第6章 レプリケーショントポロジーの管理

本章では、Identity Management (IdM) ドメインでのサーバー間のレプリケーションを管理する方法について説明します。

注記

本章では、Red Hat Enterprise Linux 7.3 で導入された簡単なトポロジーの管理について説明します。この手順では、ドメインレベル 1 (7章ドメインレベルの表示と引き上げ を参照) が必要になります。
ドメインレベル 0 でのトポロジー管理については、「レプリカとレプリカ合意の管理」 を参照してください。
最初のレプリカのインストールとレプリケーションについての基本的な情報は、4章Identity Management のレプリカのインストールとアンインストール を参照してください。

6.1. レプリカ合意、トポロジーサフィックス、およびトポロジーセグメント

レプリカ合意

IdM サーバーに保存されているデータは、レプリカ合意に基づいて複製されます。2 サーバー間でレプリカ合意が設定されていると、これらのサーバーのデータは共有されます。
レプリカ合意は常に双方向のものです。1 台目のレプリカから 2 台目のレプリカにデータが複製されるほかに、2 台目のレプリカから 1 台目のレプリカにもデータが複製されます。

注記

詳細については、「IdM レプリカの説明」 を参照してください。

トポロジーサフィックス

トポロジーサフィックス は、複製されたデータを保存します。IdM では、domain および ca の 2 つのタイプのサフィックスをサポートしています。各サフィックスは、別個のバックエンドと別個のレプリカトポロジーを表しています。
レプリカ合意が設定されると、2 台のサーバー上の同じタイプの 2 つのトポロジーサフィックスを結びつけます。
domain サフィックス: dc=example,dc=com
domain サフィックスには、ドメイン関連データすべてが含まれます。
2 つのレプリカの domain サフィックス間でレプリカ合意が設定されると、ユーザー、グループ、およびポリシーなどのディレクトリーデータが共有されます。
ca サフィックス: o=ipaca
ca サフィックスには、 Certificate System コンポーネント用のデータが含まれます。これは、証明局 (CA) がインストールされているサーバーにのみ存在します。
2 つのレプリカの ca サフィックス間でレプリカ合意が設定されると、証明書データが共有されます。
トポロジーサフィックス

図6.1 トポロジーサフィックス

新規レプリカのインストール時には、ipa-replica-install スクリプトが 2 つのサーバー間に初期トポロジーセグメントをセットアップします。

例6.1 トポロジーサフィックスの表示

ipa topologysuffix-find コマンドでトポロジーサフィックスの一覧が表示されます。 
$ ipa topologysuffix-find
---------------------------
2 topology suffixes matched
---------------------------
  Suffix name: ca
  Managed LDAP suffix DN: o=ipaca

  Suffix name: domain
  Managed LDAP suffix DN: dc=example,dc=com
----------------------------
Number of entries returned 2
----------------------------

トポロジーセグメント

2 つのレプリカのサフィックス間にレプリカ合意がある場合、サフィックスは トポロジーセグメント を形成します。このトポロジーセグメントは、左ノード右ノード で構成されます。ノードは、レプリカ合意に参加したサーバーを表しています。
IdM のトポロジーセグメントは常に双方向です。各セグメントは、サーバー A からサーバー B と、サーバー B からサーバー A という 2 つのレプリカ合意を表しています。このため、データは双方向で複製されます。
トポロジーセグメント

図6.2 トポロジーセグメント

例6.2 トポロジーセグメントの表示

ipa topologysegment-find コマンドで、domain または CA サフィックスに設定されたトポロジーセグメントが表示されます。たとえば、domain サフィックスの場合は以下のようになります。 
$ ipa topologysegment-find
Suffix name: domain
-----------------
1 segment matched
-----------------
  Segment name: server1.example.com-to-server2.example.com
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both
----------------------------
Number of entries returned 1
----------------------------
この例では、ドメイン関連のデータのみが server1.example.comserver1.example.com の 2 つのサーバー間で複製されます。
特定セグメントの詳細を表示するには、ipa topologysegment-show コマンドを使用します。 
$ ipa topologysegment-show
Suffix name: domain
Segment name: server1.example.com-to-server2.example.com
  Segment name: server1.example.com-to-server2.example.com
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both