Apigee-SSO für Hochverfügbarkeit installieren

Sie können in zwei Fällen mehrere Instanzen von Apigee SSO für Hochverfügbarkeit installieren:

  • Installieren Sie in einer einzelnen Rechenzentrumsumgebung zwei Apigee SSO-Instanzen, um eine Hochverfügbarkeitsumgebung zu erstellen. Das System funktioniert also weiter, wenn eines der Apigee SSO-Module ausfällt.
  • Installieren Sie in einer Umgebung mit zwei Rechenzentren die Apigee-SSO in beiden Rechenzentren, damit die das System weiterhin funktioniert, wenn eines der Apigee-SSO-Module ausfällt.

Zwei Apigee-SSO-Module im selben Rechenzentrum

Sie stellen zur Unterstützung zweier Instanzen von Apigee-SSO auf verschiedenen Knoten in einem einzigen Rechenzentrum bereit. Hochverfügbarkeit. Für dieses Beispiel gilt:

  • Beide Instanzen der Apigee-SSO müssen mit demselben Postgres-Server verbunden sein. Apigee empfiehlt einen dedizierten Postgres-Server für die Apigee-SSO verwenden und nicht denselben Postgres-Server, mit Edge installiert.
  • Beide Instanzen von Apigee SSO müssen dasselbe JWT-Schlüsselpaar verwenden, das in der Konfigurationsdatei durch die Eigenschaften SSO_JWT_SIGNING_KEY_FILEPATH und SSO_JWT_VERIFICATION_KEY_FILEPATH angegeben ist. Siehe Apigee-SSO installieren und konfigurieren finden Sie weitere Informationen zum Festlegen dieser Eigenschaften.
  • Sie benötigen einen Load Balancer vor den beiden Instanzen von Apigee SSO:
    • Der Load-Balancer muss die Wiederkehrrate von anwendungsgenerierten Cookies unterstützen und die Sitzung Cookie muss den Namen JSESSIONID haben.
    • Konfigurieren Sie den Load Balancer so, dass eine TCP- oder HTTP-Systemdiagnose für Apigee SSO ausgeführt wird. Verwenden Sie für TCP die URL von Apigee SSO: 
      http_or_https://edge_sso_IP_DNS:9099

      Geben Sie den Port wie von der Apigee-SSO festgelegt an. Standardmäßig ist Port 9099 festgelegt.

      Geben Sie für HTTP /healthz an:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • Einige Load-Balancer-Einstellungen hängen davon ab, ob Sie HTTPS in der Apigee-SSO aktiviert haben. Weitere Informationen finden Sie in den folgenden Abschnitten.

HTTP-Zugriff auf Apigee SSO

Wenn Sie HTTP-Zugriff auf Apigee SSO verwenden, konfigurieren Sie den Load Balancer so:

  • Verwenden Sie den HTTP-Modus, um eine Verbindung zur Apigee-SSO herzustellen.

  • Überwachen Sie denselben Port wie die Apigee-SSO.

    Standardmäßig überwacht Apigee SSO Port 9099 auf HTTP-Anfragen. Optional können Sie mit SSO_TOMCAT_PORT den Apigee-SSO-Port festlegen. Wenn Sie SSO_TOMCAT_PORT verwendet haben, um den Apigee-SSO-Port vom Standardwert zu ändern, achten Sie darauf, dass der Load Balancer diesen Port überwacht.

Wenn Sie beispielsweise auf jeder Apigee-SSO-Instanz den Port auf 9033 festlegen möchten, fügen Sie der Konfigurationsdatei Folgendes hinzu:

SSO_TOMCAT_PORT=9033

Konfigurieren Sie dann den Load Balancer so, dass er Port 9033 überwacht und Anfragen an eine Edge-SSO-Instanz auf Port 9033 weiterleitet. Die öffentliche URL von Apigee SSO in diesem Szenario lautet:

http://LB_DNS_NAME:9033

HTTPS-Zugriff zu Apigee-SSO

Sie können die Apigee SSO-Instanzen so konfigurieren, dass sie HTTPS verwenden. Führen Sie in diesem Szenario die Schritte in Konfigurieren Sie die Apigee-SSO für HTTPS-Zugriff. Als Bei der Aktivierung von HTTPS legen Sie in der Apigee-SSO SSO_TOMCAT_PROFILE fest. Konfigurationsdatei, wie unten gezeigt:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

Optional können Sie auch den Port festlegen, der von Apigee SSO für den HTTPS-Zugriff verwendet wird:

SSO_TOMCAT_PORT=9443

Konfigurieren Sie den Load Balancer dann so:

  • Verwenden Sie den TCP-Modus, nicht den HTTP-Modus, um eine Verbindung zur Apigee-SSO herzustellen.
  • Überwachen Sie denselben Port wie die Apigee-SSO, wie von SSO_TOMCAT_PORT definiert.

Anschließend konfigurieren Sie den Load Balancer so, dass er Anfragen an eine Apigee-SSO-Instanz an Port 9433 weiterleitet. Die öffentliche URL der Apigee-SSO in diesem Szenario lautet:

https://LB_DNS_NAME:9443

Apigee-SSO in mehreren Rechenzentren installieren

In einer Umgebung mit mehreren Rechenzentren installieren Sie in jedem Rechenzentrum eine Apigee-SSO-Instanz. Eine Apigee-SSO-Instanz verarbeitet dann den gesamten Traffic. Wenn diese Apigee-SSO-Instanz ausfällt, können Sie zur zweiten Apigee-SSO-Instanz wechseln.

Bevor Sie die Apigee-SSO in zwei Rechenzentren installieren, benötigen Sie Folgendes:

  • Die IP-Adresse oder der Domainname des Master-Postgres-Servers.

    In einer Umgebung mit mehreren Rechenzentren installieren Sie normalerweise einen Postgres-Server pro Daten und im Master-Standby-Replikationsmodus konfigurieren. In diesem Beispiel werden data center 1 enthält den Master-Postgres-Server und das Rechenzentrum 2 enthält Standby. Weitere Informationen finden Sie unter Master-Standby-Replikation für Postgres einrichten.

  • Ein einzelner DNS-Eintrag, der auf eine Apigee-SSO-Instanz verweist. Sie erstellen beispielsweise im folgenden Formular einen DNS-Eintrag, der auf die Apigee-SSO-Instanz im Rechenzentrum 1 verweist: 
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • Beide Instanzen der Apigee-SSO müssen dasselbe JWT-Schlüsselpaar verwenden, wie im SSO_JWT_SIGNING_KEY_FILEPATH und SSO_JWT_VERIFICATION_KEY_FILEPATH in der Konfigurationsdatei. Siehe Apigee-SSO installieren und konfigurieren finden Sie weitere Informationen zum Festlegen dieser Eigenschaften.

Wenn Sie die Apigee-SSO in jedem Rechenzentrum installieren, konfigurieren Sie beide für die Verwendung des Postgres-Masters. in Rechenzentrum 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

Außerdem konfigurieren Sie beide Rechenzentren so, dass der DNS-Eintrag als öffentlich zugängliche URL verwendet wird:

# Externally accessible URL of Apigee SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

Wenn die Apigee-SSO in Rechenzentrum 1 ausfällt, können Sie in den Daten zur Apigee-SSO-Instanz wechseln Zentrum 2:

  1. Konvertieren Sie den PostgreSQL-Standby-Server im Rechenzentrum 2 in einen Master, wie unter Handling a PostgreSQL database failover beschrieben.
  2. Aktualisieren Sie den DNS-Eintrag so, dass my-sso.domain.com auf die Apigee-SSO-Instanz im Rechenzentrum 2 verweist: 
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. Aktualisieren Sie die Konfigurationsdatei für die Apigee-SSO in Rechenzentrum 2 so, dass sie auf den neuen Postgres-Master verweist. Server in Rechenzentrum 2: 
    ## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. Starten Sie Apigee SSO im Rechenzentrum 2 neu, um die Konfiguration zu aktualisieren: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart