התקנת SSO ב-Edge לקבלת זמינות גבוהה

Edge for Private Cloud גרסה 4.19.01

מתקינים מספר מופעים של SSO ב-Edge בזמינות גבוהה בשני תרחישים:

  • בסביבת מרכז נתונים אחת, מתקינים שני מכונות של SSO ב-Edge כדי ליצור סביבת זמינות גבוהה, כלומר המערכת תמשיך לפעול גם אם אחד מהמודולים של SSO ב-Edge יורד.
  • בסביבה עם שני מרכזי נתונים, צריך להתקין SSO ב-Edge בשני מרכזי הנתונים, כדי שהמערכת תמשיך לפעול גם אם אחד מהמודולים של Edge SSO יירד.

התקנת שני מודולים של Edge SSO באותו מרכז נתונים

כדי לתמוך בזמינות גבוהה, פורסים שני מופעים של Edge SSO בצמתים שונים במרכז נתונים אחד. במקרה כזה:

  • שני המופעים של SSO ב-Edge חייבים להיות מחוברים לאותו שרת Postgres. ההמלצה של Apigee היא להשתמש בשרת ייעודי של Postgres עבור SSO ב-Edge, ולא באותו שרת Postgres שהתקנת עם Edge.
  • שני המופעים של SSO ב-Edge חייבים להשתמש באותו זוג מפתחות JWT כפי שצוין במאפיינים SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH בקובץ התצורה. למידע נוסף על הגדרת המאפיינים האלה, אפשר לקרוא את המאמר התקנה והגדרה של SSO ב-Edge.
  • נדרש מאזן עומסים לפני שני המופעים של SSO ב-Edge:
    • מאזן העומסים צריך לתמוך בדביקות של קובצי cookie שנוצרו על ידי האפליקציה, וקובץ ה-cookie של הסשן צריך להיות בשם JSESSIONID.
    • צריך להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Edge SSO. ל-TCP, צריך להשתמש בכתובת ה-URL של Edge SSO : 
      http_or_https://edge_sso_IP_DNS:9099

      צריך לציין את היציאה כפי שהוגדרה על ידי Edge SSO. יציאה 9099 היא ברירת המחדל.

      עבור HTTP, צריך לכלול את /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • חלק מההגדרות של מאזן העומסים תלויות בשאלה אם הפעלתם את HTTPS ב-SSO באמצעות Edge. אפשר לקרוא מידע נוסף בקטעים הבאים.

גישת HTTP ל-SSO ל-Edge

אם משתמשים בגישת HTTP ל-SSO ב-Edge, צריך להגדיר את מאזן העומסים כך:

  • צריך להשתמש במצב HTTP כדי להתחבר ל-Edge SSO.

  • האזנה באותה יציאה כמו ב-Edge SSO.

    כברירת מחדל, Edge SSO מאזין לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב-SSO_TOMCAT_PORT כדי להגדיר את יציאת Edge SSO. אם השתמשתם ב-SSO_TOMCAT_PORT כדי לשנות את יציאת Edge SSO מברירת המחדל, צריך לוודא שמאזן העומסים מאזין ביציאה הזאת.

לדוגמה, בכל מופע של SSO ב-Edge מגדירים את היציאה ל-9033 על ידי הוספת הקוד הבא לקובץ התצורה:

SSO_TOMCAT_PORT=9033

בשלב הבא מגדירים את מאזן העומסים כך שהוא יאזין ביציאה 9033 ויעביר בקשות למכונה של SSO ב-Edge ביציאה 9033. כתובת ה-URL הציבורית של SSO ב-Edge בתרחיש הזה היא:

http://LB_DNS_NAME:9033

גישת HTTPS ל-SSO של Edge

אפשר להגדיר למופעי SSO של Edge להשתמש ב-HTTPS. בתרחיש הזה, מבצעים את השלבים שבהגדרת apigee-sso לגישת HTTPS. במסגרת תהליך ההפעלה של HTTPS, צריך להגדיר את SSO_TOMCAT_PROFILE בקובץ התצורה של SSO ב-Edge, כפי שמוצג כאן:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

אפשר גם להגדיר את היציאה שתשמש את Edge SSO לגישת HTTPS:

SSO_TOMCAT_PORT=9443

לאחר מכן יש להגדיר את מאזן העומסים כך:

  • כדי להתחבר ל-Edge SSO צריך להשתמש במצב TCP, ולא במצב HTTP.
  • האזנה לאותה היציאה כמו SSO ב-Edge, כפי שהוגדר על ידי SSO_TOMCAT_PORT.

בשלב הבא צריך להגדיר את מאזן העומסים כך שיעביר בקשות למכונה של Edge SSO ביציאה 9433. כתובת ה-URL הציבורית של SSO ב-Edge בתרחיש הזה היא:

https://LB_DNS_NAME:9443

התקנת Edge SSO במספר מרכזי נתונים

בסביבה מרובת-מרכזי נתונים, מתקינים מופע SSO של Edge בכל מרכז נתונים. במקרה כזה, מופע SSO אחד של Edge יטפל בכל תעבורת הנתונים. אם המופע הזה של SSO ב-Edge יורד, אפשר לעבור למופע השני של ה-SSO ב-Edge.

לפני שמתקינים את Edge SSO בשני מרכזי נתונים, צריך את הדברים הבאים:

  • כתובת ה-IP או שם הדומיין של שרת Master Postgres.

    בסביבה של כמה מרכזי נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל מרכז נתונים, ומגדירים אותו במצב שכפול של Master-Standby. בדוגמה הזו, מרכז הנתונים 1 מכיל את שרת Master Postgres ומרכז הנתונים 2 מכיל את Standby. אפשר לקרוא מידע נוסף במאמר הגדרת שכפול של שרת בהמתנה ל-Postgres.

  • רשומת DNS אחת שמפנה למופע SSO אחד של Edge. לדוגמה, יוצרים רשומת DNS בטופס שלמטה שמפנה למופע ה-SSO של Edge במרכז הנתונים 1: 
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • שני המופעים של SSO ב-Edge חייבים להשתמש באותו זוג מפתחות JWT כפי שצוין במאפיינים SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH בקובץ התצורה. למידע נוסף על הגדרת המאפיינים האלה, אפשר לקרוא את המאמר התקנה והגדרה של SSO ב-Edge.

כשמתקינים SSO של Edge בכל מרכז נתונים, צריך להגדיר לשניהם להשתמש ב-Postgres Master במרכז נתונים 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

בנוסף, צריך להגדיר את שני מרכזי הנתונים כך שישתמשו ברשומת ה-DNS ככתובת URL שנגישה לכולם:

# Externally accessible URL of Edge SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

אם כניסת Edge ל-Edge במרכז הנתונים 1 יורדת, אחר כך אפשר לעבור למכונה של SSO ב-Edge במרכז נתונים 2:

  1. צריך להמיר את שרת ה-Postgres Standby שנמצא במרכז הנתונים 2 ל'ראשי', כפי שמתואר במאמר טיפול ביתירות כשל של מסד נתונים של PostgreSQL.
  2. צריך לעדכן את רשומת ה-DNS כך שהיא תפנה את my-sso.domain.com למכונה של Edge SSO במרכז הנתונים 2: 
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. צריך לעדכן את קובץ התצורה של Edge SSO במרכז הנתונים 2 כך שיפנה אל שרת Postgres ראשי החדש במרכז הנתונים 2: 
    ## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. מפעילים מחדש את ה-SSO ל-Edge במרכז הנתונים 2 כדי לעדכן את ההגדרה: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart