第 38 章 身份管理中的故障转移、负载平衡和高可用性
身份管理(IdM)附带自己的故障转移、负载平衡和高可用性功能,如 LDAP 身份域和证书复制,以及
系统安全服务守护进程
(SSSD)提供的服务发现和故障转移支持。
因此,IdM 带有:
客户端故障转移功能
SSSD
从客户端自动发现的 DNS 服务器获取服务(SRV)资源记录。根据 SRV 记录,SSSD
维护可用 IdM 服务器的列表,包括有关这些服务器连接的信息。如果一个 IdM 服务器离线或超载,SSSD 已经知道要与之通信的其他服务器。
如果 DNS 自动发现不可用,则 IdM 客户端应至少配置有固定的 IdM 服务器列表,以便在出现故障时从 中检索 SRV 记录。
在安装 IdM 客户端期间,安装程序会在客户端主机名的父域搜索
_ldap._tcp.DOMAIN
DNS SRV 记录。这样,安装程序会检索 IdM 服务器的主机名,该主机名最方便地与客户端通信,并使用其域来配置客户端组件。
服务器侧服务可用性
IdM 允许在地理分散的数据中心中复制服务器,以缩短 IdM 客户端和最接近访问的服务器的路径。复制服务器允许为更多客户端分散负载和扩展。
IdM 复制机制提供主动/主动服务可用性。所有 IdM 副本的服务都随时可用。
注意
不建议将 IdM 与其他负载均衡结合使用,但不建议使用 HA 软件。许多第三方高可用性(HA)解决方案假定主动/被动情况,并导致 IdM 可用性不需要的服务中断。其他解决方案使用虚拟 IP 或每个集群服务使用一个主机名。所有这些方法通常不适用于 IdM 所提供的服务。另外,它们与 Kerberos 的集成效果也不好,从而降低了部署的整体安全性和稳定性。
还不建议在 IdM 主控机上部署其他不相关的服务,特别是这些服务应该具有高可用性,并使用修改网络配置来提供 HA 功能的解决方案。
有关使用 Kerberos 进行身份验证时使用负载均衡器的详情 ,请查看以下博客文章。