יש להתקין SSO ב-Apigee לזמינות גבוהה

מתקינים כמה מכונות של Apigee SSO בזמינות גבוהה בשני תרחישים:

  • בסביבה של מרכז נתונים יחיד, התקינו שתי מכונות SSO של Apigee כדי ליצור סביבת זמינות. כלומר, המערכת תמשיך לפעול אם אחד מממשקי ה-SSO של Apigee המודולים יורדים.
  • בסביבה עם שני מרכזי נתונים, מתקינים SSO של Apigee בשני מרכזי הנתונים כדי המערכת תמשיך לפעול אם אחד מהמודולים של Apigee SSO ייכבה.

התקנת שני מודולים של Apigee SSO באותו מכשיר מרכז נתונים

פרסתם שתי מכונות של Apigee SSO בצמתים שונים במרכז נתונים אחד כדי לתמוך בזמינות גבוהה. במקרה כזה:

  • שני המופעים של Apigee SSO חייבים להיות מחוברים לאותו שרת Postgres. ההמלצה של Apigee באמצעות שרת Postgres ייעודי ל-Apigee SSO ולא באותו שרת Postgres מותקנת ב-Edge.
  • שני המכונות של Apigee SSO חייבים להשתמש באותו זוג מפתחות JWT שצוין על ידי SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH מאפיינים בקובץ התצורה. למידע נוסף, ראו התקנה והגדרה של SSO של Apigee כדי לקבל מידע נוסף על הגדרת הנכסים האלה.
  • צריך מאזן עומסים לפני שני המופעים של Apigee SSO:
    • מאזן העומסים צריך לתמוך בנאמנות של קובצי cookie שנוצרו על ידי אפליקציה, ובסשן השם של קובץ ה-cookie חייב להיות JSESSIONID.
    • להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Apigee SSO. ב-TCP, משתמשים בכתובת ה-URL של Apigee SSO:
      http_or_https://edge_sso_IP_DNS:9099

      ציון היציאה כפי שהוגדרה על ידי Apigee SSO. ברירת המחדל היא יציאה 9099.

      בשביל HTTP, צריך לכלול את /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • חלק מההגדרות של מאזן העומסים תלויות בשאלה אם הפעלת את HTTPS ב-Apigee SSO. לצפייה לקבלת מידע נוסף.

גישת HTTP ל-Apigee SSO

אם אתם משתמשים בגישת HTTP ל-Apigee SSO, אז צריך להגדיר את מאזן העומסים כך:

  • להשתמש במצב HTTP כדי להתחבר ל-SSO של Apigee.
  • האזנה באותה יציאה כמו כניסה יחידה של Apigee.

    כברירת מחדל, Apigee SSO מאזינה לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב- SSO_TOMCAT_PORT כדי להגדיר את יציאת ה-SSO של Apigee. אם השתמשת ב-SSO_TOMCAT_PORT כדי לשנות את יציאת ה-SSO של Apigee מברירת המחדל, צריך לוודא שמאזן העומסים מאזין יציאה.

לדוגמה, בכל מופע SSO של Apigee מגדירים את היציאה ל-9033 על ידי הוספת הקוד הבא קובץ תצורה:

SSO_TOMCAT_PORT=9033

לאחר מכן מגדירים את מאזן העומסים להאזנה ביציאה 9033 והעברת בקשות ל-Edge מכונת SSO ביציאה 9033. כתובת ה-URL הציבורית של Apigee SSO בתרחיש הזה היא:

http://LB_DNS_NAME:9033

גישת HTTPS ל-SSO של Apigee

אפשר להגדיר את מכונות ה-SSO של Apigee שישתמשו ב-HTTPS לתקשורת מאובטחת. במקרה כזה, פועלים לפי השלבים הבאים: להגדיר Apigee SSO לגישת HTTPS. כחלק מתהליך הפעלת HTTPS, מגדירים את SSO_TOMCAT_PROFILE בקובץ התצורה של Apigee SSO באופן הבא:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

אפשר גם להגדיר את היציאה שתשמש את Apigee SSO לגישת HTTPS:

SSO_TOMCAT_PORT=9443

כדי להבטיח תקשורת תקינה בין מאזן העומסים לבין SSO של Apigee, צריך להגדיר את מאזן העומסים באופן הבא:

  • כדי להתחבר ל-Apigee SSO משתמשים במצב TCP, ולא במצב HTTP. כך חיבורי SSL יכולים לעבור ללא סיום במאזן העומסים.
  • האזנה באותה יציאה כמו זו של Apigee SSO כפי שהוגדר על ידי SSO_TOMCAT_PORT (למשל, 9443).
  • העברת בקשות למכונת SSO של Apigee באותה יציאה (9443).

מוודאים שכתובת ה-URL הציבורית משקפת את הגדרות ה-DNS והיציאה של מאזן העומסים. כתובת ה-URL הציבורית של Apigee SSO בתרחיש הזה היא:

https://LB_DNS_NAME:9443

התקנת SSO של Apigee במרכזי נתונים מרובים

בסביבה של מרכזי נתונים מרובים, מתקינים מכונת SSO של Apigee בכל מרכז נתונים. לאחר מכן, מכונה אחת של Apigee SSO תטפל בכל התנועה. אם מכונת Apigee SSO נעלמת, אפשר עוברים למכונה השנייה של Apigee SSO.

לפני שמתקינים Apigee SSO בשני מרכזי נתונים, אתם צריכים:

  • כתובת ה-IP או שם הדומיין של שרת ה-Postgres הראשי.

    בסביבה של כמה מרכזי נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל נתונים ולהגדיר אותם במצב רפליקציה מסוג 'מאסטר-בהמתנה'. לצורך דוגמה זו, center 1 מכיל את השרת הראשי של Postgres ואת מרכז הנתונים 2 מכיל את הערך Standby. למידע נוסף, ראו הגדרת רפליקציית Master-Standby עבור Postgres.

  • רשומת DNS אחת שמפנה למכונה אחת של Apigee SSO. לדוגמה, יצירת DNS ערך שמפנה למכונת SSO של Apigee במרכז הנתונים 1:
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • שני המכונות של Apigee SSO חייבים להשתמש באותו זוג מפתחות JWT שצוין על ידי SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH מאפיינים בקובץ התצורה. למידע נוסף, ראו התקנה והגדרה של SSO של Apigee כדי לקבל מידע נוסף על הגדרת הנכסים האלה.

כשמתקינים Apigee SSO בכל מרכז נתונים, מגדירים לשניהם להשתמש במאסטר של Postgres במרכז הנתונים 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

בנוסף, מגדירים את שני מרכזי הנתונים כך שישתמשו ברשומת ה-DNS ככתובת URL נגישה לציבור:

# Externally accessible URL of Apigee SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

אם שירות Apigee SSO במרכז נתונים 1 מושבת, אפשר לעבור למכונה של Apigee SSO בנתונים מרכז 2:

  1. ממירים את שרת Postgres Standby במרכז הנתונים 2 ל'מאסטר', כפי שמתואר במאמר טיפול בכשל של מסד נתוני PostgreSQL.
  2. צריך לעדכן את רשומת ה-DNS כך שתפנה את my-sso.domain.com למכונה של Apigee SSO ב- מרכז נתונים 2:
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. עדכון קובץ התצורה ל-SSO של Apigee במרכז נתונים 2 כדי שיצביע על המאסטר החדש של Postgres שרת במרכז הנתונים 2:
    ## Postgres configuration
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. כדי לעדכן את ההגדרות, צריך להפעיל מחדש את Apigee SSO במרכז נתונים 2:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart