Mehrere Rechenzentren für Apigee mTLS konfigurieren

Edge for Private Cloud v4.19.01

Apigee mTLS unterstützt mehrere Rechenzentren, sodass Sie Ihre Konfiguration so skalieren können, dass komplexere Topologien wie ein 12-Knoten- Clusterinstallation.

Der Installationsprozess für mTLS in einer Topologie mit mehreren Rechenzentren ist die wie für einfachere Topologien. Sie müssen jedoch sicherstellen, dass Ihre Installation den und dass Sie Ihre Konfigurationsdateien wie in den Abschnitten beschrieben ändern, folgen.

Vorbereitung

Wenn Sie Apigee mTLS mit mehreren Rechenzentren verwenden möchten, müssen Sie:

  • apigee-mtls deinstallieren und mit mehreren Rechenzentren neu installieren Konfiguration. Sie können eine bestehende Konfiguration nicht ändern. Weitere Informationen Siehe Vorhandene Apigee-mtls-Konfiguration ändern.
  • Öffnen Sie Port 8302 auf jedem Host, auf dem mTLS ausgeführt wird.
  • Achten Sie darauf, dass der gesamte mTLS-Cluster ein flaches Netzwerk ist. Das bedeutet, dass die Rechenzentren: <ph type="x-smartling-placeholder">
      </ph>
    • Darf sich nicht in verschiedenen Subnetzen befinden
    • NAT (Network Address Translation) zwischen Rechenzentren kann nicht verwendet werden
  • Verwenden Sie bei der Angabe von Konfigurationsdateien absolute Pfade in Ihren Befehlen, wenn Mehrdeutigkeiten existieren könnte.
  • Fügen Sie die Konfigurationseigenschaften für mehrere Rechenzentren hinzu, wie unter Konfigurationsdateien für mehrere Rechenzentren.

Konfigurationsdateien für mehrere Rechenzentren

Wenn Sie Apigee mTLS mit mehreren Rechenzentren verwenden möchten, erstellen Sie für jedes eine separate Konfigurationsdatei Rechenzentrum.

Gehen Sie in jeder Konfigurationsdatei so vor:

  1. Ändern Sie den Wert des Konfigurationsattributs ALL_IP so, dass alle eingeschlossen sind. Host-IP-Adressen in allen Regionen.
  2. Achten Sie darauf, dass der Wert des Attributs REGION der Name der aktuellen Region oder Rechenzentrum. Beispiel: „dc-1“.
  3. Fügen Sie die folgenden Attribute hinzu:
    Attribut Beschreibung
    APIGEE_MTLS_MULTI_DC_ENABLE Ob Sie eine Konfiguration mit mehreren Rechenzentren verwenden oder nicht. Auf „y“ festlegen wenn du mehrere Rechenzentren konfigurieren. Andernfalls lassen Sie sie weg oder setzen Sie sie auf „n“. Die Standardeinstellung wird weggelassen.
    MTLS_LOCAL_REGION_IP Eine durch Leerzeichen getrennte Liste aller IP-Adressen, die von der Region verwendet werden, in der Sie Konfiguration. Beispiel: „10.0.0.1 10.0.0.2 10.0.0.3“.

    Verwenden Sie für die zweite Region der Konfiguration den Parameter MTLP_REMOTE_REGION_1_IP-Property.

    MTLS_REMOTE_REGION_1_NAME Der Name der zweiten Region in einer Konfiguration mit mehreren Rechenzentren. Beispiel: „dc-2“.

    In der Konfigurationsdatei der zweiten Region verwenden Sie "dc-2". für REGION und "dc-1" für MTLS_REMOTE_REGION_1_NAME.

    MTLS_REMOTE_REGION_1_IP Eine durch Leerzeichen getrennte Liste aller IP-Adressen, die von der zweiten Region in einem Multi-Rechenzentrum verwendet werden Konfiguration. Beispiel: „10.0.0.4 10.0.0.5 10.0.0.6“.

Die folgenden Beispiele zeigen die Konfigurationsdateien für zwei Rechenzentren („dc-1“ und „dc-2“). Eigenschaften, die sich speziell auf eine Konfiguration mit mehreren Rechenzentren beziehen, sind hervorgehoben):

dc-1-Konfigurationsdatei

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

dc-2-Konfigurationsdatei

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

Informationen zu den Attributen der Standardkonfiguration finden Sie unter Schritt 1: Konfigurationsdatei aktualisieren

Konfiguration mit mehreren Rechenzentren testen

Der Befehl raft list-peers zeigt eine Liste der IP-Adressen an, die in MTLS_LOCAL_REGION_IP, d. h. sie befinden sich im selben Rechenzentrum.

Die folgenden Beispiele zeigen eine Beispielausgabe eines raft list-peers-Befehls:

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

Apigee mTLS wurde in zwei Rechenzentren getestet und wird nur für zwei Rechenzentren unterstützt. Sie können jedoch Konfigurationen von bis zu acht Rechenzentren angeben, indem Sie Eigenschaften:

  • MTLS_REMOTE_REGION_[2-8]_IP
  • MTLS_REMOTE_REGION_[2-8]_NAME

Wie bereits erwähnt, werden Konfigurationen mit mehr als zwei Rechenzentren nicht unterstützt.