4.2. レプリカに関するデプロイメントの考慮事項

4.2.1. トポロジーにおけるサーバーサービスのディストリビューション

IdM サーバーは、証明局 (CA) または DNS など複数のサーバーを実行できます。レプリカは、レプリカをベースとして作成したサーバーとして同じサービスを実行できますが、必須ではありません。
たとえば、最初のサーバーが DNS を稼働している場合でも、DNS サービスなしでレプリカをインストールすることができます。同様に、最初のサーバーが DNS なしにインストールされている場合でも、DNS サーバーとしてレプリカを設定することができます。
異なるサービスが含まれるレプリカ

図4.2 異なるサービスが含まれるレプリカ

レプリカ上の CA サービス

CA なしにレプリカを設定する場合は、証明書の操作の要求はすべて、トポロジー内の CA サーバーに転送されます。

警告

Red Hat では、複数のサーバーに CA サービスをインストールしておくことを強く推奨しています。CA サービスを含む最初のサーバーのレプリカをインストールする方法についての情報は、「CA を設定したレプリカのインストール」 を参照してください。
CA が 1 つのサーバーにしかインストールされていないと、CA サーバーが故障した際に CA 設定が失われて回復できない恐れがあります。詳細については、「失われた CA サーバーの復旧」 を参照してください。
レプリカで CA を設定する場合は、設定は最初のサーバーの CA 設定をミラーリングする必要があります。
  • たとえば、統合された IdM CA がルート証明局としてサーバーに含まれる場合には、レプリカはこの統合された CA をルート証明局としてインストールする必要があります。
  • サポートされる CA 設定オプションは「CA 設定の決定」を参照してください。

4.2.2. レプリカトポロジーの推奨事項

Red Hat は以下のガイドラインに準拠することを推奨します。
単一の IdM ドメインでレプリカ 61 個以上設定しない
Red Hat は、レプリカが最大 60 個含まれる環境のサポートを保証します。
レプリカごとに 最低で 2 つ、最大 4 つ のレプリカ合意を設定する
追加のレプリカ合意を設定すると、最初のレプリカとマスターサーバーの間だけでなく、他のレプリカとの間でも情報が複製されます。
  • サーバー A からレプリカ B を作成してから、サーバー A からレプリカ C を作成する場合には、レプリカ B と C は直接連携されていないので、レプリカ B からのデータを先にサーバー A に複製してからレプリカ C に伝搬する必要があります。
    レプリカ B と C はレプリカ合意で連携されていない

    図4.3 レプリカ B と C はレプリカ合意で連携されていない

    レプリカ B とレプリカ C の間で追加のレプリカ合意を設定すると、データは直接複製され、データの可用性、一貫性、フェールオーバーの耐性、パフォーマンスを向上します。
    レプリカ B および C がレプリカ合意で連携されている

    図4.4 レプリカ B および C がレプリカ合意で連携されている

    レプリカ合意の管理に関する詳細は6章レプリケーショントポロジーの管理を参照してください。
レプリカごとにレプリカ合意を 5 つ以上設定する必要はありません。サーバーに設定されるレプリカ合意が増えても、追加で大幅な利点がもたらされるわけではありません。これは、1 台のマスターが一度に更新できるのは、消費者サーバー 1 台のみで、他の合意はその間アイドルかつ待機状態となっているからです。また、レプリカ合意を多く設定しすぎると、全体的なパフォーマンスに悪影響を与える可能性があります。

注記

ipa topologysuffix-verify コマンドは、トポロジーが最も重要な推奨事項に対応しているかどうかをチェックします。詳細は、ipa topologysuffix-verify --help を実行してください。
このコマンドでは、トポロジーのサフィックスを指定する必要があります。詳細は「レプリカ合意、トポロジーサフィックス、およびトポロジーセグメント」を参照してください。
トポロジーの例

図4.5 トポロジーの例

4.2.2.1. タイトセルトポロジー

最も回復力のあるトポロジーを設定するには、セルに含めるサーバー数を少数にしてサーバーとレプリカのセル構成を作成します。
  • 各セルは タイトセル になります。タイトセルでは、全サーバーに相互のレプリカ合意が設定されています。
  • 各サーバーは、セルの 外部 にある別のサーバーとのレプリカ合意があります。これにより、セルはすべてドメイン内の他の全セルと疎結合されるようになります。
タイトセルトポロジーを設定するには以下を行います。
  • 各メインオフィス、データセンター、地域に、少なくとも 1 つの IdM サーバーを用意します。可能であれは、2 台の IdM サーバーを用意します。
  • 各データセンターに用意するサーバーは 4 台までとします。
  • 小規模なオフィスでは、レプリカを使用するのではなく、SSSD を使用して認証情報をキャッシュして、データのバックエンドとしてオフサイトの IdM サーバーを使用します。