第38章 Identity Management のフェールオーバー、負荷分散、高可用性

Identity Management (IdM) には、独自のフェールオーバー、負荷分散、高可用性機能が付いています。例えば、System Security Services Daemon (SSSD) では、LDAP ID ドメインや証明書レプリケーション、サービス検出、フェールオーバーを利用できます。
IdM では、以下を利用できます。

クライアントサイドフェールオーバー機能

SSSD は、クライアントが自動的に検出を行う DNS サーバーからサービス (SRV) リソース記録を取得します。SRV 記録に基づき、SSSD は利用可能な IdM サーバーの一覧を維持します。これには、これらのサーバーの接続に関する情報が含まれます。1 つの IdM サーバーがオフラインになるか、オーバーロードすると、SSSD は、通信を行うべきその他のサーバーを既に認識していることになります。
DNS 自動検出が利用できない場合、不具合が発生したときに SRV 記録を復元するために、指定でも一定の IdM サーバーリストで設定する必要があります。
IdM クライアントのインストールを行う際に、このインストーラーは、クライアントのホスト名に対して親となるすべてのドメインの DNS SRV 記録を検索します。これにより、インストーラーは、クライアントとの通信に最も有利な位置にある IdM サーバーのホスト名を取得し、クライアントコンポートネントの設定に、そのドメインを使用します。

サーバーサイドサービス可用性

IdM では、地理的に分散したデーターセンターが、IdM クライアントと最も近いアクセス可能なサーバー間のパスを短縮することができます。サーバーを複製することで、さらなるクライアントの読み込みとスケーリングを分散させることができます。
IdM レプリケーションメカニズムでは、アクティブ/アクティブサービス可用性を利用できます。すべての IdM レプリカのサービスも同時に利用できます。

注記

その他の負荷分散と IdM を組み合わせようとする場合は、HA ソフトウェアはおすすめできません。多くのサードパーティ高可用性 (HA) ソリューションは、アクティブ/パッシブシナリオを想定し、IdM の可用性に対して不要なサービス中断を引き起こします。その他のソリューションでは、各クラスターサービスに対して仮想 IP や単一ホスト名を使用します。これらすべての方法は、IdM ソリューションによるサービス可用性タイプとはうまく動作しません。また、Kerberos との統合もうまくいかず、展開の全体的なセキュリティや安定性が低下します。
また、その他の関連しないサービスを IdM マスターで展開することも推奨されません。特に、これらのサービスが高度に利用可能であり、ネットワーク設定を変更して HA 機能を使用できるようにするソリューションを使う場合はなおさらです。
Kerberos を認証に使う際のロードバランサー使用の詳細は、this blog post を参照してください。