企业级大数据安全架构（八）FreeIPA高可用部署

作者：楼高
前面第七章详细介绍了部署FreeIPA来做kerberos认证，这节接着介绍FreeIPA高可用部署

1.FreeIPA高可用配置

说明：在安装完一台ipa-server之后，在另一个备份节点部署ipa-client-install和ipa-replica-install

1.1备节点机器上yum安装ipa-server相关包

yum install -y ipa-server

1.2修改备节点dns配置

将主节点c拷贝到备节点对应目录，修改备节点的/etc/resolv.conf文件，将主节点的dns配置进去，此处我们的ipa-server主节点ip是172.26.232.170

1.3备节点安装ipa-client

在备份节点执行ipa-client-install安装ipa客户端，安装步骤5.4章节有介绍到，安装完成之后在FreeIPA界面可以看到主备两个节点已经注册

1.4备节点安装ipa-replica-install

执行pa-replica-install命令，进行安装操作
注：需要开放443、636、464、389、53、123端口，否则两个节点通信受阻会在后续安装报错
检查一下systemctl status oddjobd 是否启动，再检查一下dbus.socket 和 dbus.service 这两个服务 是否正常，oddjobd 服务后面同步用户有介绍到

1.5检查ipa高可用是否安装成功

安装完成之后，执行命令ipa-replica-manage list在两台机器查看状态

1.6 安装问题记录

（1）dns配置问题
如果遇到以下问题，就是dns配置不正确，需要按照5.2节说的配置dns

（2）提示client或者server端已安装需要卸载，就需要卸载干净之后在安装

1.7高可用切换

目前测试使用脚本自动检查两台ipa服务是否故障，如果故障切换到另一台节点，需要一个虚拟vip，用来做高可用跳转，后面访问FreeIPA都使用这个vip登陆，可以给vip配置对应的域名进行访问

也可以使用其他方式或者工具进行心跳检测切换

脚本如下：

#!/bin/bash
##############################################################################################
# Date        :   2022-04-19
# Description :   通过检查服务是否正常以及vip是否配置来切换ipa服务
# Version     :   1.0.0
# require     :   在root用户下执行
# exec        :   nohup sh vip.sh &
# params。    :   vip_addr虚拟ip地址，result_file用来存储日志
##############################################################################################
vip_addr="172.26.232.163"
result_file=/tmp/result.log
while true 
doipactl status > $result_fileipa_status=$(cat $result_file | grep -i -E "stopped|warnning" | grep -v grep | wc -l)if [ $ipa_status -eq 0 ];thenping -c 3 $vip_addrif [ $? -ne 0 ];thenifconfig eth0:1 $vip_addr/24fi      elseifconfig eth0:1 down fi
sleep 5s
echo > $result_file
done

更多技术信息请查看云掣官网https://yunche.pro/?t=yrgw