Befolgen Sie diese Richtlinien für die Einrichtung eines VMware Identity Manager-Clusters.
Empfohlene Anzahl von Knoten im VMware Identity Manager-Cluster
Es empfiehlt sich, ein VMware Identity Manager-Cluster mit drei Knoten einzurichten.
Die VMware Identity Manager-Appliance verfügt über Elasticsearch, ein Such- und Analysemodul. Bekanntermaßen hat Elasticsearch Einschränkungen bei Clustern mit nur zwei Knoten. Eine Beschreibung der „Split Brain“-Einschränkung von Elasticsearch finden Sie in der Dokumentation zu Elasticsearch. Beachten Sie, dass Sie keine Elasticsearch-Einstellungen konfigurieren müssen.
Ein VMware Identity Manager-Cluster mit zwei Knoten bietet Failover-Funktionen mit einen Einschränkungen in Bezug auf Elasticsearch. Wenn einer der Knoten herunterfährt, gelten die folgenden Einschränkungen, bis der Knoten wieder funktionstüchtig ist:
- Im Dashboard werden keine Daten angezeigt.
- Die meisten Berichte stehen nicht zur Verfügung.
- Für Verzeichnisse werden keine Synchronisierungsprotokolldaten angezeigt.
- Im Suchfeld ganz oben rechts in der Verwaltungskonsole werden keine Ergebnisse wiedergegeben.
- Für Textfelder steht die Funktion zur automatischen Vervollständigung nicht zur Verfügung.
Solange der Knoten nicht funktionstüchtig ist, gehen keine Daten verloren. Auditereignis- und Synchronisierungsprotokolldaten werden gespeichert und bei der Wiederherstellung des Knotens angezeigt.
Netzwerkpartitionen
Das Erstellen einer Netzwerkpartition zwischen Knoten in einem VMware Identity Manager-Cluster wird nicht empfohlen. Wenn eine Netzwerkpartition zwischen VMware Identity Manager-Dienstknoten vorhanden ist, sodass die Knoten nicht miteinander kommunizieren können, und wenn alle Knoten noch über den Lastausgleichsdienst erreichbar sind und Anmeldeanfragen an einen der partitionierten Knoten geleitet werden, kann es zu folgenden Problemen kommen:
- Möglicherweise werden veraltete Daten über Anforderungen hinweg angezeigt. Beispielsweise können Änderungen an einer Zugriffsrichtlinie auf einem Knoten nicht auf Anmeldeanforderungen angewendet werden, die zu einem anderen Knoten geleitet werden, wenn eine Partition zwischen den Knoten vorhanden ist.
- Anmeldeaufrufe, die den ausgehenden Konnektor verwenden, schlagen möglicherweise fehl.