Apigee mTLS konfigurieren

Edge for Private Cloud v4.19.01

Nachdem Sie die apigee-mtls-Komponente auf jedem Knoten im Cluster installiert haben, müssen Sie sie konfigurieren und initialisieren. Dazu generieren Sie ein Zertifikat/Schlüsselpaar und aktualisieren die Konfigurationsdatei auf Ihrem Administrationscomputer. Anschließend werden dieselben generierten Dateien auf allen Knoten im Cluster bereitgestellt und die lokale apigee-mtls-Komponente initialisiert.

apigee-mtls konfigurieren (nach der Erstinstallation)

In diesem Abschnitt wird beschrieben, wie Sie Apigee mTLS direkt nach der Erstinstallation für ein einzelnes Rechenzentrum konfigurieren. Informationen zum Aktualisieren einer vorhandenen Installation von Apigee mTLS finden Sie unter Vorhandene apigee-mtls-Konfiguration ändern. Informationen zum Konfigurieren mehrerer Rechenzentren finden Sie unter Mehrere Rechenzentren für Apigee mTLS konfigurieren.

So konfigurieren Sie apigee-mtls im Allgemeinen:

  1. Konfigurationsdatei aktualisieren:Aktualisieren Sie auf dem Verwaltungscomputer die Konfigurationsdatei, um die apigee-mtls-Einstellungen einzubinden.
  2. Consul installieren und Anmeldedaten generieren:Installieren Sie Consul und generieren Sie damit die TLS-Anmeldedaten (nur einmal).

    Bearbeiten Sie außerdem die Apigee-mTLS-Konfigurationsdatei so:

    1. Anmeldedaten hinzufügen
    2. Topologie des Clusters definieren

    Sie können Ihre vorhandenen Anmeldedaten verwenden oder mit Consul generieren.

  3. Konfigurationsdatei und Anmeldedaten verteilen:Verteil das generierte Zertifikat/Schlüsselpaar und die aktualisierte Konfigurationsdatei auf alle Knoten in deinem Cluster.
  4. apigee-mtls initialisieren:Initialisieren Sie die apigee-mtls-Komponente auf jedem Knoten.

Jeder dieser Schritte wird in den folgenden Abschnitten beschrieben.

Schritt 1: Konfigurationsdatei aktualisieren

In diesem Abschnitt wird beschrieben, wie Sie Ihre Konfigurationsdatei so ändern, dass sie mTLS-Konfigurationseigenschaften enthält. Allgemeine Informationen zur Konfigurationsdatei finden Sie unter Konfigurationsdatei erstellen.

Nachdem Sie die Konfigurationsdatei mit den mTLS-bezogenen Eigenschaften aktualisiert haben, kopieren Sie sie auf alle Knoten im Cluster, bevor Sie die apigee-mtls-Komponente auf diesen Knoten initialisieren.

Befehle, die auf die Konfigurationsdatei verweisen, verwenden „config_file“, um anzugeben, dass der Speicherort variabel ist, je nachdem, wo Sie ihn auf jedem Knoten speichern.

So aktualisieren Sie die Konfigurationsdatei:

  1. Öffnen Sie die Konfigurationsdatei auf dem Verwaltungscomputer.
  2. Kopieren Sie die folgenden mTLS-Konfigurationseigenschaften und fügen Sie sie in die Konfigurationsdatei ein:
    ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER"
    ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS"
    CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS"
    PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS"
    RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS"
    MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS"
    MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS"
    QP_MTLS_HOSTS="QPID_PRIVATE_IPS"
    LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS"
    MTLS_ENCAPSULATE_LDAP="y"
    
    ENABLE_SIDECAR_PROXY="y"
    ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE"
    PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem"
    PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem"
    APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS"

    Legen Sie den Wert der einzelnen Properties entsprechend Ihrer Konfiguration fest.

    In der folgenden Tabelle werden diese Konfigurationseigenschaften beschrieben:

    Attribut Beschreibung
    ALL_IP Eine durch Leerzeichen getrennte Liste der privaten Host-IP-Adressen aller Knoten im Cluster.

    Die Reihenfolge der IP-Adressen spielt keine Rolle, sie muss jedoch in allen Konfigurationsdateien im Cluster gleich sein.

    Wenn Sie Apigee mTLS für mehrere Rechenzentren konfigurieren, listen Sie alle IP-Adressen für alle Hosts in allen Regionen auf.

    LDAP_MTLS_HOSTS Die private Host-IP-Adresse des OpenLDAP-Knotens im Cluster.
    ZK_MTLS_HOSTS

    Eine durch Leerzeichen getrennte Liste privater Host-IP-Adressen, auf denen ZooKeeper-Knoten im Cluster gehostet werden.

    Gemäß den Anforderungen müssen mindestens drei ZooKeeper-Knoten vorhanden sein.

    CASS_MTLS_HOSTS Eine durch Leerzeichen getrennte Liste privater Host-IP-Adressen, auf denen Cassandra-Server im Cluster gehostet werden.
    PG_MTLS_HOSTS Eine durch Leerzeichen getrennte Liste privater Host-IP-Adressen, auf denen Postgres-Server im Cluster gehostet werden.
    RT_MTLS_HOSTS Eine durch Leerzeichen getrennte Liste privater Host-IP-Adressen, auf denen Router im Cluster gehostet werden.
    MTLS_ENCAPSULATE_LDAP Verschlüsselt den LDAP-Traffic zwischen dem Message Processor und dem LDAP-Server. Legen Sie y fest.
    MS_MTLS_HOSTS Eine durch Leerzeichen getrennte Liste privater Host-IP-Adressen, auf denen Management-Serverknoten im Cluster gehostet werden.
    MP_MTLS_HOSTS Eine durch Leerzeichen getrennte Liste privater Host-IP-Adressen, auf denen Message Processors im Cluster gehostet werden.
    QP_MTLS_HOSTS Eine durch Leerzeichen getrennte Liste privater Host-IP-Adressen, auf denen Qpid-Server im Cluster gehostet werden.
    ENABLE_SIDECAR_PROXY Bestimmt, ob Cassandra und Postgres das Service Mesh kennen sollen.

    Sie müssen diesen Wert auf „y“ setzen.

    ENCRYPT_DATA Der base64-codierte Verschlüsselungsschlüssel, der von Consul verwendet wird . Sie haben diesen Schlüssel mit dem Befehl consul keygen in Schritt 2: Consul installieren und Anmeldedaten generieren generiert.

    Dieser Wert muss für alle Knoten im Cluster identisch sein.

    PATH_TO_CA_CERT Der Speicherort der Zertifikatsdatei auf dem Knoten. Sie haben diese Datei in Schritt 2: Consul installieren und Anmeldedaten generieren erstellt.

    Dieser Speicherort sollte für alle Knoten im Cluster identisch sein, damit die Konfigurationsdateien identisch sind.

    Das Zertifikat muss X509v3-codiert sein.

    PATH_TO_CA_KEY Der Speicherort der Schlüsseldatei auf dem Knoten. Sie haben diese Datei in Schritt 2: Consul installieren und Anmeldedaten generieren erstellt.

    Dieser Speicherort sollte für alle Knoten im Cluster identisch sein, damit die Konfigurationsdateien identisch sind.

    Die Schlüsseldatei muss X509v3-codiert sein.

    APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR

    Die Anzahl der Tage, für die ein Zertifikat gültig ist, wenn Sie ein benutzerdefiniertes Zertifikat generieren.

    Der Standardwert ist 365. Der maximale Wert ist 7.865 Tage (5 Jahre).

    Zusätzlich zu den oben aufgeführten Properties verwendet Apigee mTLS mehrere zusätzliche Properties, wenn Sie es in einer Multi-Datacenter-Konfiguration installieren. Weitere Informationen finden Sie unter Mehrere Rechenzentren konfigurieren.

  3. Die Property ENABLE_SIDECAR_PROXY muss auf „y“ festgelegt sein.
  4. Aktualisieren Sie die IP-Adressen in den hostbezogenen Properties. Verwenden Sie für jeden Knoten die privaten IP-Adressen, nicht die öffentlichen IP-Adressen.

    In späteren Schritten legen Sie die Werte der anderen Properties fest, z. B. ENCRYPT_DATA, PATH_TO_CA_CERT und PATH_TO_CA_KEY. Sie haben die Werte noch nicht festgelegt.

    Beachten Sie beim Bearbeiten der Konfigurationseigenschaften von apigee-mtls Folgendes:

    • Alle Properties sind Strings. Sie müssen die Werte aller Properties in einfache oder doppelte Anführungszeichen setzen.
    • Wenn ein hostbezogener Wert mehr als eine private IP-Adresse hat, trennen Sie die einzelnen IP-Adressen durch ein Leerzeichen.
    • Verwenden Sie für alle hostbezogenen Eigenschaften in der Konfigurationsdatei private IP-Adressen und keine Hostnamen oder öffentlichen IP-Adressen.
    • Die Reihenfolge der IP-Adressen in einem Attributwert muss in allen Konfigurationsdateien im Cluster gleich sein.
  5. Speichern Sie die Änderungen in der Konfigurationsdatei.

Schritt 2: Consul installieren und Anmeldedaten generieren

In diesem Abschnitt wird beschrieben, wie Sie Consul installieren und Anmeldedaten generieren.

Sie müssen eine der folgenden Methoden zum Generieren von Anmeldedaten auswählen:

  • Eine eigene Zertifizierungsstelle mit Consul erstellen, wie in diesem Abschnitt beschrieben (empfohlen)
  • Anmeldedaten einer vorhandenen Zertifizierungsstelle mit Apigee mTLS verwenden (erweitert)

Anmeldedaten

Die Anmeldedaten umfassen Folgendes:

  • Zertifikat:Das TLS-Zertifikat, das auf jedem Knoten gehostet wird
  • Schlüssel:Der auf jedem Knoten gehostete TLS-öffentliche Schlüssel
  • Gossip-Nachricht:Ein base64-codierter Verschlüsselungsschlüssel

Sie generieren jeweils nur eine Version dieser Dateien. Sie kopieren die Schlüssel- und Zertifikatdateien auf alle Knoten in Ihrem Cluster und fügen den Verschlüsselungsschlüssel Ihrer Konfigurationsdatei hinzu, die Sie ebenfalls auf alle Knoten kopieren.

Weitere Informationen zur Verschlüsselungsimplementierung von Consul finden Sie hier:

Consul installieren und Anmeldedaten generieren

Sie verwenden ein lokales Consul-Binary, um Anmeldedaten zu generieren, die von Apigee mTLS zur Authentifizierung der sicheren Kommunikation zwischen den Knoten in Ihrem Private Cloud-Cluster verwendet werden. Daher müssen Sie Consul auf Ihrem Administrationscomputer installieren, bevor Sie Anmeldedaten generieren können.

So installieren Sie Consul und generieren mTLS-Anmeldedaten:

  1. Laden Sie auf Ihrem Verwaltungscomputer die Consul 1.6.2-Binärdatei von der HashiCorp-Website herunter.
  2. Extrahieren Sie den Inhalt der heruntergeladenen Archivdatei. Extrahieren Sie den Inhalt beispielsweise in /opt/consul/.
  3. Erstellen Sie auf dem Verwaltungscomputer eine neue Zertifizierungsstelle (CA) mit dem folgenden Befehl:
    /opt/consul/consul tls ca create

    Consul erstellt die folgenden Dateien, die ein Zertifikat/Schlüsselpaar bilden:

    • consul-agent-ca.pem (Zertifikat)
    • consul-agent-ca-key.pem (Schlüssel)

    Standardmäßig sind Zertifikats- und Schlüsseldateien X509v3-codiert.

    Später kopieren Sie diese Dateien auf alle Knoten im Cluster. Derzeit müssen Sie jedoch nur entscheiden, wo auf den Knoten Sie diese Dateien ablegen möchten. Sie sollten sich an derselben Stelle auf jedem Knoten befinden. Beispiel: /opt/apigee/.

  4. Legen Sie in der Konfigurationsdatei den Wert von PATH_TO_CA_CERT auf den Speicherort fest, an den Sie die Datei consul-agent-ca.pem auf dem Knoten kopieren. Zum Beispiel:
    PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
  5. Legen Sie den Wert von PATH_TO_CA_KEY auf den Speicherort fest, an den Sie die Datei consul-agent-ca-key.pem auf den Knoten kopieren. Zum Beispiel:
    PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
  6. Erstellen Sie mit dem folgenden Befehl einen Verschlüsselungsschlüssel für Consul:
    /opt/consul/consul keygen

    Consul gibt einen zufälligen String aus, der in etwa so aussieht:

    QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
  7. Kopieren Sie den String und legen Sie ihn als Wert der ENCRYPT_DATA-Eigenschaft in Ihrer Konfigurationsdatei fest. Beispiel:
    ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
  8. Speichern Sie die Konfigurationsdatei.

Das folgende Beispiel zeigt die mTLS-bezogenen Einstellungen in einer Konfigurationsdatei (mit Beispielwerten):

...
IP1=10.126.0.121
IP2=10.126.0.124
IP3=10.126.0.125
IP4=10.126.0.127
IP5=10.126.0.130
ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5"
LDAP_MTLS_HOSTS="$IP3"
ZK_MTLS_HOSTS="$IP3 $IP4 $IP5"
CASS_MTLS_HOSTS="$IP3 $IP4 $IP5"
PG_MTLS_HOSTS="$IP2 $IP1"
RT_MTLS_HOSTS="$IP4 $IP5"
MS_MTLS_HOSTS="$IP3"
MP_MTLS_HOSTS="$IP4 $IP5"
QP_MTLS_HOSTS="$IP2 $IP1"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
...

Schritt 3: Konfigurationsdatei und Anmeldedaten verteilen

Kopieren Sie die folgenden Dateien mit einem Tool wie scp auf die Knoten, auf denen ZooKeeper ausgeführt wird:

  • Konfigurationsdatei:Kopieren Sie die aktualisierte Version dieser Datei und ersetzen Sie die vorhandene Version auf allen Knoten (nicht nur auf den Knoten, auf denen ZooKeeper ausgeführt wird).
  • consul-agent-ca.pem::Kopieren Sie die Datei an den Speicherort, den Sie in der Konfigurationsdatei als Wert für PATH_TO_CA_CERT angegeben haben.
  • consul-agent-ca-key.pem::Kopieren Sie die Datei an den Speicherort, den Sie in der Konfigurationsdatei als Wert für PATH_TO_CA_KEY angegeben haben.

Achten Sie darauf, dass die Speicherorte, an die Sie die Zertifikats- und Schlüsseldateien kopieren, mit den Werten übereinstimmen, die Sie in der Konfigurationsdatei in Schritt 2: Consul installieren und Anmeldedaten generieren festgelegt haben.

Schritt 4: apigee-mtls initialisieren

Nachdem Sie Ihre Konfigurationsdatei aktualisiert, sie und die Anmeldedaten auf alle Knoten im Cluster kopiert und apigee-mtls auf jedem Knoten installiert haben, können Sie die apigee-mtls-Komponente auf jedem Knoten initialisieren.

So initialisieren Sie apigee-mtls:

  1. Melden Sie sich als Root-Nutzer bei einem Knoten im Cluster an. Sie können diese Schritte auf den Knoten in beliebiger Reihenfolge ausführen.
  2. Machen Sie den Nutzer apigee:apigee zum Eigentümer der aktualisierten Konfigurationsdatei, wie im folgenden Beispiel gezeigt:
    chown apigee:apigee config_file
  3. Konfigurieren Sie die apigee-mtls-Komponente mit dem folgenden Befehl:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file
  4. Optional: Führen Sie den folgenden Befehl aus, um zu prüfen, ob die Einrichtung erfolgreich war:
    /opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
  5. Starten Sie Apigee mTLS mit dem folgenden Befehl:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

    Nachdem Sie Apigee mTLS installiert haben, müssen Sie diese Komponente vor allen anderen Komponenten auf dem Knoten starten.

  6. (Nur Cassandra-Knoten) Cassandra benötigt zusätzliche Argumente, um im Sicherheits-Mesh zu funktionieren. Führen Sie daher die folgenden Befehle auf jedem Cassandra-Knoten aus:
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart
  7. (Nur Postgres-Knoten) Postgres benötigt zusätzliche Argumente, um im Sicherheits-Mesh zu funktionieren. Führen Sie daher auf den Postgres-Knoten die folgenden Schritte aus:

    (Nur Master)

    1. Führen Sie die folgenden Befehle auf dem Postgres-Masterknoten aus:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

    (Nur Standby)

    1. Sichern Sie Ihre vorhandenen Postgres-Daten. Wenn Sie Apigee mTLS installieren möchten, müssen Sie die Master-/Standby-Knoten neu initialisieren. Dies führt zu Datenverlusten. Weitere Informationen finden Sie unter Master/Standby-Replikation für Postgres einrichten.
    2. So löschen Sie alle Postgres-Daten:
      rm -rf /opt/apigee/data/apigee-postgresql/pgdata
    3. Konfigurieren Sie Postgres und starten Sie es dann neu, wie im folgenden Beispiel gezeigt:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

    Wenn Sie die Installation in einer Multi-Datacenter-Topologie durchführen, verwenden Sie einen absoluten Pfad für die Konfigurationsdatei.

  8. Starten Sie die verbleibenden Apigee-Komponenten auf dem Knoten in der Startreihenfolge, wie im folgenden Beispiel gezeigt:
    /opt/apigee/apigee-service/bin/apigee-service component_name start
  9. Wiederholen Sie diesen Vorgang für jeden Knoten im Cluster.
  10. Optional: Prüfen Sie mit einer oder mehreren der folgenden Methoden, ob die apigee-mtls -Initialisierung erfolgreich war:
    1. iptables-Konfiguration prüfen
    2. Status des Remote-Proxy prüfen
    3. Quorumstatus prüfen

    Jede dieser Methoden wird unter Konfiguration prüfen beschrieben.

Vorhandene apigee-mtls-Konfiguration ändern

Wenn Sie eine vorhandene apigee-mtls-Konfiguration anpassen möchten, müssen Sie apigee-mtls deinstallieren und wieder installieren.

Noch einmal zur Erinnerung: Wenn Sie eine vorhandene Apigee-mTLS-Konfiguration ändern,

  • Wenn Sie eine Konfigurationsdatei ändern, müssen Sie zuerst apigee-mtls deinstallieren und setup oder configure noch einmal ausführen:
    # DO THIS:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
    
    # BEFORE YOU DO THIS:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
    OR
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure
  • Sie müssen setup oder configure auf allen Knoten im Cluster deinstallieren und neu ausführen, nicht nur auf einem einzelnen Knoten.