Доступность и производительность
В минимальной конфигурации можно разместить все компоненты решения, включая базу данных, на одной машине. Однако такая конфигурация обеспечивает (с учетом плановых простоев) уровень доступности «две девятки», и подойдет только для ознакомления с продуктом и тестирования отдельных его функций.
Чтобы обеспечить приемлемый уровень доступности («три девятки») для большинства сценариев (включая пилотные внедрения), необходимо установить все используемые модули (роли) SAS и базу данных на ферме из двух машин, при этом серверы баз данных объединяются в кластер «активный-активный».
Если используется внешняя (корпоративная) СУБД, или если производительности машин недостаточно, то серверы баз данных размещаются в отдельном кластере. При этом для распределения запросов к серверам базы данных в конфигурационных файлах сервера аутентификации можно указать URI подключения в разном порядке. Также можно использовать функцию балансировки нагрузки самой СУБД.
Для того, чтобы пользователи могли активировать свои первые аутентификаторы из-за пределов периметра корпоративной сети, может потребоваться разместить модуль активации в DMZ. Однако по соображениям безопасности другие модули не должны там находиться.
Это значит, что потребуются как минимум 3 (5) машин при условии, что допустимы перерывы в активации выданных пользователям аутентификаторов – если не допустимы, то нужен еще один сервер.
Суммарная (round-trip) задержка при аутентификации складывается из сетевых (в каналах связи) и вычислительных (в компонентах решения) задержек. Чтобы снизить сетевые задержки, имеет смысл размещать поближе к целевым сервисам все компоненты решения (узлы аутентификации, серверы аутентификации, серверы баз данных).
Вычислительная задержка на каждом из узлов зависит от производительности оборудования, запущенного системного ПО, от загрузки аутентификацией и другими задачами. Но в целом чем больше запросов на аутентификации обрабатывается (или стоит в очереди), тем больше и задержка.
Чтобы снизить вычислительную задержку, можно распределить поток запросов ко всем компонентам решения, используя различные решения по выравниванию (балансировке) нагрузки.
Вернуться к Оглавлению.