התקנת SSO ל-Edge לקבלת זמינות גבוהה

Edge for Private Cloud גרסה 4.18.01

מתקינים כמה מכונות של Edge SSO בזמינות גבוהה בשני תרחישים:

  • בסביבה של מרכז נתונים יחיד, מתקינים שתי מכונות של Edge SSO כדי ליצור זמינות . כלומר, המערכת תמשיך לפעול גם אם ממשק ה-SSO Edge המודולים יורדים.
  • בסביבה עם שני מרכזי נתונים, מתקינים את Edge SSO בשני מרכזי הנתונים, כדי המערכת תמשיך לפעול אם אחד ממודולים של Edge SSO מושבת.

התקנת שני מודולים של Edge SSO באותו מקום מרכז נתונים

פרסתם שתי מכונות של Edge SSO, בצמתים שונים, במרכז נתונים יחיד כדי לתמוך בזמינות גבוהה. במקרה כזה:

  • שני המופעים של Edge SSO צריכים להיות מחוברים לאותו שרת Postgres. ההמלצה של Apigee באמצעות שרת Postgres ייעודי ל-Edge SSO ולא להשתמש באותו שרת Postgres שבו מותקנת ב-Edge.
  • נדרש מאזן עומסים לפני שני המופעים של Edge SSO:
    • מאזן העומסים צריך לתמוך בנאמנות של קובצי cookie שנוצרו על ידי אפליקציה, ובסשן השם של קובץ ה-cookie חייב להיות JSESSIONID.
    • להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Edge SSO. ב-TCP, משתמשים בכתובת ה-URL של Edge SSO:

      http_or_https://edge_sso_IP_DNS:9099

      הגדרת היציאה כפי שהוגדרה על ידי Edge SSO. ברירת המחדל היא יציאה 9099.

      ל-HTTP, צריך לכלול את הפרמטר /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • חלק מההגדרות של מאזן העומסים תלויות בשאלה אם הפעלת את HTTPS ב-Edge SSO. לצפייה לקבלת מידע נוסף.

שימוש בגישת HTTP כניסה יחידה (SSO) מסוג Edge

אם אתם משתמשים בגישת HTTP ל-Edge SSO, צריך להגדיר את מאזן העומסים כך:

  • שימוש במצב HTTP כדי להתחבר ל-Edge SSO
  • האזנה באותה יציאה שבה פועל SSO ב-Edge

    כברירת מחדל, Edge SSO מאזין לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב- SSO_TOMCAT_PORT כדי להגדיר את יציאת Edge SSO. אם השתמשת ב-SSO_TOMCAT_PORT כדי לשנות את יציאת Edge SSO מברירת המחדל, צריך לוודא שמאזן העומסים מאזין יציאה.

לדוגמה, בכל מכונת Edge SSO, מגדירים את היציאה ל-9033 על ידי הוספת הקוד הבא קובץ תצורה:

SSO_TOMCAT_PORT=9033

לאחר מכן מגדירים את מאזן העומסים להאזנה ביציאה 9033 והעברת בקשות ל-Edge מכונת SSO ביציאה 9033. בתרחיש הזה, כתובת ה-URL הציבורית של Edge SSO היא:

http://LB_DNS_NAME:9033

שימוש בגישת HTTPS כניסה יחידה (SSO) מסוג Edge

אתם יכולים להגדיר את מכונות Edge SSO להשתמש ב-HTTPS. במקרה כזה, פועלים לפי השלבים הבאים: הגדרת apigee-sso לגישת HTTPS. בתור כחלק מתהליך הפעלת HTTPS, צריך להגדיר את SSO_TOMCAT_PROFILE ב-Edge SSO קובץ תצורה כפי שמוצג בהמשך:

SSO_TOMCAT_PROFILE=SSL_TERMINATION 

אפשר גם להגדיר את היציאה שתשמש את Edge SSO לגישת HTTPS:

SSO_TOMCAT_PORT=9443

אם אתם משתמשים בגישת HTTPS ל-Edge SSO, עליכם להגדיר את מאזן העומסים כך:

  • שימוש במצב TCP, ולא במצב HTTP, כדי להתחבר ל-Edge SSO
  • האזנה באותה יציאה עם SSO של Edge כפי שהוגדר על ידי SSO_TOMCAT_PORT

לאחר מכן מגדירים את מאזן העומסים כך שיעביר בקשות למכונת Edge SSO ביציאה 9433. בתרחיש הזה, כתובת ה-URL הציבורית של Edge SSO היא:

https://LB_DNS_NAME:9443

התקנת Edge SSO במרכזי נתונים מרובים

בסביבה של כמה מרכזי נתונים, מתקינים מכונת Edge SSO בכל אחד ממרכזי הנתונים. לאחר מכן, מכונת One Edge SSO תטפל בכל תעבורת הנתונים. אם מכונת Edge SSO נעלמת, אפשר עוברים למכונה השנייה של Edge SSO.

לפני שמתקינים את Edge SSO בשני מרכזי נתונים, צריך:

  • כתובת ה-IP או שם הדומיין של שרת ה-Postgres הראשי.

    בסביבה של כמה מרכזי נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל נתונים ולהגדיר אותם במצב רפליקציה מסוג 'מאסטר-בהמתנה'. לצורך דוגמה זו, center 1 מכיל את השרת הראשי של Postgres ואת מרכז הנתונים 2 מכיל את הערך Standby. למידע נוסף, ראו הגדרת רפליקציית Master-Standby עבור Postgres.
  • רשומת DNS אחת שמצביעה למופע אחד של Edge SSO. לדוגמה, יצירת DNS רשומה שמפנה למכונה של Edge SSO במרכז הנתונים 1:

    my-sso.domain.com => apigee-sso-dc1-ip-or-lb

כשמתקינים את Edge SSO בכל מרכז נתונים, מגדירים לשניהם להשתמש ב-Postgres Master במרכז הנתונים 1:

## Postgres configuration.
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
?PG_PORT=5432

בנוסף, מגדירים את שתי ההגדרות לשימוש ברשומת ה-DNS ככתובת URL נגישה לציבור:

# Externally accessible URL of Edge SSO.
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

אם שירות Edge SSO במרכז הנתונים 1 מושבת, אפשר לעבור למכונת Edge SSO בנתונים מרכז 2:

  • המרת שרת ההמתנה של Postgres במרכז נתונים 2 ל'מאסטר', כפי שמתואר במאמר טיפול במסד נתונים של PostgreSQL מעבר לכשל.
  • צריך לעדכן את רשומת ה-DNS כך שהיא תפנה את my-sso.domain.com למכונת Edge SSO ב- מרכז נתונים 2:
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  • עדכון קובץ התצורה של Edge SSO במרכז הנתונים 2 כדי שיצביע על המאסטר החדש של Postgres שרת במרכז הנתונים 2:
    ## Postgres configuration.
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  • כדי לעדכן את ההגדרות האישיות, צריך להפעיל מחדש את Edge SSO במרכז הנתונים 2:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart