Apigee mTLS를 위한 여러 데이터 센터 구성

Private Cloud용 Edge v4.19.01

Apigee mTLS는 여러 데이터 센터를 지원하므로 12노드 클러스터 설치와 같이 더 복잡한 토폴로지를 포함하도록 구성을 확장할 수 있습니다.

다중 데이터 센터 토폴로지의 mTLS 설치 프로세스는 더 간단한 토폴로지의 설치 프로세스와 동일합니다. 그러나 설치가 기본 요건을 충족하고 다음 섹션에 설명된 대로 구성 파일을 변경해야 합니다.

기본 요건

여러 데이터 센터에서 Apigee mTLS를 사용하려면 다음을 실행해야 합니다.

  • apigee-mtls를 제거하고 다중 데이터 센터 구성으로 다시 설치합니다. 기존 구성은 수정할 수 없습니다. 자세한 내용은 기존 apigee-mtls 구성 변경을 참고하세요.
  • mTLS를 실행하는 모든 호스트에서 포트 8302를 엽니다.
  • 전체 mTLS 클러스터가 플랫 네트워크인지 확인합니다. 즉, 데이터 센터는 다음을 실행할 수 있습니다.
    • 다른 서브넷 내에 있을 수 없음
    • 데이터 센터 간에 NAT (네트워크 주소 변환)를 사용할 수 없음
  • 구성 파일을 지정할 때 명령어에서 모호성이 있을 수 있는 위치에는 절대 경로를 사용하세요.
  • 다중 데이터 센터 구성 파일에 설명된 대로 다중 데이터 센터 구성 속성을 추가합니다.

여러 데이터 센터의 구성 파일

여러 데이터 센터에서 Apigee mTLS를 사용하려면 각 데이터 센터에 대해 별도의 구성 파일을 만듭니다.

각 구성 파일에서 다음을 실행합니다.

  1. 모든 리전의 모든 호스트 IP 주소를 포함하도록 ALL_IP 구성 속성의 값을 변경합니다.
  2. REGION 속성의 값이 현재 리전 또는 데이터 센터의 이름인지 확인합니다. 예: 'dc-1'
  3. 다음 속성을 추가합니다.
    속성 설명
    APIGEE_MTLS_MULTI_DC_ENABLE 다중 데이터 센터 구성을 사용 중인지 여부입니다. 여러 데이터 센터를 구성하는 경우 'y'로 설정합니다. 그렇지 않으면 생략하거나 'n'으로 설정합니다. 기본값은 생략됩니다.
    MTLS_LOCAL_REGION_IP 구성 중인 현재 리전에서 사용하는 모든 IP 주소의 공백으로 구분된 목록입니다. 예: '10.0.0.1 10.0.0.2 10.0.0.3'

    구성의 두 번째 영역에는 MTLP_REMOTE_REGION_1_IP 속성을 사용합니다.

    MTLS_REMOTE_REGION_1_NAME 다중 데이터 센터 구성의 두 번째 리전의 이름입니다. 예를 들면 'dc-2'입니다.

    두 번째 리전의 구성 파일에서는 REGION에 'dc-2', MTLS_REMOTE_REGION_1_NAME.에 'dc-1'을 사용합니다.

    MTLS_REMOTE_REGION_1_IP 다중 데이터 센터 구성에서 두 번째 리전에서 사용하는 모든 IP 주소의 공백으로 구분된 목록입니다. 예: '10.0.0.4 10.0.0.5 10.0.0.6'

다음 예는 두 데이터 센터 ('dc-1' 및 'dc-2')의 구성 파일을 보여줍니다. 다중 데이터 센터 구성과 관련된 속성은 강조 표시되어 있습니다.

dc-1 구성 파일

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

dc-2 구성 파일

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

표준 구성 속성에 대한 자세한 내용은 1단계: 구성 파일 업데이트를 참고하세요.

멀티 데이터 센터 구성 테스트

raft list-peers 명령어는 MTLS_LOCAL_REGION_IP에 정의된 IP 주소 목록을 표시합니다. 즉, 동일한 데이터 센터 내에 있는 IP 주소입니다.

다음 예는 raft list-peers 명령어의 샘플 출력을 보여줍니다.

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

Apigee mTLS는 두 데이터 센터에서 테스트되었으며 두 데이터 센터에서만 지원됩니다. 그러나 다음 속성을 사용하여 최대 8개의 데이터 센터 구성을 지정할 수 있습니다.

  • MTLS_REMOTE_REGION_[2-8]_IP
  • MTLS_REMOTE_REGION_[2-8]_NAME

앞에서 언급했듯이 데이터 센터를 2개 이상 구성하는 것은 지원되지 않습니다.