Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp3extclustering [2020/11/19 10:04] – Silke Meyer | de:shibidp:config-cluster [2022/05/02 14:52] (aktuell) – Wolfgang Pempe | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
* Allgemeine Hinweise und verschiedene Strategien finden sich im [[https:// | * Allgemeine Hinweise und verschiedene Strategien finden sich im [[https:// | ||
* Ausführliche Diskussion bei [[https:// | * Ausführliche Diskussion bei [[https:// | ||
- | * [[https://www.aai.dfn.de/ | + | * [[https://download.aai.dfn.de/ |
- | * Thorsten Michels, TU Kaiserslautern: | + | * Thorsten Michels, TU Kaiserslautern: |
===== Beispiel-Setup der DFN-Geschäftsstelle ===== | ===== Beispiel-Setup der DFN-Geschäftsstelle ===== | ||
Zeile 18: | Zeile 18: | ||
* der passive Loadbalancer den aktiven nicht mehr über VRRP erreicht oder | * der passive Loadbalancer den aktiven nicht mehr über VRRP erreicht oder | ||
* der HAProxy auf dem aktiven Loadbalancer nicht mehr läuft | * der HAProxy auf dem aktiven Loadbalancer nicht mehr läuft | ||
- | * **HAProxy** bindet sich an die IP-Adresse(n) des IdP | + | * **HAProxy** |
* terminiert die SSL-Verbindung, | * terminiert die SSL-Verbindung, | ||
* führt Health Checks aus, z.B. auf Layer 7 gegen die Statusseite des IdP | * führt Health Checks aus, z.B. auf Layer 7 gegen die Statusseite des IdP | ||
- | * Backchannel/ | + | * Backchannel/ |
- | Dies ist ein beispielhafter Auszug aus '' | + | <callout color="# |
+ | Bei Fragen zu HAProxy konsultieren Sie bitte deren [[http://www.haproxy.org/# | ||
+ | </ | ||
- | <file bash> | + | |
+ | Dies ist ein beispielhafter Auszug aus ''/ | ||
frontend idp_frontchannel | frontend idp_frontchannel | ||
mode http | mode http | ||
Zeile 58: | Zeile 61: | ||
# Hier definieren Sie die realen Hosts, auf denen die IdPs laufen. | # Hier definieren Sie die realen Hosts, auf denen die IdPs laufen. | ||
# Jeder setzt ein Cookie mit dem Hostname. | # Jeder setzt ein Cookie mit dem Hostname. | ||
- | # Jeder wird ohne DNS, direkt auf der Host-IP über TLS mit Server Name Indication geprüft. | + | # Zu jedem wird der Traffic erneut verschlüsselt. |
- | server idp1 < | + | # Die Health Checks erfolgen |
- | server idp2 < | + | server idp1 < |
+ | server idp2 < | ||
backend idp_backchannel | backend idp_backchannel | ||
Zeile 76: | Zeile 80: | ||
* Shibboleth-Logs auf zentralen Loghost schicken | * Shibboleth-Logs auf zentralen Loghost schicken | ||
* Health Checks zur Datenbank hin | * Health Checks zur Datenbank hin | ||
- | * Anbindung der Datenbank entweder über Service IP oder über lokal installierte HAProxys, die auf jeden IdP-Host einzeln den Zustand der Datenbank-Server prüfen (s.u. zu Percona Clustercheck) | + | * Anbindung der Datenbank entweder über eine Service IP / einen entsprechenden DNS-Namen (" |
==== Datenbank ==== | ==== Datenbank ==== | ||
Zeile 82: | Zeile 86: | ||
* MariaDB **Galera** Cluster (synchrone Multimaster-Replikation) | * MariaDB **Galera** Cluster (synchrone Multimaster-Replikation) | ||
+ | * Es gibt verschiedene Distributionen von Galera, MariaDB ist nur eine davon ([[https:// | ||
* ist nur ausfallsicher bei einer ungeraden Anzahl von Nodes, z.B. 3 (Quorum) | * ist nur ausfallsicher bei einer ungeraden Anzahl von Nodes, z.B. 3 (Quorum) | ||
* Mit xinetd und **Percona Clustercheck** kann auf Port 9200 ein Dienst für Health Checks zur Verfügung gestellt werden. So kann man erkennen, dass nicht nur eine TCP-Verbindung zu Port 3006 aufgebaut werden kann, sondern dass der jeweilige Clusterknoten innerhalb des Galera Clusters in einem integeren Zustand ist. | * Mit xinetd und **Percona Clustercheck** kann auf Port 9200 ein Dienst für Health Checks zur Verfügung gestellt werden. So kann man erkennen, dass nicht nur eine TCP-Verbindung zu Port 3006 aufgebaut werden kann, sondern dass der jeweilige Clusterknoten innerhalb des Galera Clusters in einem integeren Zustand ist. | ||
- | {{tag>idp3 idp4}} | + | {{tag>Hochverfügbarkeit HA Cluster}} |