Edge for Private Cloud الإصدار 4.19.01
يتم تثبيت نُسخ متعددة من الدخول المُوحَّد (SSO) على Edge في حالة توفّر عالية في حالتَين:
- في بيئة واحدة من مركز بيانات، يمكنك تثبيت مثيلين من اتصال Edge الخاص بخدمة Edge لإنشاء بيئة ذات توفّر عالٍ، ما يعني أنّ النظام يواصل العمل في حال تعطُّل إحدى وحدات Edge SAML.
- في بيئة تشتمل على مركزي بيانات، عليك تثبيت خدمة Edge المُوحَّدة (SSO) في شبكة Edge في كلا مركزَي البيانات حتى يستمر النظام في العمل في حال تعطُّل إحدى وحدات Edge SAML.
تثبيت وحدتين للدخول الموحّد (SSO) في Edge في مركز البيانات نفسه
يتم نشر مثيلين من الدخول المُوحَّد (SSO) في Edge على عُقد مختلفة في مركز بيانات واحد لتوفير مدى التوفُّر العالي. في هذا السيناريو:
- يجب توصيل كلتا النسختين من تسجيل الدخول المُوحَّد (SSO) على Edge بحساب Postgres نفسه. تنصح Apigee باستخدام خادم Postgres مخصص لخدمة Edge المُوحَّد (SSO) وليس باستخدام خادم Postgres نفسه الذي تم تثبيته باستخدام Edge.
- يجب أن تستخدم كلتا النسختين من خدمة Edge الدخول المُوحَّد (SSO) زوج مفاتيح JWT نفسه على النحو المحدّد في السمتَين
SSO_JWT_SIGNING_KEY_FILEPATH
وSSO_JWT_VERIFICATION_KEY_FILEPATH
في ملف الإعداد. راجِع تثبيت خدمة Edge المُوحَّد (SSO) وضبطها لمعرفة المزيد عن إعداد هذه الخصائص. - تتطلّب منك استخدام جهاز موازنة الحمل أمام مثيلتَي تسجيل الدخول المُوحَّد (SSO) على Edge:
- يجب أن يتوافق جهاز موازنة الحمل مع معدّل تكرار استخدام ملفات تعريف الارتباط الذي ينشئه التطبيق،
ويجب تسمية ملف تعريف الارتباط للجلسة
JSESSIONID
. - يجب ضبط جهاز موازنة الحمل لإجراء فحص لصحة بروتوكول TCP أو HTTP على خدمة Edge المُوحَّد (SSO). بالنسبة إلى بروتوكول TCP،
استخدِم عنوان URL للدخول الموحّد في Edge:
http_or_https://edge_sso_IP_DNS:9099
حدِّد المنفذ على النحو الذي تم ضبطه من خلال الدخول المُوحَّد (SSO) في Edge. المنفذ 9099 هو المنفذ التلقائي.
بالنسبة إلى HTTP، يجب تضمين
/healthz
:http_or_https://edge_sso_IP_DNS:9099/healthz
- تعتمد بعض إعدادات جهاز موازنة الحمل على ما إذا كنت قد فعّلت بروتوكول HTTPS مع الدخول المُوحَّد (SSO) على Edge. راجِع الأقسام التالية للحصول على مزيد من المعلومات.
- يجب أن يتوافق جهاز موازنة الحمل مع معدّل تكرار استخدام ملفات تعريف الارتباط الذي ينشئه التطبيق،
ويجب تسمية ملف تعريف الارتباط للجلسة
وصول HTTP إلى الدخول الموحَّد (SSO) إلى Edge
إذا كنت تستخدم إمكانية الوصول عبر HTTP إلى الدخول المُوحَّد (SSO) في Edge، اضبط جهاز موازنة الحمل من أجل:
- استخدم وضع HTTP للاتصال للدخول الموحّد في Edge.
استمِع إلى المنفذ نفسه الذي يتم توصيله عبر الدخول المُوحَّد (SSO) على Edge.
بشكل تلقائي، يصغي تسجيل الدخول الموحَّد (SSO) إلى Edge إلى طلبات HTTP على المنفذ 9099. اختياريًا، يمكنك استخدام
SSO_TOMCAT_PORT
لضبط منفذ الدخول المُوحَّد (SSO) في Edge. إذا كنت قد استخدمتSSO_TOMCAT_PORT
لتغيير منفذ Edge الخاص بخدمة الدخول الموحّد (SSO) من الإعداد التلقائي، تأكَّد من أنّ جهاز موازنة الحمل يستمع إلى هذا المنفذ.
على سبيل المثال، في كل مثيل لخدمة الدخول المُوحَّد (SSO) على Edge، يمكنك ضبط المنفذ على 9033 من خلال إضافة ما يلي إلى ملف الإعداد:
SSO_TOMCAT_PORT=9033
بعد ذلك، يمكنك ضبط جهاز موازنة الحمل للاستماع عبر المنفذ 9033 وإعادة توجيه الطلبات إلى مثيل Edge الخاص بخدمة الدخول المُوحَّد (SSO) على المنفذ 9033. عنوان URL العام للدخول الموحّد في Edge في هذا السيناريو هو:
http://LB_DNS_NAME:9033
الوصول عبر HTTPS إلى الدخول الموحَّد (SSO) في Edge
يمكنك ضبط حالات تسجيل الدخول المُوحَّد (SSO) على Edge لاستخدام HTTPS. في هذا السيناريو، اتّبِع الخطوات الواردة في ضبط apigee-sso للوصول إلى HTTPS. وكجزء
من عملية تفعيل HTTPS، يتم ضبط SSO_TOMCAT_PROFILE
في ملف إعداد
Edge الخاص بخدمة Edge كما هو موضّح أدناه:
SSO_TOMCAT_PROFILE=SSL_TERMINATION
يمكنك أيضًا، اختياريًا، ضبط المنفذ الذي يستخدمه "الدخول الموحّد" (SSO) على Edge للوصول إلى HTTPS:
SSO_TOMCAT_PORT=9443
بعد ذلك، عليك ضبط جهاز موازنة الحمل لتنفيذ ما يلي:
- استخدم وضع TCP، وليس وضع HTTP، للاتصال بخدمة Edge الدخول المُوحَّد (SSO).
- استمع إلى المنفذ نفسه الذي يتم فيه تشغيل الدخول المُوحَّد (SSO) على Edge كما هو موضح في
SSO_TOMCAT_PORT
.
بعد ذلك، يمكنك ضبط جهاز موازنة الحمل لإعادة توجيه الطلبات إلى مثيل Edge الخاص بخدمة الدخول المُوحَّد (SSO) على المنفذ 9433. عنوان URL العام للدخول الموحّد في Edge في هذا السيناريو هو:
https://LB_DNS_NAME:9443
تثبيت خدمة الدخول المُوحَّد (SSO) في Edge في مراكز بيانات متعدّدة
في بيئة مراكز بيانات متعددة، تقوم بتثبيت مثيل Edge الخاص بخدمة Edge في كل مركز بيانات. ثم يعالج مثيل خدمة الدخول المُوحَّد (SSO) في Edge جميع حركة البيانات. وإذا تعطل مثيل Edge الخاص بخدمة Edge، يمكنك حينئذ التبديل إلى المثيل الثاني لخدمة الدخول المُوحَّد (SSO) من Edge.
قبل تثبيت الدخول المُوحَّد (SSO) عبر Edge في مركزي بيانات، ستحتاج إلى ما يلي:
عنوان IP أو اسم النطاق لخادم Master Postgres.
في بيئة مراكز بيانات متعددة، يتم عادةً تثبيت خادم Postgres واحد في كل مركز بيانات وإعداده في وضع النسخ المتماثل في وضع الاستعداد الرئيسي. في هذا المثال، يتضمّن مركز البيانات 1 خادم Postgres الرئيسي ويحتوي مركز البيانات 2 على Standby. لمزيد من المعلومات، يُرجى الاطّلاع على إعداد النسخ المماثل لوضع الاستعداد لـ Postgres.
- إدخال واحد لنظام أسماء النطاقات يشير إلى مثيل واحد للدخول الموحَّد (SSO) في Edge. على سبيل المثال، يمكنك إنشاء إدخال نظام أسماء النطاقات في النموذج أدناه والذي يشير إلى مثيل Edge الخاص بتسجيل الدخول في مركز البيانات 1:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- يجب أن تستخدم كلتا النسختين من خدمة Edge الدخول المُوحَّد (SSO) زوج مفاتيح JWT نفسه على النحو المحدّد في السمتَين
SSO_JWT_SIGNING_KEY_FILEPATH
وSSO_JWT_VERIFICATION_KEY_FILEPATH
في ملف الإعداد. راجِع تثبيت خدمة Edge المُوحَّد (SSO) وضبطها لمعرفة المزيد عن إعداد هذه الخصائص.
عند تثبيت الدخول المُوحَّد (SSO) في Edge في كل مركز بيانات، يمكنك ضبط كليهما لاستخدام Postgres Master في مركز البيانات 1:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC1 PG_PORT=5432
يمكنك أيضًا ضبط مركزَي البيانات لاستخدام إدخال نظام أسماء النطاقات كعنوان URL متاح للجميع:
# Externally accessible URL of Edge SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
إذا تعطل الدخول المُوحَّد (SSO) في Edge في مركز البيانات 1، يمكنك التبديل إلى مثيل Edge الخاص بخدمة Edge في مركز البيانات 2:
- حوِّل خادم Postgres Standby في مركز البيانات 2 إلى "رئيسي" كما هو موضَّح في التعامل مع تجاوز تعذُّر قاعدة بيانات PostgreSQL.
- عدِّل سجلّ نظام أسماء النطاقات لتوجيه
my-sso.domain.com
إلى مثيل Edge الخاص بخدمة Edge في مركز البيانات 2:my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- قم بتحديث ملف إعداد Edge الخاص بتسجيل الدخول الأحادي في مركز البيانات 2 للتوجيه إلى خادم Postgres Master الجديد في مركز البيانات 2:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- أعِد تشغيل الدخول المُوحَّد (SSO) إلى Edge في مركز البيانات 2 لتعديل الضبط:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart