יש להתקין SSO ב-Apigee לזמינות גבוהה

מתקינים מספר מופעים של SSO ב-Apigee עבור זמינות גבוהה בשני תרחישים:

  • בסביבת מרכז נתונים אחת, מתקינים שני מופעים של SSO של Apigee כדי ליצור סביבה בזמינות גבוהה, כלומר המערכת ממשיכה לפעול גם אם אחד מהמודולים של Apigee SSO יורד.
  • בסביבה עם שני מרכזי נתונים, יש להתקין SSO של Apigee בשני מרכזי הנתונים, כדי שהמערכת תמשיך לפעול במקרה שאחד המודולים של Apigee SSO יירד.

התקנה של שני מודולים של SSO של Apigee באותו מרכז נתונים

כדי לתמוך בזמינות גבוהה, פורסים שני מופעים של SSO של Apigee בצמתים שונים במרכז נתונים אחד. במקרה כזה:

  • שני המופעים של SSO ב-Apigee חייבים להיות מחוברים לאותו שרת Postgres. ההמלצה של Apigee היא להשתמש בשרת ייעודי של Postgres עבור Apigee SSO, ולא באותו שרת Postgres שהתקנת עם Edge.
  • בשני המופעים של Apigee SSO, חובה להשתמש באותו זוג מפתחות JWT שצוין על ידי המאפיינים SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH בקובץ התצורה. מידע נוסף על הגדרת המאפיינים האלה זמין במאמר התקנה והגדרה של SSO ב-Apigee.
  • נדרש מאזן עומסים לפני שני המופעים של Apigee SSO:
    • מאזן העומסים צריך לתמוך בדביקות של קובצי cookie שנוצרו על ידי האפליקציה, וקובץ ה-cookie של הסשן צריך להיות בשם JSESSIONID.
    • צריך להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Apigee SSO. ל-TCP, יש להשתמש בכתובת ה-URL של Apigee SSO : 
      http_or_https://edge_sso_IP_DNS:9099

      צריך לציין את היציאה כפי שהוגדרה על ידי Apigee SSO. יציאה 9099 היא ברירת המחדל.

      עבור HTTP, צריך לכלול את /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • חלק מההגדרות של מאזן העומסים תלויות בשאלה אם הפעלתם את HTTPS ב-Apigee SSO. אפשר לקרוא מידע נוסף בקטעים הבאים.

גישת HTTP ל-Apigee SSO

אם משתמשים בגישת HTTP ל-SSO ב-Apigee, צריך להגדיר את מאזן העומסים כך:

  • יש להשתמש במצב HTTP כדי להתחבר ל-Apigee SSO.

  • האזנה לאותה יציאה כמו כניסה יחידה (SSO) ב-Apigee.

    כברירת מחדל, התכונה Apigee SSO מאזינה לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב-SSO_TOMCAT_PORT כדי להגדיר את יציאת ה-SSO של Apigee. אם השתמשתם ב-SSO_TOMCAT_PORT כדי לשנות את יציאת ה-SSO של Apigee מברירת המחדל, צריך לוודא שמאזן העומסים מאזין ביציאה הזו.

לדוגמה, בכל מכונה של Apigee SSO מגדירים את היציאה ל-9033 על ידי הוספת הקוד הבא לקובץ התצורה:

SSO_TOMCAT_PORT=9033

בשלב הבא מגדירים את מאזן העומסים כך שהוא יאזין ביציאה 9033 ויעביר בקשות למכונה של SSO ב-Edge ביציאה 9033. כתובת ה-URL הציבורית של Apigee SSO בתרחיש הזה היא:

http://LB_DNS_NAME:9033

גישת HTTPS ל-Apigee SSO

אפשר להגדיר למופעי ה-SSO של Apigee להשתמש ב-HTTPS. בתרחיש הזה, פועלים לפי השלבים במאמר הגדרת SSO ב-Apigee לגישת HTTPS. במסגרת תהליך ההפעלה של HTTPS, צריך להגדיר את SSO_TOMCAT_PROFILE בקובץ התצורה של כניסה יחידה (SSO) של Apigee, כפי שמוצג כאן:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

אפשר גם להגדיר את היציאה שתשמש את Apigee SSO לגישת HTTPS:

SSO_TOMCAT_PORT=9443

לאחר מכן יש להגדיר את מאזן העומסים כך:

  • כדי להתחבר ל-Apigee SSO, יש להשתמש במצב TCP ולא במצב HTTP.
  • האזנה לאותה יציאה כמו כניסה יחידה (SSO) ב-Apigee, כפי שהוגדרה על ידי SSO_TOMCAT_PORT.

לאחר מכן צריך להגדיר את מאזן העומסים כך שיעביר בקשות למופע SSO של Apigee ביציאה 9433. כתובת ה-URL הציבורית של Apigee SSO בתרחיש הזה היא:

https://LB_DNS_NAME:9443

התקנת SSO של Apigee במרכזי נתונים מרובים

בסביבה מרובים של מרכז נתונים, צריך להתקין מופע SSO של Apigee בכל מרכז נתונים. מופע SSO אחד של Apigee מטפל בכל התנועה. אם מופע ה-SSO של Apigee יורד, אפשר לעבור למופע ה-SSO השני של Apigee.

לפני שמתקינים את Apigee SSO בשני מרכזי נתונים, צריך:

  • כתובת ה-IP או שם הדומיין של שרת Master Postgres.

    בסביבה של כמה מרכזי נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל מרכז נתונים, ומגדירים אותו במצב שכפול של Master-Standby. בדוגמה הזו, מרכז הנתונים 1 מכיל את שרת Master Postgres ומרכז הנתונים 2 מכיל את Standby. אפשר לקרוא מידע נוסף במאמר הגדרת שכפול של שרת בהמתנה ל-Postgres.

  • רשומת DNS אחת שמפנה למופע SSO אחד של Apigee. לדוגמה, יוצרים רשומת DNS בטופס שלמטה שמפנה למופע ה-SSO של Apigee במרכז הנתונים 1: 
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • בשני המופעים של Apigee SSO, חובה להשתמש באותו זוג מפתחות JWT שצוין על ידי המאפיינים SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH בקובץ התצורה. מידע נוסף על הגדרת המאפיינים האלה זמין במאמר התקנה והגדרה של SSO ב-Apigee.

כשמתקינים את Apigee SSO בכל מרכז נתונים, צריך להגדיר לשניהם להשתמש ב-Postgres Master במרכז נתונים 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

בנוסף, צריך להגדיר את שני מרכזי הנתונים כך שישתמשו ברשומת ה-DNS ככתובת URL שנגישה לכולם:

# Externally accessible URL of Apigee SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

אם הכניסה היחידה של Apigee במרכז הנתונים 1 יורדת, תוכלו לעבור למופע ה-SSO של Apigee במרכז הנתונים 2:

  1. צריך להמיר את שרת ה-Postgres Standby שנמצא במרכז הנתונים 2 ל'ראשי', כפי שמתואר במאמר טיפול ביתירות כשל של מסד נתונים של PostgreSQL.
  2. צריך לעדכן את רשומת ה-DNS כך שהיא תפנה את my-sso.domain.com למופע ה-SSO של Apigee במרכז הנתונים 2: 
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. צריך לעדכן את קובץ התצורה של Apigee SSO במרכז נתונים 2 כך שיפנה אל השרת החדש Postgres Master במרכז הנתונים 2: 
    ## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. מפעילים מחדש את ה-SSO של Apigee במרכז הנתונים 2 כדי לעדכן את ההגדרה: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart