Edge for Private Cloud v4.19.01
高可用性を実現するために、次の 2 つのシナリオで Edge SSO の複数のインスタンスをインストールします。
- 単一のデータセンター環境に 2 つの Edge SSO インスタンスをインストールして高可用性環境を構築します。つまり、いずれかの Edge SSO モジュールが停止してもシステムは動作し続けます。
- 2 つのデータセンターがある環境では、両方のデータセンターに Edge SSO をインストールし、いずれかの Edge SSO モジュールが停止してもシステムが動作するようにします。
同じデータセンターに 2 つの Edge SSO モジュールをインストールする
高可用性を実現するために、1 つのデータセンター内の異なるノードに Edge SSO の 2 つのインスタンスをデプロイします。次のようになります。
- Edge SSO の両方のインスタンスが同じ Postgres サーバーに接続されている必要があります。Edge SSO には専用の Postgres サーバーを使用し、Edge と一緒にインストールした Postgres サーバーを使用しないことをおすすめします。
- Edge SSO の両方のインスタンスでは、構成ファイルの
SSO_JWT_SIGNING_KEY_FILEPATH
プロパティとSSO_JWT_VERIFICATION_KEY_FILEPATH
プロパティで指定されているものと同じ JWT 鍵ペアを使用する必要があります。これらのプロパティの設定の詳細については、Edge SSO のインストールと構成をご覧ください。 - Edge SSO の 2 つのインスタンスの前にロードバランサを配置する必要がある。
- ロードバランサは、アプリケーションで生成された Cookie 固定をサポートする必要があります。セッション Cookie の名前は
JSESSIONID
にする必要があります。 - Edge SSO で TCP または HTTP のヘルスチェックを実行するようにロードバランサを構成する。TCP の場合は、Edge SSO の URL を使用します。
http_or_https://edge_sso_IP_DNS:9099
Edge SSO によって設定されたポートを指定します。デフォルトはポート 9099 です。
HTTP の場合は、
/healthz
を含めます。http_or_https://edge_sso_IP_DNS:9099/healthz
- ロードバランサの設定の一部は、Edge SSO で HTTPS を有効にするかどうかによって異なります。詳しくは、以下のセクションをご覧ください。
- ロードバランサは、アプリケーションで生成された Cookie 固定をサポートする必要があります。セッション Cookie の名前は
HTTP 経由で Edge SSO にアクセスする
HTTP で Edge SSO にアクセスする場合は、次のようにロードバランサを構成します。
- HTTP モードを使用して Edge SSO に接続する。
Edge SSO と同じポートでリッスンする。
デフォルトでは、Edge SSO はポート 9099 で HTTP リクエストをリッスンします。必要に応じて、
SSO_TOMCAT_PORT
を使用して Edge SSO ポートを設定できます。SSO_TOMCAT_PORT
を使用して Edge SSO ポートをデフォルトから変更した場合は、ロードバランサがそのポートをリッスンしていることを確認してください。
たとえば、各 Edge SSO インスタンスで、構成ファイルに次の行を追加してポートを 9033 に設定します。
SSO_TOMCAT_PORT=9033
次に、ポート 9033 でリッスンし、ポート 9033 で Edge SSO インスタンスにリクエストを転送するようにロードバランサを構成します。このシナリオでの Edge SSO の公開 URL は次のようになります。
http://LB_DNS_NAME:9033
HTTPS 経由で Edge SSO にアクセスする
HTTPS を使用するように Edge SSO インスタンスを構成できます。このシナリオでは、HTTPS アクセス用に apigee-sso を構成するの手順に沿って操作します。HTTPS を有効にするプロセスの一環として、次のように Edge SSO 構成ファイルで SSO_TOMCAT_PROFILE
を設定します。
SSO_TOMCAT_PROFILE=SSL_TERMINATION
必要に応じて、Edge SSO が HTTPS アクセスに使用するポートを設定することもできます。
SSO_TOMCAT_PORT=9443
次に、次のようにロードバランサを構成します。
- Edge SSO への接続には HTTP モードではなく TCP モードを使用します。
SSO_TOMCAT_PORT
で定義された Edge SSO と同じポートでリッスンする。
次に、ポート 9433 で Edge SSO インスタンスにリクエストを転送するようにロードバランサを構成します。このシナリオでの Edge SSO の公開 URL は次のようになります。
https://LB_DNS_NAME:9443
複数のデータセンターに Edge SSO をインストールする
複数のデータセンター環境では、各データセンターに Edge SSO インスタンスをインストールします。これにより、1 つの Edge SSO インスタンスですべてのトラフィックが処理されます。その Edge SSO インスタンスがダウンしたら、2 つ目の Edge SSO インスタンスに切り替えることができます。
2 つのデータセンターに Edge SSO をインストールする前に、次のものが必要です。
マスター Postgres サーバーの IP アドレスまたはドメイン名。
複数のデータセンター環境では、通常、各データセンターに 1 台の Postgres サーバーをインストールし、マスター / スタンバイ レプリケーション モードで構成します。この例では、データセンター 1 にマスター Postgres サーバーがあり、データセンター 2 にスタンバイが存在します。詳細については、Postgres のマスター / スタンバイ レプリケーションを設定するをご覧ください。
- 1 つの Edge SSO インスタンスを参照する単一の DNS エントリ。たとえば、データセンター 1 の Edge SSO インスタンスを参照する DNS エントリを次の形式で作成します。
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- Edge SSO の両方のインスタンスでは、構成ファイルの
SSO_JWT_SIGNING_KEY_FILEPATH
プロパティとSSO_JWT_VERIFICATION_KEY_FILEPATH
プロパティで指定されているものと同じ JWT 鍵ペアを使用する必要があります。これらのプロパティの設定の詳細については、Edge SSO のインストールと構成をご覧ください。
各データセンターに Edge SSO をインストールするときに、データセンター 1 の Postgres マスターを使用するように両方を構成します。
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC1 PG_PORT=5432
また、DNS エントリを一般公開の URL として使用するように、両方のデータセンターを構成します。
# Externally accessible URL of Edge SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
データセンター 1 の Edge SSO が停止した場合は、データセンター 2 の Edge SSO インスタンスに切り替えることができます。
- PostgreSQL データベースのフェイルオーバーの処理の説明に従って、データセンター 2 の Postgres スタンバイ サーバーをマスターに変換します。
my-sso.domain.com
がデータセンター 2 の Edge SSO インスタンスを参照するように DNS レコードを更新します。my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- データセンター 2 にある新しい Postgres マスターサーバーを参照するように、データセンター 2 の Edge SSO の構成ファイルを更新します。
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- データセンター 2 の Edge SSO を再起動して、構成を更新します。
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart