Repmgr: управление репликацией postgresql

Доменная служба Active Directory — центральный узел ИТ-инфраструктуры, который должен быть тщательно спроектирован и корректно развёрнут, во избежание остановки рабочей деятельности сотрудников.

Рекомендации по бэкапу контроллеров домена

Сервисы Active Directory разработаны с учетом избыточности, поэтому привычные правила и тактики бэкапа необходимо адаптировать соответствующим образом. В данном случае будет неправильно использовать ту же политику бэкапа, что уже работает для серверов SQL или Exchange. Ниже я приведу ряд рекомендаций, которые могут помочь при разработке вашей собственной политики для Active Directory:

  • Выясните, какие контроллеры домена в вашей среде выполняют роли FSMO (Flexible Single Master Operations). Совет: простая команда для проверки через командную строку: >netdom query fsmo

Выполняя полное восстановление домена, лучше начать с контроллера домена с наибольшим числом ролей FSMO, — обычно это сервер с ролью эмулятора основного контроллера домена (PDC). В противном случае после восстановления вам придется передавать соответствующие роли вручную при помощи команды ntdsutil seize. Помните об этом при планировании бэкапа и приоритизации контроллеров домена. Подробнее о ролях FSMO можно прочитать в экспертной статье по основам работы с Active Directory.

  • Если на площадке несколько контроллеров домена, а вы хотите защитить отдельные объекты, то у вас нет необходимости в бэкапе всех контроллеров. Для восстановления отдельных объектов будет достаточно одной копии базы данных Active Directory ()
  • Всегда есть возможность снизить риск случайного или намеренного удаления или изменения объектов AD. Можно порекомендовать делегирование административных полномочий, настройку ограничений доступа с повышенными правами и резервную площадку c задержкой репликации.
  • Обычно рекомендуется выполнять бэкап контроллеров доменов поочередно и так, чтобы оно не пересекалось с репликацией DFS. Хотя современные решения (например, Veeam Backup & Replication v7 с пакетом обновления 3 и выше) знают, как решать эту проблему.
  • Если вы используете виртуальную среду VMware, контроллер домена может быть недоступен по сети (например, он находится в зоне DMZ). В этой ситуации Veeam переключится на соединение через VMware VIX и сможет обработать этот контроллер.
Читайте также:  34 совета по оптимизации и настройке Windows

Ключевые возможности Active Directory

— Единая регистрация в сети. Позволяет настроить вход пользователя в рабочее пространство под своей учётной записью. Функционал аутентификации позволяет администрировать доступы пользователе ко всем ресурсам и информационным системам организации, настраивать интеграцию аутентификации c другими службами авторизации (использование единого доступа сотрудника, например, к компьютеру, к электронной почте, корпоративному порталу, 1С и т.д.).

— Безопасность информации. Централизованная настройка ролей и прав доступа группам или отдельным пользователям в рабочей сети, в зависимости от поставленной задачи.

— Лёгкий поиск. Поиск объектов осуществляется при помощи имени пользователя/компьютера или адреса электронной почты.

— Удобный интерфейс. Позволяет проектировать каталоги в виде древовидной структуры или задавать связь и права доступа между несколькими деревьями, обозначающими филиалы в разных зданиях или городах.

— Централизованное управление. Позволяют производить изменения сразу для всей рабочей сети, а не настраивать каждый объект отдельно. Отличное решение, если стоит задача, например, расширить (ограничить) права доступа к конкретному объекту сети или подключить отдельный сервер только для юридического отдела. Такие массовые изменения осуществляются при помощи групповых политик Active Directory.

Групповые политики Active Directory — отвечают за управление компьютерами, которые являются элементами домена, и позволяют максимально оперативно и централизованно настроить рабочее пространство пользователя и систему безопасности.

Возможности групповых политик Active Directory:

  • администрирование операционной системы;
  • настройка безопасности доступов к системному и прикладному программному обеспечению (установка разрешений, включение пользователей в группы);
  • установка, настройка и обновление, удаление программного обеспечения (одновременно на всех необходимых устройствах сети удаленно);
  • обслуживание компонентов операционных систем;
  • интеграция с другими сервисами и приложениями, которые работают по сети, используя функционал групповых политик;
  • настройка правил с зависимостью от местоположения пользователя;
  • выполнение скриптов и многое другое.
Читайте также:  Как заблокировать веб-сайты в Internet Explorer.

Процесс настройки интеграции TrueConf Server с LDAP/Active Directory

Режим синхронизации с сервером LDAP будет доступен на TrueConf Server при включенном в его лицензию расширении LDAP/Active Directory. Данное расширение является платным, но вы можете взять его бесплатно на тест сроком до трех недель.

Рассчитать стоимость Протестировать бесплатно

Далее, чтобы переключить TrueConf Server на работу в этом режиме,  воспользуйтесь документацией сервера.

При переключении TrueConf Server в режим синхронизации с LDAP для работы с  Active Directory используйте настройки по умолчанию.

Заключение

Repmgr — простой, понятный инструмент, который сильно облегчает операции в master-slave конфигурациях. Он не позволит полностью автоматизировать защиту от отказов (для этого нужны другие инструменты), но поможет в простых конфигурациях. Я очень рекомендую использовать его – самостоятельно или в сочетании с pgpool-II. В таком варианте pgpool отвечает за балансировку запросов, фенсинг и инициирует failover, когда это необходимо. Repmgr отвечает за сам низкоуровневый процесс failover (и это намного лучше, чем рекомендуемый pgpool набор жутковатых скриптов!).

При этом я очень не рекомендую:

  • использовать автоматический failover средствами repmgr. Строго говоря – он не работает. Для работы repmgr нужен работающий сервер postgresql, и если postgresql master упал – repmgr не в состоянии самостоятельно переключится (из-за упавшего мастера)
  • использовать bidirectional multimaster. Эта функция заявлена в описании, но работает крайне плохо — сервера теряют связь друг с другом и часто трут конфликтующие данные. Проверено до версии 4.0.5