ADC

Configurar los HSM de Thales Luna en una configuración de alta disponibilidad en el ADC

La configuración de los HSM de Thales Luna en una alta disponibilidad (HA) garantiza un servicio ininterrumpido aunque todos, excepto uno de los dispositivos, no estén disponibles. En una configuración de alta disponibilidad, cada HSM se une a un grupo de alta disponibilidad en modo activo-activo. Los HSM de Thales Luna en una configuración de alta disponibilidad proporcionan equilibrio de carga de todos los miembros del grupo para aumentar el rendimiento y el tiempo de respuesta a la vez que proporcionan la garantía de un servicio de alta disponibilidad. Para obtener más información, póngase en contacto con ventas y soporte técnico de Thales Luna.

Requisitos previos:

  • Mínimo dos dispositivos HSM Thales Luna. Todos los dispositivos de un grupo de alta disponibilidad deben tener autenticación PED (ruta de confianza) o autenticación por contraseña. No se admite una combinación de autenticación de ruta de confianza y autenticación de contraseña en un grupo de alta disponibilidad.
  • Las particiones de cada dispositivo HSM deben tener la misma contraseña aunque la etiqueta (nombre) sea diferente.
  • Todas las particiones en HA deben asignarse al cliente (dispositivo Citrix ADC).

Después de configurar un cliente de Thales Luna en el ADC como se describe enConfigurar un cliente de Thales Luna en el ADC, lleve a cabo los siguientes pasos para configurar los HSM de Thales Luna en HA:

  1. En el símbolo del shell de Citrix ADC, inicielunacm(/usr/safenet/lunaclient/bin)

    Ejemplo:

    root@ns# cd /var/safenet/safenet/lunaclient/bin/ root@ns# ./lunacm 
  2. Identifique los ID de ranura de las particiones. Para enumerar las ranuras disponibles (particiones), escriba:

    lunacm:> slot list 

    Ejemplo:

    槽Id - > 0 HSM标签- > trinity-p1 HSM年代erial Number -> 481681014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 1 HSM Label -> trinity-p2 HSM Serial Number -> 481681018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 2 HSM Label -> neo-p1 HSM Serial Number -> 487298014 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 3 HSM Label -> neo-p2 HSM Serial Number -> 487298018 HSM Model -> LunaSA 6.2.1 HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna SA Slot (PED) Signing With Cloning Mode HSM Status -> OK Slot Id -> 7 HSM Label -> hsmha HSM Serial Number -> 1481681014 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Slot Id -> 8 HSM Label -> newha HSM Serial Number -> 1481681018 HSM Model -> LunaVirtual HSM Firmware Version -> 6.10.9 HSM Configuration -> Luna Virtual HSM (PED) Signing With Cloning Mode HSM Status -> N/A - HA Group Current Slot Id: 0 
  3. Cree el grupo HA. La primera partición se denomina partición primaria. Puede agregar más de una partición secundaria.

    lunacm:> hagroup createGroup -slot  -label  -password  lunacm:> hagroup createGroup -slot 1 -label gp12 -password ****** 
  4. Agregue los miembros secundarios (particiones HSM). Repita este paso para todas las particiones que se agregarán al grupo HA.

    lunacm:> hagroup addMember -slot  -group  -password  

    脏污:

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ****** 
  5. Habilite el modo solo HA.

    lunacm:> hagroup HAOnly –enable 
  6. Habilitar el modo de recuperación activo.

    lunacm:.>hagroup recoveryMode –mode active 
  7. Establezca el tiempo de intervalo de recuperación automática (en segundos). El valor predeterminado es 60 segundos.

    lunacm:.>hagroup interval –interval  

    Ejemplo:

    lunacm:.>hagroup interval –interval 120 
  8. Establecer el recuento de reintentos de recuperación. Un valor de -1 permite un número infinito de reintentos.

    lunacm:> hagroup retry -count  

    Ejemplo:

    lunacm:> hagroup retry -count 2 
  9. Copie la configuración desdeChrystoki.confen el directorio de configuración de SafeNet.

    cp /etc/Chrystoki.conf /var/safenet/config/ 
  10. Reinicie el dispositivo ADC.

    reboot 

Después de configurar Thales Luna HSM en HA, consulteOtra configuración de ADCpara obtener más configuración en el ADC.

Configurar los HSM de Thales Luna en una configuración de alta disponibilidad en el ADC

En este artículo