第38章 Identity Management におけるフェイルオーバー、負荷分散、および高可用性
Identity Management (IdM) には、LDAP ID ドメインおよび証明書のレプリケーションなどの独自のフェイルオーバー、負荷分散、および高可用性機能、ならびに
システムセキュリティーサービスデーモン (SSSD) によるサービス検出とフェイルオーバーのサポートが同梱されます。
IdM には以下の機能が備わっています。
クライアント側のフェイルオーバー機能
SSSD は、クライアントが自動的に検出した DNS サーバーからサービス (SRV) リソースレコードを取得します。SSSD は、SRV レコードに基づいて、利用可能な IdM サーバーのリスト (これらのサーバーの接続性に関する情報を含む) を保持します。IdM サーバーがオフラインになるか、過負荷になると、SSSD は他のどのサーバーと通信するかをすでに認識しています。
DNS 自動検出が利用できない場合は、IdM クライアントを設定して、IdM サーバーの固定リストを使用して、障害発生時に SRV レコードを取得するようにします。
IdM クライアントのインストール時に、インストーラーは、クライアントのホスト名の親であるすべてのドメインについて、
_ldap._tcp.DOMAIN DNS SRV レコードを検索します。この方法で、インストーラーは、クライアントとの通信に最も便利な IdM サーバーのホスト名を取得し、そのドメインを使用してクライアントコンポーネントを設定します。
サーバー側のサービスの可用性
IdM を使用すると、地理的に分散しているデータセンターでサーバーを複製できます。このため、IdM クライアントと、アクセス可能な最寄りのサーバーとの間のパスが短くなります。サーバーを複製すると、より多くのクライアントで負荷を分散し、スケーリングできます。
IdM レプリケーションメカニズムでは、アクティブ/アクティブのサービスの可用性を実現できます。すべての IdM レプリカのサービスは、同時に利用できます。
注記
IdM とその他の負荷分散を組み合わせる場合に、HA ソフトウェアは推奨されません。サードパーティーの高可用性 (HA) ソリューションの多くは、アクティブ/パッシブのシナリオを想定し、IdM の可用性に対して不要なサービスの中断を発生させます。他のソリューションでは、クラスター化されたサービスごとに仮想 IP または単一のホスト名を使用します。このような方法はすべて、通常、IdM ソリューションが提供するタイプのサービスの可用性では適切に機能しません。また、Kerberos との統合性が非常に低く、デプロイメントのセキュリティーと安定性が全体的に低下します。
また、特にこのようなサービスの可用性が高く、HA 機能を提供するためにネットワーク設定を変更するソリューションを使用する場合は、関連のないその他のサービスの IdM マスターへのデプロイは推奨されません。
認証に Kerberos を使用する場合のロードバランサーの使用方法は、今回のブログ投稿 を参照してください。
