Отказоустойчивость, производительность и масштабируемость MFA.
Высокая доступность и «девятки».
Доступность | Максимальный простой в год | Типичная архитектура |
99 % («две девятки») | около 3,6 суток | Один сервер. Плановые обновления требуют полной остановки системы. |
99,9 % («три девятки») | около 8 часов 46 минут | Резервирование всех критически важных компонентов позволяет выполнять обслуживание без остановки сервиса. |
99,99 % («четыре девятки») | около 53 минут | Автоматический мониторинг состояния компонентов, быстрое переключение (failover), резервирование сетевой инфраструктуры и систем хранения данных (СХД). |
99,999 % («пять девяток») | около 5 минут | Полностью отказоустойчивая инфраструктура без единой точки отказа: резервирование каналов связи, питания, СХД, географическое резервирование, специализированные отказоустойчивые серверные платформы с зеркалированием оперативной памяти и другие технологии. |
Производительность.
Масштабируемость.
Кластеризация.
Реализация отказоустойчивости и масштабируемости в Secure Authentication Server.
Серверы аутентификации
Серверы аутентификации Secure Authentication Server специально спроектированы по принципу stateless. После обработки запроса они не сохраняют информацию о состоянии пользовательского соединения, поэтому каждый следующий запрос может быть обработан любым экземпляром сервера. Благодаря этому серверы аутентификации легко объединяются в ферму и не требуют использования механизмов «липкой» балансировки.Агенты аутентификации
Во многих сценариях именно агенты принимают основной поток запросов от защищаемых ресурсов. Поэтому их отказоустойчивость также играет важную роль в общей доступности системы. Для резервирования агентов необходимо, чтобы в защищаемом ресурсе можно было прописать несколько альтернативных серверов аутентификации. Большинство VPN-шлюзов, VDI-серверов, сетевого оборудования, веб-приложений и других корпоративных систем такую возможность предоставляет. При этом логика выбора агента определяется самим защищаемым ресурсом. В зависимости от реализации запросы могут всегда направляться на первый сервер списка и автоматически переключаться на резервный после тайм-аута, либо же распределяться между несколькими серверами по одному из алгоритмов балансировки нагрузки. В первом случае для статистического распределения нагрузки между несколькими агентами обычно достаточно указать их адреса в разном порядке в разных целевых сервисах. В случае отказа или перегрузки одного из агентов защищаемый ресурс автоматически переключится на резервный сервер.База данных
Еще один критически важный компонент решения – это база данных. В минимальной конфигурации она может размещаться на том же сервере, что и остальные компоненты SAS. Однако для большинства внедрений рекомендуется использовать не менее двух серверов базы данных. Сервер аутентификации поддерживает подключение к разным узлам MariaDB. Обычно в конфигурационном файле указываются адреса (в формате URI) обоих серверов базы данных. При недоступности одного из них подключение автоматически устанавливается со вторым сервером.
Заключение.