התקנת SSO ב-Edge לקבלת זמינות גבוהה

Edge for Private Cloud גרסה 4.19.01

מתקינים כמה מכונות של Edge SSO בזמינות גבוהה בשני תרחישים:

  • בסביבה של מרכז נתונים יחיד, מתקינים שתי מכונות של Edge SSO כדי ליצור זמינות . כלומר, המערכת תמשיך לפעול גם אם ממשק ה-SSO Edge המודולים יורדים.
  • בסביבה עם שני מרכזי נתונים, מתקינים את Edge SSO בשני מרכזי הנתונים, כדי המערכת תמשיך לפעול אם אחד ממודולים של Edge SSO מושבת.

התקנת שני מודולים של Edge SSO באותו מקום מרכז נתונים

פרסתם שני מופעים של Edge SSO בצמתים שונים, במרכז נתונים אחד כדי לתמוך בזמינות גבוהה. במקרה כזה:

  • שני המופעים של Edge SSO צריכים להיות מחוברים לאותו שרת Postgres. ההמלצה של Apigee באמצעות שרת Postgres ייעודי ל-Edge SSO ולא על אותו שרת Postgres מותקנת ב-Edge.
  • שני המכונות של Edge SSO חייבות להשתמש באותו זוג מפתחות JWT כפי שצוין ב- SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH מאפיינים בקובץ התצורה. למידע נוסף, ראו התקנה והגדרה של SSO של Edge כדי לקבל מידע נוסף על הגדרת הנכסים האלה.
  • נדרש מאזן עומסים לפני שני המופעים של Edge SSO:
    • מאזן העומסים צריך לתמוך בנאמנות של קובצי cookie שנוצרו על ידי אפליקציה, ובסשן השם של קובץ ה-cookie חייב להיות JSESSIONID.
    • להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Edge SSO. ב-TCP, משתמשים בכתובת ה-URL של Edge SSO: 
      http_or_https://edge_sso_IP_DNS:9099

      הגדרת היציאה כפי שהוגדרה על ידי Edge SSO. ברירת המחדל היא יציאה 9099.

      בשביל HTTP, צריך לכלול את /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • חלק מההגדרות של מאזן העומסים תלויות בשאלה אם הפעלת את HTTPS ב-Edge SSO. לצפייה לקבלת מידע נוסף.

גישת HTTP כניסה יחידה (SSO) מסוג Edge

אם אתם משתמשים בגישת HTTP ל-Edge SSO, צריך להגדיר את מאזן העומסים כך:

  • משתמשים במצב HTTP כדי להתחבר ל-Edge SSO.

  • מאזינים באותה יציאה כמו Edge SSO.

    כברירת מחדל, Edge SSO מאזין לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב- SSO_TOMCAT_PORT כדי להגדיר את יציאת Edge SSO. אם השתמשת ב-SSO_TOMCAT_PORT כדי לשנות את יציאת Edge SSO מברירת המחדל, צריך לוודא שמאזן העומסים מאזין יציאה.

לדוגמה, בכל מכונת Edge SSO, מגדירים את היציאה ל-9033 על ידי הוספת הקוד הבא קובץ תצורה:

SSO_TOMCAT_PORT=9033

לאחר מכן מגדירים את מאזן העומסים להאזנה ביציאה 9033 והעברת בקשות ל-Edge מכונת SSO ביציאה 9033. בתרחיש הזה, כתובת ה-URL הציבורית של Edge SSO היא:

http://LB_DNS_NAME:9033

גישת HTTPS כניסה יחידה (SSO) מסוג Edge

אתם יכולים להגדיר את מכונות Edge SSO להשתמש ב-HTTPS. במקרה כזה, פועלים לפי השלבים הבאים: הגדרת apigee-sso לגישת HTTPS. בתור כחלק מתהליך הפעלת HTTPS, צריך להגדיר את SSO_TOMCAT_PROFILE ב-Edge SSO קובץ תצורה כפי שמוצג בהמשך:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

אפשר גם להגדיר את היציאה שתשמש את Edge SSO לגישת HTTPS:

SSO_TOMCAT_PORT=9443

לאחר מכן צריך להגדיר את מאזן העומסים כך:

  • כדי להתחבר ל-Edge SSO, משתמשים במצב TCP ולא במצב HTTP.
  • האזנה באותה יציאה עם Edge SSO כפי שהוגדר על ידי SSO_TOMCAT_PORT.

לאחר מכן מגדירים את מאזן העומסים כך שיעביר בקשות למכונת Edge SSO ביציאה 9433. בתרחיש הזה, כתובת ה-URL הציבורית של Edge SSO היא:

https://LB_DNS_NAME:9443

התקנת Edge SSO במרכזי נתונים מרובים

בסביבה של כמה מרכזי נתונים, מתקינים מכונת Edge SSO בכל אחד ממרכזי הנתונים. לאחר מכן, מכונת One Edge SSO תטפל בכל תעבורת הנתונים. אם מכונת Edge SSO נעלמת, אפשר עוברים למכונה השנייה של Edge SSO.

לפני שמתקינים את Edge SSO בשני מרכזי נתונים, צריך:

  • כתובת ה-IP או שם הדומיין של שרת ה-Postgres הראשי.

    בסביבה של כמה מרכזי נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל נתונים ולהגדיר אותם במצב רפליקציה מסוג 'מאסטר-בהמתנה'. לצורך דוגמה זו, center 1 מכיל את השרת הראשי של Postgres ואת מרכז הנתונים 2 מכיל את הערך Standby. למידע נוסף, ראו הגדרת רפליקציית Master-Standby עבור Postgres.

  • רשומת DNS אחת שמצביעה למופע אחד של Edge SSO. לדוגמה, יצירת DNS רשומה שמפנה למכונה של Edge SSO במרכז הנתונים 1: 
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • שני המכונות של Edge SSO חייבות להשתמש באותו זוג מפתחות JWT כפי שצוין ב- SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH מאפיינים בקובץ התצורה. למידע נוסף, ראו התקנה והגדרה של SSO של Edge כדי לקבל מידע נוסף על הגדרת הנכסים האלה.

כשמתקינים את Edge SSO בכל מרכז נתונים, מגדירים לשניהם להשתמש ב-Postgres Master במרכז הנתונים 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

בנוסף, מגדירים את שני מרכזי הנתונים כך שישתמשו ברשומת ה-DNS ככתובת URL נגישה לציבור:

# Externally accessible URL of Edge SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

אם שירות Edge SSO במרכז הנתונים 1 מושבת, אפשר לעבור למכונת Edge SSO בנתונים מרכז 2:

  1. ממירים את שרת Postgres Standby במרכז הנתונים 2 ל'מאסטר', כפי שמתואר במאמר טיפול בכשל של מסד נתוני PostgreSQL.
  2. צריך לעדכן את רשומת ה-DNS כך שהיא תפנה את my-sso.domain.com למכונת Edge SSO ב- מרכז נתונים 2: 
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. עדכון קובץ התצורה של Edge SSO במרכז הנתונים 2 כדי שיצביע על המאסטר החדש של Postgres שרת במרכז הנתונים 2: 
    ## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. כדי לעדכן את ההגדרות, צריך להפעיל מחדש את Edge SSO במרכז הנתונים 2: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart