Edge per Private Cloud v4.19.01
Questa sezione descrive i vari modi per convalidare l'installazione di Apigee mTLS riuscita. Puoi anche utilizzare le tecniche descritte in questa sezione per risolvere i problemi relativi al cluster.
Convalida la configurazione iptables
Puoi convalidare l'installazione di apigee-mtls
verificando che le route iptables
funzionino e che le regole siano valide.
Prima di convalidare una configurazione iptables
, assicurati che:
- Hai disinstallato il firewall dal nodo e lo hai sostituito con iptables, come descritto in Sostituire il firewall predefinito.
- Hai arrestato tutti i componenti di Apigee sul nodo, incluso
apigee-mtls
.
Per convalidare la configurazione apigee-mtls è riuscita con iptables:
- Accedi a un nodo nel tuo cluster. L'ordine in cui esegui questa operazione non è importante.
- Arresta tutti i componenti del nodo, come illustrato nell'esempio seguente:
/opt/apigee/apigee-service/bin/apigee-all stop
- Esegui il comando
validate
, come illustrato nell'esempio seguente:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
invia messaggi a ogni porta utilizzata da Consul o dai servizi Apigee locali. Se lo script rileva una regola non valida o una route non riuscita, viene visualizzato un errore.Se sul nodo sono in esecuzione servizi Apigee o server Consul, questo comando avrà esito negativo.
- Avvia il componente
apigee-mtls
prima di tutti gli altri componenti sul nodo eseguendo questo comando:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Avvia i componenti Apigee rimanenti sul nodo nell'ordine di avvio, come illustrato nell'esempio seguente:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Ripeti questi passaggi su tutti i nodi nel cluster. Idealmente, esegui questa operazione su tutti i nodi entro 5 minuti dall'avvio sul primo nodo.
Verifica lo stato del proxy remoto
Puoi utilizzare Consul sui nodi ZooKeeper per verificare se i servizi proxy in entrata e in uscita su tutti i nodi sono attivi, integri e sono entrati nel mesh di servizi.
Per controllare lo stato del proxy dei nodi:
- Accedi a un nodo che esegue ZooKeeper.
- Esegui questo comando:
systemctl status consul_server
Verificare lo stato del quorum
L'installazione di mTLS include l'aggiunta dei servizi proxy Consul a tutti i nodi. Di conseguenza, devi verificare lo stato del quorum di tutti i nodi ZooKeeper.
Per verificare lo stato del quorum, accedi a ciascun nodo che esegue ZooKeeper ed esegui questo comando:
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
Questo comando visualizza un elenco delle istanze di Consul e dei relativi stati, come illustrato nell'esempio seguente:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
Per ulteriori informazioni, consulta le seguenti risorse:
Inoltre, puoi ottenere informazioni sull'integrità del cluster, incluso se si è formato il quorum del cluster e se i membri remoti stanno compromettendo la funzionalità. Per farlo, utilizza il seguente comando:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status