Edge-SSO für Hochverfügbarkeit installieren

Edge for Private Cloud v4.18.01

Sie installieren in zwei Szenarien mehrere Instanzen von Edge-SSO für Hochverfügbarkeit:

  • Installieren Sie in einer einzigen Rechenzentrumsumgebung zwei Edge-SSO-Instanzen, um eine hohe Verfügbarkeitsumgebung, d. h. das System funktioniert weiter, wenn eines der Edge-SSO- Moduls sinkt.
  • Installieren Sie in einer Umgebung mit zwei Rechenzentren Edge SSO in beiden Rechenzentren, damit die das System weiterhin funktioniert, wenn eines der Edge-SSO-Module ausfällt.

Installieren Sie zwei Edge-SSO-Module im selben Rechenzentrum

Sie stellen zur Unterstützung zweier Instanzen von Edge-SSO auf verschiedenen Knoten in einem einzigen Rechenzentrum bereit. Hochverfügbarkeit. Für dieses Beispiel gilt:

  • Beide Instanzen von Edge SSO müssen mit demselben Postgres-Server verbunden sein. Apigee empfiehlt einen dedizierten Postgres-Server für Edge-SSO verwenden und nicht denselben Postgres-Server, den Sie mit Edge installiert.
  • Sie benötigen einen Load-Balancer vor den beiden Instanzen von Edge-SSO: <ph type="x-smartling-placeholder">
      </ph>
    • Der Load-Balancer muss die Wiederkehrrate von anwendungsgenerierten Cookies und die Sitzung Cookie muss den Namen JSESSIONID haben.
    • Konfigurieren Sie den Load-Balancer so, dass eine TCP- oder HTTP-Systemdiagnose für Edge-SSO ausgeführt wird. Bei TCP: Verwenden Sie die URL der Edge-SSO:

      http_or_https://edge_sso_IP_DNS:9099

      Geben Sie den von der Edge-SSO festgelegten Port an. Port 9099 ist die Standardeinstellung.

      Geben Sie für HTTP /healthz an:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • Einige Load-Balancer-Einstellungen hängen davon ab, ob Sie HTTPS on Edge SSO aktiviert haben. Weitere Informationen finden Sie in der finden Sie in den folgenden Abschnitten.

HTTP-Zugriff verwenden zu Edge-SSO

Wenn Sie HTTP-Zugriff auf Edge-SSO verwenden, konfigurieren Sie den Load-Balancer so:

  • HTTP-Modus für die Verbindung mit Edge-SSO verwenden
  • Über denselben Port wie Edge-SSO überwachen

    Standardmäßig wartet Edge SSO auf Port 9099 auf HTTP-Anfragen. Optional können Sie SSO_TOMCAT_PORT, um den Edge-SSO-Port festzulegen. Wenn Sie SSO_TOMCAT_PORT verwendet haben Um den Standardport für die Edge-SSO zu ändern, muss der Load-Balancer diesen Port überwachen Port.

Legen Sie beispielsweise für jede Edge-SSO-Instanz den Port auf 9033 fest, indem Sie Folgendes zum Konfigurationsdatei:

SSO_TOMCAT_PORT=9033

Anschließend konfigurieren Sie den Load-Balancer so, dass er Port 9033 überwacht und Anfragen an einen Edge weiterleitet. SSO-Instanz auf Port 9033. Die öffentliche URL der Edge-SSO in diesem Szenario lautet:

http://LB_DNS_NAME:9033

HTTPS-Zugriff verwenden zu Edge-SSO

Sie können die Edge-SSO-Instanzen für die Verwendung von HTTPS konfigurieren. Führen Sie in diesem Szenario die Schritte in Konfigurieren Sie Apigee-sso für HTTPS-Zugriff. Als Bei der Aktivierung von HTTPS legen Sie SSO_TOMCAT_PROFILE in der Edge-SSO fest. wie unten dargestellt:

SSO_TOMCAT_PROFILE=SSL_TERMINATION 

Sie können auch optional den Port festlegen, der von Edge-SSO für den HTTPS-Zugriff verwendet wird:

SSO_TOMCAT_PORT=9443

Wenn Sie den HTTPS-Zugriff auf Edge-SSO verwenden, konfigurieren Sie den Load-Balancer so:

  • Verwenden Sie den TCP-Modus, nicht den HTTP-Modus, um eine Verbindung zur Edge-SSO herzustellen
  • Den von SSO_TOMCAT_PORT definierten Port als Edge-SSO überwachen

Anschließend konfigurieren Sie den Load-Balancer so, dass Anfragen an eine Edge-SSO-Instanz an Port 9433 weitergeleitet werden. Die öffentliche URL der Edge-SSO in diesem Szenario lautet:

https://LB_DNS_NAME:9443

Installieren Sie die Edge-SSO in mehreren Rechenzentren

In einer Umgebung mit mehreren Rechenzentren installieren Sie in jedem Rechenzentrum eine Edge-SSO-Instanz. Eine Edge-SSO-Instanz verarbeitet dann den gesamten Traffic. Wenn diese Edge-SSO-Instanz ausfällt, können Sie zur zweiten Edge-SSO-Instanz wechseln.

Bevor Sie Edge SSO in zwei Rechenzentren installieren, benötigen Sie Folgendes:

  • Die IP-Adresse oder der Domainname des Master-Postgres-Servers.

    In einer Umgebung mit mehreren Rechenzentren installieren Sie normalerweise einen Postgres-Server pro Daten und im Master-Standby-Replikationsmodus konfigurieren. In diesem Beispiel werden data center 1 enthält den Master-Postgres-Server und das Rechenzentrum 2 enthält Standby. Weitere Informationen finden Sie unter Master-Standby-Replikation einrichten für Postgres
  • Ein einzelner DNS-Eintrag, der auf eine Edge-SSO-Instanz verweist. Beispiel: Sie erstellen ein DNS Eintrag im Formular unten, der auf die Edge SSO-Instanz im Rechenzentrum 1 verweist:

    my-sso.domain.com => apigee-sso-dc1-ip-or-lb

Wenn Sie Edge SSO in jedem Rechenzentrum installieren, konfigurieren Sie beide für die Verwendung des Postgres-Masters. in Rechenzentrum 1:

## Postgres configuration.
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
?PG_PORT=5432

Außerdem konfigurieren Sie beide so, dass der DNS-Eintrag als öffentlich zugängliche URL verwendet wird:

# Externally accessible URL of Edge SSO.
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

Wenn die Edge-SSO im Rechenzentrum 1 ausfällt, können Sie in den Daten zur Edge-SSO-Instanz wechseln. Zentrum 2:

  • Konvertieren Sie den Postgres-Standby-Server in Rechenzentrum 2 in den Master, wie unter Umgang mit einer PostgreSQL-Datenbank beschrieben. Failover:
  • Aktualisieren Sie den DNS-Eintrag so, dass er my-sso.domain.com auf die Edge-SSO-Instanz in Rechenzentrum 2:
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  • Aktualisieren Sie die Konfigurationsdatei für Edge-SSO in Rechenzentrum 2, damit sie auf den neuen Postgres-Master verweist. Server in Rechenzentrum 2:
    ## Postgres configuration.
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  • Starten Sie Edge SSO in Rechenzentrum 2 neu, um dessen Konfiguration zu aktualisieren:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart