Bu sayfa, Cloud Translation API ile çevrilmiştir.

Apigee mTLS'yi yapılandırma

Edge for Private Cloud 4.19.01 sürümü

Kümedeki her düğüme apigee-mtls bileşenini yükledikten sonra yapılandırmalı ve ilk kullanıma hazırlamalıdır. Bunu, bir sertifika/anahtar çifti oluşturarak ve yönetim makinenizdeki yapılandırma dosyasını seçin. Ardından aynı şekilde oluşturulan dosyaları kümedeki tüm düğümlere gönderir ve apigee-mtls bileşeni.

Apigee-mtls'i yapılandırma (ilk kurulumdan sonra)

Bu bölümde, bu işlemden hemen sonra tek bir veri merkezi için Apigee mTLS'nin nasıl yapılandırılacağı açıklanmaktadır başlar. Web sitenizdeki mevcut bir kurulumda güncelleme yapma Apigee mTLS için Mevcut bir Apigee-mtls yapılandırmasını değiştirme bölümüne bakın. Daha fazla bilgi için yapılandırma hakkında daha fazla bilgi için Birden fazla veri merkezi yapılandırma hakkında daha fazla bilgi edinin.

Aşağıda, yapılandırmaya ilişkin genel süreç apigee-mtls:

Yapılandırma dosyanızı güncelleme: yönetim makinesinden, apigee-mtls Ayarlar'da devre dışı bırakabilirsiniz.
Consul'u yükleme ve kimlik bilgileri oluşturma: Yükleme Consul ve TLS kimlik bilgilerini oluşturmak için kullanın (yalnızca bir kez).
Ayrıca, Apigee mTLS yapılandırma dosyanızı şu şekilde düzenleyin:
1. Kimlik bilgisi bilgilerini ekleyin
2. Kümenin topolojisini tanımlama
Mevcut kimlik bilgilerinizi veya Consul ile üretin.
Yapılandırma dosyasını ve kimlik bilgilerini dağıtın: Oluşturulan aynı sertifikayı/anahtar çiftini ve güncellenmiş yapılandırma dosyasını tüm düğümlere dağıtın kullanabilirsiniz.
Apigee-mtls ilk kullanıma hazır: Her düğümde apigee-mtls bileşeni.

Bu adımların her biri sonraki bölümlerde açıklanmıştır.

1. Adım: Yapılandırma dosyanızı güncelleyin

Bu bölümde, yapılandırma dosyanızı mTLS yapılandırmasını içerecek şekilde nasıl değiştireceğiniz açıklanmaktadır özellikler. Yapılandırma dosyası hakkında daha fazla genel bilgi için Yapılandırma oluşturma dosyası olarak adlandırılır.

Yapılandırma dosyasını mTLS ile ilgili özelliklerle güncelledikten sonra, dosyayı bu düğümlerde apigee-mtls bileşenini başlatmadan önce düğüm.

Yapılandırma dosyasına referans veren komutlar "config_file" kullanır. olduğunu belirtmek için konumu her düğümde depoladığınız yere bağlı olarak değişebilir.

Yapılandırma dosyasını güncellemek için:

Yönetim makinenizde yapılandırma dosyasını açın.

Aşağıdaki mTLS yapılandırma özellikleri grubunu kopyalayıp yapılandırmaya yapıştırın dosya:

ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER"
ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS"
CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS"
PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS"
RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS"
MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS"
MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS"
QP_MTLS_HOSTS="QPID_PRIVATE_IPS"
LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS"
MTLS_ENCAPSULATE_LDAP="y"

ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE"
PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem"
PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem"
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS"

Her özelliğin değerini yapılandırmanıza uygun şekilde ayarlayın.

Aşağıdaki tabloda bu yapılandırma özellikleri açıklanmaktadır:

Özellik	Açıklama
`ALL_IP`	Kümedeki tüm düğümlerin özel ana makine IP adreslerinin boşlukla ayrılmış listesi. IP adreslerinin sırası önemli değildir, yalnızca tüm noktalarda aynı olmalıdır yapılandırma dosyası hazırlar. Apigee mTLS'yi birden fazla veri merkezi için yapılandırırsanız Tüm bölgelerdeki tüm ana makineler için tüm IP adresleri.
`LDAP_MTLS_HOSTS`	Kümedeki OpenLDAP düğümünün özel ana makine IP adresi.
`ZK_MTLS_HOSTS`	ZooKeeper düğümlerinin barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var. Şartlara bağlı olarak en az üç ZooKeeper düğümü olmalıdır.
`CASS_MTLS_HOSTS`	Cassandra sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var.
`PG_MTLS_HOSTS`	Postgres sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var.
`RT_MTLS_HOSTS`	Yönlendiricilerin kümesidir.
`MTLS_ENCAPSULATE_LDAP`	İleti İşlemci ile LDAP sunucusu arasındaki LDAP trafiğini şifreler. Şu değere ayarla: `y`
`MS_MTLS_HOSTS`	Yönetim Sunucusu düğümlerinin bulunduğu özel ana makine IP adreslerinin boşlukla ayrılmış listesi veya kümede barındırılır.
`MP_MTLS_HOSTS`	İleti İşleyenlerin, bulunduğu özel ana makine IP adreslerinin boşlukla ayrılmış listesi veya kümede barındırılır.
`QP_MTLS_HOSTS`	Qpid sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi görebilirsiniz.
`ENABLE_SIDECAR_PROXY`	Cassandra ve Postgres'in hizmet ağından haberdar olması gerekip gerekmediğini belirler. Bu değeri "y" olarak ayarlamanız gerekir.
`ENCRYPT_DATA`	Consul tarafından kullanılan base64 kodlu şifreleme anahtarı . Bu anahtarı, `consul keygen` komutunu 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun. Bu değer, kümenin tüm düğümlerinde aynı olmalıdır.
`PATH_TO_CA_CERT`	Sertifika dosyasının düğümdeki konumu. Bu dosyayı şurada oluşturdunuz: 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun. Bu konumun, kümedeki tüm düğümlerde aynı olması aynıdır. Sertifika, X509v3 kodlu olmalıdır.
`PATH_TO_CA_KEY`	Anahtar dosyasının düğümdeki konumu. Bu dosyayı şurada oluşturdunuz: 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun. Bu konumun, kümedeki tüm düğümlerde aynı olması aynıdır. Anahtar dosyası X509v3 olarak kodlanmış olmalıdır. NOT: Kendinize ait, köklü bir Sertifika Yetkilisi (CA) varsa: Bunu aşağıdaki amaçlarla kullanın: bu bölümde açıklandığı şekilde sertifikanızı ve anahtarınızı oluşturun. CA'nız yoksa: Apigee, Consul'u yüklemenizi ve sertifika/anahtar çiftini oluşturun. Daha fazla bilgi için bkz. 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun.
`APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR`	Sertifikanın kullanılabilir olduğu gün sayısı özel bir sertifika oluşturun. Varsayılan değer 365'tir. Maksimum değer 7.865 gündür (5 yıl).

Apigee mTLS, yukarıda listelenen özelliklere ek olarak bazı ek özellikler de kullanır. çok veri merkezi yapılandırmasına yüklediğinizde. Daha fazla bilgi için bkz. Birden çok veri merkezi yapılandırma

ENABLE_SIDECAR_PROXY özelliğinin "y" özelliğine sahip olduğundan emin olun.
Ana makineyle ilgili mülklerde IP adreslerini güncelleyin. Şunu kullandığınızdan emin olun: herkese açık değil, her düğüme atıfta bulunurken kullanılan gizli IP adresleri IP adresleri.
Sonraki adımlarda, ENCRYPT_DATA, PATH_TO_CA_CERT ve PATH_TO_CA_KEY. Google değerini henüz belirlememiştir.

apigee-mtls yapılandırma özelliklerini düzenlerken aşağıdakilere dikkat edin:
- Tüm özellikler dizedir; tüm özelliklerin değerlerini tek veya çift değer olarak sarmalamanız gerekir alıntılar.
- Ana makineyle ilgili bir değerde birden fazla özel IP adresi varsa her IP adresini ayırın bir alanla birlikte.
- Ana makineyle ilgili tüm bilgiler için ana makine adlarını veya genel IP adreslerini değil, özel IP adreslerini kullanın yapılandırma dosyasındakiler.
- Bir mülk değerindeki IP adreslerinin sırası, tüm mülklerde aynı sırada olmalıdır yapılandırma dosyası hazırlar.
Yapılandırma dosyasında yaptığınız değişiklikleri kaydedin.

2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun

Bu bölümde, Consul'un nasıl yükleneceği ve kimlik bilgilerinin nasıl oluşturulacağı açıklanmaktadır.

Kimlik bilgileri oluşturmak için aşağıdaki yöntemlerden birini seçmeniz gerekir:

Consul'u kullanarak bu bölümde açıklandığı şekilde kendi CA'nızı oluşturun (önerilir)
Apigee mTLS (gelişmiş) ile mevcut bir CA'nın kimlik bilgilerini kullanın

Kimlik bilgileri hakkında

Kimlik bilgileri şunlardan oluşur:

Sertifika: Her düğümde barındırılan TLS sertifikası
Anahtar: Her düğümde barındırılan TLS ortak anahtarı
Dedikodu mesajı: Base-64 olarak kodlanmış şifreleme anahtarı

Bu dosyaların her biri için yalnızca bir kez tek bir sürüm oluşturursunuz. Anahtarı ve sertifikayı kopyalarsınız kümenizdeki tüm düğümlere ekleyin ve şifreleme anahtarını, bu tablodaki tüm düğümlere de kopyalarsınız.

Consul'un şifreleme uygulaması hakkında daha fazla bilgi için aşağıdaki konulara bakın:

Consul'u yükleyin ve kimlik bilgisi oluşturun

Apigee mTLS'nin kullandığı kimlik bilgilerini oluşturmak için yerel bir Consul ikili programı kullanırsınız. Private Cloud kümenizdeki düğümler arasındaki güvenli iletişimin kimliğini doğrulama. Bunun sonucunda, şu işlemi yapabilmeniz için Consul'u yönetim makinenize yüklemeniz gerekir: kullanır.

Consul'u yüklemek ve mTLS kimlik bilgileri oluşturmak için:

Yönetim makinenize, HashiCorp web sitesi.
İndirilen arşiv dosyasının içeriğini çıkarın. Örneğin, içeriklerini /opt/consul/
NOT: Consul'u aşağıdaki amaçlarla kullanmak için bu prosedürle devam edin: kimlik bilgilerinin oluşturulması gerekir (önerilir).
Mevcut kimlik bilgilerinizi kullanmak istiyorsanız Özel entegrasyon Apigee mTLS (gelişmiş) ile güncelleyin.
Yönetim makinenizde şu komutu kullanın:
```
/opt/consul/consul tls ca create
```
Consul, sertifika/anahtar çifti olan aşağıdaki dosyaları oluşturur:
- consul-agent-ca.pem (sertifika)
- consul-agent-ca-key.pem (anahtar)
Sertifika ve anahtar dosyaları varsayılan olarak X509v3 olarak kodlanır.

Daha sonra bu dosyaları kümedeki tüm düğümlere kopyalayacaksınız. Ancak şu an için bu dosyaları yalnızca düğümlerde nereye yerleştireceğinize karar verin. Aynı her düğümdeki konumu da. Örneğin, /opt/apigee/.
Yapılandırma dosyasında PATH_TO_CA_CERT değerini şuna ayarlayın: consul-agent-ca.pem dosyasını da düğüme kopyalarsınız. Örneğin:
```
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
```
PATH_TO_CA_KEY değerini, kopyalayacağınız konuma ayarlayın Düğümde consul-agent-ca-key.pem dosyası var. Örneğin:
```
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
```
Aşağıdaki komutu çalıştırarak Consul için şifreleme anahtarı oluşturun:
```
/opt/consul/consul keygen
```
Konsol, aşağıdakine benzer rastgele bir dize üretir:
```
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
```
Dizeyi kopyalayın veENCRYPT_DATA yapılandırma dosyası. Örneğin:
```
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
```
NOT: Yukarıdaki değer bir örnek şifrelemedir. tuşuna basın. Bu, kullanacağınız dize değildir. Kendiniz oluşturmanız gerekir.
Yapılandırma dosyanızı kaydedin.

Aşağıdaki örnekte, bir yapılandırma dosyasındaki mTLS ile ilgili ayarlar (örneğin, değerler):

...
IP1=10.126.0.121
IP2=10.126.0.124
IP3=10.126.0.125
IP4=10.126.0.127
IP5=10.126.0.130
ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5"
LDAP_MTLS_HOSTS="$IP3"
ZK_MTLS_HOSTS="$IP3 $IP4 $IP5"
CASS_MTLS_HOSTS="$IP3 $IP4 $IP5"
PG_MTLS_HOSTS="$IP2 $IP1"
RT_MTLS_HOSTS="$IP4 $IP5"
MS_MTLS_HOSTS="$IP3"
MP_MTLS_HOSTS="$IP4 $IP5"
QP_MTLS_HOSTS="$IP2 $IP1"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
...

3. Adım: Yapılandırma dosyasını ve kimlik bilgilerini dağıtın

Aşağıdaki dosyaları, ZooKeeper'ı çalıştıran düğümlere aşağıdaki gibi bir araç kullanarak kopyalayın: scp:

Yapılandırma dosyası: Bu dosyanın güncellenmiş sürümünü kopyalayın ve tüm düğümlerde mevcut olan sürümü (yalnızca ZooKeeper'ı çalıştıran düğümlerde değil).
consul-agent-ca.pem: Kodun değeri olarak belirttiğiniz konuma kopyalayın. PATH_TO_CA_CERT.
consul-agent-ca-key.pem: Kodun değeri olarak belirttiğiniz konuma kopyalayın. PATH_TO_CA_KEY.

Sertifikayı ve anahtar dosyalarını kopyaladığınız konumların belirlediğiniz değerlerle eşleştiğinden emin olun 2. Adım: Console'u yükleyin ve kimlik bilgileri ekleyin.

4. Adım: Apigee-mtls'i ilk kullanıma hazırlayın

Yapılandırma dosyanızı güncelledikten sonra, bu dosyayı ve kimlik bilgilerini şuradaki tüm düğümlere kopyalayın: ve her düğüme apigee-mtls yüklediğinizde şu işlemi başlatmaya Her düğümde apigee-mtls bileşeni.

Apigee-mtls'i ilk kullanıma hazırlamak için:

Kümedeki bir düğüme kök kullanıcı olarak giriş yapın. Bu adımları, istediğiniz sıraya ekleyin.
apigee:apigee kullanıcısını güncellenen yapılandırma dosyasının sahibi yapın. aşağıdaki örnek gösterilmektedir:
```
chown apigee:apigee config_file
```

Aşağıdaki komutu çalıştırarak apigee-mtls bileşenini yapılandırın:

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file

(İsteğe bağlı) Kurulumunuzun başarılı olduğunu doğrulamak için aşağıdaki komutu yürütün:
```
/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
```
Aşağıdaki komutu çalıştırarak Apigee mTLS'yi başlatın:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
```
Apigee mTLS'yi yükledikten sonra, bu bileşeni diğer nerede olduğunu anlayabilirsiniz.

(Yalnızca Cassandra düğümleri) Cassandra'nın güvenlik ağı. Sonuç olarak, her Cassandra düğümünde aşağıdaki komutları çalıştırmanız gerekir:

/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart

(Yalnızca Postgres düğümleri) Postgres, güvenlik ağı. Sonuç olarak, Postgres düğümlerinde aşağıdakileri yapmanız gerekir:
(Yalnızca ana)
1. Postgres ana düğümünde aşağıdaki komutları yürütün:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
```
(Yalnızca bekleme modunda)
1. Mevcut Postgres verilerinizi yedekleyin. Apigee mTLS'yi yüklemek için şunu yeniden başlatmanız gerekir: ana/beklemede (beklemedeki düğümler) çalışır, dolayısıyla veri kaybı olacaktır. Daha fazla bilgi için bkz. Şunun için ana/beklemedeki replikayı ayarlayın: Postgre'ler.
2. Tüm Postgres verilerini silin:
```
rm -rf /opt/apigee/data/apigee-postgresql/pgdata
```
3. Postgres'i yapılandırın ve ardından aşağıdaki örnekte gösterildiği gibi Postgres'i yeniden başlatın:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
```
ziyaret edin.
NOT: Ağ sorunları nedeniyle bu adımı uygulamanız gerekebilir. birden fazla kez tekrarlanması gerekir.

Çoklu veri merkezi topolojisine yükleme yapıyorsanız yapılandırma dosyası.
Düğümdeki kalan Apigee bileşenlerini başlangıç siparişi, aşağıdaki örnek gösterilmektedir:
```
/opt/apigee/apigee-service/bin/apigee-service component_name start
```
Kümedeki her düğüm için bu işlemi tekrarlayın.
(İsteğe bağlı) Bir tane kullanarak apigee-mtls başlatma işleminin başarılı olduğunu doğrulayın veya daha fazla yöntemi kullanabilirsiniz:
1. iptables yapılandırmasını doğrulama
2. Uzak proxy durumunu doğrula
3. Çoğunluk durumunu doğrulama
Bu yöntemlerin her biri yapılandırma hakkında daha fazla bilgi edinin.

Mevcut Apigee-mtls yapılandırmasını değiştirme

Mevcut bir apigee-mtls yapılandırmasını özelleştirmek için uygulamanın yüklemesini kaldırmalı ve apigee-mtls uygulamasını yeniden yükle.

DİKKAT Apigee mTLS kurulumu ve yapılandırması değildir. her zaman mümkün. Sonuç olarak, apigee-mtls yapılandırma girişleri tüm düğümler: Bir düğümde değişiklik yaparsanız aynı değişikliği tüm düğümlerde yapmanız gerekir. Aksi takdirde başarısız olabilir.

Bu noktayı hatırlatmak gerekirse, mevcut bir Apigee mTLS yapılandırmasını değiştirirken:

Bir yapılandırma dosyasını değiştirirseniz önce apigee-mtls yüklemesini kaldırmanız ve setup veya configure öğesini yeniden çalıştırın:

# DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

# BEFORE YOU DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
OR
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure

Şuradaki tüm düğümlerde setup veya configure uygulamasını kaldırıp yeniden çalıştırmanız gerekir: tek bir düğümden oluşmasını sağlar.

ziyaret edin.

NOT: setup veya apigee-mtls üzerindeki configure, diğer Apigee ile aynı şekilde davranmıyor kullanıma sunuyoruz. Yeni bir yapılandırma oluşturmaz (veya yerel yapılandırma).