...
Приведенные ниже сценарии использования системы WNAM 2 описывают типовые задачи, которые встречаются у наших заказчиков. Настоятельно рекомендуется придерживаться одного из следующих примеров при проектировании и развертывании системы WNAM 2.
В первую очередь, необходимо изучить сценарии работы основных способов авторизации:
- сценарий гостевой авторизации - рекомендуется использовать отдельную инсталляцию системы WNAM 1.6 (возможно, в кластерном варинте);
- сценарий корпоративной авторизации - установите систему WNAM 2.
В работе системы вы можете одновременно использовать оба сценария. А также для использования в крупной сети настоятельно рекомендуется организовать два не связанных между собой кластера систем, работающих в разных информационных контурах: один только для гостевой, другой только для корпоративной авторизации.
...
Если в сети находится менее 200 точек доступа (т.е. менее 1000 одновременно работающих гостевых клиентов) или корпоративная авторизация требует менее чем 200 эндпоинтов, подойдет дизайн, в котором все компоненты системы авторизации работают на одном физическом или виртуальном сервере.
Типовые характеристики такого сервера:
...
Если в сети находится менее 500 точек доступа (т.е. менее 5000 одновременно работающих гостевых клиентов) или корпоративная авторизация требует менее чем 500 эндпоинтов, рекомендовано вынести на отдельный сервер базу данных PostgreSQL.
В данном случае понадобится два одинаковых сервера с характеристиками:
...
3. Сценарий высокой нагрузки с локальной отказоустойчивостью
Если в сети находится менее 1000 точек доступа (т.е. менее 10000 одновременно работающих гостевых клиентов) или корпоративная авторизация требует менее чем 1000 эндпоинтов, рекомендовано создать отказоустойчивый кластер PostgreSQL. Такой кластер требует двух или трёх узлов (primary, secondary), причем только два из них несут копию базы, а третий участвует в кворуме. Также желательно вынесение прокси-сервера на отдельный узел для того, чтобы перенести нагрузку обработки SSL-трафика с сервера приложения.
В случае аварии основного сервера PostgreSQL (на схеме справа) система WNAM автоматически переключит запись/чтение на резервный сервер СУБД (на схеме слева).
В таком случае понадобится три одинаковых сервера с характеристиками:
- количество виртуальных процессоров: 4-8 vCPU;
- оперативная память: 16 Gb vRAM;
- объем жесткого диска: 50 Gb HDD (любого типа) системные диски.
Дополнительно для двух серверов PostgreSQL (primary, secondary) необходимо:
...
Работавший в WNAM 1.6 сценарий с локальным кластером MongoDB и двумя серверами WNAM на одной локации (ЦОД) в системе WNAM 2 более не поддерживается. Мы не рекомендуем применять кластерную инсталляцию PostgreSQL, либо также подключать два сервера WNAM 2 к одному серверу базы данных. Рассмотрите вариант использование сценариев 4.1 и 4.2 ниже.
4. Сценарий средней нагрузки с распределенной отказоустойчивостью
...
При таком сценарии (4.1) репликация данных производится не средствами кластера СУБД PostgreSQL, а путем пересылки информационных сообщений между двумя разрозненными автономными инстансами (экземплярами) PostgreSQL, каждый из которых взаимодействует только с локальным экземпляром системы WNAM 2.
В таком режиме понадобится наcтроить репликацию данных средствами Kafka.
Для административного доступа в веб-интерфейс, а также для редиректа HTTP-запросов клиентов от оборудования хотспота понадобится настроить кластерный IP-адрес серверов. Кластерный IP-адрес серверов (.1 на схеме) необходимо указать в качестве единственного адреса RADIUS-сервера на оборудовании.
Если не требуется использовать гостевой доступ, можно настроить любой из двух серверов системы WNAM 2 через веб-интерфейс, и в качестве RADUIS-сервера на используемом оборудовании указать оба IP-адреса (.2 и .3 на схеме).В случае аварии любого из серверов система продолжит выполнять свои функции. Преимуществом этого сценария является отсутствие необходимости иметь общий (кластерный) IP-адрес, что возможно лишь при нахождении обоих серверов в одном сетевом сегменте. Таким образом, можно настроить два сервера авторизации системы WNAM 2, находящихся в разных сетях (разных дата-центрах или даже разных городах), сценарий 4.2:
При настройке данного сценария понадобится два одинаковых сервера с характеристиками:
...
Если нагрузка превышает характеристики сценария 3, и требуется обеспечить полную отказоустойчивость системы, возможно разнесение ролей системы авторизации на отдельные сервера и виртуальные машины в каждом экземпляре кластера. При этом в пределах узла кластера обеспечивается локальная отказоустойчивость и распределение нагрузки, а между узлами кластера - репликация конфигурационных и статистических данных.
В данном сценарии понадобится создать два или три (по числу имеющихся площадок ЦОД) одинаковых кластера системы WNAM 2 в составе трех серверов, каждый из которых должен иметь такие характеристики:
...
В состав системы WNAM 2 входит значительное число системного и прикладного ПО, которое взаимодействует друг с другом в пределах одного сервера (виртуальной машины), а также между серверами. В дополнение к этому, система взаимодействует с внешним миром (сервера доступа, пользовательские устройства, администраторы) по различным протоколам стэка TPC/IP. Описание такого обмена приведено в соответствующем разделе.
Резервное копирование
Настоятельно рекомендуется настроить резервное копирование системы WNAM 2 одновременно по обоим направлениям:
...