验证 Apigee mTLS 安装

适用于私有云的 Edge v4.19.01

本部分介绍了验证 Apigee mTLS 安装是否成功的各种方法。在排查集群问题时，您还可以使用本部分中介绍的方法。

验证 iptables 配置

您可以通过检查 iptables 路由是否正常运行且规则是否有效来验证 apigee-mtls 安装是否成功。

在验证 iptables 配置之前，请确保：

• 您已从节点中卸载 firewalld，并将其替换为 iptables，如替换默认防火墙中所述。
• 您已停止节点上的所有 Apigee 组件，包括 apigee-mtls。

如需使用 iptables 验证 apigee-mtls 配置是否成功，请执行以下操作：

1. 登录集群中的节点。执行此操作的顺序无关紧要。
2. 停止节点上的所有组件，如以下示例所示：

   /opt/apigee/apigee-service/bin/apigee-all stop

3. 执行 validate 命令，如以下示例所示：

   /opt/apigee/apigee-mtls/lib/actions/iptables.sh validate

   iptables 会向 Consul 或本地 Apigee 服务使用的每个端口发送消息。如果脚本遇到无效规则或失败的路由，将显示错误。

   如果节点上运行了任何 Apigee 服务或 Consul 服务器，则此命令将失败。

4. 执行以下命令，在节点上的所有其他组件之前启动 apigee-mtls 组件：

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

5. 按照启动顺序在节点上启动其余 Apigee 组件，如以下示例所示：

   /opt/apigee/apigee-service/bin/apigee-service component_name start

6. 在集群中的所有节点上重复这些步骤。理想情况下，应在第一个节点上启动后 5 分钟内在所有节点上执行此操作。

验证远程代理状态

您可以在 ZooKeeper 节点上使用 Consul 检查所有节点上的入站和出站代理服务是否处于活跃状态、运行状况良好且已加入服务网格。

如需查看节点的代理状态，请执行以下操作：

1. 登录运行 ZooKeeper 的节点。
2. 执行以下命令：

   systemctl status consul_server

验证仲裁状态

mTLS 安装包括向所有节点添加 Consul 代理服务。因此，您应验证所有 ZooKeeper 节点的共识状态。

如需检查共识状态，请登录运行 ZooKeeper 的每个节点，然后执行以下命令：

/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers

此命令会显示 Consul 实例及其状态的列表，如下例所示：

Node             ID                     Address            State     Voter  RaftProtocol
prc-test-0-1619  b59c1f44-6eb0-81d4-42  10.126.0.98:8300   leader    true   3
prc-test-1-1619  a4372a6e-8044-e587-43  10.126.0.146:8300  follower  true   3
prc-test-2-1619  71eb181f-4242-5353-44  10.126.0.100:8300  follower  true   3

详情请参阅以下内容：

• Consul Operator Raft
• 运行复制的 ZooKeeper

此外，您还可以获取有关集群健康状况的信息，包括集群是否达成了仲裁，以及远程成员是否影响了功能。为此，请使用以下命令：

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status