Я вернулся из документации по репликации freeIPA, которую вы можете найти здесь https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/identity_management_guide/ipa-replica-manage
Я полностью понимаю направления репликации, однако на картинке указаны два соглашения о репликации
Это также можно увидеть на вкладке «Топология» в веб-интерфейсе, где можно определить тот или иной, другими словами, вы можете реплицировать только сервер каталогов на одном узле и только систему сертификатов на другом узле.
После добавления третьего сервера в свой кластер мне не удалось добавить на него пользователя, и оказалось, что у него была репликация DS на server1 и репликация системы сертификатов на server2. Когда я добавил недостающие соглашения о репликации, все заработало как шарм.
На сайте документации, который я вставил, ничего об этом не упоминается, поэтому мой вопрос: что именно делают эти репликации, и каковы преимущества и преимущества наличия только одной из них на узле.
Каталог LDAP является основным компонентом IPA, в нем хранятся все ваши пользователи, группы, хосты, службы и т. Д. Поэтому, когда вы создаете реплику, вы хотите синхронизировать все эти данные. Таким образом, если вы сделаете изменение на одном сервере IPA, оно будет реплицировано на все остальные. Это то, что делает репликация Справочника.
Центр сертификации, с другой стороны, является необязательным компонентом. Вам не нужно запускать CA на каждой имеющейся реплике. Но вы действительно хотите запустить его как минимум на двух IPA-серверах в вашем домене в целях избыточности. Итак, между этими двумя серверами IPA вам понадобится репликация CA для синхронизации всех данных, связанных с CA (ключей, информации сгенерированных сертификатов, профилей и т. Д.).
Итак, проще говоря, репликация CA предназначена для компонента CA, а репликация каталога - для всего остального.
Когда вы устанавливаете реплику, она автоматически создает репликацию Каталога и - если вы устанавливаете на нее CA - также репликацию CA. После установки вы можете добавить дополнительные соглашения о репликации, чтобы построить какую-то избыточную топологию репликации между всеми вашими серверами IPA. Например, представьте, что у вас есть три сервера IPA. У вас есть репликация каталога S1-S2 и S2-S3. Если S2 выходит из строя, то два других сервера становятся изолированными. Теперь, если вы внесете изменение в S1, оно не будет реплицировано на S3. Но если вы добавите еще одно соглашение о репликации S1-S3, у вас не будет этой проблемы.