我从 freeIPA 复制文档回来了,你可以在这里找到 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/identity_management_guide/ipa-replica-manage
我完全理解复制的方向,但是图中指定了两个复制协议
- 目录服务器之间
- 证书制度
您还可以在 Web GUI 中的“拓扑”选项卡中看到,可以在其中定义一个或另一个,换句话说,您只能在一个节点上复制目录服务器,而只能在另一个节点上复制证书系统。
在将第三台服务器添加到我的集群后,我无法在其上添加用户,结果发现,它将 DS 复制到了服务器 1,将证书系统复制到了服务器 2。当我添加缺少的复制协议时,一切都开始顺利运行。
我粘贴的文档站点没有提及任何有关这些内容的内容,所以我的问题是,这些复制到底是做什么的,以及将其中一个复制到节点的考虑因素和好处是什么。
答案1
LDAP 目录是 IPA 中的主要组件,这里存储了您的所有用户、组、主机、服务等。因此,当您创建副本时,您需要同步所有这些数据。这样,如果您在一台 IPA 服务器上进行更改,该更改就会复制到所有其他服务器上。这就是目录复制的作用。
另一方面,证书颁发机构是一个可选组件。您不必在每个副本上运行 CA。但为了实现冗余,您确实希望至少在域中的两个 IPA 服务器上运行它。因此,在这两个 IPA 服务器之间,您将需要 CA 复制,以同步所有与 CA 相关的数据(密钥、生成的证书信息、配置文件等)。
因此,简单地说,CA 复制适用于 CA 组件,而目录复制适用于其余部分。
当您安装副本时,它将自动创建目录复制,并且(如果您在其上安装 CA)还将创建 CA 复制。安装后,您可以添加更多复制协议,以在所有 IPA 服务器之间构建某种冗余复制拓扑。例如,假设您有三台 IPA 服务器。您有目录复制 S1-S2 和 S2-S3。如果 S2 发生故障,那么您的其他两台服务器将被隔离。现在,如果您在 S1 上进行更改,它将不会被复制到 S3。但是,如果您再添加一个复制协议 S1-S3,就不会遇到此问题。