Instalujesz wiele instancji logowania jednokrotnego Apigee w celu zapewnienia wysokiej dostępności w 2 sytuacjach:
- W jednym środowisku z jednym centrum danych zainstaluj 2 instancje Apigee SSO, aby utworzyć środowisko o wysokiej dostępności. Oznacza to, że system będzie nadal działać, jeśli jeden z modułów Apigee SSO przestanie działać.
- W środowisku z 2 centrami danych zainstaluj Apigee SSO w obu centrach, aby system nadal działał, jeśli jeden z modułów Apigee SSO przestanie działać.
Zainstaluj 2 moduły logowania jednokrotnego Apigee w jednym miejscu centrum danych
Wdrażasz 2 instancje logowania jednokrotnego Apigee w różnych węzłach w jednym centrum danych, aby wysokiej dostępności. W tym scenariuszu:
- Oba wystąpienia SSO Apigee muszą być połączone z tym samym serwerem Postgres. Apigee zaleca używanie dedykowanego serwera Postgres do logowania jednokrotnego w Apigee, a nie tego samego serwera Postgres, który został zainstalowany w Edge.
- Obie instancje SSO Apigee muszą używać tego samego klucza pary kluczy JWT, który jest określony przez właściwości
SSO_JWT_SIGNING_KEY_FILEPATHiSSO_JWT_VERIFICATION_KEY_FILEPATHw pliku konfiguracji. Więcej informacji o konfigurowaniu tych właściwości znajdziesz w artykule Instalowanie i konfigurowanie logowania jednokrotnego Apigee. - Potrzebujesz systemu równoważenia obciążenia przed 2 instancjami Apigee SSO:
- System równoważenia obciążenia musi obsługiwać zapisywanie plików cookie wygenerowanych przez aplikację,
plik cookie musi mieć nazwę
JSESSIONID. - Skonfiguruj system równoważenia obciążenia tak, aby przeprowadzał kontrolę stanu TCP lub HTTP w usłudze Apigee SSO. W przypadku TCP użyj adresu URL logowania jednokrotnego Apigee:
http_or_https://edge_sso_IP_DNS:9099
Podaj port ustawiony przez logowanie jednokrotne w Apigee. Domyślnym numerem jest port 9099.
W przypadku protokołu HTTP uwzględnij
/healthz:http_or_https://edge_sso_IP_DNS:9099/healthz
- Niektóre ustawienia systemu równoważenia obciążenia zależą od tego, czy włączono protokół HTTPS w Apigee SSO. Zobacz .
- System równoważenia obciążenia musi obsługiwać zapisywanie plików cookie wygenerowanych przez aplikację,
plik cookie musi mieć nazwę
Dostęp przez HTTP do Apigee SSO
Jeśli korzystasz z dostępu przez HTTP do logowania jednokrotnego Apigee, skonfiguruj system równoważenia obciążenia tak, aby:
- Użyj trybu HTTP, aby połączyć się z logowaniem jednokrotnym Apigee.
Słuchaj na tym samym porcie co Apigee SSO.
Domyślnie Apigee SSO nasłuchuje żądań HTTP na porcie 9099. Opcjonalnie możesz użyć atrybutu
SSO_TOMCAT_PORT, aby ustawić port logowania jednokrotnego w Apigee. Jeśli do zmiany domyślnego portu logowania jednokrotnego w usłudze Apigee użyto wartościSSO_TOMCAT_PORT, upewnij się, że system równoważenia obciążenia nasłuchuje na tym porcie.
Na przykład w każdej instancji logowania jednokrotnego Apigee ustawiasz port na 9033, dodając do plik konfiguracyjny:
SSO_TOMCAT_PORT=9033
Następnie skonfiguruj system równoważenia obciążenia tak, aby nasłuchiwał na porcie 9033 i przekierowywał żądania do instancji SSO na krawędzi na porcie 9033. W tym scenariuszu publiczny adres URL logowania jednokrotnego w Apigee:
http://LB_DNS_NAME:9033
Dostęp przez HTTPS do Apigee SSO
Możesz skonfigurować instancje SSO Apigee tak, aby używały protokołu HTTPS. W takim przypadku wykonaj czynności opisane w
Skonfiguruj logowanie jednokrotne Apigee na potrzeby dostępu przez HTTPS Jako
podczas włączania HTTPS ustawiasz SSO_TOMCAT_PROFILE w Apigee SSO
.
SSO_TOMCAT_PROFILE=SSL_TERMINATION
Opcjonalnie możesz też ustawić port używany przez Apigee SSO do dostępu HTTPS:
SSO_TOMCAT_PORT=9443
Następnie skonfiguruj system równoważenia obciążenia, aby:
- Aby połączyć się z Apigee SSO, użyj trybu TCP, a nie trybu HTTP.
- Nasłuchuj na tym samym porcie co Apigee SSO zgodnie z definicją w
SSO_TOMCAT_PORT.
Następnie skonfiguruj system równoważenia obciążenia tak, aby przekierowywał żądania do instancji SSO Apigee na porcie 9433. W tym scenariuszu publiczny adres URL logowania jednokrotnego w Apigee:
https://LB_DNS_NAME:9443
Instalowanie logowania jednokrotnego Apigee w wielu centrach danych
W środowisku wielu centrów danych instalujesz instancję logowania jednokrotnego Apigee w każdym centrum danych. Jedna instancja SSO Apigee obsługuje wtedy cały ruch. Jeśli instancja logowania jednorazowego Apigee przestanie działać, możesz przełączyć się na drugą instancję logowania jednorazowego Apigee.
Zanim zainstalujesz logowanie jednokrotne Apigee w 2 centrach danych, musisz mieć:
Adres IP lub nazwa domeny głównego serwera Postgres.
W środowisku wielu centrów danych zwykle instalujesz po 1 serwerze Postgres na każdym zbiorze danych. i skonfigurować je w trybie replikacji w trybie Głównym. W tym przykładzie dane centrum 1 zawiera serwer Postgres Master i centrum danych 2 zawiera tryb Tryb gotowości. Więcej informacji znajdziesz w sekcji Konfigurowanie replikacji w trybie gotowości dla instancji głównej Postgres,
- Pojedynczy wpis DNS, który wskazuje 1 instancję logowania jednokrotnego Apigee. Na przykład możesz utworzyć wpis DNS w tym formularzu, który wskazuje na instancję logowania jednokrotnego Apigee w centrum danych 1:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- Obie instancje SSO w Apigee muszą używać tego samego klucza pary JWT, który jest określony przez właściwości
SSO_JWT_SIGNING_KEY_FILEPATHiSSO_JWT_VERIFICATION_KEY_FILEPATHw pliku konfiguracji. Zapoznaj się z artykułem Instalowanie i konfigurowanie logowania jednokrotnego Apigee .
Podczas instalowania logowania jednokrotnego Apigee w każdym centrum danych skonfiguruj oba tak, aby używały głównego serwera bazy danych Postgres w centrum danych 1:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC1 PG_PORT=5432
Oba centra danych skonfiguruj tak, aby używały wpisu DNS jako publicznie dostępnego adresu URL:
# Externally accessible URL of Apigee SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
Jeśli usługa SSO Apigee w centrum danych 1 przestanie działać, możesz przełączyć się na instancję SSO Apigee w centrum danych 2:
- Przekształć serwer zapasowy Postgres w centrum danych 2 w serwer główny zgodnie z instrukcjami podanymi w artykule Zarządzanie przełączaniem bazy danych PostgreSQL na inną.
- Zaktualizuj rekord DNS, aby wskazywał
my-sso.domain.comna instancję Apigee SSO w centrum danych 2:my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- Zaktualizuj plik konfiguracji Apigee SSO w centrum danych 2, aby wskazywał nowy serwer Postgres Master
serwer w centrum danych 2:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- Uruchom ponownie logowanie jednokrotne Apigee w centrum danych 2, aby zaktualizować jego konfigurację:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart