Ta strona została przetłumaczona przez Cloud Translation API.

Zainstaluj logowanie jednokrotne Edge dla wysokiej dostępności

Edge for Private Cloud w wersji 4.19.01

Instalujesz wiele instancji logowania jednokrotnego na serwerach brzegowych, aby zapewnić wysoką dostępność w 2 sytuacjach:

W jednym środowisku centrum danych zainstaluj 2 instancje logowania jednokrotnego Edge, aby utworzyć środowisko o wysokiej dostępności, które będzie nadal działać, jeśli jeden z modułów logowania na serwerach brzegowych ulegnie awarii.
W środowisku z 2 centrami danych zainstaluj logowanie jednokrotne na serwerach brzegowych w obu centrach danych, aby system mógł nadal działać w przypadku awarii jednego z modułów logowania na serwerach brzegowych.

Zainstaluj 2 moduły logowania jednokrotnego na serwerach brzegowych w tym samym centrum danych

Aby zapewnić wysoką dostępność, wdrażasz 2 instancje Edge SSO w różnych węzłach w jednym centrum danych. W tym scenariuszu:

Obie instancje logowania jednokrotnego na serwerach brzegowych muszą być połączone z tym samym serwerem Postgres. Apigee zaleca korzystanie z dedykowanego serwera Postgres na potrzeby logowania jednokrotnego na serwerach brzegowych, a nie z tego samego serwera Postgres, który został zainstalowany w Edge.
Obie instancje logowania jednokrotnego dla Edge muszą używać tej samej pary kluczy JWT określonej we właściwościach SSO_JWT_SIGNING_KEY_FILEPATH i SSO_JWT_VERIFICATION_KEY_FILEPATH w pliku konfiguracji. Więcej informacji o ustawianiu tych właściwości znajdziesz w artykule Instalowanie i konfigurowanie logowania jednokrotnego na serwerach brzegowych.
Musisz umieścić system równoważenia obciążenia przed 2 instancjami logowania brzegowego na serwerach brzegowych:
- System równoważenia obciążenia musi obsługiwać trwałość plików cookie wygenerowanych przez aplikację, a plik cookie sesji musi mieć nazwę JSESSIONID.
- Skonfiguruj system równoważenia obciążenia tak, aby przeprowadził kontrolę stanu TCP lub HTTP dla logowania jednokrotnego na brzegu sieci. W przypadku TCP użyj adresu URL logowania jednokrotnego Edge:
```
http_or_https://edge_sso_IP_DNS:9099
```
  Określ port ustawiony przez SSO Edge. Port 9099 jest portem domyślnym.
  
  W przypadku protokołu HTTP uwzględnij /healthz:
```
http_or_https://edge_sso_IP_DNS:9099/healthz
```
- Niektóre ustawienia systemu równoważenia obciążenia zależą od tego, czy włączono protokół HTTPS w systemie logowania brzegowego dla urządzeń brzegowych. Więcej informacji znajdziesz w sekcjach poniżej.

Dostęp HTTP do logowania jednokrotnego na serwerach brzegowych

Jeśli używasz dostępu HTTP do logowania jednokrotnego na serwerach brzegowych, skonfiguruj system równoważenia obciążenia tak, aby:

Użyj trybu HTTP, aby połączyć się z logowaniem jednokrotnym na serwerach brzegowych.
Nasłuchuj na tym samym porcie co Edge SSO.

Domyślnie logowanie jednokrotne na serwerach brzegowych nasłuchuje żądań HTTP na porcie 9099. Opcjonalnie możesz użyć SSO_TOMCAT_PORT, aby ustawić port logowania jednokrotnego na serwerach brzegowych. Jeśli zmieniono domyślny port logowania jednokrotnego za pomocą funkcji SSO_TOMCAT_PORT, upewnij się, że system równoważenia obciążenia nasłuchuje na tym porcie.

Na przykład dla każdej instancji SSO Edge ustaw port na 9033, dodając do pliku konfiguracji ten fragment:

SSO_TOMCAT_PORT=9033

Następnie należy skonfigurować system równoważenia obciążenia tak, aby nasłuchiwał na porcie 9033 i przekierowywał żądania do instancji logowania jednokrotnego brzegowego na porcie 9033. Publiczny adres URL logowania jednokrotnego Edge w tym scenariuszu to:

http://LB_DNS_NAME:9033

Dostęp HTTPS do logowania jednokrotnego na serwerach brzegowych

Instancje logowania jednokrotnego na serwerach brzegowych mogą używać protokołu HTTPS. W tym scenariuszu wykonaj czynności opisane w artykule Konfigurowanie apigee-sso na potrzeby dostępu przez HTTPS. W ramach procesu włączania protokołu HTTPS ustawiasz SSO_TOMCAT_PROFILE w pliku konfiguracyjnym logowania na serwerach brzegowych w następujący sposób:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

Możesz też opcjonalnie ustawić port używany przez logowanie jednokrotne na serwerach brzegowych na potrzeby dostępu HTTPS:

SSO_TOMCAT_PORT=9443

Następnie skonfiguruj system równoważenia obciążenia, aby:

Do łączenia się z brzegowym logowaniem jednokrotnym użyj trybu TCP, a nie HTTP.
Nasłuchuj na tym samym porcie, na którym jest używane logowanie jednokrotne na serwerach brzegowych zgodnie z definicją w dokumencie SSO_TOMCAT_PORT.

Następnie skonfigurujesz system równoważenia obciążenia tak, aby przekierowywał żądania do instancji logowania jednokrotnego brzegowego na porcie 9433. Publiczny adres URL logowania jednokrotnego Edge w tym scenariuszu to:

https://LB_DNS_NAME:9443

Instalowanie logowania jednokrotnego na serwerach brzegowych w wielu centrach danych

W środowisku wielu centrów danych instalujesz instancję logowania jednokrotnego Edge w każdym centrum danych. Instancja logowania jednokrotnego One Edge następnie obsługuje cały ruch. Jeśli instancja logowania jednokrotnego Edge przestanie działać, możesz przełączyć się na drugą instancję logowania jednokrotnego Edge.

Aby zainstalować Edge SSO w 2 centrach danych, musisz mieć:

Adres IP lub nazwa domeny głównego serwera Postgres.

W środowisku wielu centrów danych zwykle instaluje się po jednym serwerze Postgres w każdym centrum danych i konfiguruje go w trybie replikacji głównej gotowości. W tym przykładzie centrum danych 1 zawiera główny serwer Postgres, a centrum danych 2 zawiera stan standby. Więcej informacji znajdziesz w artykule o konfigurowaniu replikacji master-Standby dla Postgres.
Pojedynczy wpis DNS, który wskazuje jedną instancję logowania jednokrotnego Edge. Na przykład tworzysz wpis DNS w poniższym formularzu, który wskazuje instancję logowania jednokrotnego Edge w centrum danych 1:
```
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
```
Obie instancje logowania jednokrotnego dla Edge muszą używać tej samej pary kluczy JWT określonej we właściwościach SSO_JWT_SIGNING_KEY_FILEPATH i SSO_JWT_VERIFICATION_KEY_FILEPATH w pliku konfiguracji. Więcej informacji o ustawianiu tych właściwości znajdziesz w artykule Instalowanie i konfigurowanie logowania jednokrotnego na serwerach brzegowych.

Gdy instalujesz logowanie jednokrotne przy użyciu przeglądarki Edge w każdym centrum danych, musisz skonfigurować użycie Postgres Master w centrum danych 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

Możesz też skonfigurować oba centra danych, aby używały wpisu DNS jako publicznie dostępnego adresu URL:

# Externally accessible URL of Edge SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

Jeśli logowanie jednokrotne na serwerach brzegowych w centrum danych 1 ulegnie awarii, możesz przełączyć się na instancję logowania Edge w centrum danych 2:

Przekonwertuj serwer Postgres Standby w centrum danych 2 na serwer główny zgodnie z opisem w sekcji Obsługa przełączania awaryjnego bazy danych PostgreSQL.
Zaktualizuj rekord DNS tak, aby wskazywał instancję my-sso.domain.com na serwerach brzegowych w centrum danych 2:
```
my-sso.domain.com => apigee-sso-dc2-ip-or-lb
```
Zaktualizuj plik konfiguracji logowania jednokrotnego na serwerach brzegowych w centrum danych 2, aby wskazywał nowy serwer Postgres Master w centrum danych 2:
```
## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
```
Ponownie uruchom logowanie jednokrotne na serwerach brzegowych w centrum danych 2, aby zaktualizować jego konfigurację:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
```