4.2. Replicas 的部署注意事项
4.2.1. Topology 中的服务器服务分布
IdM 服务器可以运行多个服务,如证书颁发机构(CA)或 DNS。副本可以运行与其从中创建的服务器相同的服务,但这不是必需的。
例如,您可以安装不带 DNS 服务的副本,即使初始服务器运行 DNS。同样,即使初始服务器在没有 DNS 的情况下安装,您也可以将副本设置为 DNS 服务器。
图 4.2. 带有不同服务的副本
Replicas 上的 CA 服务
如果您设置了一个没有 CA 的副本,它会将证书操作的所有请求转发到拓扑中的 CA 服务器。
警告
红帽强烈建议将 CA 服务安装到多台服务器中。有关安装包括 CA 服务的初始服务器副本的详情请参考 第 4.5.4 节 “使用 CA 安装副本”。
如果您只在一个服务器中安装 CA,则在 CA 服务器失败时可能会丢失 CA 配置且无法恢复。详情请查看 第 B.2.6 节 “恢复丢失的 CA 服务器”。
如果您在副本中设置 CA,其配置必须镜像初始服务器的 CA 配置。
- 例如,如果服务器包含集成的 IdM CA 作为 root CA,则副本还必须使用集成 CA 作为 root CA 进行安装。
- 有关支持的 CA 配置选项,请参阅 第 2.3.2 节 “确定要使用的 CA 配置”。
4.2.2. 副本拓扑建议
红帽建议遵循以下指南:
- 在单个 IdM 域中配置不超过 60 个副本
- 红帽保证支持具有 60 个副本或更少副本的环境。
- 至少配置两个,但每个副本 不超过四个 复制协议
- 配置额外的复制协议可确保不仅在初始副本和主服务器之间复制信息,而且还在其他副本之间复制。
- 如果您从服务器 A 创建副本 B,然后从服务器 A 创建副本 C,则副本 B 和 C 不会被直接加入,因此在传播到副本 C 之前,必须首先将来自副本 B 的数据复制到 server A。
图 4.3. 复制协议中未加入副本 B 和 C
在副本 B 和副本 C 之间设置额外的复制协议可确保数据直接复制,从而提高数据可用性、一致性、故障转移容错和性能。图 4.4. replicas B 和 Cre Joined 在复制协议中
有关管理复制协议的详情,请查看 第 6 章 管理复制拓扑。
不需要为每个副本配置超过四个复制协议。每个服务器有大量的复制协议不会带来显著的额外好处,因为一个消费者服务器一次只能由一个主服务器更新,因此其他协议同时闲置和等待。此外,配置太多复制协议可能会对整体性能造成负面影响。注意ipa topologysuffix-verify 命令检查拓扑是否满足最重要的建议。运行 ipa topologysuffix-verify --help 获取详细信息。命令要求您指定拓扑后缀。详情请查看 第 6.1 节 “解释复制协议、拓扑后缀和拓扑片段”。
图 4.5. 拓扑示例
4.2.2.1. 紧凑 Cell Topology
最具弹性的拓扑之一是为服务器和单元中有少量服务器的副本创建单元配置:
- 每个单元都是一个 紧密的单元,所有服务器都有复制协议。
- 每一服务器与单元 外的其他 服务器都有一个复制协议。这样可确保每个单元松散耦合到域中的其他单元。
达到紧张的单元拓扑:
- 每个主要办公室、数据中心或本地化都至少有一个 IdM 服务器。最好有两个 IdM 服务器。
- 每个数据中心不超过 4 个服务器.
- 在小型办公室中,而不是使用副本,使用 SSSD 将凭据和非站点 IdM 服务器缓存为数据后端。