Edge for Private Cloud גרסה 4.19.01
מתקינים מספר מופעים של SSO ב-Edge בזמינות גבוהה בשני תרחישים:
- בסביבת מרכז נתונים אחת, מתקינים שני מכונות של SSO ב-Edge כדי ליצור סביבת זמינות גבוהה, כלומר המערכת תמשיך לפעול גם אם אחד מהמודולים של SSO ב-Edge יורד.
- בסביבה עם שני מרכזי נתונים, צריך להתקין SSO ב-Edge בשני מרכזי הנתונים, כדי שהמערכת תמשיך לפעול גם אם אחד מהמודולים של Edge SSO יירד.
התקנת שני מודולים של Edge SSO באותו מרכז נתונים
כדי לתמוך בזמינות גבוהה, פורסים שני מופעים של Edge SSO בצמתים שונים במרכז נתונים אחד. במקרה כזה:
- שני המופעים של SSO ב-Edge חייבים להיות מחוברים לאותו שרת Postgres. ההמלצה של Apigee היא להשתמש בשרת ייעודי של Postgres עבור SSO ב-Edge, ולא באותו שרת Postgres שהתקנת עם Edge.
- שני המופעים של SSO ב-Edge חייבים להשתמש באותו זוג מפתחות JWT כפי שצוין במאפיינים
SSO_JWT_SIGNING_KEY_FILEPATH
ו-SSO_JWT_VERIFICATION_KEY_FILEPATH
בקובץ התצורה. למידע נוסף על הגדרת המאפיינים האלה, אפשר לקרוא את המאמר התקנה והגדרה של SSO ב-Edge. - נדרש מאזן עומסים לפני שני המופעים של SSO ב-Edge:
- מאזן העומסים צריך לתמוך בדביקות של קובצי cookie שנוצרו על ידי האפליקציה, וקובץ ה-cookie
של הסשן צריך להיות בשם
JSESSIONID
. - צריך להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Edge SSO. ל-TCP,
צריך להשתמש בכתובת ה-URL של Edge SSO :
http_or_https://edge_sso_IP_DNS:9099
צריך לציין את היציאה כפי שהוגדרה על ידי Edge SSO. יציאה 9099 היא ברירת המחדל.
עבור HTTP, צריך לכלול את
/healthz
:http_or_https://edge_sso_IP_DNS:9099/healthz
- חלק מההגדרות של מאזן העומסים תלויות בשאלה אם הפעלתם את HTTPS ב-SSO באמצעות Edge. אפשר לקרוא מידע נוסף בקטעים הבאים.
- מאזן העומסים צריך לתמוך בדביקות של קובצי cookie שנוצרו על ידי האפליקציה, וקובץ ה-cookie
של הסשן צריך להיות בשם
גישת HTTP ל-SSO ל-Edge
אם משתמשים בגישת HTTP ל-SSO ב-Edge, צריך להגדיר את מאזן העומסים כך:
- צריך להשתמש במצב HTTP כדי להתחבר ל-Edge SSO.
האזנה באותה יציאה כמו ב-Edge SSO.
כברירת מחדל, Edge SSO מאזין לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב-
SSO_TOMCAT_PORT
כדי להגדיר את יציאת Edge SSO. אם השתמשתם ב-SSO_TOMCAT_PORT
כדי לשנות את יציאת Edge SSO מברירת המחדל, צריך לוודא שמאזן העומסים מאזין ביציאה הזאת.
לדוגמה, בכל מופע של SSO ב-Edge מגדירים את היציאה ל-9033 על ידי הוספת הקוד הבא לקובץ התצורה:
SSO_TOMCAT_PORT=9033
בשלב הבא מגדירים את מאזן העומסים כך שהוא יאזין ביציאה 9033 ויעביר בקשות למכונה של SSO ב-Edge ביציאה 9033. כתובת ה-URL הציבורית של SSO ב-Edge בתרחיש הזה היא:
http://LB_DNS_NAME:9033
גישת HTTPS ל-SSO של Edge
אפשר להגדיר למופעי SSO של Edge להשתמש ב-HTTPS. בתרחיש הזה, מבצעים את השלבים שבהגדרת apigee-sso לגישת HTTPS. במסגרת
תהליך ההפעלה של HTTPS, צריך להגדיר את SSO_TOMCAT_PROFILE
בקובץ התצורה של SSO ב-Edge, כפי שמוצג כאן:
SSO_TOMCAT_PROFILE=SSL_TERMINATION
אפשר גם להגדיר את היציאה שתשמש את Edge SSO לגישת HTTPS:
SSO_TOMCAT_PORT=9443
לאחר מכן יש להגדיר את מאזן העומסים כך:
- כדי להתחבר ל-Edge SSO צריך להשתמש במצב TCP, ולא במצב HTTP.
- האזנה לאותה היציאה כמו SSO ב-Edge, כפי שהוגדר על ידי
SSO_TOMCAT_PORT
.
בשלב הבא צריך להגדיר את מאזן העומסים כך שיעביר בקשות למכונה של Edge SSO ביציאה 9433. כתובת ה-URL הציבורית של SSO ב-Edge בתרחיש הזה היא:
https://LB_DNS_NAME:9443
התקנת Edge SSO במספר מרכזי נתונים
בסביבה מרובת-מרכזי נתונים, מתקינים מופע SSO של Edge בכל מרכז נתונים. במקרה כזה, מופע SSO אחד של Edge יטפל בכל תעבורת הנתונים. אם המופע הזה של SSO ב-Edge יורד, אפשר לעבור למופע השני של ה-SSO ב-Edge.
לפני שמתקינים את Edge SSO בשני מרכזי נתונים, צריך את הדברים הבאים:
כתובת ה-IP או שם הדומיין של שרת Master Postgres.
בסביבה של כמה מרכזי נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל מרכז נתונים, ומגדירים אותו במצב שכפול של Master-Standby. בדוגמה הזו, מרכז הנתונים 1 מכיל את שרת Master Postgres ומרכז הנתונים 2 מכיל את Standby. אפשר לקרוא מידע נוסף במאמר הגדרת שכפול של שרת בהמתנה ל-Postgres.
- רשומת DNS אחת שמפנה למופע SSO אחד של Edge. לדוגמה, יוצרים רשומת DNS
בטופס שלמטה שמפנה למופע ה-SSO של Edge במרכז הנתונים 1:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- שני המופעים של SSO ב-Edge חייבים להשתמש באותו זוג מפתחות JWT כפי שצוין במאפיינים
SSO_JWT_SIGNING_KEY_FILEPATH
ו-SSO_JWT_VERIFICATION_KEY_FILEPATH
בקובץ התצורה. למידע נוסף על הגדרת המאפיינים האלה, אפשר לקרוא את המאמר התקנה והגדרה של SSO ב-Edge.
כשמתקינים SSO של Edge בכל מרכז נתונים, צריך להגדיר לשניהם להשתמש ב-Postgres Master במרכז נתונים 1:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC1 PG_PORT=5432
בנוסף, צריך להגדיר את שני מרכזי הנתונים כך שישתמשו ברשומת ה-DNS ככתובת URL שנגישה לכולם:
# Externally accessible URL of Edge SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
אם כניסת Edge ל-Edge במרכז הנתונים 1 יורדת, אחר כך אפשר לעבור למכונה של SSO ב-Edge במרכז נתונים 2:
- צריך להמיר את שרת ה-Postgres Standby שנמצא במרכז הנתונים 2 ל'ראשי', כפי שמתואר במאמר טיפול ביתירות כשל של מסד נתונים של PostgreSQL.
- צריך לעדכן את רשומת ה-DNS כך שהיא תפנה את
my-sso.domain.com
למכונה של Edge SSO במרכז הנתונים 2:my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- צריך לעדכן את קובץ התצורה של Edge SSO במרכז הנתונים 2 כך שיפנה אל שרת Postgres ראשי החדש במרכז הנתונים 2:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- מפעילים מחדש את ה-SSO ל-Edge במרכז הנתונים 2 כדי לעדכן את ההגדרה:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart