Replicação
Requisitos
- Acesso físico aos HSMs com os smart cards e o PIN de cada um.
- Teclado e monitor.
- HSMs com uma interface de rede configurada e acesso à rede.
- Conectividade via porta TCP 4433 entre todos os HSMs.
- Recomendada a configuração de NTP nos HSMs. Se não for possível acerte o relógio.
- Em todos os HSMs:
- serviço iniciado.
- mesmo modo de operação.
- mesmo firmware.
- ativados com a mesma SVMK (Server Master Key).
Console Local
Primeiro escolha qual HSM que você gostaria de replicar e anote o endereço IP, esse será o HSM base. Todos os outros terão os dados sobrescritos com os do HSM base.
Info
Observe que chamar um HSM de base é somente para efeitos de configuração.
A replicação do HSM é multi-master; mais detalhes no tópico Replicação.
A configuração do mecanismo de replicação é feita apenas no HSM que está entrando, portanto não há necessidade de alterações nos HSMs do pool original, quando existir um.
Nenhuma configuração é necessária no HSM base.
Em cada HSM que fará parte do pool (exceto o base) execute o seguinte procedimento:
Atenção
A base dados do HSM (chaves, certificados etc) será sobrescrita pela do HSM base. É recomendado efetuar um backup antes de adicionar o HSM ao pool de replicação.
-
Acesse o HSM fisicamente, usando monitor e teclado, e autentique com os cartões.
-
Entre em Configuration e depois Replication.
Dinamo - Local Management Console ┌──────┤ Replication ├──────┐ │ ◂ │ │ Domain │ │ Neighborhood Scan │ │ Node List │ │ Cross Check │ │ Pending Transaction │ │ Sync Point │ │ Interface Binding │ │ Policy │ │ Database Live Sync │ └───────────────────────────┘ Service running... Replication Domain: <none>Tela de replicação -
Dentro da opção Replication escolha Node List e depois escolha Discover, insira o IP do HSM base. Isto fará com que a lista dos HSMs conhecidos pelo HSM base seja importada, dispensando o operador de adicionar os IPs do pool manualmente.
Não use a opção Add, pois seria necessário informar toda a lista dos IPs do pool manualmente.
Dinamo - Local Management Console ┌─────────────────────┤ Node List ├──────────────────────┐ │ │ │ ┌────────────────────────────────────────────────────┐ │ │ │ ↑ │ │ │ │ ░ │ │ │ │ ▒ │ │ │ │ ▒ │ │ │ │ ▒ │ │ │ │ ▒ │ │ │ │ ▒ │ │ │ │ ↓ │ │ │ └────────────────────────────────────────────────────┘ │ │ │ │ A - Auto Discovered M - Manual Entry │ │ │ │ ┌──────────┐ ┌──────┐ ┌───────┐ ┌───────┐ ┌───────┐ │ │ │ Discover │ │ Test │ │ Add │ │ Del │ │ Close │ │ │ └──────────┘ └──────┘ └───────┘ └───────┘ └───────┘ │ │ │ └────────────────────────────────────────────────────────┘ Service running... Replication Domain: <none>Lista de nodes -
Confirme a adição da lista de IPs do HSM base.
Dinamo - Local Management Console ┌─────────────────────┤ Node List ├──────────────────────┐ │ │ │ ┌────────────────────────────────────────────────────┐ │ │ │ ↑ │ │ │ │ ░ │ │ │ │ ▒ │ │ │ │ ┌───────────────────┤ ├───────────────────┐ ▒ │ │ │ │ │ │ ▒ │ │ │ │ │ Retrieve list from specific remote node? │ ▒ │ │ │ │ │ │ ▒ │ │ │ │ │ ┌────┐ ┌─────┐ │ ↓ │ │ │ └────│ │ No │ │ Yes │ │ ───┘ │ │ │ └────┘ └─────┘ │ │ │ │ │ │ │ │ │ │ │ ┌──└──────────────────────────────────────────┘ ──┐ │ │ │ Di e │ │ │ └──────────┘ └──────┘ └───────┘ └───────┘ └───────┘ │ │ │ └────────────────────────────────────────────────────────┘ Service running... Replication Domain: <none>Adicionando Node -
Volte à seção Replication e escolha Database Live Sync. Nesse passo será necessário refazer a autenticação com os cartões.
Dinamo - Local Management Console ┌──────┤ Replication ├──────┐ │ ◂ │ │ Domain │ │ Neighborhood Scan │ │ Node List │ │ Cross Check │ │ Pending Transaction │ │ Sync Point │ │ Interface Binding │ │ Policy │ │ Database Live Sync │ └───────────────────────────┘ Service running... Replication Domain: <none>Sincronização da base -
Aceite o aviso. Lembrando novamente que este HSM terá os dados sobrescritos pelos do HSM base.
Dinamo - Local Management Console ┌─────────────────┤ Database Live Sync ├──────────────────┐ │ │ │ IMPORTANT NOTE │ │ │ │ In order to continue, the HSM database │ │ will be fully overwritten. │ │ │ │ Are you sure you want to proceed? │ │ │ │ ┌────┐ ┌─────┐ │ │ │ No │ │ Yes │ │ │ └────┘ └─────┘ │ │ │ │ │ └─────────────────────────────────────────────────────────┘ Service running... Replication Domain: <none>Aviso de sincronização -
Espere pela sincronização.
Dinamo - Local Management Console ┌──────────┤ Live Syncing Database ├──────────┐ │ │ │ │ │ setup: step 15 of 22 │ │ │ │ 89% │ │ │ │ │ └─────────────────────────────────────────────┘ Service running... Replication Domain: <list>Sincronizando a base -
Finalizada a sincronização será exibida uma mensagem com o ponto de sincronização (Sync Point).
Dinamo - Local Management Console ┌─────────┤ Sync Point ├─────────┐ │ │ │ Database live sync done. │ │ │ │ D4257575BD61632B 6331 │ │ │ │ │ │ ┌────┐ │ │ │ OK │ │ │ └────┘ │ │ │ │ │ └────────────────────────────────┘ Service running... Replication Domain: <list>Sincronização finalizada -
Voltando ao menu, escolha a opção Cross Check e verifique todo o relatório mostrado.
Dinamo - Local Management Console ┌───────────────────────────┤ Cross Check ├────────────────────────────┐ │ │ │ │ │ this 01 node(s) ↑ │ │ version : 5.2.0.0 ░ │ │ node list : ▒ │ │ 172.17.0.2 ▒ │ │ ▒ │ │ 172.17.0.2 01 node(s) ▒ │ │ version : 5.2.0.0 ▒ │ │ node list : ▒ │ │ 172.17.0.3 ▒ │ │ ▒ │ │ ↓ │ │ │ │ ┌───────┐ │ │ │ Close │ │ │ └───────┘ │ │ │ └──────────────────────────────────────────────────────────────────────┘ Service running... Replication Domain: <list>Relatório Cross Check
Aviso
No relatório de Cross Check do último HSM a entrar no pool confira atentamente se cada HSM contem todos os demais em sua lista de IPs e também verifique se há mensagens de alerta ou aviso no relatório.
Verificação Cruzada
O HSM possui uma ferramenta (Cross Check) para checar a replicação cruzada entre todos os nós com ela é possível verificar desbalanceamentos no pool de replicação. É possível executar esta ferramenta local ou remotamente. Neste último caso pode se usar a console HTTP ou a console de linha de comando.
Console HTTP
Conecte usando um navegador, digite o IP de um dos HSMs em https (exemplo: https://192.168.1.100).
Escolha Replicação no menu.
Clique no ícone de verificação cruzada , no canto superior direito:
Caso tenha algum desbalanceamento de configuração ou outro erro detectado o relatório irá alertar:
Console CLI
Abra uma linha de comando (prompt/shell) e digite hsmcon para executar o programa e conecte em algum dos HSMs do pool de replicação.
Na tela principal digite o número do item Replication e Enter.
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Main Menu
Keys/Objects Users HSM
1 - Create... 17 - Create 33 - Info
2 - Remove 18 - Remove 34 - Logs...
3 - Attributes 19 - List 35 - Backup...
4 - Import... 20 - Attributes 36 - Monitoring...
5 - Export... 21 - Trust Relations 37 - Firmware update
6 - List 22 - Password Policy 38 - Replication...
7 - Permissions... 23 - My Password 39 - SPB...
8 - Backup 40 - EFT...
9 - Restore 41 - IP Filter...
42 - Tests...
43 - Dinamo Services...
44 - Tools...
0 - Exit
Option: 38
Depois digite 4 e enter:
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Replication
1 - Info
2 - Nodes
3 - Refresh
4 - Cross Check
5 - Notify Node Down
0 - Main Menu
Option: 4
O resultado vem mostrando todos os nós da lista:
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Replication - Cross Check
this 01 node(s)
version : 5.0.22.0
node list :
192.168.1.159
192.168.1.159 01 node(s)
version : 5.0.22.0
node list :
172.17.0.2
Press ENTER key to continue...
Caso tenha algum desbalanceamento irá aparecer uma mensagem escrito !! please check !! do lado do nó que tem problema. Isso normalmente quer dizer que aquele HSM não está com a lista correta de nós.
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Replication - Cross Check
this 01 node(s)
version : 5.0.22.0
node list :
192.168.1.159
192.168.1.159 00 node(s) !! please check !!
version : 5.0.22.0
<empty>
Press ENTER key to continue...