Instalujesz wiele instancji logowania jednokrotnego Apigee w celu zapewnienia wysokiej dostępności w 2 scenariuszach:
- Zainstaluj 2 instancje logowania jednokrotnego Apigee w środowisku centrum danych, aby utworzyć środowiska dostępności, co oznacza, że system będzie nadal działać, jeśli jedno z logowania jednokrotnego w Apigee która nie działa.
- W środowisku z 2 centrami danych zainstaluj logowanie jednokrotne Apigee w obu centrach, aby system będzie nadal działać, jeśli jeden z modułów logowania jednokrotnego Apigee ulegnie awarii.
Zainstaluj 2 moduły logowania jednokrotnego Apigee w jednym miejscu centrum danych
Wdrażasz 2 instancje logowania jednokrotnego Apigee w różnych węzłach w jednym centrum danych, aby wysokiej dostępności. W tym scenariuszu:
- Obie instancje Apigee SSO muszą być połączone z tym samym serwerem Postgres. Apigee zaleca na potrzeby logowania jednokrotnego Apigee użyj dedykowanego serwera Postgres, a nie tego samego serwera Postgres, zainstalowano za pomocą Edge.
- Obie instancje Apigee SSO muszą używać tej samej pary kluczy JWT określonej w tagu
SSO_JWT_SIGNING_KEY_FILEPATHiSSO_JWT_VERIFICATION_KEY_FILEPATHwłaściwości w pliku konfiguracji. Zobacz Instalowanie i konfigurowanie logowania jednokrotnego Apigee . - Potrzebujesz systemu równoważenia obciążenia przed 2 instancjami Apigee SSO:
- System równoważenia obciążenia musi obsługiwać zapisywanie plików cookie wygenerowanych przez aplikację,
plik cookie musi mieć nazwę
JSESSIONID. - Skonfiguruj system równoważenia obciążenia tak, aby przeprowadzał kontrolę stanu TCP lub HTTP w Apigee SSO. W przypadku TCP:
użyj adresu URL logowania jednokrotnego Apigee:
http_or_https://edge_sso_IP_DNS:9099
Podaj port ustawiony przez logowanie jednokrotne w Apigee. Domyślnym numerem jest port 9099.
W przypadku protokołu HTTP uwzględnij
/healthz:http_or_https://edge_sso_IP_DNS:9099/healthz
- Niektóre ustawienia systemu równoważenia obciążenia zależą od tego, czy włączono protokół HTTPS w Apigee SSO. Zobacz .
- System równoważenia obciążenia musi obsługiwać zapisywanie plików cookie wygenerowanych przez aplikację,
plik cookie musi mieć nazwę
Dostęp przez HTTP do Apigee SSO
Jeśli korzystasz z dostępu przez HTTP do logowania jednokrotnego Apigee, skonfiguruj system równoważenia obciążenia tak, aby:
- Użyj trybu HTTP, aby połączyć się z logowaniem jednokrotnym Apigee.
Nasłuchuj na tym samym porcie co Apigee SSO.
Domyślnie Apigee SSO nasłuchuje żądań HTTP na porcie 9099. Opcjonalnie możesz użyć atrybutu
SSO_TOMCAT_PORT, aby ustawić port logowania jednokrotnego w Apigee. Jeśli używasz kontaSSO_TOMCAT_PORT, aby zmienić domyślny port logowania jednokrotnego w Apigee, upewnij się, że system równoważenia obciążenia nasłuchuje portu.
Na przykład w każdej instancji logowania jednokrotnego Apigee ustawiasz port na 9033, dodając do plik konfiguracyjny:
SSO_TOMCAT_PORT=9033
Następnie skonfigurujesz system równoważenia obciążenia tak, aby nasłuchiwał na porcie 9033 i przekierowywał żądania do Edge w instancji SSO na porcie 9033. W tym scenariuszu publiczny adres URL logowania jednokrotnego w Apigee:
http://LB_DNS_NAME:9033
Dostęp HTTPS do logowania jednokrotnego Apigee
Możesz skonfigurować instancje logowania jednokrotnego Apigee tak, aby korzystały z protokołu HTTPS, aby zapewnić bezpieczną komunikację. W takim przypadku wykonaj czynności opisane w
Skonfiguruj logowanie jednokrotne Apigee na potrzeby dostępu przez HTTPS W ramach procesu włączania protokołu HTTPS ustaw SSO_TOMCAT_PROFILE w pliku konfiguracji Apigee SSO w następujący sposób:
SSO_TOMCAT_PROFILE=SSL_TERMINATION
Opcjonalnie ustaw port używany przez Apigee SSO na potrzeby dostępu przez HTTPS:
SSO_TOMCAT_PORT=9443
Aby zapewnić prawidłową komunikację między systemem równoważenia obciążenia a logowaniem jednokrotnym w Apigee, skonfiguruj system równoważenia obciążenia w ten sposób:
- Aby połączyć się z Apigee SSO, użyj trybu TCP (a nie trybu HTTP). Umożliwia to przekazywanie połączeń SSL bez wyłączania systemu równoważenia obciążenia.
- Wykrywaj na tym samym porcie co Apigee SSO zgodnie z definicją w
SSO_TOMCAT_PORT(np. 9443). - Kieruj żądania do instancji logowania jednokrotnego Apigee na tym samym porcie (9443).
Upewnij się, że publiczny adres URL odzwierciedla ustawienia DNS i portu systemu równoważenia obciążenia. W tym scenariuszu publiczny adres URL logowania jednokrotnego w Apigee:
https://LB_DNS_NAME:9443
Instalowanie logowania jednokrotnego Apigee w wielu centrach danych
W środowisku wielu centrów danych instalujesz instancję logowania jednokrotnego Apigee w każdym centrum danych. Następnie 1 instancja logowania jednokrotnego Apigee obsługuje cały ruch. Jeśli ta instancja logowania jednokrotnego Apigee przestanie działać, możesz: przełącz się na drugą instancję logowania jednokrotnego Apigee.
Zanim zainstalujesz logowanie jednokrotne Apigee w 2 centrach danych, potrzebujesz:
Adres IP lub nazwa domeny głównego serwera Postgres.
W środowisku wielu centrów danych zwykle instalujesz po 1 serwerze Postgres na każdym zbiorze danych. i skonfigurować je w trybie replikacji w trybie Głównym. W tym przykładzie dane centrum 1 zawiera serwer Postgres Master i centrum danych 2 zawiera tryb Tryb gotowości. Więcej informacji znajdziesz w sekcji Konfigurowanie replikacji w trybie gotowości dla instancji głównej Postgres,
- Pojedynczy wpis DNS, który wskazuje 1 instancję logowania jednokrotnego Apigee. Możesz na przykład utworzyć DNS
wpis w formularzu poniżej wskazujący na instancję logowania jednokrotnego Apigee w centrum danych 1:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- Obie instancje Apigee SSO muszą używać tej samej pary kluczy JWT określonej w tagu
SSO_JWT_SIGNING_KEY_FILEPATHiSSO_JWT_VERIFICATION_KEY_FILEPATHwłaściwości w pliku konfiguracji. Zobacz Instalowanie i konfigurowanie logowania jednokrotnego Apigee .
Gdy instalujesz logowanie jednokrotne Apigee w każdym centrum danych, konfigurujesz je pod kątem używania instancji głównej Postgres w centrum danych 1:
## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432Możesz też skonfigurować oba centra danych tak, aby używały wpisu DNS jako publicznie dostępnego adresu URL:
# Externally accessible URL of Apigee SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
Jeśli logowanie jednokrotne Apigee w centrum danych 1 ulegnie awarii, możesz się przełączyć na instancję logowania jednokrotnego Apigee w danych środek 2:
- Przekonwertuj serwer gotowości Postgres w centrum danych 2 na serwer główny zgodnie z opisem w artykule Obsługa przełączania awaryjnego bazy danych PostgreSQL.
- Zaktualizuj rekord DNS tak, aby wskazywał
my-sso.domain.cominstancję logowania jednokrotnego w Apigee w centrum danych 2:my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- Zaktualizuj plik konfiguracji Apigee SSO w centrum danych 2, aby wskazywał nowy serwer Postgres Master
serwer w centrum danych 2:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- Ponownie uruchom logowanie jednokrotne Apigee w centrum danych 2, aby zaktualizować jego konfigurację:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart