第 2 章 IdM 中的故障转移、负载平衡和高可用性

身份管理（IdM）为 IdM 客户端提供了内置的故障转移机制，为 IdM 服务器提供了负载平衡和高可用性功能。

客户端故障转移功能

默认情况下，IdM 客户端中的 SSSD 服务被配置为使用 DNS 服务(SRV)资源记录，以便客户端可以自动决定要连接的最佳 IdM 服务器。

主和备份服务器配置

服务器解析行为由 /etc/sssd/sssd.conf 文件的 ipa_server 参数中的 _srv_ 选项控制：

[domain/<idm_domain_name>]
id_provider = ipa
ipa_server = _srv_, <primary_idm_server1>, <primary_idm_server2>
ipa_backup_server = <backup_idm_server1>, <backup_idm_server2>
...

[domain/<idm_domain_name>]
id_provider = ipa
ipa_server = _srv_, <primary_idm_server1>, <primary_idm_server2>
ipa_backup_server = <backup_idm_server1>, <backup_idm_server2>
...

指定 _srv_ 选项后，SSSD 检索按首选顺序排序的 IdM 服务器的列表。如果主服务器离线，IdM 客户端上的 SSSD 服务会自动连接到另一个可用的 IdM 服务器。

主服务器在 ipa_server 参数中指定。SSSD 尝试首先连接到主服务器，只有在没有主服务器可用时才切换到备份服务器。

备份服务器不支持 _srv_ 选项。

如果您希望因为性能原因绕过 DNS 查找，请从 ipa_server 参数中删除 _srv_ 条目，并指定客户端应该连接的 IdM 服务器，按首选顺序排列：

[domain/<idm_domain_name>]
id_provider = ipa
ipa_server = <primary_idm_server1>, <primary_idm_server2>
ipa_backup_server = <backup_idm_server1>, <backup_idm_server2>
...

[domain/<idm_domain_name>]
id_provider = ipa
ipa_server = <primary_idm_server1>, <primary_idm_server2>
ipa_backup_server = <backup_idm_server1>, <backup_idm_server2>
...

IdM 服务器和服务的故障转移行为

SSSD 故障转移机制独立对待 IdM 服务器及其服务。如果服务器的主机名解析成功，SSSD 视机器为在线，并尝试连接到该机器上需要的服务。如果与服务的连接失败，SSSD 会只将该特定服务视为离线，而不是整个机器或其上的其他服务。

如果主机名解析失败，SSSD 会将整个机器视为离线，且不会尝试连接到该机器上的任何服务。

当所有主服务器都不可用时，SSSD 会尝试连接到配置的备份服务器。当连接到备份服务器时，SSSD 会定期尝试重新连接到其中一个主服务器，并在主服务器可用时立即连接。这些尝试之间的间隔由 failover_primary_timeout 选项控制，其默认为 31 秒。

如果所有 IdM 服务器都无法访问，SSSD 会切换到离线模式。在此状态中，SSSD 每 30 秒重试一次连接，直到服务器可用为止。

服务器端负载平衡和服务可用性

您可以通过安装多个 IdM 副本在 IdM 中实现负载平衡和高可用性：