高可用性のために Apigee SSO をインストールする

高可用性を実現するために、次の 2 つのシナリオで Apigee SSO の複数のインスタンスをインストールします。

  • 単一のデータセンター環境に 2 つの Apigee SSO インスタンスをインストールして高可用性環境を構築します。つまり、いずれかの Apigee SSO モジュールが停止しても、システムは稼働し続けます。
  • 2 つのデータセンターがある環境では、両方のデータセンターに Apigee SSO をインストールして、いずれかの Apigee SSO モジュールが停止してもシステムが動作し続けるようにします。

同じデータセンターに 2 つの Apigee SSO モジュールをインストールする

高可用性を実現するために、1 つのデータセンター内の異なるノードに Apigee SSO の 2 つのインスタンスをデプロイします。次のようになります。

  • Apigee SSO の両方のインスタンスが同じ Postgres サーバーに接続されている必要があります。Apigee では、Apigee SSO に専用の Postgres サーバーを使用し、Edge と一緒にインストールした Postgres サーバーを使用しないことをおすすめします。
  • Apigee SSO の両方のインスタンスでは、構成ファイルの SSO_JWT_SIGNING_KEY_FILEPATH プロパティと SSO_JWT_VERIFICATION_KEY_FILEPATH プロパティで指定されているものと同じ JWT 鍵ペアを使用する必要があります。これらのプロパティの設定の詳細については、Apigee SSO をインストールして構成するをご覧ください。
  • Apigee SSO の 2 つのインスタンスの前にロードバランサが必要です。
    • ロードバランサは、アプリケーションで生成された Cookie 固定をサポートする必要があります。セッション Cookie の名前は JSESSIONID にする必要があります。
    • Apigee SSO で TCP または HTTP のヘルスチェックを実行するようにロードバランサを構成する。TCP の場合は、Apigee SSO の URL
      http_or_https://edge_sso_IP_DNS:9099
      を使用します。

      Apigee SSO によって設定されたポートを指定します。デフォルトはポート 9099 です。

      HTTP の場合は、/healthz を含めます。

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • ロードバランサの設定の一部は、Apigee SSO で HTTPS を有効にしたかどうかによって異なります。詳しくは、以下のセクションをご覧ください。

HTTP から Apigee SSO へのアクセス

Apigee SSO への HTTP アクセスを使用している場合は、次のようにロードバランサを構成します。

  • HTTP モードを使用して Apigee SSO に接続します。
  • Apigee SSO と同じポートでリッスンする。

    デフォルトでは、Apigee SSO はポート 9099 で HTTP リクエストをリッスンします。必要に応じて、SSO_TOMCAT_PORT を使用して Apigee SSO ポートを設定できます。SSO_TOMCAT_PORT を使用して Apigee SSO ポートをデフォルトから変更した場合は、ロードバランサがそのポートをリッスンしていることを確認してください。

たとえば、各 Apigee SSO インスタンスで、構成ファイルに次の行を追加してポートを 9033 に設定します。

SSO_TOMCAT_PORT=9033

次に、ポート 9033 でリッスンし、ポート 9033 で Edge SSO インスタンスにリクエストを転送するようにロードバランサを構成します。このシナリオでの Apigee SSO の公開 URL は次のとおりです。

http://LB_DNS_NAME:9033

HTTPS 経由で Apigee SSO にアクセス

HTTPS を使用するように Apigee SSO インスタンスを構成できます。このシナリオでは、HTTPS アクセス用に Apigee SSO を構成するの手順に沿って操作します。HTTPS を有効にするプロセスの一環として、次のように Apigee SSO 構成ファイルで SSO_TOMCAT_PROFILE を設定します。

SSO_TOMCAT_PROFILE=SSL_TERMINATION

必要に応じて、Apigee SSO が HTTPS アクセスに使用するポートを設定することもできます。

SSO_TOMCAT_PORT=9443

次に、次のようにロードバランサを構成します。

  • Apigee SSO に接続するには、HTTP モードではなく TCP モードを使用します。
  • SSO_TOMCAT_PORT で定義されている Apigee SSO と同じポートでリッスンする。

次に、ポート 9433 で Apigee SSO インスタンスにリクエストを転送するようにロードバランサを構成します。このシナリオでの Apigee SSO の公開 URL は次のとおりです。

https://LB_DNS_NAME:9443

複数のデータセンターに Apigee SSO をインストールする

複数のデータセンター環境では、各データセンターに Apigee SSO インスタンスをインストールします。これにより、1 つの Apigee SSO インスタンスですべてのトラフィックが処理されます。その Apigee SSO インスタンスが停止した場合は、2 番目の Apigee SSO インスタンスに切り替えることができます。

Apigee SSO を 2 つのデータセンターにインストールする前に、次のものが必要です。

  • マスター Postgres サーバーの IP アドレスまたはドメイン名。

    複数のデータセンター環境では、通常、各データセンターに 1 台の Postgres サーバーをインストールし、マスター / スタンバイ レプリケーション モードで構成します。この例では、データセンター 1マスター Postgres サーバーがあり、データセンター 2スタンバイが存在します。詳細については、Postgres のマスター / スタンバイ レプリケーションを設定するをご覧ください。

  • 1 つの Apigee SSO インスタンスを参照する単一の DNS エントリ。たとえば、データセンター 1 の Apigee SSO インスタンスを参照する DNS エントリを次の形式で作成します。
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • Apigee SSO の両方のインスタンスでは、構成ファイルの SSO_JWT_SIGNING_KEY_FILEPATH プロパティと SSO_JWT_VERIFICATION_KEY_FILEPATH プロパティで指定されているものと同じ JWT 鍵ペアを使用する必要があります。これらのプロパティの設定の詳細については、Apigee SSO をインストールして構成するをご覧ください。

各データセンターに Apigee SSO をインストールする場合は、データセンター 1 の Postgres マスターを使用するように両方を構成します。

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

また、DNS エントリを一般公開の URL として使用するように、両方のデータセンターを構成します。

# Externally accessible URL of Apigee SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

データセンター 1 の Apigee SSO が停止した場合は、データセンター 2 の Apigee SSO インスタンスに切り替えることができます。

  1. PostgreSQL データベースのフェイルオーバーの処理の説明に従って、データセンター 2 の Postgres スタンバイ サーバーをマスターに変換します。
  2. my-sso.domain.com がデータセンター 2 の Apigee SSO インスタンスを参照するように DNS レコードを更新します。
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. データセンター 2 の新しい Postgres マスターサーバーを参照するように、データセンター 2 の Apigee SSO の構成ファイルを更新します。
    ## Postgres configuration
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. データセンター 2 の Apigee SSO を再起動して、構成を更新します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart