Instalas varias instancias de SSO de Apigee para obtener alta disponibilidad en dos situaciones:
- En un entorno único de centro de datos, instala dos instancias de SSO de Apigee para crear un alto de SSO, lo que significa que el sistema sigue funcionando si una de las instancias de SSO módulos deja de funcionar.
- En un entorno con dos centros de datos, instala el SSO de Apigee en ambos centros de datos para que la sigue funcionando si uno de los módulos de SSO de Apigee deja de funcionar.
Instalar dos módulos de SSO de Apigee en el mismo centro de datos
Implementas dos instancias de Apigee SSO, en nodos diferentes, en un solo centro de datos para admitir la alta disponibilidad. En este caso, ocurre lo siguiente:
- Ambas instancias de SSO de Apigee deben estar conectadas al mismo servidor de Postgres. Apigee recomienda usar un servidor Postgres dedicado para el SSO de Apigee y no el mismo servidor Postgres que instalaste con Edge.
- Ambas instancias del SSO de Apigee deben usar el mismo par de claves JWT especificado por el
SSO_JWT_SIGNING_KEY_FILEPATHySSO_JWT_VERIFICATION_KEY_FILEPATHpropiedades en el archivo de configuración. Consulta Cómo instalar y configurar el SSO de Apigee para obtener más información sobre la configuración de estas propiedades. - Necesitas un balanceador de cargas frente a las dos instancias de SSO de Apigee:
- El balanceador de cargas debe admitir la permanencia de las cookies generadas por la aplicación y la
cookie debe llamarse
JSESSIONID. - Configura el balanceador de cargas para que realice una verificación de estado TCP o HTTP en el SSO de Apigee. Para TCP,
usa la URL del SSO de Apigee:
http_or_https://edge_sso_IP_DNS:9099
Especifica el puerto que estableció el SSO de Apigee. El puerto 9099 es el predeterminado.
Para HTTP, incluye
/healthz:http_or_https://edge_sso_IP_DNS:9099/healthz
- Algunos parámetros de configuración del balanceador de cargas dependen de si habilitaste HTTPS en el SSO de Apigee. Consulta las siguientes secciones para obtener más información.
- El balanceador de cargas debe admitir la permanencia de las cookies generadas por la aplicación y la
cookie debe llamarse
Acceso HTTP al SSO de Apigee
Si usas el acceso HTTP a Apigee SSO, configura el balanceador de cargas para lo siguiente:
- Usa el modo HTTP para conectarte al SSO de Apigee.
Escucha en el mismo puerto que el SSO de Apigee.
De forma predeterminada, el SSO de Apigee escucha las solicitudes HTTP en el puerto 9099. De forma opcional, puedes usar
SSO_TOMCAT_PORTpara establecer el puerto de SSO de Apigee. Si usasteSSO_TOMCAT_PORTpara cambiar el puerto SSO de Apigee del valor predeterminado, asegúrate de que el balanceador de cargas escuche puerto de red.
Por ejemplo, en cada instancia de SSO de Apigee, establece el puerto en 9033 agregando lo siguiente al archivo de configuración:
SSO_TOMCAT_PORT=9033
Luego, configurarás el balanceador de cargas para que escuche en el puerto 9033 y reenvíe las solicitudes a un perímetro Instancia de SSO en el puerto 9033. La URL pública del SSO de Apigee en esta situación es la siguiente:
http://LB_DNS_NAME:9033
Acceso HTTPS al SSO de Apigee
Puedes configurar las instancias de SSO de Apigee para que usen HTTPS. En este caso, sigue los pasos que se indican en Configura el SSO de Apigee para el acceso HTTPS. Como
parte del proceso de habilitación de HTTPS, configura SSO_TOMCAT_PROFILE en el SSO de Apigee
archivo de configuración como se muestra a continuación:
SSO_TOMCAT_PROFILE=SSL_TERMINATION
De forma opcional, también puedes configurar el puerto que usa el SSO de Apigee para el acceso HTTPS:
SSO_TOMCAT_PORT=9443
Luego, configura el balanceador de cargas para lo siguiente:
- Usa el modo TCP, no el modo HTTP, para conectarte al SSO de Apigee.
- Escucha en el mismo puerto que el SSO de Apigee, como se define en
SSO_TOMCAT_PORT.
Luego, configurarás el balanceador de cargas para reenviar las solicitudes a una instancia de SSO de Apigee en el puerto 9433. La URL pública del SSO de Apigee en esta situación es la siguiente:
https://LB_DNS_NAME:9443
Instala el SSO de Apigee en varios centros de datos
En un entorno de varios centros de datos, instalas una instancia de SSO de Apigee en cada uno de ellos. Luego, una instancia de SSO de Apigee se encarga de todo el tráfico. Si esa instancia de SSO de Apigee deja de funcionar, puedes cambiar a la segunda instancia de SSO de Apigee.
Antes de instalar el SSO de Apigee en dos centros de datos, necesitas lo siguiente:
La dirección IP o el nombre de dominio del servidor principal de Postgres
En un entorno de varios centros de datos, por lo general, se instala un servidor Postgres en cada centro de datos y se configura en el modo de replicación maestro-en espera. Para este ejemplo, los datos central 1 contiene el servidor de Postgres principal y el centro de datos 2 contiene el objeto Standby. Para obtener más información, consulta Configura la replicación de instancia principal-en espera para Postgres.
- Una sola entrada de DNS que apunta a una instancia de SSO de Apigee. Por ejemplo, creas una instancia
que apunta a la instancia de SSO de Apigee en el centro de datos 1:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- Ambas instancias de SSO de Apigee deben usar el mismo par de claves JWT que especifican las propiedades
SSO_JWT_SIGNING_KEY_FILEPATHySSO_JWT_VERIFICATION_KEY_FILEPATHen el archivo de configuración. Consulta Instala y configura el SSO de Apigee. para obtener más información sobre cómo configurar estas propiedades.
Cuando instalas el SSO de Apigee en cada centro de datos, debes configurar ambos para usar la instancia principal de Postgres en el centro de datos 1:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC1 PG_PORT=5432
También configurarás ambos centros de datos para usar la entrada DNS como la URL de acceso público:
# Externally accessible URL of Apigee SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
Si se cae el SSO de Apigee en el centro de datos 1, puedes cambiar a la instancia de SSO de Apigee en el centro de datos 2:
- Convierte el servidor de Postgres de Standby en el centro de datos 2 en la instancia principal como se describe en Maneja una conmutación por error de la base de datos de PostgreSQL.
- Actualiza el registro DNS para que apunte
my-sso.domain.coma la instancia de SSO de Apigee en centro de datos 2:my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- Actualiza el archivo de configuración de SSO de Apigee en el centro de datos 2 para que apunte al nuevo servidor principal de Postgres en el centro de datos 2:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- Reinicia el SSO de Apigee en el centro de datos 2 para actualizar su configuración:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart