Ir para o conteúdo

Domain

O Domínio de Replicação é o conjunto lógico dos HSMs que compõem um pool de nós operando com replicação ativa. Para pertencer ao um Domínio de replicação, os HSM devem usar a mesma Server Master Key e estarem no mesmo modo de operação.

Info

Todos os nós do pool devem executar a mesma versão de firmware. Não é recomendada a execução de versões diferentes sem consulta prévia ao fabricante ou distribuidor do HSM.

Novo Domínio

Para inciar a criação de um Domínio escolha um dos HSMs do pool. O primeiro HSM tem a sua base de dados preservada; a partir do segundo HSM em diante a se juntar ao pool, a base será sobrescrita com os dados da base dos HSMs que já estão no pool, e que por definição devem ser iguais (são réplicas). O serviço do HSM precisa estar rodando.

Cada HSM pode pertencer a único Domínio de cada vez, e vários Domínio podem conviver sem problema num mesmo segmento de rede, desde que as condições acima sejam respeitadas.

No 1o. HSM, escolha a opção Domínio, selecione o botão New / Del e pressione ENTER, em seguida será feito uma varredura de vizinhança (Neighborhood Scan) à procura de Domínios já existentes; esta varredura sempre é realizada pelo HSM, mesmo no caso do 1o. nó; a princípio não há distinção para se definir que o HSM está iniciando um novo Domínio ou se juntando a um já existente. No caso do 1o. HSM não devem ser encontrados Domínio existentes, então o operador deve criar um novo; para isso ele seleciona o botão New e em seguida informa um nome para o Domínio, que é textual e de livre escolha do operador (são aceitos caracteres alfanuméricos, sem espaços, com distinção de maiúsculas e minúsculas). Uma vez criado o Domínio, o sistema já questiona se o HSM atual deve se juntar ao Domínio recém-criado, se for confirmado o Join, o processo estará concluído, se for respondido negativamente, o Domínio recém criado será removido, pois não há Domínio de Replicação sem nós componentes.

Tela inicial de configuração de Domínio de Replicação no 1o. HSM

Tela inicial de configuração de Domínio de Replicação no 1o. HSM

Varredura de vizinhança à procura de Domínios de Replicação

Varredura de vizinhança à procura de Domínios de Replicação

Criação de um novo Domínio de Replicação no 1o. HSM

Criação de um novo Domínio de Replicação no 1o. HSM

No 2o. HSM, assim como no passo anterior escolha a opção Domínio, selecione o botão New / Del e pressione ENTER, em seguida será feito uma varredura de vizinhança (Neighborhood Scan) à procura de Domínios já existentes; se o multicast IP estiver liberado no segmento de rede onde estão o 2o. e o 1o. HSM, esta varredura irá encontrar o anúncio do Domínio já criado no 1o. HSM e listá-lo. Neste caso basta ao operador escolher a opção de se juntar do Domínio (Join). Na sequência o sistema irá pedir confirmação dupla para promover o reset da base de dados do 2o. HSM e sobrescrevê-la com a base do 1o. HSM. Caso o operador confirme a operação e faça as autenticações corretamente, ao final do processo os HSMs estarão com a operação de Replicação configuradas, as bases de dados sincronizadas e já prontos para operar replicando. O processo de adição do 2o. HSM emite sinal de sensibilization ao 1o. HSM, assim todos os nós pré-existentes automaticamente atualizam suas listas de nós para incluir o nó entrante.

No 3o. HSM e nos seguintes o processo é exatamente o mesmo do 2o. HSM.

Resultado da varredura de vizinhança no 2o. HSM

Resultado da varredura de vizinhança no 2o. HSM

Aviso e confirmação para sobrescrita de base de dados

Aviso e confirmação para sobrescrita de base de dados

Descoberta automática de nós para sincronização de bases

Descoberta automática de nós para sincronização de bases

Configuração de Domínio concluída no 2o. HSM

Configuração de Domínio concluída no 2o. HSM

Adição Manual de Nós

Nos ambientes onde não é possível o uso do protocolo SLP com multicast IP para descoberta automática (auto-discovery) dos nós do Domínio, a adição de nós deverá ser feita manualmente. O protocolo SLP só é utilizado na descoberta automática, não é necessário à operação rotineira da replicação.

A criação do Domínio no 1o. HSM para os ambientes sem multicast IP é feita exatamente da mesma forma, conforme descrita anteriormente. No 2o. HSM, após selecionar o botão New / Del, a varredura (Neighborhood Scan) será feita, mas o Domínio criado não será encontrado. O operador deve então usar a opção New e criar um novo Domínio com preferencialmente o mesmo nome usado no 1o. HSM.

Info

O nome do Domínio é uma conveniência administrativa para agrupar nós relacionados. O que define efetivamente o funcionamento da replicação é primeiro o atendimento da condições mencionadas acima (mesmas Server Master Key e modo de operação), e segundo o nós estarem na lista de replicação do HSM, tanto por entrada automática quanto manual.

Continuando com o 2o. HSM, o operador deve ir até a opção Node List no menu Replication a adicionar manualmente o IP do 1o. HSM. Em seguida o operador deve realizar a sincronização de bases, isto é, deixar a base do 2o. HSM uma réplica da 1o.; para isto vai usar a opção Database Live Sync no menu Replication. Recomendável em seguida usar a opção Test no 1o. HSM. Antes de realizar qualquer operação envolvendo replicação (criação de chaves ou usuários por exemplo) verifique se as chaves estão sincronizadas consultando e comparando o valor exibido no opção Sync Point do menu Replication; deve estar igual em ambos os equipamentos. No 3o. HSM e nos seguintes, o procedimento é o mesmo do 2o. HSM.

Adição manual de endereço IP de nó do Domínio

Adição manual de endereço IP de nó do Domínio

Lista de nós com o endereço adicionado manualmente

Lista de nós com o endereço adicionado manualmente

Quando a configuração do nós em Domínio de Replicação é feita manualmente é recomendável acompanhar as primeiras operações replicadas para ter certeza que todos os passos foram seguidos e os HSMs do pool estão todos replicando com todos.

Remoção de um nó

Um nó operacional e ativo pode ser retirado do Domínio via a Console Local de forma assimétrica ou via a Console Remota, usando a notificação de Node Down.

O procedimento entre um e outro difere na forma como os nós remanescentes são atualizados quanto à saída do nó, para que possam atualizar suas lista de nós.

  1. Parar o serviço do nó que irá ser retirado;
  2. Na configuração de Domínios, onde aparece o Domínio a que pertence o nó, selecione o botão New / Del e confirme a remoção; os nós que tiveram entrada automática em Node List serão removidos também automaticamente, os nós com entrada manual devem ser removidos manualmente.
  3. Conforme esteja operando local ou remotamente: a. Se estiver usando a Console Remota, em qualquer um dos nós remanescentes abra uma sessão via Console Remota, e usando o menu de Replicação, na opção Notify Node Down informe a opção correspondente ao endereço IP do nó sainte. O protocolo de resolução (Termination Protocol - TP) será acionado e a notificação de Node Down será transmitida a todos os nós do pool, para que atualizem suas listas. b. se estiver usando a Console Local em cada um dos nós que fazem parte do Domínio da Console Local, use o botão Discover na opção Node List do menu Replication, se for possível usar o protocolo SLP com multicast IP; se não for possível faça a remoção do IP do nó sainte com o botão Del na mesma tela de Node List.

Perigo

Os nós que entram via adição manual só serão removidos também via remoção manual pelo operador.