Cài đặt SSO dựa trên cạnh để có khả năng truy cập cao

Edge for Private Cloud phiên bản 4.19.01

Bạn cài đặt nhiều phiên bản SSO của Edge để đảm bảo khả năng hoạt động cao trong 2 trường hợp:

  • Trong môi trường trung tâm dữ liệu duy nhất, hãy cài đặt hai phiên bản SSO của cạnh để tạo môi trường khả dụng, nghĩa là hệ thống sẽ tiếp tục hoạt động nếu một trong các SSO của Edge bị giảm sút.
  • Trong môi trường có hai trung tâm dữ liệu, hãy cài đặt SSO của cạnh trong cả hai trung tâm dữ liệu để hệ thống tiếp tục hoạt động nếu một trong các mô-đun SSO của Edge bị lỗi.

Cài đặt cùng lúc 2 mô-đun SSO của Edge trung tâm dữ liệu

Bạn triển khai hai phiên bản SSO của cạnh, trên các nút khác nhau, trong một trung tâm dữ liệu duy nhất để hỗ trợ khả năng sử dụng cao. Trong tình huống này:

  • Cả hai phiên bản SSO của Edge đều phải được kết nối với cùng một máy chủ Postgres. Đề xuất của Apigee bằng máy chủ Postgres chuyên dụng cho SSO của Edge chứ không phải cùng một máy chủ Postgres mà bạn được cài đặt với Edge.
  • Cả hai phiên bản SSO của cạnh đều phải sử dụng cùng một cặp khoá JWT như được chỉ định bởi SSO_JWT_SIGNING_KEY_FILEPATHSSO_JWT_VERIFICATION_KEY_FILEPATH các thuộc tính trong tệp cấu hình. Xem bài viết Cài đặt và định cấu hình dịch vụ SSO của Edge để biết thêm thông tin về cách đặt các thuộc tính này.
  • Bạn cần có một trình cân bằng tải trước hai phiên bản SSO của Edge:
    • Trình cân bằng tải phải hỗ trợ mức độ gắn bó với cookie do ứng dụng tạo, cũng như phiên hoạt động phải đặt tên là JSESSIONID.
    • Định cấu hình trình cân bằng tải để kiểm tra tình trạng của TCP hoặc HTTP trong SSO của Edge. Đối với TCP, sử dụng URL của SSO của Edge:
      http_or_https://edge_sso_IP_DNS:9099

      Chỉ định cổng theo thiết lập của dịch vụ SSO của cạnh. Cổng 9099 là cổng mặc định.

      Đối với HTTP, hãy thêm /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • Một số chế độ cài đặt trình cân bằng tải phụ thuộc vào việc bạn có bật HTTPS trên dịch vụ SSO của Edge hay không. Xem bên dưới để biết thêm thông tin.

Quyền truy cập HTTP sang SSO của Edge

Nếu bạn đang dùng quyền truy cập HTTP vào SSO của cạnh, hãy định cấu hình trình cân bằng tải để:

  • Dùng chế độ HTTP để kết nối với dịch vụ SSO của cạnh.
  • Nghe trên cùng một cổng với dịch vụ SSO của cạnh.

    Theo mặc định, tính năng SSO của Edge sẽ theo dõi các yêu cầu HTTP trên cổng 9099. Nếu muốn, bạn có thể sử dụng SSO_TOMCAT_PORT để thiết lập cổng SSO đối với cạnh. Nếu bạn đã dùng SSO_TOMCAT_PORT để thay đổi cổng SSO của Edge từ cổng mặc định, hãy đảm bảo rằng trình cân bằng tải theo dõi cổng đó cổng.

Ví dụ: trên mỗi phiên bản SSO của Edge, bạn đặt cổng thành 9033 bằng cách thêm đoạn mã sau vào tệp cấu hình:

SSO_TOMCAT_PORT=9033

Sau đó, bạn định cấu hình trình cân bằng tải để nghe trên cổng 9033 và chuyển tiếp các yêu cầu đến Edge Thực thể đăng nhập một lần (SSO) trên cổng 9033. URL công khai của dịch vụ SSO của Edge trong trường hợp này là:

http://LB_DNS_NAME:9033

Quyền truy cập HTTPS sang SSO của Edge

Bạn có thể định cấu hình các phiên bản SSO của Edge để sử dụng HTTPS. Trong trường hợp này, hãy làm theo các bước trong Định cấu hình apigee-sso cho quyền truy cập HTTPS. Như trong quy trình bật HTTPS, bạn sẽ đặt SSO_TOMCAT_PROFILE trong SSO của Edge config như thể hiện dưới đây:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

Bạn cũng có thể tuỳ ý đặt cổng mà dịch vụ SSO của Edge dùng để truy cập qua HTTPS:

SSO_TOMCAT_PORT=9443

Sau đó, hãy định cấu hình trình cân bằng tải để:

  • Hãy sử dụng chế độ TCP chứ không phải chế độ HTTP để kết nối với SSO của cạnh.
  • Nghe trên cùng một cổng với dịch vụ SSO của cạnh theo định nghĩa của SSO_TOMCAT_PORT.

Sau đó, bạn định cấu hình trình cân bằng tải để chuyển tiếp các yêu cầu đến một phiên bản SSO của Edge trên cổng 9433. URL công khai của dịch vụ SSO của Edge trong trường hợp này là:

https://LB_DNS_NAME:9443

Cài đặt dịch vụ SSO của cạnh trong nhiều trung tâm dữ liệu

Trong môi trường nhiều trung tâm dữ liệu, bạn sẽ cài đặt một phiên bản SSO của Edge trong mỗi trung tâm dữ liệu. Sau đó, thực thể SSO của One Edge sẽ xử lý tất cả lưu lượng truy cập. Nếu phiên bản SSO đó của Edge bị lỗi, thì bạn có thể chuyển sang thực thể đăng nhập một lần (SSO) thứ hai ở cạnh.

Trước khi cài đặt tính năng SSO của Edge trong hai trung tâm dữ liệu, bạn cần có:

  • Địa chỉ IP hoặc tên miền của máy chủ Master Postgres.

    Trong môi trường nhiều trung tâm dữ liệu, bạn thường cài đặt một máy chủ Postgres trong mỗi dữ liệu căn giữa và định cấu hình chúng ở chế độ sao chép Master-Pendingby. Trong ví dụ này, dữ liệu trung tâm 1 chứa máy chủ Master Postgres và trung tâm dữ liệu 2 chứa Chế độ chờ. Để biết thêm thông tin, hãy xem nội dung Thiết lập Sao chép chính-dự phòng cho Postgres.

  • Một mục nhập DNS trỏ đến một thực thể Đăng nhập một lần (SSO) ở cạnh. Ví dụ: bạn tạo một DNS mục nhập trong biểu mẫu bên dưới trỏ đến phiên bản SSO của Edge trong trung tâm dữ liệu 1:
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • Cả hai phiên bản SSO của cạnh đều phải sử dụng cùng một cặp khoá JWT như được chỉ định bởi SSO_JWT_SIGNING_KEY_FILEPATHSSO_JWT_VERIFICATION_KEY_FILEPATH các thuộc tính trong tệp cấu hình. Xem bài viết Cài đặt và định cấu hình dịch vụ SSO của Edge để biết thêm thông tin về cách đặt các thuộc tính này.

Khi cài đặt SSO của Edge trong mỗi trung tâm dữ liệu, bạn định cấu hình cả hai để sử dụng API Postgres trong trung tâm dữ liệu 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

Bạn cũng định cấu hình cả hai trung tâm dữ liệu để sử dụng mục nhập DNS làm URL có thể truy cập công khai:

# Externally accessible URL of Edge SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

Nếu SSO của Edge trong trung tâm dữ liệu 1 ngừng hoạt động, thì bạn có thể chuyển sang thực thể SSO của Edge trong dữ liệu trung tâm 2:

  1. Chuyển đổi máy chủ Chế độ chờ Postgres trong trung tâm dữ liệu 2 thành Máy chủ chính như mô tả trong bài viết Xử lý chuyển đổi dự phòng cơ sở dữ liệu PostgreSQL.
  2. Cập nhật bản ghi DNS để trỏ my-sso.domain.com đến thực thể SSO của Edge trong trung tâm dữ liệu 2:
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. Cập nhật tệp cấu hình cho SSO của cạnh trong trung tâm dữ liệu 2 để trỏ đến API Postgres mới máy chủ trong trung tâm dữ liệu 2:
    ## Postgres configuration
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. Khởi động lại dịch vụ SSO của Edge trong trung tâm dữ liệu 2 để cập nhật cấu hình của dịch vụ:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart