ADC

在 ADC 上的高可用性设置中配置 Thales Luna HSM

在高可用性 (HA) 中配置 Thales Luna HSM,即使除了其中一台设备之外的所有设备都不可用,也可确保不间断的服务。在 HA 设置中,每个 HSM 以主动-主动模式加入 HA 组。HA 设置中的 Thales Luna HSM 为所有组成员提供负载平衡,以提高性能和响应时间,同时提供高可用性服务的保证。有关更多信息,请联系 Thales Luna 销售和支持。

必备条件:

  • 至少有两台泰雷兹 Luna HSM 设备。HA 组中的所有设备必须具有 PED(受信任路径)身份验证或密码身份验证。不支持 HA 组中的受信任路径身份验证和密码身份验证的组合。
  • 即使标签(名称)不同,每个 HSM 设备上的分区也必须具有相同的密码。
  • HA 中的所有分区必须分配给客户端(Citrix ADC 设备)。

如在 ADC 上配置 Thales Luna 客户端中所述,在 ADC 上配置 Thales Luna 客户端后,请执行以下步骤在 HA 中配置 Thales Luna HSM:

  1. 在 Citrix ADC shell 提示符下,启动 lunacm (/usr/safenet/lunaclient/bin)

    示例:

    root@ns# cd /var/safenet/safenet/lunaclient/bin/
    
    root@ns# ./lunacm
    <!--NeedCopy-->
    
  2. 标识分区的插槽 ID。要列出可用插槽(分区),请键入:

    lunacm:> slot list
    <!--NeedCopy-->
    

    示例:

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    <!--NeedCopy-->
    
  3. 创建 HA 组。第一个分区称为主分区。您可以添加多个辅助分区。

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    <!--NeedCopy-->
    
  4. 添加辅助成员(HSM 分区)。对要添加到 HA 组的所有分区重复此步骤。

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    <!--NeedCopy-->
    

    代码:

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    <!--NeedCopy-->
    
  5. 启用仅 HA 模式。

    lunacm:> hagroup HAOnly –enable
    <!--NeedCopy-->
    
  6. 启用主动恢复模式。

    lunacm:.>hagroup recoveryMode –mode active
    <!--NeedCopy-->
    
  7. 设置自动恢复间隔时间(以秒为单位)。默认值为 60 秒。

    lunacm:.>hagroup interval –interval <value in seconds>
    <!--NeedCopy-->
    

    示例:

    lunacm:.>hagroup interval –interval 120
    <!--NeedCopy-->
    
  8. 设置恢复重试计数。值为-1 允许无限次重试。

    lunacm:> hagroup retry -count <xxx>
    <!--NeedCopy-->
    

    示例:

    lunacm:> hagroup retry -count 2
    <!--NeedCopy-->
    
  9. 将配置从复制 Chrystoki.conf 到 SafENet 配置目录。

    cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    
  10. 重新启动 ADC 设备。

    reboot
    <!--NeedCopy-->
    

在 HA 中配置 Thales Luna HSM 后,请参阅 其他 ADC 配置 以了解 ADC 的进一步配置。

在 ADC 上的高可用性设置中配置 Thales Luna HSM