Konfigurowanie wielu centrów danych dla Apigee mTLS

Edge for Private Cloud w wersji 4.19.01

Apigee mTLS obsługuje wiele centrów danych, dzięki czemu możesz skalować konfigurację, aby uwzględnić bardziej złożonych topologii, np. 12-węzłów instalacja w klastrze.

Proces instalacji mTLS w topologii wielu centrów danych to tak samo jak w przypadku prostszych topologii. Upewnij się jednak, że Twoja instalacja spełnia tych wymagań oraz zmiany plików konfiguracji zgodnie z opisem w sekcjach obserwuj.

Wymagania wstępne

Aby używać Apigee mTLS z wieloma centrami danych, musisz:

  • Odinstaluj aplikację apigee-mtls i zainstaluj ją ponownie przy użyciu wielu centrów danych konfiguracji. Nie możesz zmienić istniejącej konfiguracji. Aby dowiedzieć się więcej, Więcej informacji: Zmienianie istniejącej konfiguracji apigee-mtls.
  • Otwarty port 8302 na każdym hoście, na którym działa mTLS.
  • Sprawdź, czy cały klaster mTLS jest siecią płaską. Oznacza to, że centra danych:
    • Nie może znajdować się w różnych podsieciach
    • Nie można używać translacji adresów sieciowych między centrami danych
  • Określając pliki konfiguracji, używaj w poleceniach ścieżek bezwzględnych, w których co może istnieć.
  • Dodaj właściwości konfiguracji wielu centrów danych, jak opisano w Pliki konfiguracji wielu centrów danych.

Pliki konfiguracji dla wielu centrów danych

Aby używać Apigee mTLS z wieloma centrami danych, musisz utworzyć oddzielny plik konfiguracji dla każdego z nich w centrum danych.

W każdym pliku konfiguracji:

  1. Zmień wartość właściwości konfiguracji ALL_IP, tak aby uwzględniała wszystkie adresy IP hostów we wszystkich regionach.
  2. Sprawdź, czy wartość właściwości REGION jest nazwą bieżącego regionu lub w centrum danych. Przykład: „dc-1”.
  3. Dodaj te właściwości:
    Właściwość Opis
    APIGEE_MTLS_MULTI_DC_ENABLE Określa, czy korzystasz z konfiguracji obejmującej wiele centrów danych. Ustaw jako „y”. jeśli jesteś konfigurowania wielu centrów danych. W przeciwnym razie pomiń lub ustaw na „n”. Wartość domyślna jest pomijana.
    MTLS_LOCAL_REGION_IP Lista rozdzielonych spacjami wszystkich adresów IP używanych przez bieżący region Przykład: „10.0.0.1 10.0.0.2 10.0.0.3”.

    W przypadku drugiego regionu w konfiguracji użyj parametru Usługa MTLP_REMOTE_REGION_1_IP.

    MTLS_REMOTE_REGION_1_NAME Nazwa drugiego regionu w konfiguracji wielu centrów danych. Przykład: „dc-2”.

    W drugim pliku konfiguracji regionu użyj wartości „dc-2”. w przypadku REGION i „dc-1” przez MTLS_REMOTE_REGION_1_NAME.

    MTLS_REMOTE_REGION_1_IP Lista rozdzielonych spacjami wszystkich adresów IP używanych przez drugi region w centrum danych z wieloma danymi konfiguracji. Na przykład „10.0.0.4 10.0.0.5 10.0.0.6”.

W przykładach poniżej znajdziesz pliki konfiguracji dla 2 centrów danych („dc-1” i „dc-2”). Wyróżnione są właściwości specyficzne dla konfiguracji obejmującej wiele centrów danych:

Plik konfiguracji dc-1

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

Plik konfiguracji dc-2

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

Informacje o właściwościach konfiguracji standardowej znajdziesz w tych artykułach: Krok 1. Zaktualizuj plik konfiguracji

Testowanie konfiguracji wielu centrów danych

Polecenie raft list-peers wyświetla listę adresów IP zdefiniowanych w polu MTLS_LOCAL_REGION_IP, co oznacza, że znajdują się w tym samym centrum danych.

W poniższych przykładach podano przykładowe dane wyjściowe polecenia raft list-peers:

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

Protokół Apigee mTLS został przetestowany w 2 centrach danych i jest obsługiwany tylko w 2 centrach danych. Możesz jednak określić konfiguracje maksymalnie ośmiu centrów danych, korzystając z poniższych instrukcji właściwości:

  • MTLS_REMOTE_REGION_[2-8]_IP
  • MTLS_REMOTE_REGION_[2-8]_NAME

Jak już wspomnieliśmy, konfiguracje więcej niż 2 centrów danych nie są obsługiwane.