Edge for Private Cloud wer. 4.17.09
Instalujesz wiele instancji logowania jednokrotnego na serwerach brzegowych, aby zapewnić wysoką dostępność w 2 sytuacjach:
- W jednym środowisku centrum danych zainstaluj 2 instancje logowania jednokrotnego Edge, aby utworzyć środowisko o wysokiej dostępności, które będzie nadal działać, jeśli jeden z modułów logowania na serwerach brzegowych ulegnie awarii.
- W środowisku z 2 centrami danych zainstaluj logowanie jednokrotne na serwerach brzegowych w obu centrach danych, aby system mógł nadal działać w przypadku awarii jednego z modułów logowania na serwerach brzegowych.
Zainstaluj 2 moduły logowania jednokrotnego na serwerach brzegowych w tym samym centrum danych
Aby zapewnić wysoką dostępność, wdrażasz 2 instancje Edge SSO w różnych węzłach w jednym centrum danych. W tym scenariuszu:
- Obie instancje logowania jednokrotnego na serwerach brzegowych muszą być połączone z tym samym serwerem Postgres. Apigee zaleca korzystanie z dedykowanego serwera Postgres na potrzeby logowania jednokrotnego na serwerach brzegowych oraz nie używanie tego samego serwera Postgres, który został zainstalowany w Edge.
- Musisz umieścić system równoważenia obciążenia przed 2 instancjami logowania brzegowego na serwerach brzegowych:
- System równoważenia obciążenia musi obsługiwać trwałość plików cookie wygenerowanych przez aplikację, a plik cookie sesji musi mieć nazwę
JSESSIONID
. - Skonfiguruj system równoważenia obciążenia tak, aby przeprowadził kontrolę stanu TCP lub HTTP dla logowania jednokrotnego na brzegu sieci. W przypadku TCP użyj adresu URL logowania jednokrotnego na serwerach brzegowych:
http_or_https://edge_sso_IP_DNS:
9099
Określ port ustawiony przez SSO Edge. Port 9099 jest portem domyślnym.
W przypadku protokołu HTTP dołącz/healthz
:
http_or_https://edge_sso_IP_DNS
:9099/healthz
- Niektóre ustawienia systemu równoważenia obciążenia zależą od tego, czy włączono protokół HTTPS w systemie logowania brzegowego dla urządzeń brzegowych. Więcej informacji znajdziesz w sekcjach poniżej.
- System równoważenia obciążenia musi obsługiwać trwałość plików cookie wygenerowanych przez aplikację, a plik cookie sesji musi mieć nazwę
Korzystanie z dostępu HTTP do logowania jednokrotnego na serwerach brzegowych
Jeśli używasz dostępu HTTP do logowania jednokrotnego na serwerach brzegowych, skonfiguruj system równoważenia obciążenia tak, aby:
- Łączenie się z logowaniem jednokrotnym za pomocą Edge przy użyciu trybu HTTP
- Nasłuchuj na tym samym porcie co Edge SSO
Domyślnie Edge SSO nasłuchuje żądań HTTP na porcie 9099. Opcjonalnie możesz użyćSSO_TOMCAT_PORT
, aby ustawić port logowania jednokrotnego na serwerach brzegowych. Jeśli zmieniono domyślny port logowania jednokrotnego za pomocą funkcjiSSO_TOMCAT_PORT
, upewnij się, że system równoważenia obciążenia nasłuchuje na tym porcie.
