Edge for Private Cloud v4.19.01
Apigee mTLS mendukung beberapa pusat data sehingga Anda dapat menskalakan konfigurasi untuk disertakan topologi yang lebih kompleks seperti 12 node penginstalan dalam cluster.
Proses penginstalan untuk mTLS pada topologi pusat multi-data adalah sama seperti untuk topologi yang lebih sederhana. Namun, Anda harus memastikan bahwa instalasi Anda memenuhi prasyarat dan bahwa Anda mengubah file konfigurasi seperti yang dijelaskan di bagian yang mengikuti.
Prasyarat
Untuk menggunakan Apigee mTLS dengan beberapa pusat data, Anda harus:
- Uninstal
apigee-mtls, lalu instal ulang dengan beberapa pusat data konfigurasi Anda. Anda tidak dapat mengubah konfigurasi yang sudah ada. Untuk informasi selengkapnya, lihat Mengubah konfigurasi apigee-mtls yang ada. - Membuka port 8302 di setiap host yang menjalankan mTLS.
- Pastikan bahwa seluruh cluster mTLS adalah jaringan yang datar. Ini berarti bahwa pusat data:
- Tidak boleh berada dalam subnet yang berbeda
- Tidak dapat menggunakan NAT (Penafsiran Alamat Jaringan) antara pusat data
- Saat menentukan file konfigurasi, gunakan jalur absolut dalam perintah Anda jika ada ambiguitas mungkin ada.
- Tambahkan properti konfigurasi multi-pusat data, seperti yang dijelaskan di File konfigurasi untuk beberapa pusat data.
File konfigurasi untuk beberapa pusat data
Untuk menggunakan Apigee mTLS dengan beberapa pusat data, buat file konfigurasi terpisah untuk masing-masing pusat data pusat data.
Di setiap file konfigurasi:
- Ubah nilai properti konfigurasi
ALL_IPuntuk menyertakan semua alamat IP host di semua region. - Pastikan nilai properti
REGIONadalah nama wilayah saat ini atau pusat data. Misalnya, "dc-1". - Tambahkan properti berikut:
Properti Deskripsi APIGEE_MTLS_MULTI_DC_ENABLEApakah Anda menggunakan konfigurasi multi-pusat data atau tidak. Tetapkan ke "y" jika Anda mengkonfigurasi beberapa pusat data. Jika tidak, hilangkan atau tetapkan ke "n". Defaultnya dihilangkan. MTLS_LOCAL_REGION_IPDaftar semua alamat IP yang dipisahkan spasi yang digunakan oleh region saat ini tempat Anda berada mengonfigurasi. Misalnya, "10.0.0.1 10.0.0.2 10.0.0.3". Untuk region kedua dalam konfigurasi, gunakan
MTLP_REMOTE_REGION_1_IP.MTLS_REMOTE_REGION_1_NAMENama region kedua dalam konfigurasi pusat data multi-data. Misalnya, "dc-2". Di file konfigurasi region kedua, Anda akan menggunakan "dc-2" untuk
REGIONdan "dc-1" untukMTLS_REMOTE_REGION_1_NAME.MTLS_REMOTE_REGION_1_IPDaftar semua alamat IP yang dipisahkan spasi yang digunakan oleh region kedua dalam pusat multi-data konfigurasi Anda. Misalnya, "10.0.0.4 10.0.0.5 10.0.0.6".
Contoh berikut menunjukkan file konfigurasi untuk dua pusat data ("dc-1" dan "dc-2"). Properti yang khusus untuk konfigurasi multi-pusat data ditandai):
File Konfigurasi dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
File Konfigurasi dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Untuk informasi tentang properti konfigurasi standar, lihat Langkah 1: Update file konfigurasi.
Menguji konfigurasi multi-pusat data
Perintah raft list-peers menampilkan daftar alamat IP yang ditentukan di
MTLS_LOCAL_REGION_IP, artinya keduanya berada di dalam pusat data yang sama.
Contoh berikut menunjukkan contoh output dari perintah raft list-peers:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
mTLS Apigee telah diuji pada dua pusat data dan hanya didukung untuk dua pusat data. Namun, Anda dapat menentukan konfigurasi untuk maksimal delapan pusat data dengan menggunakan properti:
MTLS_REMOTE_REGION_[2-8]_IPMTLS_REMOTE_REGION_[2-8]_NAME
Seperti yang telah disebutkan, konfigurasi lebih dari dua pusat data tidak didukung.