第 6 章 使用 IdM Healthcheck 验证 KDC worker 进程的最佳数量
您可以使用身份管理(IdM)中的 Healthcheck 工具来验证 Kerberos 密钥分发中心(KDC)是否已配置为使用 krb5kdc
worker 进程的最佳数量,它应该等于主机上的 CPU 核数。
您可以在 ipahealthcheck.ipa.kdc
源中找到正确的 KDC worker 进程数量的测试。由于 Healthcheck 工具包括许多测试,因此您可以通过添加 --source ipahealthcheck.ipa.kdc
选项,通过只包括 KDC worker 测试来缩小结果范围。
先决条件
- KDC worker 进程 Healthcheck 工具仅适用于 RHEL 8.7 或更新版本。
-
您必须以
root
用户身份执行 Healthcheck 测试。
流程
要运行对 KDC worker 进程的检查,请输入:
# ipa-healthcheck --source ipahealthcheck.ipa.kdc
如果 KDC worker 进程的数量与 CPU 核数匹配,则测试会返回
SUCCESS
:{ "source": "ipahealthcheck.ipa.kdc", "check": "KDCWorkersCheck", "result": "SUCCESS", "uuid": "68f6e20a-0aa9-427d-8fdc-fbb8196d56cd", "when": "20230105162211Z", "duration": "0.000157", "kw": { "key": "workers" } }
如果 worker 进程数量与 CPU 核数不匹配,则测试会返回
WARNING
。在以下示例中,带有 2 个核的主机被配置为只有一个 KDC worker 进程:{ "source": "ipahealthcheck.ipa.kdc", "check": "KDCWorkersCheck", "result": "WARNING", "uuid": "972b7782-1616-48e0-bd5c-49a80c257895", "when": "20230105122236Z", "duration": "0.203049", "kw": { "key": ‘workers’, "cpus": 2, "workers": 1, "expected": "The number of CPUs {cpus} does not match the number of workers {workers} in {sysconfig}" } }
如果没有配置的 worker,则测试也会输出
WARNING
。在以下示例中,/etc/sysconfig/krb5kdc
配置文件中缺少KRB5KDC_ARGS
变量:{ "source": "ipahealthcheck.ipa.kdc", "check": "KDCWorkersCheck", "result": "WARNING", "uuid": "5d63ea86-67b9-4638-a41e-b71f4 56efed7", "when": "20230105162526Z", "duration": "0.000135", "kw": { "key": "workers", "sysconfig": "/etc/sysconfig/krb5kdc", "msg": "KRB5KDC_ARGS is not set in {sysconfig}" } }
其他资源
-
man ipa-healthcheck