プライマリおよびレプリカの FreeIPA サーバーと多数のクライアントをセットアップしています。OS のアップグレードのためにプライマリ サーバーを一時的に停止すると、すべてが非常に遅くなりました。これをシミュレートするために、テスト クライアントのファイアウォール ルールでプライマリ サーバーをブロックしてみましたが、結果は同じでした。
代わりに、レプリカとの通信に自動的に切り替えるだけではないのでしょうか?ipa hostgroup-show ipaserversは両方のサーバーをリストします。/etc/ipa/default.confクライアントではプライマリ サーバーのみがリストされます。数十のクライアントを 1 つの手順でレプリカに切り替える簡単な方法はありますか? また、ない場合は、クライアントで IPA をアンインストールして再インストールする以外に、レプリカに安全に移動するにはどうすればよいですか。一般に、2 つのサーバーにクライアントを分散して負荷を分散するのは賢明ではありません。それが賢明だと思います。FreeIPA をインストールおよび展開するために ansible-freeipa を使用しています。
答え1
私の記憶が正しければ、サーバーの 1 つ (クライアントのインストール時に使用されたサーバー) を最初にリストし、2番目 (このエントリにより、sssd がサーバーを自動検出できるようになります) としてipa-client-installリストするエントリを作成します。ipa_serversssd.conf_srv_
リストされているサーバーが削除された場合でも、サービス検出にフォールバックする前に試行される可能性があります。
その行をコメントアウトまたは削除し、再起動してsssd、これが役立つかどうかを確認することを検討してください。