Características de alta disponibilidad de Identity Manager

Identity Manager está diseñado para aprovechar la infraestructura de alta disponibilidad que pueda haber. Por ejemplo, Identity Manager no necesita un clúster de servidores de aplicaciones para lograr alta disponibilidad, pero puede aprovecharlo si existe.

El diagrama siguiente ilustra los principales componentes de Identity Manager implementados en una arquitectura no redundante. En las secciones siguientes se explica cómo asignar alta disponibilidad al depósito, el servidor de aplicaciones y la puerta de enlace de Identity Manager.

Figura 3–1 Arquitectura del sistema estándar de Identity Manager

En Instrucciones sobre la separación y la proximidad física de los componentes del sistema encontrará información sobre los componentes que deben situarse próximos entre sí para reducir los problemas de rendimiento que pueden surgir debido a la latencia y la congestión de la red.

Asignación de alta disponibilidad al depósito

Identity Manager almacena toda la información de abastecimiento y de estado en el depósito de Identity Manager.

La disponibilidad de la instancia de la base de datos donde se almacena el depósito de Identity Manager es el factor más crítico para lograr una implementación de Identity Manager altamente disponible. El depósito representa toda la instalación de Identity Manager, y los datos que contiene deben protegerse, como en el caso de otras aplicaciones de base de datos importantes. Como mínimo hay que realizar copias de seguridad periódicas.

No aloje el depósito de Identity Manager en una plataforma virtual, como una máquina virtual VMware, porque se verá seriamente afectado el rendimiento (transacciones por segundo).

Sólo puede haber una imagen del depósito. No es posible tener dos bases de datos distintas para Identity Manager e intentar sincronizarlas por las noches. Sun recomienda usar las funciones de duplicación o agrupamiento en clúster de la base de datos para proporcionar tolerancia a fallos.

Asignación de alta disponibilidad al servidor de aplicaciones

Identity Manager puede ejecutarse dentro de un clúster de servidores de aplicaciones y aprovechar la mayor disponibilidad y equilibrio de carga que ofrece el clúster. Sin embargo, Identity Manager no usa las funciones de J2EE que requieren agrupamiento en clúster.

Identity Manager utiliza el objeto de sesión HTTP que está disponible a través de la API de servlet. Este objeto de sesión lleva un seguimiento de la visita del usuario cuando éste inicia la sesión y realiza acciones. Un clúster ofrece la posibilidad de que varios nodos gestionen las solicitudes del usuario durante una sesión concreta. Sin embargo, esto suele estar desaconsejado y la mayoría de las instalaciones se configuran para enviar al mismo servidor la solicitud completa de un usuario para una sesión determinada.

Es posible ampliar la disponibilidad y la capacidad del servidor de aplicaciones donde se ejecuta Identity Manager incluso sin configuración de clúster. Para ello, se instalan varios servidores de aplicaciones con Identity Manager, se conectan al mismo depósito y se sitúa un equilibrador de carga con afinidad de sesiones al frente de todos los servidores de aplicaciones.

Para obtener más información sobre la afinidad de sesiones, consulte Preguntas frecuentes sobre afinidad de sesiones y persistencia de sesiones.

Identity Manager ejecuta determinadas tareas en segundo plano, por ejemplo, las tareas de reconciliación programadas. Estas tareas se almacenan en la base de datos y cualquier servidor de Identity Manager puede seleccionarlas para su ejecución. Identity Manager utiliza la base de datos para asegurarse de que estas tareas siempre se ejecuten por completo, incluso en caso de conmutación por error a otro nodo.

Configuración de clúster de Active Sync en nodos de servidor de aplicaciones

El valor de configuración sources.hosts del archivo Waveset.properties determina qué hosts de un entorno de instancias múltiples se utilizan para ejecutar las solicitudes de Active Sync. Este valor proporciona una lista de hosts donde pueden ejecutarse adaptadores de origen. Si se configura en localhost o null, los adaptadores de origen podrán ejecutarse en cualquier host de la granja de servidores web. (Éste es el comportamiento predeterminado.) Con una lista de uno o más hosts, puede restringir la ejecución a dicha lista. Si hay actualizaciones entrantes que proceden de otro sistema y van a un host concreto, utilice el valor sources.hosts para registrar los nombres de host.

También puede definir una propiedad llamada sources. resourceName.hosts, que controla dónde se ejecutará la tarea de Active Sync del recurso. Sustituya resourceName por el nombre del objeto de recurso que desea especificar.

Asignación de alta disponibilidad a la puerta de enlace

Identity Manager necesita una puerta de enlace liviana para administrar los recursos a los que no se puede acceder directamente desde el servidor. Ello incluye los sistemas que requieren llamadas a la API en el lado del cliente que son específicas de la plataforma. Por ejemplo, si Identity Manager se ejecuta en un servidor de aplicaciones basado en UNIX, no es posible realizar llamadas NTLM o ADSI a dominios administrados de NT o Active Directory. Como Identity Manager necesita una puerta de enlace para administrar estos recursos, es importante asegurarse de que la puerta de enlace de Identity Manager esté altamente disponible.

Para evitar que la puerta de enlace constituya un único punto de fallo, Sun recomienda ejecutar una instancia de puerta de enlace en varias máquinas. Conviene configurar un dispositivo de enrutamiento de red para suministrar conmutación por error en caso de que sucumba la instancia principal de la puerta de enlace. El dispositivo de conmutación por error debe configurarse para sesiones persistentes y utilizar un único esquema de operación por turnos. ¡No sitúe las puertas de enlace detrás de un dispositivo equilibrador de carga! Esta configuración no es compatible y hará que fallen algunas funciones de Identity Manager.

Todos los dominios de Windows administrados por una Puerta de enlace deben formar parte del mismo bosque. No es posible administrar dominios traspasando los límites del bosque. Si tiene varios bosques, instale al menos una Puerta de enlace en cada bosque.

Las herramientas de supervisión de Win32 pueden configurarse para observar el proceso de gateway.exe en el host de Win32. En caso de que falle gateway.exe, el proceso podrá reiniciarse automáticamente.