在以下兩種情境中,您會安裝多個 Apigee 單一登入 (SSO) 執行個體以達到高可用性:
- 在單一資料中心環境中,安裝兩個 Apigee 單一登入 (SSO) 執行個體,藉此建立高可用性環境。也就是說,即使其中一個 Apigee SSO 模組停止運作,系統仍會繼續運作。
- 在擁有兩座資料中心的環境中,在兩個資料中心安裝 Apigee SSO,以便在其中一個 Apigee SSO 模組停止運作時,繼續運作。
在同一個資料中心內安裝兩個 Apigee 單一登入 (SSO) 模組
您會在單一資料中心內部署兩個不同節點的 Apigee 單一登入 (SSO) 執行個體,以便支援高可用性。此時:
- 兩個 Apigee SSO 執行個體都必須連線至相同的 Postgres 伺服器。Apigee 建議使用專屬的 Postgres 伺服器執行 Apigee SSO,而非使用 Edge 安裝的 Postgres 伺服器。
- 這兩個 Apigee SSO 執行個體都必須使用設定檔中
SSO_JWT_SIGNING_KEY_FILEPATH
和SSO_JWT_VERIFICATION_KEY_FILEPATH
屬性指定的相同 JWT 金鑰組。如要進一步瞭解如何設定這些屬性,請參閱「安裝及設定 Apigee 單一登入 (SSO)」一文。 - 您必須在 Apigee SSO 的兩個執行個體前設定負載平衡器:
- 負載平衡器必須支援應用程式產生的 Cookie 黏著度,且工作階段 Cookie 的名稱必須為
JSESSIONID
。 - 設定負載平衡器,以便對 Apigee SSO 執行 TCP 或 HTTP 健康狀態檢查。如果是 TCP,請使用 Apigee SSO 網址:
http_or_https://edge_sso_IP_DNS:9099
指定 Apigee SSO 設定的通訊埠。預設通訊埠 9099。
如果是 HTTP,請加入
/healthz
:http_or_https://edge_sso_IP_DNS:9099/healthz
- 部分負載平衡器設定取決於您是否在 Apigee SSO 中啟用 HTTPS。詳情請參閱以下各節的說明。
- 負載平衡器必須支援應用程式產生的 Cookie 黏著度,且工作階段 Cookie 的名稱必須為
Apigee 單一登入 (SSO) 的 HTTP 存取權
如果您使用 HTTP 存取 Apigee SSO,請將負載平衡器設為:
- 使用 HTTP 模式連線至 Apigee SSO。
監聽與 Apigee SSO 相同的通訊埠。
根據預設,Apigee SSO 會監聽通訊埠 9099 的 HTTP 要求。或者,您也可以使用
SSO_TOMCAT_PORT
設定 Apigee SSO 通訊埠。如果您使用SSO_TOMCAT_PORT
從預設的 Apigee 單一登入 (SSO) 通訊埠變更,請確認負載平衡器會監聽該通訊埠。
舉例來說,您可以在每個 Apigee SSO 執行個體中新增下列指令,將通訊埠設為 9033:
SSO_TOMCAT_PORT=9033
接著,您會設定負載平衡器來監聽通訊埠 9033,並將要求轉送至通訊埠 9033 上的 Edge SSO 執行個體。在這個情境中,Apigee SSO 的公開網址如下:
http://LB_DNS_NAME:9033
Apigee 單一登入 (SSO) 的 HTTPS 存取權
您可以將 Apigee SSO 執行個體設為使用 HTTPS。在這個情境中,請按照為 HTTPS 存取權設定 Apigee 單一登入 (SSO) 服務的步驟操作。在啟用 HTTPS 的程序中,您會在 Apigee SSO 設定檔中設定 SSO_TOMCAT_PROFILE
,如下所示:
SSO_TOMCAT_PROFILE=SSL_TERMINATION
您也可以視需要設定 Apigee SSO 用來存取 HTTPS 的通訊埠:
SSO_TOMCAT_PORT=9443
接著將負載平衡器設為:
- 使用 TCP 模式 (而非 HTTP 模式) 連線至 Apigee SSO。
- 監聽與
SSO_TOMCAT_PORT
定義的 Apigee 單一登入 (SSO) 通訊埠。
接著設定負載平衡器,將要求轉送至通訊埠 9433 的 Apigee SSO 執行個體。在這個情境中,Apigee SSO 的公開網址如下:
https://LB_DNS_NAME:9443
在多個資料中心安裝 Apigee SSO
在多個資料中心環境中,您會在每個資料中心內安裝一個 Apigee SSO 執行個體。 接著,一個 Apigee SSO 執行個體會處理所有流量。如果 Apigee SSO 執行個體停止運作,您可以切換至第二個 Apigee 單一登入 (SSO) 執行個體。
在兩個資料中心安裝 Apigee SSO 前,您必須符合以下條件:
Master Postgres 伺服器的 IP 位址或網域名稱。
在多個資料中心環境中,您通常會在每個資料中心內安裝一個 Postgres 伺服器,並在主要待命複製模式下進行設定。在這個範例中,「資料中心 1」包含「主要」Postgres 伺服器,而「資料中心 2」包含「待命」。詳情請參閱設定 Postgres 的主要待命複製功能一文。
- 指向一個 Apigee SSO 執行個體的單一 DNS 項目。舉例來說,您在以下表單中建立 DNS 項目,指向資料中心 1 中的 Apigee SSO 執行個體:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- 這兩個 Apigee SSO 執行個體都必須使用設定檔中
SSO_JWT_SIGNING_KEY_FILEPATH
和SSO_JWT_VERIFICATION_KEY_FILEPATH
屬性指定的相同 JWT 金鑰組。如要進一步瞭解如何設定這些屬性,請參閱「安裝及設定 Apigee 單一登入 (SSO)」一文。
在每個資料中心安裝 Apigee SSO 時,您必須將兩者設為使用資料中心 1 中的 Postgres Master:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC1 PG_PORT=5432
您也會將兩個資料中心設為使用 DNS 項目做為可公開存取的網址:
# Externally accessible URL of Apigee SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
如果資料中心 1 中的 Apigee SSO 停止運作,您可以在資料中心 2 中切換至 Apigee SSO 執行個體:
- 按照處理 PostgreSQL 資料庫容錯移轉中的說明,將資料中心 2 中的 Postgres 待命伺服器轉換為 Master。
- 更新 DNS 記錄,將
my-sso.domain.com
指向資料中心 2 中的 Apigee SSO 執行個體:my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- 更新資料中心 2 中的 Apigee SSO 設定檔,以指向資料中心 2 中的新 Postgres 主伺服器:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- 重新啟動資料中心 2 中的 Apigee SSO,以更新設定:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart