Bạn cài đặt nhiều phiên bản Apigee SSO để có khả năng sẵn sàng cao trong hai trường hợp:
- Trong một môi trường trung tâm dữ liệu, hãy cài đặt hai phiên bản Apigee SSO để tạo một môi trường có khả năng hoạt động cao, nghĩa là hệ thống sẽ tiếp tục hoạt động nếu một trong các mô-đun Apigee SSO gặp sự cố.
- Trong một môi trường có 2 trung tâm dữ liệu, hãy cài đặt dịch vụ Đăng nhập một lần (SSO) của Apigee ở cả hai trung tâm dữ liệu để hệ thống tiếp tục hoạt động nếu một trong các mô-đun SSO của Apigee bị lỗi.
Cài đặt hai mô-đun SSO Apigee trong cùng một trung tâm dữ liệu
Bạn triển khai hai phiên bản SSO của Apigee, trên nhiều nút, trong một trung tâm dữ liệu duy nhất để hỗ trợ khả năng sử dụng cao. Trong tình huống này:
- Cả hai phiên bản của Apigee SSO phải được kết nối với cùng một máy chủ Postgres. Apigee đề xuất sử dụng máy chủ Postgres chuyên dụng cho Apigee SSO chứ không phải máy chủ Postgres mà bạn đã cài đặt bằng Edge.
- Cả hai phiên bản SSO của dịch vụ SSO đều phải sử dụng cùng một cặp khoá JWT như được chỉ định bởi
SSO_JWT_SIGNING_KEY_FILEPATHvàSSO_JWT_VERIFICATION_KEY_FILEPATHcác thuộc tính trong tệp cấu hình. Xem bài viết Cài đặt và định cấu hình dịch vụ SSO của Apigee để biết thêm thông tin về cách đặt các thuộc tính này. - Bạn cần có một trình cân bằng tải trước 2 thực thể của dịch vụ SSO của Apigee:
- Trình cân bằng tải phải hỗ trợ mức độ gắn bó với cookie do ứng dụng tạo, cũng như phiên hoạt động
phải đặt tên là
JSESSIONID. - Định cấu hình trình cân bằng tải để thực hiện kiểm tra tình trạng TCP hoặc HTTP trên Apigee SSO. Đối với TCP,
sử dụng URL của dịch vụ SSO của Apigee:
http_or_https://edge_sso_IP_DNS:9099
Chỉ định cổng như được thiết lập bằng dịch vụ SSO của Apigee. Cổng 9099 là cổng mặc định.
Đối với HTTP, hãy thêm
/healthz:http_or_https://edge_sso_IP_DNS:9099/healthz
- Một số chế độ cài đặt trình cân bằng tải phụ thuộc vào việc bạn có bật HTTPS trong dịch vụ SSO của Apigee hay không. Xem bên dưới để biết thêm thông tin.
- Trình cân bằng tải phải hỗ trợ mức độ gắn bó với cookie do ứng dụng tạo, cũng như phiên hoạt động
phải đặt tên là
Quyền truy cập HTTP vào Apigee SSO
Nếu bạn đang sử dụng quyền truy cập HTTP vào Apigee SSO, hãy định cấu hình trình cân bằng tải để:
- Dùng chế độ HTTP để kết nối với dịch vụ SSO của Apigee.
Nghe trên cùng một cổng với Apigee SSO.
Theo mặc định, dịch vụ SSO của Apigee sẽ xử lý các yêu cầu HTTP trên cổng 9099. Bạn có thể sử dụng
SSO_TOMCAT_PORTđể đặt cổng SSO Apigee (không bắt buộc). Nếu bạn đã sử dụngSSO_TOMCAT_PORTđể thay đổi cổng SSO Apigee từ cổng mặc định, hãy đảm bảo rằng bộ cân bằng tải sẽ nghe trên cổng đó.
Ví dụ: trên mỗi thực thể SSO Apigee, bạn đặt cổng thành 9033 bằng cách thêm nội dung sau vào tệp cấu hình:
SSO_TOMCAT_PORT=9033
Sau đó, bạn định cấu hình trình cân bằng tải để nghe trên cổng 9033 và chuyển tiếp các yêu cầu đến một phiên bản SSO Edge trên cổng 9033. URL công khai của dịch vụ SSO của Apigee trong trường hợp này là:
http://LB_DNS_NAME:9033
Quyền truy cập HTTPS vào Apigee SSO
Bạn có thể định cấu hình các thực thể SSO Apigee để sử dụng HTTPS. Trong trường hợp này, hãy làm theo các bước trong phần Định cấu hình SSO Apigee để truy cập HTTPS. Trong quá trình bật HTTPS, bạn đặt SSO_TOMCAT_PROFILE trong tệp cấu hình SSO Apigee như sau:
SSO_TOMCAT_PROFILE=SSL_TERMINATION
Bạn cũng có thể tuỳ ý đặt cổng mà Apigee SSO sử dụng để truy cập HTTPS:
SSO_TOMCAT_PORT=9443
Sau đó, hãy định cấu hình bộ cân bằng tải để:
- Sử dụng chế độ TCP, chứ không phải chế độ HTTP, để kết nối với Apigee SSO.
- Nghe trên cùng một cổng với dịch vụ SSO của Apigee theo quy định của
SSO_TOMCAT_PORT.
Sau đó, bạn định cấu hình trình cân bằng tải để chuyển tiếp các yêu cầu đến một thực thể SSO của Apigee trên cổng 9433. URL công khai của Apigee SSO trong trường hợp này là:
https://LB_DNS_NAME:9443
Cài đặt dịch vụ SSO của Apigee trong nhiều trung tâm dữ liệu
Trong môi trường có nhiều trung tâm dữ liệu, bạn sẽ cài đặt một thực thể Đăng nhập một lần (SSO) của Apigee trong mỗi trung tâm dữ liệu. Sau đó, một thực thể SSO Apigee sẽ xử lý tất cả lưu lượng truy cập. Nếu quá trình Đăng nhập một lần (SSO) của Apigee gặp sự cố, bạn có thể chuyển sang thực thể đăng nhập một lần (SSO) thứ hai của Apigee.
Trước khi cài đặt dịch vụ SSO của Apigee trong 2 trung tâm dữ liệu, bạn cần có:
Địa chỉ IP hoặc tên miền của máy chủ Master Postgres.
Trong môi trường nhiều trung tâm dữ liệu, bạn thường cài đặt một máy chủ Postgres trong mỗi trung tâm dữ liệu và định cấu hình các máy chủ đó ở chế độ sao chép Máy chủ chính-Chế độ chờ. Trong ví dụ này, dữ liệu trung tâm 1 chứa máy chủ Master Postgres và trung tâm dữ liệu 2 chứa Chế độ chờ. Để biết thêm thông tin, hãy xem bài viết Thiết lập tính năng sao chép chính-dự phòng cho Postgres.
- Một mục nhập DNS duy nhất trỏ đến một thực thể SSO của Apigee. Ví dụ: bạn tạo một DNS
mục nhập trong biểu mẫu bên dưới trỏ đến thực thể đăng nhập một lần (SSO) của Apigee trong trung tâm dữ liệu 1:
my-sso.domain.com => apigee-sso-dc1-ip-or-lb
- Cả hai phiên bản SSO của dịch vụ SSO đều phải sử dụng cùng một cặp khoá JWT như được chỉ định bởi
SSO_JWT_SIGNING_KEY_FILEPATHvàSSO_JWT_VERIFICATION_KEY_FILEPATHcác thuộc tính trong tệp cấu hình. Hãy xem phần Cài đặt và định cấu hình Apigee SSO để biết thêm thông tin về cách thiết lập các thuộc tính này.
Khi cài đặt Apigee SSO trong mỗi trung tâm dữ liệu, bạn sẽ định cấu hình cả hai để sử dụng Postgres Master trong trung tâm dữ liệu 1:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC1 PG_PORT=5432
Bạn cũng định cấu hình cả hai trung tâm dữ liệu để sử dụng mục nhập DNS làm URL có thể truy cập công khai:
# Externally accessible URL of Apigee SSO SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com # Default port is 9099. SSO_PUBLIC_URL_PORT=9099
Nếu dịch vụ SSO của Apigee trong trung tâm dữ liệu 1 ngừng hoạt động, bạn có thể chuyển sang thực thể SSO trong dữ liệu trung tâm 2:
- Chuyển đổi máy chủ dự phòng Postgres trong trung tâm dữ liệu 2 thành máy chủ chính như mô tả trong phần Xử lý lỗi chuyển đổi cơ sở dữ liệu PostgreSQL.
- Cập nhật bản ghi DNS để trỏ
my-sso.domain.comđến thực thể đăng nhập một lần (SSO) của Apigee trong trung tâm dữ liệu 2:my-sso.domain.com => apigee-sso-dc2-ip-or-lb
- Cập nhật tệp cấu hình cho SSO của dịch vụ SSO trong trung tâm dữ liệu 2 để trỏ đến API Postgres mới
máy chủ trong trung tâm dữ liệu 2:
## Postgres configuration PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
- Khởi động lại dịch vụ SSO của Apigee trong trung tâm dữ liệu 2 để cập nhật cấu hình của dịch vụ này:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart