התקנת SSO ל-Edge לקבלת זמינות גבוהה

Edge for Private Cloud גרסה 4.18.01

מתקינים מספר מופעים של SSO ב-Edge בזמינות גבוהה בשני תרחישים:

  • בסביבת מרכז נתונים אחת, מתקינים שני מכונות של SSO ב-Edge כדי ליצור סביבת זמינות גבוהה, כלומר המערכת תמשיך לפעול גם אם אחד מהמודולים של SSO ב-Edge יורד.
  • בסביבה עם שני מרכזי נתונים, צריך להתקין SSO ב-Edge בשני מרכזי הנתונים, כדי שהמערכת תמשיך לפעול גם אם אחד מהמודולים של Edge SSO יירד.

התקנת שני מודולים של Edge SSO באותו מרכז נתונים

כדי לתמוך בזמינות גבוהה, פורסים שני מופעים של Edge SSO בצמתים שונים במרכז נתונים אחד. במקרה כזה:

  • שני המופעים של SSO ב-Edge חייבים להיות מחוברים לאותו שרת Postgres. ההמלצה של Apigee היא להשתמש בשרת ייעודי של Postgres עבור SSO ב-Edge, ולא להשתמש באותו שרת Postgres שהתקנת עם Edge.
  • נדרש מאזן עומסים לפני שני המופעים של SSO ב-Edge:
    • מאזן העומסים צריך לתמוך בדביקות של קובצי cookie שנוצרו על ידי האפליקציה, וקובץ ה-cookie של הסשן צריך להיות בשם JSESSIONID.
    • צריך להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Edge SSO. ל-TCP, צריך להשתמש בכתובת ה-URL של Edge SSO:

      http_or_https://edge_sso_IP_DNS:9099

      צריך לציין את היציאה כפי שהוגדרה על ידי Edge SSO. יציאה 9099 היא ברירת המחדל.

      ל-HTTP, צריך לכלול את הפרמטר /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • חלק מההגדרות של מאזן העומסים תלויות בשאלה אם הפעלתם את HTTPS ב-SSO באמצעות Edge. אפשר לקרוא מידע נוסף בקטעים הבאים.

שימוש בגישת HTTP ל-Edge SSO

אם משתמשים בגישת HTTP ל-SSO ב-Edge, צריך להגדיר את מאזן העומסים כך:

  • שימוש במצב HTTP כדי להתחבר ל-Edge SSO
  • האזנה באותה יציאה כמו SSO ב-Edge

    כברירת מחדל, Edge SSO מאזין לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב-SSO_TOMCAT_PORT כדי להגדיר את יציאת Edge SSO. אם השתמשתם ב-SSO_TOMCAT_PORT כדי לשנות את יציאת Edge SSO מברירת המחדל, צריך לוודא שמאזן העומסים מאזין ביציאה הזאת.

לדוגמה, בכל מופע של SSO ב-Edge מגדירים את היציאה ל-9033 על ידי הוספת הקוד הבא לקובץ התצורה:

SSO_TOMCAT_PORT=9033

בשלב הבא מגדירים את מאזן העומסים כך שהוא יאזין ביציאה 9033 ויעביר בקשות למכונה של SSO ב-Edge ביציאה 9033. כתובת ה-URL הציבורית של SSO ב-Edge בתרחיש הזה היא:

http://LB_DNS_NAME:9033

שימוש בגישת HTTPS ל-Edge SSO

אפשר להגדיר למופעי SSO של Edge להשתמש ב-HTTPS. בתרחיש הזה, מבצעים את השלבים שבהגדרת apigee-sso לגישת HTTPS. במסגרת תהליך ההפעלה של HTTPS, צריך להגדיר את SSO_TOMCAT_PROFILE בקובץ התצורה של SSO ב-Edge, כפי שמוצג כאן:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

אפשר גם להגדיר את היציאה שתשמש את Edge SSO לגישת HTTPS:

SSO_TOMCAT_PORT=9443

אם אתם משתמשים בגישת HTTPS ל-Edge SSO, יש להגדיר את מאזן העומסים כך:

  • כדי להתחבר ל-Edge SSO, יש להשתמש במצב TCP, ולא במצב HTTP
  • האזנה באותה יציאה כמו SSO ב-Edge, כפי שהוגדר על ידי SSO_TOMCAT_PORT

בשלב הבא צריך להגדיר את מאזן העומסים כך שיעביר בקשות למכונה של Edge SSO ביציאה 9433. כתובת ה-URL הציבורית של SSO ב-Edge בתרחיש הזה היא:

https://LB_DNS_NAME:9443

התקנת Edge SSO במספר מרכזי נתונים

בסביבה מרובת-מרכזי נתונים, מתקינים מופע SSO של Edge בכל מרכז נתונים. במקרה כזה, מופע SSO אחד של Edge יטפל בכל תעבורת הנתונים. אם המופע הזה של SSO ב-Edge יורד, אפשר לעבור למופע השני של ה-SSO ב-Edge.

לפני שמתקינים את Edge SSO בשני מרכזי נתונים, צריך את הדברים הבאים:

  • כתובת ה-IP או שם הדומיין של שרת Master Postgres.

    בסביבה של כמה מרכז נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל מרכז נתונים, ומגדירים אותו במצב רפליקציה מסוג Master-Standby. בדוגמה הזו, מרכז הנתונים 1 מכיל את שרת Master Postgres ומרכז הנתונים 2 מכיל את Standby. אפשר לקרוא מידע נוסף במאמר הגדרת שכפול של שרת בהמתנה ל-Postgres.
  • רשומת DNS אחת שמפנה למופע SSO אחד של Edge. לדוגמה, יוצרים רשומת DNS בטופס שלמטה שמפנה למופע ה-SSO של Edge במרכז הנתונים 1:

    my-sso.domain.com => apigee-sso-dc1-ip-or-lb

כשמתקינים SSO של Edge בכל מרכז נתונים, צריך להגדיר לשניהם להשתמש ב-Postgres Master במרכז נתונים 1:

## Postgres configuration.
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
?PG_PORT=5432

בנוסף, אתם יכולים להגדיר את שתי ההגדרות כך שישתמשו ברשומת ה-DNS ככתובת URL שנגישה לכולם:

# Externally accessible URL of Edge SSO.
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

אם כניסת Edge ל-Edge במרכז הנתונים 1 יורדת, אחר כך אפשר לעבור למכונה של SSO ב-Edge במרכז נתונים 2:

  • צריך להמיר את שרת ה-Postgres Standby במרכז הנתונים 2 ל-Master, כפי שמתואר במאמר טיפול ב-Failover של מסד נתונים של PostgreSQL.
  • צריך לעדכן את רשומת ה-DNS כך שהיא תפנה את my-sso.domain.com למופע של SSO ב-Edge במרכז נתונים 2:
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  • צריך לעדכן את קובץ התצורה של Edge SSO במרכז הנתונים 2 כך שיפנה אל שרת Postgres ראשי החדש במרכז הנתונים 2:
    ## Postgres configuration.
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  • מפעילים מחדש את ה-SSO של Edge במרכז הנתונים 2 כדי לעדכן את ההגדרה:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart