Instal SSO Edge untuk ketersediaan tinggi

Edge for Private Cloud v4.19.01

Anda menginstal beberapa instance SSO Edge untuk ketersediaan tinggi dalam dua skenario:

  • Dalam satu lingkungan pusat data, instal dua instance SSO Edge untuk membuat ketersediaan tinggi, yang berarti sistem akan terus beroperasi jika salah satu terjadi penurunan modul.
  • Pada lingkungan dengan dua pusat data, instal Edge SSO di kedua pusat data sehingga sistem terus beroperasi jika salah satu modul SSO Edge mati.

Instal dua modul SSO Edge secara bersamaan pusat data

Anda men-deploy dua instance SSO Edge, pada node yang berbeda, dalam satu pusat data untuk mendukung ketersediaan tinggi. Dalam skenario ini:

  • Kedua instance SSO Edge harus terhubung ke server Postgres yang sama. Rekomendasi Apigee menggunakan server Postgres khusus untuk SSO Edge dan bukan server Postgres yang sama diinstal dengan Edge.
  • Kedua instance SSO Edge harus menggunakan pasangan kunci JWT yang sama sebagaimana SSO_JWT_SIGNING_KEY_FILEPATH dan SSO_JWT_VERIFICATION_KEY_FILEPATH di file konfigurasi. Lihat Menginstal dan mengonfigurasi SSO Edge untuk mengetahui informasi selengkapnya tentang pengaturan properti ini.
  • Anda memerlukan load balancer di depan dua instance SSO Edge:
    • Load balancer harus mendukung tingkat kelekatan cookie yang dihasilkan aplikasi, dan sesi cookie harus diberi nama JSESSIONID.
    • Konfigurasi load balancer untuk melakukan health check TCP atau HTTP pada SSO Edge. Untuk TCP, gunakan URL SSO Edge:
      http_or_https://edge_sso_IP_DNS:9099

      Tentukan port yang ditetapkan oleh SSO Edge. Port 9099 adalah default-nya.

      Untuk HTTP, sertakan /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • Beberapa setelan load balancer bergantung pada apakah Anda mengaktifkan HTTPS di SSO Edge. Lihat bagian berikut untuk informasi selengkapnya.

Akses HTTP ke SSO Edge

Jika Anda menggunakan akses HTTP ke SSO Edge, konfigurasikan load balancer ke:

  • Gunakan mode HTTP untuk terhubung ke SSO Edge.
  • Memantau port yang sama dengan SSO Edge.

    Secara default, SSO Edge memproses permintaan HTTP pada port 9099. Secara opsional, Anda dapat menggunakan SSO_TOMCAT_PORT untuk menyetel port SSO Edge. Jika Anda menggunakan SSO_TOMCAT_PORT untuk mengubah porta SSO Edge dari setelan default, pastikan load balancer porta.

Misalnya, pada setiap instance SSO Edge, Anda menetapkan port ke 9033 dengan menambahkan kode berikut ke file konfigurasi:

SSO_TOMCAT_PORT=9033

Kemudian, Anda mengonfigurasi load balancer untuk memproses port 9033 dan meneruskan permintaan ke Edge Instance SSO di port 9033. URL publik SSO Edge dalam skenario ini adalah:

http://LB_DNS_NAME:9033

Akses HTTPS ke SSO Edge

Anda dapat mengonfigurasi instance SSO Edge untuk menggunakan HTTPS. Dalam skenario ini, ikuti langkah-langkah dalam Konfigurasi apigee-sso untuk akses HTTPS. Sebagai sebagai bagian dari proses pengaktifan HTTPS, Anda perlu menyetel SSO_TOMCAT_PROFILE di SSO Edge file konfigurasi seperti yang ditunjukkan di bawah ini:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

Secara opsional, Anda juga dapat menetapkan port yang digunakan oleh SSO Edge untuk akses HTTPS:

SSO_TOMCAT_PORT=9443

Kemudian, konfigurasikan load balancer ke:

  • Gunakan mode TCP, bukan mode HTTP, untuk terhubung ke SSO Edge.
  • Memproses di port yang sama dengan SSO Edge seperti yang ditentukan oleh SSO_TOMCAT_PORT.

Kemudian, Anda mengonfigurasi load balancer untuk meneruskan permintaan ke instance SSO Edge di port 9433. URL publik SSO Edge dalam skenario ini adalah:

https://LB_DNS_NAME:9443

Instal SSO Edge di beberapa pusat data

Pada beberapa lingkungan pusat data, Anda menginstal instance SSO Edge di setiap pusat data. Instance SSO One Edge kemudian menangani semua traffic. Jika instance SSO Edge tersebut tidak berfungsi, Anda dapat beralih ke instance SSO Edge kedua.

Sebelum menginstal SSO Edge di dua pusat data, Anda memerlukan hal berikut:

  • Alamat IP atau nama domain server Master Postgres.

    Dalam beberapa lingkungan pusat data, Anda biasanya menginstal satu server Postgres di setiap data dan mengonfigurasinya dalam mode replikasi Master-Standby. Untuk contoh ini, data center 1 berisi server Postgres Master dan pusat data 2 berisi Standby. Untuk informasi selengkapnya, lihat Menyiapkan Replikasi Standby Master untuk Postgres.

  • Satu entri DNS yang mengarah ke satu instance SSO Edge. Misalnya, Anda membuat DNS entri dalam formulir di bawah ini yang mengarah ke instance SSO Edge di pusat data 1:
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • Kedua instance SSO Edge harus menggunakan pasangan kunci JWT yang sama sebagaimana SSO_JWT_SIGNING_KEY_FILEPATH dan SSO_JWT_VERIFICATION_KEY_FILEPATH di file konfigurasi. Lihat Menginstal dan mengonfigurasi SSO Edge untuk mengetahui informasi selengkapnya tentang pengaturan properti ini.

Saat menginstal SSO Edge di setiap pusat data, Anda mengonfigurasi keduanya untuk menggunakan Master Postgres di pusat data 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

Anda juga mengonfigurasi kedua pusat data untuk menggunakan entri DNS sebagai URL yang dapat diakses secara publik:

# Externally accessible URL of Edge SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

Jika SSO Edge di pusat data 1 tidak aktif, Anda dapat beralih ke instance SSO Edge di data pusat 2:

  1. Konversikan server Postgres Standby di pusat data 2 ke Master seperti yang dijelaskan di Menangani failover database PostgreSQL.
  2. Perbarui data DNS agar mengarahkan my-sso.domain.com ke instance SSO Edge di pusat data 2:
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. Perbarui file konfigurasi untuk SSO Edge di pusat data 2 agar mengarah ke Postgres Master baru server di pusat data 2:
    ## Postgres configuration
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. Mulai ulang SSO Edge di pusat data 2 untuk memperbarui konfigurasinya:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart