linux集群认证

linux集群认证

ID:22371354

大小:68.00 KB

页数:12页

时间:2018-10-28

linux集群认证_第1页
linux集群认证_第2页
linux集群认证_第3页
linux集群认证_第4页
linux集群认证_第5页
资源描述:

《linux集群认证》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Linux集群认证  当组织添加应用程序和服务时,将认证和密码服务集中化可以增加安全性、减少管理开销及开发人员的负担。但是,将所有服务聚集到单个服务器上会引起可靠性问题。对于企业认证服务,高可用性尤其关键,因为在许多情况中,当认证停止工作时,整个企业都将陷入停顿。  我们使用LDAP(轻量级目录访问协议,Lightdash;复制(replication)和引用(referral)。  引用机制使您能跨多服务器分割LDAP名称空间,并能以层次结构的形式安排LDAP服务器。LDAP在一个特定目录名称空间中只允许有一个主服务器。  

2、复制由OpenLDAP复制守护程序slurpd驱动。slurpd定期醒来并检查主服务器上的日志文件,看是否有更新。更新随后被传递到从服务器。读请求可以由任一服务器应答,但更新只能在主服务器上进行。对从服务器的更新请求会生成一个引用消息,该消息会给出主服务器的地址。跟踪引用和重新尝试更新是客户机的职责。OpenLDAP没有内置方法来跨已复制服务器分发查询,因此必须使用IP发射器(sprayer)/扇出(fanout)程序(如balance)。  为了实现可靠性目标,我们将一对服务器以群集方式组织在一起。我们可以在服务器间使用共享

3、存储器,维护一个数据副本。但为了简单起见,我们选择进行无共享(shared-nothing)的实现。LDAP数据库通常很小,而且更新频率较低(提示:如果您的LDAP数据集确实较大,请考虑用引用将名称空间划分成较小的部分)。重新启动故障节点时,对无共享设置的确需要注意:在重新启动之前,必须将所有新的更改添加到故障节点上的数据库。稍后,我们将演示一个示例。  群集软件和配置  在开始之前,让我们澄清一个细微的混淆。大多数HA(高可用性,HighAvailability)群集都有一个名为heartbeat的系统持活(system-k

4、eepalive)功能。HA软件使用heartbeat以监控群集中节点的健康状态。Linux-HA(.linux-ha.org)组提供了开放源码群集软件。他们软件包的名称是Heartbeat(目前是Heartbeat-0.4.9)。这可能导致一些可以理解的混淆(喔,它有时也使我糊涂)。在本文中,我们将把Linux-HA软件包称为Heartbeat,而把一般性的概念称为heartbeat。  Linux-HA项目作为Linux-HAHOilz撰写)的产物于1998年启动。该项目目前由AlanRobertson和其他许多志愿开发人

5、员领导。版本0.4.9于2001年早期发布。  Heartbeat通过通信媒介监控节点的可用状态,媒介通常是串行线或以太网。最好有多个冗余媒介,因此我们使用了一条串行线和一个以太网链路。每个节点运行一个守护程序进程(名为heartbeat)。主守护程序派生子进程以对每个heartbeat媒介进行读写,并且派生状态进程。当检测到节点终止时,Heartbeat运行shell脚本以在辅助节点上启动(或停止)服务。在设计时,规定这些脚本使用与系统init脚本(通常位于/etc/init.d)相同的语法。它还提供了用于文件系统、Web服

6、务器和虚拟IP故障转移的缺省脚本。  假设有两个匹配的LDAP服务器,我们可以使用几种配置。首先,我们可以实现冷备用。主节点有一个虚拟IP和正在运行的服务器。辅助节点处于空闲状态。当主节点出现故障时,服务器实例和IP会转移到冷节点。这是容易实现的,但主服务器和辅助服务器之间的数据同步却是个问题。要解决这个问题,我们可以这样配置群集,即在两个节点上都配置处于运行状态的服务器。主节点运行主LDAP服务器,辅助节点则运行从实例。对主服务器的更新通过slurpd被立即传递到从服务器。  主节点的故障使得辅助节点要响应查询,但现在我们还

7、不能更新。为了提供更新,在故障转移时,我们要重新启动辅助服务器并将它提升为主服务器。  这给予我们完整的LDAP服务,但却增加了一个问1234下一页....,。题如果向辅助服务器作出了更新,那么在允许它重新启动之前必须修复主服务器。Heartbeat支持nicefailback选项,该选项禁止有故障的节点在故障转移后重新获得资源,这会更令人满意。在本文中,我们手工演示重新启动。我们的样本配置将使用Heartbeat提供的虚拟IP工具。如果需要支持较重的查询负载,则会用同时向主从服务器分发查询的IP发射器取代虚拟IP。在这一情况

8、中,对从服务器作出的更新请求会产生引用。对引用的跟踪不是自动的;必须将该功能构建到客户机应用程序中。除了复制伪指令外,主节点和从节点是以完全相同的方式配置的。主服务器配置文件指明复制日志文件的位置(第16行),并且有一份从服务器的清单,这些从服务器是具有凭证信息的复制目标(第

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。