Chapitre 23. Gestion de la topologie de réplication
Ce chapitre décrit comment gérer la réplication entre les serveurs d'un domaine de gestion des identités (IdM).
Ressources supplémentaires
23.1. Explication des accords de réplication, des suffixes de topologie et des segments de topologie
Lorsque vous créez une réplique, Identity Management (IdM) crée un accord de réplication entre le serveur initial et la réplique. Les données répliquées sont ensuite stockées dans des suffixes de topologie et lorsque deux répliques ont un accord de réplication entre leurs suffixes, ces derniers forment un segment de topologie. Ces concepts sont expliqués plus en détail dans les sections suivantes :
23.1.1. Accords de réplication entre les répliques de l'IdM
Lorsqu'un administrateur crée une réplique basée sur un serveur existant, Identity Management (IdM) crée un replication agreement entre le serveur initial et la réplique. L'accord de réplication garantit que les données et la configuration sont répliquées en permanence entre les deux serveurs.
IdM utilise multiple read/write replica replication. Dans cette configuration, toutes les répliques liées par un accord de réplication reçoivent et fournissent des mises à jour et sont donc considérées comme des fournisseurs et des consommateurs. Les accords de réplication sont toujours bilatéraux.
Figure 23.1. Accords sur les serveurs et les répliques
IdM utilise deux types d'accords de réplication :
- Accords de réplication de domaine
- Ces accords reproduisent les informations relatives à l'identité.
- Accords de réplication de certificats
- Ces accords reproduisent les informations du certificat.
Les deux canaux de réplication sont indépendants. Deux serveurs peuvent avoir un ou les deux types d'accords de réplication configurés entre eux. Par exemple, lorsque le serveur A et le serveur B n'ont configuré qu'un accord de réplication de domaine, seules les informations relatives à l'identité sont répliquées entre eux, et non les informations relatives au certificat.
23.1.2. Suffixes de topologie
Topology suffixes stocker les données répliquées. IdM prend en charge deux types de suffixes de topologie : domain et ca. Chaque suffixe représente un serveur distinct, une topologie de réplication distincte.
Lorsqu'un accord de réplication est configuré, il joint deux suffixes de topologie du même type sur deux serveurs différents.
- Le suffixe
domain: dc=example,dc=com Le suffixe
domaincontient toutes les données relatives au domaine.Lorsque deux répliques ont un accord de réplication entre leurs suffixes
domain, elles partagent les données de l'annuaire, telles que les utilisateurs, les groupes et les stratégies.- Le suffixe
ca: o=ipaca Le suffixe
cacontient des données relatives au composant du système de certification. Il n'est présent que sur les serveurs sur lesquels une autorité de certification (CA) est installée.Lorsque deux répliques ont un accord de réplication entre leurs suffixes
ca, elles partagent les données du certificat.
Figure 23.2. Suffixes de topologie
Un accord initial de réplication de la topologie est établi entre deux serveurs par le script ipa-replica-install lors de l'installation d'une nouvelle réplique.
Exemple 23.1. Visualisation des suffixes de topologie
La commande ipa topologysuffix-find affiche une liste des suffixes de la topologie :
$ ipa topologysuffix-find --------------------------- 2 topology suffixes matched --------------------------- Suffix name: ca Managed LDAP suffix DN: o=ipaca Suffix name: domain Managed LDAP suffix DN: dc=example,dc=com ---------------------------- Number of entries returned 2 ----------------------------
23.1.3. Segments de topologie
Lorsque deux répliques ont un accord de réplication entre leurs suffixes, les suffixes forment un topology segment. Chaque segment topologique est constitué d'un left node et d'un right node. Les nœuds représentent les serveurs liés par l'accord de réplication.
Les segments de topologie dans IdM sont toujours bidirectionnels. Chaque segment représente deux accords de réplication : du serveur A au serveur B, et du serveur B au serveur A. Les données sont donc répliquées dans les deux sens.
Figure 23.3. Segments de topologie
Exemple 23.2. Visualisation des segments de topologie
La commande ipa topologysegment-find montre les segments de topologie actuels configurés pour les suffixes de domaine ou de CA. Par exemple, pour le suffixe de domaine :
$ ipa topologysegment-find Suffix name: domain ----------------- 1 segment matched ----------------- Segment name: server1.example.com-to-server2.example.com Left node: server1.example.com Right node: server2.example.com Connectivity: both ---------------------------- Number of entries returned 1 ----------------------------
Dans cet exemple, les données relatives au domaine ne sont répliquées qu'entre deux serveurs : server1.example.com et server2.example.com.
Pour afficher les détails d'un segment particulier uniquement, utilisez la commande ipa topologysegment-show:
$ ipa topologysegment-show Suffix name: domain Segment name: server1.example.com-to-server2.example.com Segment name: server1.example.com-to-server2.example.com Left node: server1.example.com Right node: server2.example.com Connectivity: both
