מתקינים כמה מכונות של Apigee SSO בזמינות גבוהה בשני תרחישים:
- בסביבה של מרכז נתונים יחיד, התקינו שתי מכונות SSO של Apigee כדי ליצור סביבת זמינות. כלומר, המערכת תמשיך לפעול אם אחד מממשקי ה-SSO של Apigee המודולים יורדים.
- בסביבה עם שני מרכזי נתונים, מתקינים SSO של Apigee בשני מרכזי הנתונים כדי המערכת תמשיך לפעול אם אחד מהמודולים של Apigee SSO ייכבה.
התקנת שני מודולים של Apigee SSO באותו מכשיר מרכז נתונים
פרסתם שתי מכונות של Apigee SSO בצמתים שונים במרכז נתונים אחד כדי לתמוך בזמינות גבוהה. במקרה כזה:
- שני המופעים של Apigee SSO חייבים להיות מחוברים לאותו שרת Postgres. ההמלצה של Apigee באמצעות שרת Postgres ייעודי ל-Apigee SSO ולא באותו שרת Postgres מותקנת ב-Edge.
- שני המכונות של Apigee SSO חייבים להשתמש באותו זוג מפתחות JWT שצוין על ידי
SSO_JWT_SIGNING_KEY_FILEPATH
ו-SSO_JWT_VERIFICATION_KEY_FILEPATH
מאפיינים בקובץ התצורה. למידע נוסף, ראו התקנה והגדרה של SSO של Apigee כדי לקבל מידע נוסף על הגדרת הנכסים האלה. - צריך מאזן עומסים לפני שני המופעים של Apigee SSO:
- מאזן העומסים צריך לתמוך בנאמנות של קובצי cookie שנוצרו על ידי אפליקציה, ובסשן
השם של קובץ ה-cookie חייב להיות
JSESSIONID
. - להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Apigee SSO. ב-TCP,
משתמשים בכתובת ה-URL של Apigee SSO:
http_or_https://edge_sso_IP_DNS:9099
ציון היציאה כפי שהוגדרה על ידי Apigee SSO. ברירת המחדל היא יציאה 9099.
בשביל HTTP, צריך לכלול את
/healthz
:http_or_https://edge_sso_IP_DNS:9099/healthz
- חלק מההגדרות של מאזן העומסים תלויות בשאלה אם הפעלת את HTTPS ב-Apigee SSO. לצפייה לקבלת מידע נוסף.
- מאזן העומסים צריך לתמוך בנאמנות של קובצי cookie שנוצרו על ידי אפליקציה, ובסשן
השם של קובץ ה-cookie חייב להיות
גישת HTTP ל-Apigee SSO
אם אתם משתמשים בגישת HTTP ל-Apigee SSO, אז צריך להגדיר את מאזן העומסים כך:
- להשתמש במצב HTTP כדי להתחבר ל-SSO של Apigee.
האזנה באותה יציאה כמו כניסה יחידה של Apigee.
כברירת מחדל, Apigee SSO מאזינה לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב-
SSO_TOMCAT_PORT
כדי להגדיר את יציאת ה-SSO של Apigee. אם השתמשת ב-SSO_TOMCAT_PORT
כדי לשנות את יציאת ה-SSO של Apigee מברירת המחדל, צריך לוודא שמאזן העומסים מאזין יציאה.
לדוגמה, בכל מופע SSO של Apigee מגדירים את היציאה ל-9033 על ידי הוספת הקוד הבא קובץ תצורה:
SSO_TOMCAT_PORT=9033
לאחר מכן מגדירים את מאזן העומסים להאזנה ביציאה 9033 והעברת בקשות ל-Edge מכונת SSO ביציאה 9033. כתובת ה-URL הציבורית של Apigee SSO בתרחיש הזה היא:
http://LB_DNS_NAME:9033
גישת HTTPS ל-SSO של Apigee
אפשר להגדיר את מכונות ה-SSO של Apigee שישתמשו ב-HTTPS לתקשורת מאובטחת. במקרה כזה, פועלים לפי השלבים הבאים:
להגדיר Apigee SSO לגישת HTTPS. כחלק מתהליך הפעלת HTTPS, מגדירים את SSO_TOMCAT_PROFILE
בקובץ התצורה של Apigee SSO באופן הבא:
SSO_TOMCAT_PROFILE=SSL_TERMINATION
אפשר גם להגדיר את היציאה שתשמש את Apigee SSO לגישת HTTPS:
SSO_TOMCAT_PORT=9443
כדי להבטיח תקשורת תקינה בין מאזן העומסים לבין SSO של Apigee, צריך להגדיר את מאזן העומסים באופן הבא:
- כדי להתחבר ל-Apigee SSO משתמשים במצב TCP, ולא במצב HTTP. כך חיבורי SSL יכולים לעבור ללא סיום במאזן העומסים.
- האזנה באותה יציאה כמו זו של Apigee SSO כפי שהוגדר על ידי
SSO_TOMCAT_PORT
(למשל, 9443). - העברת בקשות למכונת SSO של Apigee באותה יציאה (9443).
מוודאים שכתובת ה-URL הציבורית משקפת את הגדרות ה-DNS והיציאה של מאזן העומסים. כתובת ה-URL הציבורית של Apigee SSO בתרחיש הזה היא:
https://LB_DNS_NAME:9443
התקנת SSO של Apigee במרכזי נתונים מרובים
בסביבה של מרכזי נתונים מרובים, מתקינים מכונת SSO של Apigee בכל מרכז נתונים. לאחר מכן, מכונה אחת של Apigee SSO תטפל בכל התנועה. אם מכונת Apigee SSO נעלמת, אפשר עוברים למכונה השנייה של Apigee SSO.
לפני שמתקינים Apigee SSO בשני מרכזי נתונים, אתם צריכים:
כתובת ה-IP או שם הדומיין של שרת ה-Postgres הראשי.
בסביבה של כמה מרכזי נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל נתונים ולהגדיר אותם במצב רפליקציה מסוג 'מאסטר-בהמתנה'. לצורך דוגמה זו, center 1 מכיל את השרת הראשי של Postgres ואת מרכז הנתונים 2 מכיל את הערך Standby. למידע נוסף, ראו הגדרת רפליקציית Master-Standby עבור Postgres.
- רשומת DNS אחת שמפנה למכונה אחת של Apigee SSO. לדוגמה, יצירת DNS
ערך שמפנה למכונת SSO של Apigee במרכז הנתונים 1:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- שני המכונות של Apigee SSO חייבים להשתמש באותו זוג מפתחות JWT שצוין על ידי
SSO_JWT_SIGNING_KEY_FILEPATH
ו-SSO_JWT_VERIFICATION_KEY_FILEPATH
מאפיינים בקובץ התצורה. למידע נוסף, ראו התקנה והגדרה של SSO של Apigee כדי לקבל מידע נוסף על הגדרת הנכסים האלה.
כשמתקינים Apigee SSO בכל מרכז נתונים, מגדירים לשניהם להשתמש במאסטר של Postgres במרכז הנתונים 1:
## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432
בנוסף, מגדירים את שני מרכזי הנתונים כך שישתמשו ברשומת ה-DNS ככתובת URL נגישה לציבור:
# Externally accessible URL of Apigee SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
אם שירות Apigee SSO במרכז נתונים 1 מושבת, אפשר לעבור למכונה של Apigee SSO בנתונים מרכז 2:
- ממירים את שרת Postgres Standby במרכז הנתונים 2 ל'מאסטר', כפי שמתואר במאמר טיפול בכשל של מסד נתוני PostgreSQL.
- צריך לעדכן את רשומת ה-DNS כך שתפנה את
my-sso.domain.com
למכונה של Apigee SSO ב- מרכז נתונים 2:my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- עדכון קובץ התצורה ל-SSO של Apigee במרכז נתונים 2 כדי שיצביע על המאסטר החדש של Postgres
שרת במרכז הנתונים 2:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- כדי לעדכן את ההגדרות, צריך להפעיל מחדש את Apigee SSO במרכז נתונים 2:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart