8.2. クラスターでの暗号化 GFS2 ファイルシステムの設定

手順

1. クラスター内の両方のノードで、システムアーキテクチャーに対応する Resilient Storage のリポジトリーを有効にします。たとえば、x86_64 システムの Resilient Storage リポジトリーを有効にするには、以下の subscription-manager コマンドを入力します。

   # subscription-manager repos --enable=rhel-8-for-x86_64-resilientstorage-rpms

   Copy to Clipboard Toggle word wrap

   Resilient Storage リポジトリーは、High Availability リポジトリーのスーパーセットであることに注意してください。Resilient Storage リポジトリーを有効にする場合は、High Availability リポジトリーを有効にする必要はありません。

2. クラスターの両方のノードで、lvm2-lockd パッケージ、gfs2-utils パッケージ、および dlm パッケージをインストールします。AppStream チャンネルおよび Resilient Storage チャンネルにサブスクライブして、これらのパッケージをサポートする必要があります。

   # yum install lvm2-lockd gfs2-utils dlm

   Copy to Clipboard Toggle word wrap

3. クラスターの両方のノードで、/etc/lvm/lvm.conf ファイルの use_lvmlockd 設定オプションを use_lvmlockd=1 に設定します。

   ...
   use_lvmlockd = 1
   ...

   Copy to Clipboard Toggle word wrap

4. グローバル Pacemaker パラメーター no-quorum-policy を freeze に設定します。

   注記

   デフォルトでは、no-quorum-policy の値は stop に設定され、定足数が失われると、残りのパーティションのリソースがすべて即座に停止されます。通常、このデフォルト設定は最も安全なオプションで最適なおプションですが、ほとんどのリソースとは異なり、GFS2 が機能するにはクォーラムが必要です。クォーラムが失われると、GFS2 マウントを使用したアプリケーション、GFS2 マウント自体の両方が正しく停止できません。クォーラムなしでこれらのリソースを停止しようとすると失敗し、最終的にクォーラムが失われるたびにクラスター全体がフェンスされます。

   この状況に対処するには、GFS2 の使用時の no-quorum-policy を freeze に設定します。この設定では、クォーラムが失われると、クォーラムが回復するまで残りのパーティションは何もしません。

   [root@z1 ~]# pcs property set no-quorum-policy=freeze

   Copy to Clipboard Toggle word wrap

5. dlm リソースをセットアップします。これは、クラスター内で GFS2 ファイルシステムを設定するために必要な依存関係です。この例では、dlm リソースを作成し、リソースグループ locking に追加します。

   [root@z1 ~]# pcs resource create dlm --group locking ocf:pacemaker:controld op monitor interval=30s on-fail=fence

   Copy to Clipboard Toggle word wrap

6. リソースグループがクラスターの両方のノードでアクティブになるように、locking リソースグループのクローンを作成します。

   [root@z1 ~]# pcs resource clone locking interleave=true

   Copy to Clipboard Toggle word wrap

7. lvmlockd リソースを、locking グループに追加します。

   [root@z1 ~]# pcs resource create lvmlockd --group locking ocf:heartbeat:lvmlockd op monitor interval=30s on-fail=fence

   Copy to Clipboard Toggle word wrap

8. クラスターのステータスを確認し、クラスターの両方のノードで locking リソースグループが起動していることを確認します。

   [root@z1 ~]# pcs status --full
   Cluster name: my_cluster
   [...]
   
   Online: [ z1.example.com (1) z2.example.com (2) ]
   
   Full list of resources:
   
    smoke-apc      (stonith:fence_apc):    Started z1.example.com
    Clone Set: locking-clone [locking]
        Resource Group: locking:0
            dlm    (ocf::pacemaker:controld):      Started z1.example.com
            lvmlockd       (ocf::heartbeat:lvmlockd):      Started z1.example.com
        Resource Group: locking:1
            dlm    (ocf::pacemaker:controld):      Started z2.example.com
            lvmlockd       (ocf::heartbeat:lvmlockd):      Started z2.example.com
        Started: [ z1.example.com z2.example.com ]

   Copy to Clipboard Toggle word wrap

9. クラスターの 1 つのノードで、共有ボリュームグループを作成します。

   注記

   LVM ボリュームグループに、iSCSI ターゲットなど、リモートブロックストレージに存在する 1 つ以上の物理ボリュームが含まれている場合は、Red Hat は、Pacemaker が起動する前にサービスが開始されるように設定することを推奨します。Pacemaker クラスターによって使用されるリモート物理ボリュームの起動順序の設定については、Pacemaker で管理されないリソース依存関係の起動順序の設定 を参照してください。

   以下のコマンドは、共有ボリュームグループ shared_vg1 を /dev/sda1 に作成します。

   [root@z1 ~]# vgcreate --shared shared_vg1 /dev/sda1
     Physical volume "/dev/sda1" successfully created.
     Volume group "shared_vg1" successfully created
     VG shared_vg1 starting dlm lockspace
     Starting locking.  Waiting until locks are ready...

   Copy to Clipboard Toggle word wrap

10. クラスター内の 2 番目のノードで以下を実行します。

    1. (RHEL 8.5 以降) lvm.conf ファイルで use_devicesfile = 1 を設定してデバイスファイルの使用を有効にした場合は、クラスター内の 2 番目のノードのデバイスファイルに共有デバイスを追加します。デフォルトでは、デバイスファイルの使用は有効になっていません。

       [root@z2 ~]# lvmdevices --adddev /dev/sda1

       Copy to Clipboard Toggle word wrap

    2. 共有ボリュームグループのロックマネージャーを起動します。

       [root@z2 ~]# vgchange --lockstart shared_vg1
         VG shared_vg1 starting dlm lockspace
         Starting locking.  Waiting until locks are ready...

       Copy to Clipboard Toggle word wrap

11. クラスター内の 1 つのノードで、共有論理ボリュームを作成します。

    [root@z1 ~]# lvcreate --activate sy -L5G -n shared_lv1 shared_vg1
      Logical volume "shared_lv1" created.

    Copy to Clipboard Toggle word wrap

12. すべてのノードで論理ボリュームを自動的にアクティブにするために、論理ボリュームに LVM が有効 なリソースを作成します。

    以下のコマンドは、ボリュームグループ shared_vg1 の論理グループ shared_lv1 に、名前が sharedlv1 で、LVM が有効な リソースを作成します。このコマンドは、リソースを含むリソースグループ shared_vg1 も作成します。この例のリソースグループの名前は、論理ボリュームを含む共有ボリュームグループと同じになります。

    [root@z1 ~]# pcs resource create sharedlv1 --group shared_vg1 ocf:heartbeat:LVM-activate lvname=shared_lv1 vgname=shared_vg1 activation_mode=shared vg_access_mode=lvmlockd

    Copy to Clipboard Toggle word wrap

13. 新しいリソースグループのクローンを作成します。

    [root@z1 ~]# pcs resource clone shared_vg1 interleave=true

    Copy to Clipboard Toggle word wrap

14. dlm および lvmlockd リソースを含む locking リソースグループが最初に起動するように、順序の制約を設定します。

    [root@z1 ~]# pcs constraint order start locking-clone then shared_vg1-clone
    Adding locking-clone shared_vg1-clone (kind: Mandatory) (Options: first-action=start then-action=start)

    Copy to Clipboard Toggle word wrap

15. コロケーション制約を設定して、vg1 および vg2 のリソースグループが locking リソースグループと同じノードで起動するようにします。

    [root@z1 ~]# pcs constraint colocation add shared_vg1-clone with locking-clone

    Copy to Clipboard Toggle word wrap

手順

1. クラスター内の 1 つのノードで、crypt キーを含めて新しいファイルを作成し、ファイルにパーミッションを設定して root でのみ読み取りできるようにします。

   [root@z1 ~]# touch /etc/crypt_keyfile
   [root@z1 ~]# chmod 600 /etc/crypt_keyfile

   Copy to Clipboard Toggle word wrap

2. crypt キーを作成します。

   [root@z1 ~]# dd if=/dev/urandom bs=4K count=1 of=/etc/crypt_keyfile
   1+0 records in
   1+0 records out
   4096 bytes (4.1 kB, 4.0 KiB) copied, 0.000306202 s, 13.4 MB/s
   [root@z1 ~]# scp /etc/crypt_keyfile root@z2.example.com:/etc/

   Copy to Clipboard Toggle word wrap

3. -p パラメーターを使用して設定したパーミッションを保持した状態で、cript キーファイルをクラスター内の他のノードに配布します。

   [root@z1 ~]# scp -p /etc/crypt_keyfile root@z2.example.com:/etc/

   Copy to Clipboard Toggle word wrap

4. LVM ボリュームに暗号化デバイスを作成して、暗号化された GFS2 ファイルシステムを設定します。

   [root@z1 ~]# cryptsetup luksFormat /dev/shared_vg1/shared_lv1 --type luks2 --key-file=/etc/crypt_keyfile
   WARNING!
   ========
   This will overwrite data on /dev/shared_vg1/shared_lv1 irrevocably.
   
   Are you sure? (Type 'yes' in capital letters): YES

   Copy to Clipboard Toggle word wrap

5. shared_vg1 ボリュームグループの一部として crypt リソースを作成します。

   [root@z1 ~]# pcs resource create crypt --group shared_vg1 ocf:heartbeat:crypt crypt_dev="luks_lv1" crypt_type=luks2 key_file=/etc/crypt_keyfile encrypted_dev="/dev/shared_vg1/shared_lv1"

   Copy to Clipboard Toggle word wrap

手順

1. クラスター内の 1 つのノードで、GFS2 ファイルシステムを使用してボリュームをフォーマットします。ファイルシステムをマウントするノードごとに、ジャーナルが 1 つ必要になります。クラスター内の各ノードに十分なジャーナルを作成してください。ロックテーブル名の形式は、ClusterName:FSName です。ClusterName は、GFS2 ファイルシステムが作成されているクラスターの名前です。FSname はファイルシステム名です。これは、クラスター経由のすべての lock_dlm ファイルシステムで一意である必要があります。

   [root@z1 ~]# mkfs.gfs2 -j3 -p lock_dlm -t my_cluster:gfs2-demo1 /dev/mapper/luks_lv1
   /dev/mapper/luks_lv1 is a symbolic link to /dev/dm-3
   This will destroy any data on /dev/dm-3
   Are you sure you want to proceed? [y/n] y
   Discarding device contents (may take a while on large devices): Done
   Adding journals: Done
   Building resource groups: Done
   Creating quota file: Done
   Writing superblock and syncing: Done
   Device:                    /dev/mapper/luks_lv1
   Block size:                4096
   Device size:               4.98 GB (1306624 blocks)
   Filesystem size:           4.98 GB (1306622 blocks)
   Journals:                  3
   Journal size:              16MB
   Resource groups:           23
   Locking protocol:          "lock_dlm"
   Lock table:                "my_cluster:gfs2-demo1"
   UUID:                      de263f7b-0f12-4d02-bbb2-56642fade293

   Copy to Clipboard Toggle word wrap

2. ファイルシステムリソースを作成し、GFS2 ファイルシステムをすべてのノードに自動的にマウントします。

   ファイルシステムは Pacemaker のクラスターリソースとして管理されるため、/etc/fstab ファイルには追加しないでください。マウントオプションは、options=options を使用してリソース設定の一部として指定できます。すべての設定オプションを確認する場合は、pcs resource describe Filesystem コマンドを実行します。

   以下のコマンドは、ファイルシステムのリソースを作成します。このコマンドは、対象のファイルシステムの論理ボリュームリソースを含むリソースグループに、リソースを追加します。

   [root@z1 ~]# pcs resource create sharedfs1 --group shared_vg1 ocf:heartbeat:Filesystem device="/dev/mapper/luks_lv1" directory="/mnt/gfs1" fstype="gfs2" options=noatime op monitor interval=10s on-fail=fence

   Copy to Clipboard Toggle word wrap

検証

1. GFS2 ファイルシステムが、クラスターの両方のノードにマウントされていることを確認します。

   [root@z1 ~]# mount | grep gfs2
   /dev/mapper/luks_lv1 on /mnt/gfs1 type gfs2 (rw,noatime,seclabel)
   
   [root@z2 ~]# mount | grep gfs2
   /dev/mapper/luks_lv1 on /mnt/gfs1 type gfs2 (rw,noatime,seclabel)

   Copy to Clipboard Toggle word wrap

2. クラスターのステータスを確認します。

   [root@z1 ~]# pcs status --full
   Cluster name: my_cluster
   [...]
   
   Full list of resources:
   
     smoke-apc      (stonith:fence_apc):    Started z1.example.com
     Clone Set: locking-clone [locking]
         Resource Group: locking:0
             dlm    (ocf::pacemaker:controld):      Started z2.example.com
             lvmlockd       (ocf::heartbeat:lvmlockd):      Started z2.example.com
         Resource Group: locking:1
             dlm    (ocf::pacemaker:controld):      Started z1.example.com
             lvmlockd       (ocf::heartbeat:lvmlockd):      Started z1.example.com
        Started: [ z1.example.com z2.example.com ]
     Clone Set: shared_vg1-clone [shared_vg1]
        Resource Group: shared_vg1:0
                sharedlv1      (ocf::heartbeat:LVM-activate):  Started z2.example.com
                crypt       (ocf::heartbeat:crypt) Started z2.example.com
                sharedfs1      (ocf::heartbeat:Filesystem):    Started z2.example.com
       Resource Group: shared_vg1:1
                sharedlv1      (ocf::heartbeat:LVM-activate):  Started z1.example.com
                crypt      (ocf::heartbeat:crypt)  Started z1.example.com
                sharedfs1      (ocf::heartbeat:Filesystem):    Started z1.example.com
             Started:  [z1.example.com z2.example.com ]
   ...

   Copy to Clipboard Toggle word wrap