Configure varios centros de datos para Apigee mTLS

Edge para la nube privada v4.19.01

Apigee mTLS admite varios centros de datos para que puedas escalar tu configuración a fin de incluir topologías más complejas, como una instalación agrupada en clústeres de 12 nodos.

El proceso de instalación de mTLS en una topología de varios centros de datos es el mismo que en el caso de topologías más simples. Sin embargo, debes asegurarte de que tu instalación cumpla con los requisitos previos y de cambiar los archivos de configuración como se describe en las siguientes secciones.

Requisitos previos

Para usar Apigee mTLS con varios centros de datos, debes hacer lo siguiente:

  • Desinstala apigee-mtls y vuelve a instalarlo con la configuración de varios centros de datos. No puedes modificar una configuración existente. Para obtener más información, consulta Cambia una configuración existente de Apigee-mtls.
  • Abre el puerto 8302 en cada host que ejecute mTLS.
  • Asegúrate de que todo el clúster de mTLS sea una red plana. Esto significa que los centros de datos cumplen con las siguientes condiciones:
    • No pueden estar dentro de subredes diferentes
    • No se puede usar NAT (traducción de direcciones de red) entre centros de datos
  • Cuando especifiques archivos de configuración, usa rutas de acceso absolutas en tus comandos en las que pueda existir ambigüedad.
  • Agrega propiedades de configuración de varios centros de datos, como se describe en Archivos de configuración para varios centros de datos.

Archivos de configuración para varios centros de datos

Para usar Apigee mTLS con varios centros de datos, debes crear un archivo de configuración independiente para cada uno de ellos.

En cada uno de los archivos de configuración, haz lo siguiente:

  1. Cambia el valor de la propiedad de configuración ALL_IP para incluir todas las direcciones IP del host en todas las regiones.
  2. Asegúrate de que el valor de la propiedad REGION sea el nombre de la región o el centro de datos actual. Por ejemplo, “dc-1”.
  3. Agrega las siguientes propiedades:
    Propiedad Descripción
    APIGEE_MTLS_MULTI_DC_ENABLE Indica si usas o no una configuración de centro de datos múltiple. Establécelo en “y” si configurarás varios centros de datos. De lo contrario, omite este campo o configúralo como “n”. Se omite el valor predeterminado.
    MTLS_LOCAL_REGION_IP Una lista delimitada por espacios de todas las direcciones IP usadas por la región actual que estás configurando. Por ejemplo, “10.0.0.1 10.0.0.2 10.0.0.3”.

    Para la segunda región de la configuración, usa la propiedad MTLP_REMOTE_REGION_1_IP.

    MTLS_REMOTE_REGION_1_NAME Es el nombre de la segunda región en una configuración de varios centros de datos. Por ejemplo, "dc-2".

    En el archivo de configuración de la segunda región, usarás “dc-2” para REGION y “dc-1” para MTLS_REMOTE_REGION_1_NAME..

    MTLS_REMOTE_REGION_1_IP Una lista delimitada por espacios de todas las direcciones IP que usa la segunda región en una configuración de varios centros de datos. Por ejemplo, “10.0.0.4 10.0.0.5 10.0.0.6”.

En los siguientes ejemplos, se muestran los archivos de configuración de dos centros de datos (“dc-1” y “dc-2”). Se destacan las propiedades específicas de una configuración de varios centros de datos):

Archivo de configuración de dc-1

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

Archivo de configuración de dc-2

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

Para obtener información sobre las propiedades de configuración estándar, consulta el Paso 1: Actualiza tu archivo de configuración.

Prueba la configuración de un centro de datos múltiple

El comando raft list-peers muestra una lista de direcciones IP que se definen en MTLS_LOCAL_REGION_IP, lo que significa que se ubican dentro del mismo centro de datos.

En los siguientes ejemplos, se muestra el resultado de muestra de un comando raft list-peers:

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

Apigee mTLS se probó en dos centros de datos y solo es compatible con dos centros de datos. Sin embargo, puedes especificar configuraciones de hasta ocho centros de datos con las siguientes propiedades:

  • MTLS_REMOTE_REGION_[2-8]_IP
  • MTLS_REMOTE_REGION_[2-8]_NAME

Como se indicó anteriormente, no se admite la configuración de más de dos centros de datos.