始める前に

Apigee mTLS をインストールするには、その前に、クラスタ内のノードで localhost が無効になっていないことを確認し、デフォルトのファイアウォール サービス(多くの場合、firewalld)を iptables で置き換える必要があります。

Cassandra、Zookeeper、Postgres のデータをバックアップする

Apigee mTLS をインストールする前に、次のコンポーネントのデータをバックアップする必要があります。

  • apigee-cassandra
  • apigee-zookeeper
  • apigee-postgresql

これらのコンポーネントのデータをバックアップする方法については、バックアップ方法をご覧ください。

ループバック アドレスが有効になっていることを確認する

Apigee mTLS を使用するには、localhost ループバック アドレスが有効になっている必要があります。IP アドレス 127.0.0.1 がルーティング可能であること、クラスタ内のすべてのノードでそれが localhost に解決されることが必要です。サービス メッシュ内の Consul プロキシ サーバーはこれに依存します。

以前に localhost ループバック アドレスを無効にした場合は、クラスタ内のすべてのノードでこのアドレスを再度有効にする必要があります。

デフォルトのファイアウォールを置き換える

CentOS と RedHat Enterprise Linux(RHEL)のデフォルト ファイアウォールは firewalld です。ただし、Apigee mTLS を使用するには、代わりにファイアウォールとして iptables を使用する必要があります。そのため、以下の作業が必要になります。

  1. firewalld を無効にして削除します(インストールされている場合)。

    かつ

  2. 各ノードに iptables をインストールし、実行中であることを確認します。

このセクションでは、これらの作業を行う方法を説明します。

どのノードからどのノードの順序で作業を行うかは重要ではありません。

firewalld をアンインストールし、iptables がインストール済みで実行中であることを確認するには:

  1. root ユーザーとしてノードにログインします。
  2. 次のコマンドを実行して、すべてのコンポーネントを停止します。
    /opt/apigee/apigee-service/bin/apigee-all stop
  3. firewalld を無効にしてアンインストールします。
    1. 次のコマンドを実行して firewalld サービスを停止します。
      systemctl stop firewalld
    2. 次のコマンドを実行することで、firewalld サービスを無効にしてマスクします。
      systemctl disable firewalld
      systemctl mask --now firewalld
    3. 次のコマンドを実行することで、yum を使用して firewalld サービスを削除します。
      yum remove firewalld
    4. 次のコマンドを実行して、失敗ステータスになっているすべてのサービスをリセットします。
      systemctl reset-failed
    5. 次のコマンドを実行して、すべてのサービスを再び読み込みます。
      systemctl daemon-reload
  4. iptables をインストールします。
    1. 次のコマンドを実行して、iptables パッケージと iptables-services パッケージをインストールします。
      yum install iptables iptables-services
    2. 次のコマンドを実行して、実行中のサービスを再び読み込みます。
      systemctl daemon-reload
    3. 次のコマンドを実行して、iptables を有効にします。
      systemctl enable iptables ip6tables
    4. 次のコマンドを実行して、iptables サービスと ip6tables サービスを起動します。
      systemctl start iptables ip6tables
  5. クラスタ内のノードごとにこのプロセスを繰り返します。