Citrix ADC

在 ADC 上的高可用性设置中配置 Safenet HSM

在高可用性 (HA) 中配置 SafeNet HSM 可确保服务不间断,即使除一个设备外的所有设备都不可用。在 HA 设置中,每个 HSM 以主动-主动模式加入 HA 组。HA 设置中的 SafeNet HSM 可为所有组成员提供负载平衡,以提高性能和响应时间,同时提供高可用性服务的保证。有关更多信息,请联系 SafeNet 销售和支持部门。

必备条件:

  • 至少两台 SafeNet HSM 设备。HA 组中的所有设备必须具有 PED(受信任路径)身份验证或密码身份验证。不支持 HA 组中的受信任路径身份验证和密码身份验证的组合。
  • 即使标签(名称)不同,每个 HSM 设备上的分区也必须具有相同的密码。
  • HA 中的所有分区必须分配给客户端(Citrix ADC 设备)。

在 ADC 上配置 SafeNet 客户端中所述,在 ADC 上配置 SafeNet 客户端后,请执行以下步骤在 HA 中配置 Safenet HSM:

  1. 在 Citrix ADC shell 提示符上,启动“lunacm”(/usr/safenet/lunaclient/bin)

示例:

```
root@ns# cd /var/safenet/safenet/lunaclient/bin/

根 @ns #。 /午餐会
```
  1. 标识分区的插槽 ID。要列出可用插槽(分区),请键入:

    lunacm:> slot list
    

    例子;

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    
  2. 创建 HA 组。第一个分区称为主分区。您可以添加多个辅助分区。

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    
  3. 添加辅助成员(HSM 分区)。对要添加到 HA 组的所有分区重复此步骤。

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    

    代码:

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    
  4. 启用仅 HA 模式。

    lunacm:> hagroup HAOnly –enable
    
  5. 启用主动恢复模式。

    lunacm:.>hagroup recoveryMode –mode active
    
  6. 设置自动恢复间隔时间(以秒为单位)。默认值为 60 秒。

    lunacm:.>hagroup interval –interval <value in seconds>
    

    示例:

    lunacm:.>hagroup interval –interval 120
    
  7. 设置恢复重试计数。值-1 允许进行无限次数的重试。

    lunacm:> hagroup retry -count <xxx>
    

    示例:

    lunacm:> hagroup retry -count 2
    
  8. 将配置从 Chrystoki.conf 复制到 Safenet 配置目录。

    cp /etc/Chrystoki.conf /var/safenet/config/
    
  9. 重新启动 ADC 设备。

    reboot
    

在 HA 中配置 SafeNet HSM 后,请参阅 其他 ADC 配置 进一步了解 ADC 上配置。

在 ADC 上的高可用性设置中配置 Safenet HSM