Настройка нескольких центров обработки данных для Apigee mTLS

Edge для частного облака v4.19.01

Apigee mTLS поддерживает несколько центров обработки данных, поэтому вы можете масштабировать свою конфигурацию, включая более сложные топологии, такие как кластерная установка из 12 узлов .

Процесс установки mTLS в топологии с несколькими центрами обработки данных такой же, как и для более простых топологий. Однако вы должны убедиться, что ваша установка соответствует предварительным требованиям, и что вы изменили файлы конфигурации, как описано в следующих разделах.

Предварительные условия

Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вам необходимо:

  • Удалите apigee-mtls и переустановите его с конфигурацией с несколькими центрами обработки данных. Вы не можете изменить существующую конфигурацию. Дополнительные сведения см. в разделе Изменение существующей конфигурации apigee-mtls .
  • Откройте порт 8302 на каждом хосте, на котором работает mTLS.
  • Убедитесь, что весь кластер mTLS представляет собой плоскую сеть. Это означает, что дата-центры:
    • Не может находиться в разных подсетях
    • Невозможно использовать NAT (преобразование сетевых адресов) между центрами обработки данных.
  • При указании файлов конфигурации используйте в командах абсолютные пути, где может существовать неоднозначность.
  • Добавьте свойства конфигурации нескольких центров обработки данных, как описано в разделе Файлы конфигурации для нескольких центров обработки данных .

Файлы конфигурации для нескольких центров обработки данных

Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вы создаете отдельный файл конфигурации для каждого центра обработки данных.

В каждом из конфигурационных файлов:

  1. Измените значение свойства конфигурации ALL_IP , чтобы включить все IP-адреса узлов во всех регионах.
  2. Убедитесь, что значение свойства REGION — это имя текущего региона или центра обработки данных. Например, «dc-1».
  3. Добавьте следующие свойства:
    Свойство Описание
    APIGEE_MTLS_MULTI_DC_ENABLE Независимо от того, используете ли вы конфигурацию с несколькими центрами обработки данных. Установите значение «y», если вы настраиваете несколько центров обработки данных. В противном случае опустите или установите значение «n». Значение по умолчанию опущено.
    MTLS_LOCAL_REGION_IP Разделенный пробелами список всех IP-адресов, используемых текущим регионом, который вы настраиваете. Например, «10.0.0.1 10.0.0.2 10.0.0.3».

    Для второго региона в конфигурации используйте свойство MTLP_REMOTE_REGION_1_IP .

    MTLS_REMOTE_REGION_1_NAME Имя второго региона в конфигурации с несколькими центрами обработки данных. Например, «ДЦ-2».

    В файле конфигурации второго региона вы будете использовать «dc-2» для REGION и «dc-1» для MTLS_REMOTE_REGION_1_NAME.

    MTLS_REMOTE_REGION_1_IP Разделенный пробелами список всех IP-адресов, используемых вторым регионом в конфигурации с несколькими центрами обработки данных. Например, «10.0.0.4 10.0.0.5 10.0.0.6».

В следующих примерах показаны файлы конфигурации для двух центров обработки данных («DC-1» и «DC-2»). Выделены свойства, характерные для конфигурации с несколькими центрами обработки данных):

Файл конфигурации dc-1

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

Файл конфигурации dc-2

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

Информацию о стандартных свойствах конфигурации см. в разделе «Шаг 1. Обновите файл конфигурации» .

Тестирование конфигурации с несколькими центрами обработки данных

Команда raft list-peers отображает список IP-адресов, которые определены в MTLS_LOCAL_REGION_IP , что означает, что они расположены в одном центре обработки данных.

В следующих примерах показан пример вывода команды raft list-peers :

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

Apigee mTLS был протестирован в двух центрах обработки данных и поддерживается только в двух центрах обработки данных. Однако вы можете указать конфигурации до восьми центров обработки данных, используя следующие свойства:

  • MTLS_REMOTE_REGION_[2-8]_IP
  • MTLS_REMOTE_REGION_[2-8]_NAME

Как указывалось ранее, конфигурации более двух центров обработки данных не поддерживаются.