前面第七章详细介绍了部署FreeIPA来做kerberos认证，这节接着介绍FreeIPA高可用部署

1.FreeIPA高可用配置

说明：在安装完一台ipa-server之后，在另一个备份节点部署ipa-client-install和ipa-replica-install

1.1备节点机器上yum安装ipa-server相关包

yum install -y ipa-server

1.2修改备节点dns配置

将主节点c拷贝到备节点对应目录，修改备节点的/etc/resolv.conf文件，将主节点的dns配置进去，此处我们的ipa-server主节点ip是172.26.232.170

1.3备节点安装ipa-client

在备份节点执行ipa-client-install安装ipa客户端，安装步骤5.4章节有介绍到，安装完成之后在FreeIPA界面可以看到主备两个节点已经注册

1.4备节点安装ipa-replica-install

执行pa-replica-install命令，进行安装操作

注：需要开放443、636、464、389、53、123端口，否则两个节点通信受阻会在后续安装报错

检查一下systemctl status oddjobd 是否启动，再检查一下dbus.socket 和 dbus.service 这两个服务 是否正常，oddjobd 服务后面同步用户有介绍到

1.5检查ipa高可用是否安装成功

安装完成之后，执行命令ipa-replica-manage list在两台机器查看状态

1.6 安装问题记录

（1）dns配置问题

如果遇到以下问题，就是dns配置不正确，需要按照5.2节说的配置dns

（2）提示client或者server端已安装需要卸载，就需要卸载干净之后在安装

1.7高可用切换

目前测试使用脚本自动检查两台ipa服务是否故障，如果故障切换到另一台节点，需要一个虚拟vip，用来做高可用跳转，后面访问FreeIPA都使用这个vip登陆，可以给vip配置对应的域名进行访问

也可以使用其他方式或者工具进行心跳检测切换

脚本如下：

#!/bin/bash

##############################################################################################

# Date        :   2022-04-19

# Description :   通过检查服务是否正常以及vip是否配置来切换ipa服务

# Version     :   1.0.0

# require     :   在root用户下执行

# exec        :   nohup sh vip.sh &

# params。    :   vip_addr虚拟ip地址，result_file用来存储日志

##############################################################################################

vip_addr="172.26.232.163"

result_file=/tmp/result.log

 

while true 

do

  ipactl status > $result_file

  ipa_status=$(cat $result_file | grep -i -E "stopped|warnning" | grep -v grep | wc -l)

  if [ $ipa_status -eq 0 ];then

    ping -c 3 $vip_addr

      if [ $? -ne 0 ];then

        ifconfig eth0:1 $vip_addr/24

      fi      

  else

    ifconfig eth0:1 down 

  fi

sleep 5s

echo > $result_file

done

脚本在两个机器的root用户下运行 nohup sh vip.sh &