Отдельная hidden replicas для безопасного full backup FreeIPA
2021-04-01
Hidden replica доступна с версии FreeIPA 4.9?
Создание скрытой реплики выполняется командой:
ipa-replica-install --hidden-replica
После чего необходимо назначить ей все имеющиеся в домене роли, чтобы full backup имел в себе всю информацию.
При установке скрытой реплили, в DNS отсутствуют её srv-записи, а значит клиенты ничего не знают о её присутствии. Что позволяет выполнять full backup, когда реплика временно переводится в offline-режим, без перерыва в обслуживании клиентов.
При восстановлении из такого бэкапа восстановится обычная реплика, то есть не скрытая.
Есть команда для перевода обычной реплики в скрытую и обратно. Реплика не должна нести роли “CA renewal master” or “DNSSEC key master”, иначе, перед понижением её до hidden состояния, необходимо перенестить эти роли на другие реплики.