートのいずれかを使用する。各ポートは別々のコントローラに接続することができる。1 台のコントローラで障害が発生しても,他のコントローラにフェールオーバすることで,デュアル・ポート・ディスクは動作を続行できる。 | いずれかのコントローラが使用可能な限り,デバイスはクラスタ内のすべてのシステムからアクセスできる。 | 図 6-1 |
共用 | 複数のシステムへの共用インターコネクトを介してアクセスできる。 | 共用インターコネクトに接続されていないシステムにサービスするように設定できる。 | 図 6-2 |
サービス | MSCP または TMSCP サーバ・ソフトウェアがロードされているコンピュータを通じてアクセスできる。 | MSCP および TMSCP サービスについては, 第 6.3 節 を参照。 | 図 6-2 と 図 6-3 |
デュアル・パス | 複数のパスを通じてアクセスできる。 | 1 つのパスで障害が発生した場合,デバイスは他のパスを介してアクセスされる。割り当てクラスを使用することが必要である (パスに依存しない固有の名前を提供する方法については, 第 6.2.1 項 を参照)。 | 図 6-2 |
注意: 個々のディスクへのパスは,一部のノードからはローカルであり,他のノードからはサービスされるように見えることがある。 |
ストレージ・サブシステムが特定のシステムに直接接続されている場合は,ホスト・システムに依存するため,サブシステムの可用性は低下します。このような構成の可用性を向上するために, OpenVMS Cluster システムではデュアル・ポート,デュアル・パス, MSCP サービス,TMSCP サービスがサポートされています。
図 6-1 では,デュアル・ポート構成を示しています。この構成には,2 台のコンピュータにディスクが別々に接続されています。どちらか一方のコンピュータが使用可能である限り,クラスタ内の他のシステムからディスクにアクセスできます。
図 6-1 デュアル・ポート・ディスク
注意: Volume Shadowing for OpenVMS を使用して,ディスクをシャドウイングすることもできます。デュアル・ポートとシャドウイングによって提供されるシステム障害からの自動的な回復機能は,ユーザにとって透過的であり,オペレータの介入は必要ありません。
図 6-2 は,このデュアル・パス SCSI および LAN 構成を示しています。ディスク・デバイスには,共用 SCSI インターコネクトを通じてアクセス可能です。また,LAN 上のクライアント・ノードは, MSCP サービスを介してディスク・デバイスにアクセスできます。
規則: デュアルパスの DSA ディスクは CPU に直接接続されているため,システム・ディスクとして使用できません。デバイスは一度に 1 つのコントローラにしか接続されないので,1 台のサーバ・ノードだけが,デバイスのローカル接続を使用できます。 2 番目のサーバ・ノードは MSCP (または TMSCP サーバ) 経由でデバイスにアクセスします。デバイスを現在提供しているコンピュータに障害がある場合,他のコンピュータが障害を検出し,そのデバイスをローカル接続から使用できなくします。それによって,そのデバイスはクラスタでそのまま使用できます。
デュアル・パス・ディスクまたはデュアル・パス・テープは,以下の条件が満たされる場合,クラスタに対してデバイスをサービスする 2 台のコンピュータ間でフェールオーバすることができます。
警告: これらの要件を満たさないと,データの整合性が損なわれる可能性があります。
図 6-3 に示すように, HSC ストレージ・デバイスまたは HSJ ストレージ・デバイスは, 2 つのストレージ・サブシステム間でデュアル・ポート接続に設定することができます。
図 6-3 クラスタ・アクセス可能デバイスを含む構成
設計により,HSC および HSJ ディスクとテープは,同じスター・カプラに接続されている OpenVMS Cluster のすべてのノードから直接アクセスできます。したがって,デバイスがデュアル・ポート接続になっている場合,自動的にデュアル・パスにもなります。CI によって接続されているコンピュータは,デバイスに接続されているいずれかのサブシステムを通るパスによって,デュアル・ポート HSC デバイスまたは HSJ デバイスにアクセスできます。どららかのサブシステムで障害が発生しても,アクセスはもう一方のサブシステムにフェールオーバされます。
注意: フェールオーバで使用されるパスを制御するには,特定のパスを介してディスクへのアクセスが強制的に行われれように,優先パスを指定することができます。優先パス機能については, 第 6.1.3 項 を参照してください。
6.1.3 優先パスの指定
RA シリーズ・ディスクや MSCP サーバを介してアクセスされるディスクも含めて,DSA ディスクに対して優先パスの指定がサポートされます (テープの場合,この機能は使用できません)。優先パスがディスクに対して指定されると, MSCP ディスク・クラス・ドライバは以下の目的でそのパスを使用します。
さらに,マウントされているディスクのフェールオーバを開始して,ディスクを強制的に優先パスに設定したり,MSCP サーバによってアクセスされるディスクに対して負荷バランス情報を使用することができます。
優先パスを指定するには,SET PREFERRED_PATH DCL コマンドを使用するか, $QIO 関数 (IO$_SETPRFPATH) を使用し,P1 パラメータにカウント付き ASCII 文字列のアドレス (.ASCIC) を指定します。この文字列は,HSC または HSJ のノード名であるか,優先パスとして設定される OpenVMS システムのノード名です。
規則: ノード名は,ローカル・ノードから認識される MSCP サーバを稼動している既存のノードと一致しなければなりません。
関連項目: DCL コマンド SET PREFERRED_PATH の使用方法については,『OpenVMS DCL ディクショナリ: N--Z』を参照してください。
IO$_SETPRFPATH 関数の使用方法については,『OpenVMS I/O User's Reference Manual』を参照してください。
前へ | 次へ | 目次 | 索引 |