第 4 章 使用虚拟机快照恢复数据丢失
如果发生数据丢失事件,您可以恢复证书颁发机构 (CA) 副本的虚拟机 (VM) 快照来修复丢失的数据,或者从其中部署新环境。
4.1. 只从虚拟机快照中恢复
如果灾难影响所有 IdM 服务器,且只存在 IdM CA 副本虚拟机 (VM) 的快照,您可以通过删除对丢失的服务器的所有引用并安装新副本来重新创建部署。
先决条件
- 您已准备了 CA 副本虚拟机的虚拟机快照。请参阅使用虚拟机快照准备数据丢失的情况。
流程
- 引导 CA 副本虚拟机所需的快照。
将复制协议删除任何丢失的副本。
[root@server ~]# ipa server-del lost-server1.example.com [root@server ~]# ipa server-del lost-server2.example.com ...
- 安装第二个 CA 副本。请参阅 安装 IdM 副本。
- VM CA 副本现在是 CA 续订服务器。红帽建议在环境中提升另一个 CA 副本,以充当 CA 续订服务器。请参阅更改和重置 IdM CA 续订服务器。
- 通过部署带有所需服务(CA、DNS)的额外副本来重新创建所需的副本拓扑。请参阅安装 IdM 副本
- 更新 DNS 以反应新的副本拓扑。如果使用 IdM DNS,则会自动更新 DNS 服务记录。
- 验证 IdM 客户端可访问 IdM 服务器。请参阅在恢复过程中调整 IdM 客户端。
验证
以 IdM 用户身份成功检索 Kerberos ticket-granting ticket,在每个副本中测试 Kerberos 服务器。
[root@server ~]# kinit admin Password for admin@EXAMPLE.COM: [root@server ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 15:51:37 11/01/2019 15:51:02 HTTP/server.example.com@EXAMPLE.COM 10/31/2019 15:51:08 11/01/2019 15:51:02 krbtgt/EXAMPLE.COM@EXAMPLE.COM
通过检索用户信息,测试每个副本上的 Directory 服务器和 SSSD 配置。
[root@server ~]# ipa user-show admin User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@EXAMPLE.COM UID: 1965200000 GID: 1965200000 Account disabled: False Password: True Member of groups: admins, trust admins Kerberos keys available: True
使用
ipa cert-show
命令测试每个 CA 副本上的 CA 服务器。[root@server ~]# ipa cert-show 1 Issuing CA: ipa Certificate: MIIEgjCCAuqgAwIBAgIjoSIP... Subject: CN=Certificate Authority,O=EXAMPLE.COM Issuer: CN=Certificate Authority,O=EXAMPLE.COM Not Before: Thu Oct 31 19:43:29 2019 UTC Not After: Mon Oct 31 19:43:29 2039 UTC Serial number: 1 Serial number (hex): 0x1 Revoked: False
其他资源