高可用性と災害復旧について計画する

組織固有の要件によって、高可用性プロセスと災害復旧プロセスを実装する方法が決まります。これらのガイドラインは、使用可能なオプションを判断できるようにすることを目的としています。

Okta AD Agentは負荷分散を行いません。トラフィックは、利用可能な最初のエージェントに転送されます。

開始するには、次の質問に答える必要があります。

  • 組織の災害復旧プロセスまたは高可用性プロセスの所有者は誰ですか?また、誰に相談する必要がありますか?
  • データ・センターはいくつありますか?
    • それらはどのように使用されていますか? つまり、どれが常時稼働中(ホット)で、どれがバックアップ(コールド)であるかということです。
    • どのようなフェイルオーバーを計画しますか? 個々のエージェントに障害が発生した場合に備えて、エージェントを冗長化できます。また、データ・センター全体(つまり、そのデータ・センター内のすべてのエージェント)の障害に備えて計画を立てることもできます。
    • ADドメイン・コントローラーは常時稼働していますか?
    • それらはアクティブに複製されていますか?
    • データ・センター間の複製に大きな遅延はありますか?これにより、複製に関する問題が発生する可能性があります。

ユース・ケース

ユース・ケースは、多くの場合、組織がAD統合を最大限に活用するうえで、高可用性と優れた災害復旧計画がどのように役立つかを示すための最良の方法です。このユース・ケースのExample Corp社には、3つのデータ・センターがあります。

  • 常時利用可能なアトランタの物理データ・センター
  • 常時利用可能なAmazon AWSデータ・センター
  • 稼働中の2つのデータ・センターが利用できない場合に災害復旧で使用されるコールド・バックアップ・データ・センター

統合により、データ・センターが物理インスタンスであるか仮想インスタンスであるかは関係なくなります。これらには同じ重要度が割り当てられます。

アトランタとAWSのデータ・センターが常時利用可能で、各インスタンスに1つ以上のOkta AD Agentがインストールされている場合、トラフィックは場所に関係なくアクティブなエージェントにルーティングされます。

コールド・データ・センターのサーバーにインストールされたOkta AD Agentは、Okta管理コンソールに非アクティブとして一覧表示されます。30日間、非アクティブだった場合、割り当てられたAPIトークンは期限切れになります。Example Corp社は、トラフィックをコールド・バックアップ・データ・センターにルーティングする必要がある場合、Okta AD Agentを再インストールしなければなりません。このため、Example Corp社は、必要に応じてコールド・データ・センターのサーバーにOkta AD Agentをインストールしておくように推奨されます。

Example Corp社が各データ・センターにインストールする必要があるエージェントの数を決定するには、そのフォールト・トレランスと、以下に備えた高可用性または災害復旧のシナリオについて検討する必要があります。

  • アトランタのデータ・センターで全面的な障害が発生し、トラフィックがAmazon AWSデータ・センターに移動する。Amazon AWSで障害が発生すると、トラフィックはコールド・データ・センターに移動する。
  • アトランタまたはAmazon AWSで障害が発生すると、コールド・データ・センターがオンラインになる。

次の質問について考えることは、AD統合の戦略を決定するうえで役に立ちます。

  • リスク許容度はどの程度ですか?
  • 個々のエージェント、エージェントがインストールされているマシン、またはデータ・センター全体が使用できなくなることを想定していますか?
  • Oktaの推奨事項は、既存の高可用性または災害復旧手順にどのように適合していますか?