Na przykład dla każdej instancji SSO Edge ustaw port na 9033, dodając do pliku konfiguracji ten fragment:
SSO_TOMCAT_PORT=9033
Następnie należy skonfigurować system równoważenia obciążenia tak, aby nasłuchiwał na porcie 9033 i przekierowywał żądania do instancji logowania jednokrotnego brzegowego na porcie 9033. Publiczny adres URL logowania jednokrotnego Edge w tym scenariuszu to:
http://LB_DNS_NAME:9033
Korzystanie z dostępu HTTPS do logowania jednokrotnego na serwerach brzegowych
Instancje logowania jednokrotnego na serwerach brzegowych mogą używać protokołu HTTPS. W tym scenariuszu wykonaj czynności opisane w artykule Konfigurowanie apigee-sso na potrzeby dostępu przez HTTPS. W ramach procesu włączania protokołu HTTPS ustawiasz SSO_TOMCAT_PROFILE
w pliku konfiguracyjnym logowania na serwerach brzegowych w następujący sposób:
SSO_TOMCAT_PROFILE=SSL_TERMINATION
Możesz też opcjonalnie ustawić port używany przez logowanie jednokrotne na serwerach brzegowych na potrzeby dostępu HTTPS:
SSO_TOMCAT_PORT=9443
Jeśli korzystasz z dostępu przez HTTPS do logowania jednokrotnego na serwerach brzegowych, skonfiguruj system równoważenia obciążenia tak, aby:
- Łączenie z Edge SSO za pomocą trybu TCP (a nie HTTP)
- Nasłuchuj na tym samym porcie co Edge SSO zgodnie z definicją w dokumencie
SSO_TOMCAT_PORT
Następnie skonfigurujesz system równoważenia obciążenia tak, aby przekierowywał żądania do instancji logowania jednokrotnego brzegowego na porcie 9433. Publiczny adres URL logowania jednokrotnego Edge w tym scenariuszu to:
https://LB_DNS_NAME:9443
Instalowanie logowania jednokrotnego na serwerach brzegowych w wielu centrach danych
W środowisku wielu centrów danych instalujesz instancję logowania jednokrotnego Edge w każdym centrum danych. Instancja logowania jednokrotnego One Edge następnie obsługuje cały ruch. Jeśli instancja logowania jednokrotnego Edge przestanie działać, możesz przełączyć się na drugą instancję logowania jednokrotnego Edge.
Aby zainstalować Edge SSO w 2 centrach danych, musisz mieć:
- Adres IP lub nazwa domeny głównego serwera Postgres.
W środowisku wielu centrów danych zwykle instalujesz po 1 serwerze Postgres w każdym centrum danych i konfigurujesz go w trybie replikacji mastera-standby. W tym przykładzie centrum danych 1 zawiera główny serwer Postgres, a centrum danych 2 zawiera stan standby. Więcej informacji znajdziesz w artykule o konfigurowaniu replikacji master-Standby dla Postgres. - Pojedynczy wpis DNS, który wskazuje jedną instancję logowania jednokrotnego Edge. Na przykład tworzysz wpis DNS w poniższym formularzu, który wskazuje instancję logowania jednokrotnego Edge w centrum danych 1:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
Gdy instalujesz logowanie jednokrotne przy użyciu przeglądarki Edge w każdym centrum danych, musisz skonfigurować użycie Postgres Master w centrum danych 1:
## Postgres configuration. PG_HOST=IP_or_DNS_of_PG_Master_in_DC1 PG_PORT=5432
Oba rodzaje konfiguracji możesz też skonfigurować w taki sposób, aby wpis DNS był dostępny publicznie:
# Externally accessible URL of Edge SSO. SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
Jeśli logowanie jednokrotne na serwerach brzegowych w centrum danych 1 ulegnie awarii, możesz przełączyć się na instancję logowania Edge w centrum danych 2:
- Przekonwertuj serwer Postgres Standby w centrum danych 2 na serwer główny zgodnie z opisem w sekcji Obsługa przełączania awaryjnego bazy danych PostgreSQL.
- Zaktualizuj rekord DNS tak, aby wskazywał instancję
my-sso.domain.com
na serwerach brzegowych w centrum danych 2:
my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- Zaktualizuj plik konfiguracji logowania jednokrotnego na serwerach brzegowych w centrum danych 2, aby wskazywał nowy serwer Postgres Master w centrum danych 2:
## Postgres configuration.
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2 - Ponownie uruchom logowanie jednokrotne na serwerach brzegowych w centrum danych 2, aby zaktualizować jego konfigurację:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart