Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第38章 Identity Management でのフェイルオーバー、負荷分散、高可用性

Identity Management(IdM)には、LDAP ID ドメインや証明書レプリケーション、SSSD( System Security Services Daemon )が提供するサービス検索およびフェイルオーバーのサポートなど、独自のフェイルオーバー、負荷分散、および高可用性機能が同梱されています。
そのため、IdM には以下が備わっています。

クライアント側のフェイルオーバー機能

SSSD は、クライアントが自動的に検出する DNS サーバーからサービス(SRV)リソースレコードを取得します。SRV レコードに基づいて、SSSD は、このサーバーの接続情報など、利用可能な IdM サーバーの一覧を維持します。IdM サーバーがオフラインになるか、またはオーバーロードしている場合には、SSSD はすでに通信する他のサーバーを認識します。
DNS 自動検出が使用できない場合には、IdM クライアントは、少なくとも IdM サーバーの固定リストを設定して、障害発生時に SRV レコードを取得します。
IdM クライアントのインストール中に、インストーラーはクライアントのホスト名に対して親となるすべてのドメインに対して、DOMAIN DNS SRV レコードを検索します。このようにして、インストーラーはクライアントとの通信に最も便利な IdM サーバーのホスト名を取得し、そのドメインを使用してクライアントコンポーネントを設定します。

サーバー側のサービスの可用性

IdM を使用すると、地理的に分散しているデータセンター内の複製サーバーでは、IdM クライアントと、最も近いアクセス可能なサーバーとの間のパスを短くすることができます。サーバーを複製するサーバーを使用すると、より多くのクライアントに負荷およびスケーリングを分散できます。
IdM レプリケーションメカニズムは、アクティブ/アクティブのサービスの可用性を提供します。すべての IdM レプリカのサービスは、同時に利用できます。
注記
他のロードバランシングと IdM を統合しようとすると、HA ソフトウェアは推奨されません。サードパーティーの高可用性 (HA) ソリューションの多くは、アクティブ/パッシブのシナリオを想定し、IdM の可用性に対して不要なサービスの中断を発生させます。その他のソリューションでは、仮想 IP を使用するか、クラスターサービスごとに 1 つのホスト名を使用します。これらのすべての方法は、通常、IdM ソリューションが提供するサービスの可用性のタイプとは連携しません。また、Kerberos との統合が非常に悪いため、デプロイメントの全体的なセキュリティーと安定性が低下します。
また、このようなサービスの可用性が高く、ネットワーク設定を修正して HA 機能を提供する場合に、IdM マスターに他の関連しないサービスをデプロイすることは推奨されていません。
Kerberos が認証に使用されるときにロードバランサーを使用する方法は、こちら のブログ投稿 を参照してください。