第二十四章 配置镜像 - 使用 TLS 安全保护镜像通信
使用 TLS 安全保护镜像通信
要在镜像内提供安全性,可以将其成员配置为在相互通信时使用 TLS。当在创建镜像时需要使用 TLS 时,所有成员之间的所有通信都必须使用 TLS。
重要提示:强烈建议使用带镜像的 TLS。强烈建议不要为镜像禁用 TLS。如果实例启用了日志加密并且您将其设为镜像的主要故障转移成员,则必须将镜像配置为使用 TLS。
镜像成员使用 TLS 进行镜像通信需要在托管镜像成员实例的系统上正确设置 TLS。
在镜像中使用加密日志文件也需要准备。
使用 ^MIRROR 例程
大多数镜像配置、管理和状态操作都可以在管理门户中找到,也可以在 %SYS 命名空间中执行的 ^MIRROR 例程中找到。但是,某些操作仅在 ^MIRROR 例程中可用,包括强制备份故障转移成员成为主要故障转移成员(请参阅无自动故障转移的主要故障转移成员的计划外中断)。本章中提供的过程描述了管理门户操作(如果可用),但提供等效操作的 ^MIRROR 选项始终会被注明。
创建镜像
创建镜像涉及配置主要故障转移成员,通常是备份故障转移成员(尽管这不是必需的),以及可选的一个或多个异步成员。镜像创建完成后,就可以在镜像中添加数据库了。
重要提示:在可以将 IRIS 实例作为故障转移成员或异步添加到镜像之前,必须确保 ISCAgent 进程已按照本章“启动和停止 ISCAgent”部分所述启动。
如果按照 ISC 的建议,将镜像配置为使用 TLS(请参阅使用 TLS 安全保护镜像通信),则添加备份和异步成员的过程需要一个额外的步骤。在这种情况下,每个新成员都必须在加入镜像之前在主服务器上获得批准。
要创建和配置镜像,请使用以下过程:
- 创建镜像并配置第一个故障转移成员
- 配置第二个故障转移成员
- 授权第二个故障转移成员(仅限
TLS镜像) - 在镜像监视器中查看故障转移成员状态
- 配置异步镜像成员
- 授权新的异步成员(仅限
TLS镜像)
创建镜像并配置故障转移成员和可选的一个或多个异步成员后,使用本章将数据库添加到镜像部分中的过程将数据库添加到镜像。
重要提示:当使用任务管理器将系统任务添加到实例时(请参阅系统管理指南的“管理 IRIS”一章中的使用任务管理器),镜像设置的任务应如何运行决定任务的镜像成员继续运行,如下:
- 仅在主要故障转移成员上运行
- 仅在备份故障转移成员和异步成员上运行(除主要成员外的所有成员)
- 在所有镜像成员(主要、备份和异步)上运行
如果实例不是镜像成员,则此设置无效。但是,在镜像成员上,如果没有为用户定义的任务指定此设置,则该任务将不会运行,并且将实例添加到镜像不会自动更新该设置。
因此,必须执行以下操作之一:
- 在创建任务时始终为镜像设置任务应如何运行,即使实例(尚未)在镜像中也是如此。
- 确保在将实例添加到镜像时查看所有用户定义的任务,并为镜像设置任务应如何运行。
