在ADC上配置泰利斯Luna hms的高可用性设置

2021年3月23日

由:

在高可用性(HA)中配置泰利斯Luna hms可确保即使所有设备(只有一个设备)不可用，也能不间断服务。在HA设置中，每个HSM以双活方式加入一个HA组。Thales Luna hms在HA设置中提供所有组成员的负载平衡，以提高性能和响应时间，同时提供高可用性服务的保证。更多信息，请联系泰利斯Luna销售和支持。

先决条件:

最少2个泰利斯Luna高速电浆装置。HA组中的所有设备都需要进行PED(信任路径)认证或密码认证。HA组不支持信任路径认证和密码认证相结合的方式。
每个HSM设备上的分区必须有相同的密码，即使标签(名称)不同。
HA中的所有分区必须分配给客户机(Citrix ADC设备)。

在ADC上配置了Thales Luna客户端后，请参见在ADC上配置一个泰勒斯Luna客户端，在HA中执行以下步骤配置泰利斯Luna hms:

在Citrix ADC shell提示符上，启动lunacm(/ usr / safenet / lunaclient / bin)
例子:
```
root@ns# CD /var/safenet/safenet/ lunclient /bin/ root@ns# ./lunacm 
```

确认分区槽位号。要列出可用的槽(分区)，输入:

Lunacm:> slot list

例子:

               槽Id - > 0 HSM标签- > trinity-p1 HSM序列号- > 481681014 HSM模型- > LunaSA 6.2.1 HSM固件版本——> 6.10.9 HSM配置- > Luna SA槽(PED)与克隆模式HSM签约状态- >好槽Id - > 1 HSM标签- > trinity-p2 HSM序列号- > 481681018 HSM模型- > LunaSA 6.2.1 HSM固件版本——> 6.10.9 HSM配置-> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 2 HSM Label -> neo-p1 HSM Serial Number -> 487298014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 3 HSM Label -> neo-p2 HSM Serial Number -> 487298018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 7 HSM Label -> hsmha HSM Serial Number -> 1481681014 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Slot Id -> 8 HSM Label -> newha HSM Serial Number -> 1481681018 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Current Slot Id: 0 
              

创建HA组第一个分区称为主分区。可以添加多个从分区。

               lunacm:> hagroup createGroup -slot <主分区槽号> -label <组名> -password <分区密码> lunacm:> hagroup createGroup -slot 1 -label gp12 -password ****** 
              

添加辅助成员(HSM分区)。对所有要添加到HA组的分区重复此步骤。

               lunacm:> hagroup addMember -slot <待添加的备分区槽位号> -group <组名> -password <分区密码> 
              

代码:

lunacm:> hagroup addMember -slot 2 -group gp12 -password ******

启用HA模式。
```
lunacm:> hagroup HAOnly -enable 
```

启用主动恢复模式。

lunacm:。>hagroup recoveryMode -mode active

设置自动恢复间隔时间(单位:秒)。默认为60秒。

lunacm:。>hagroup interval -interval

例子:

lunacm:。>hagroup interval -interval 120

设置恢复重试次数。值为-1允许无限次的重试。
```
Lunacm:> hagroup retry -count  
```
例子:
```
> hagroup retry -count 2 
```
从下面复制配置Chrystoki.conf到SafeNet配置目录。
```
cp /etc/Chrystoki.conf /var/safenet/config/ 
```
重新启动ADC设备。
```
重新启动< !——NeedCopy >
```

在HA中配置泰勒斯Luna HSM后，请参见其他ADC配置以便在ADC上进行进一步配置。

此内容的官方版本为英文。一些Citrix文档内容是为了方便而进行机器翻译的。思杰无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于将英文原文翻译成任何其他语言的任何翻译的准确性、可靠性、适用性或正确性，或您的思杰产品或服务符合任何机器翻译内容，本公司不作任何明示或暗示的保证。以及根据适用的最终用户许可协议或服务条款，或与思杰的任何其他协议提供的产品或服务符合任何文件的保证，不适用于已由机器翻译的文件。思杰不会对使用机器翻译内容可能产生的任何损害或问题负责。

在ADC上配置泰利斯Luna hms的高可用性设置

2021年3月23日

由:

2021年3月23日

由:

在ADC上配置泰利斯Luna hms的高可用性设置

在这篇文章中