Apigee mTLS をインストールするには、その前に、クラスタ内のノードで localhost
が無効になっていないことを確認し、デフォルトのファイアウォール サービス(多くの場合、firewalld
)を iptables
で置き換える必要があります。
Cassandra、Zookeeper、Postgres のデータをバックアップする
Apigee mTLS をインストールする前に、次のコンポーネントのデータをバックアップする必要があります。
apigee-cassandra
apigee-zookeeper
apigee-postgresql
これらのコンポーネントのデータをバックアップする方法については、バックアップ方法をご覧ください。
ループバック アドレスが有効になっていることを確認する
Apigee mTLS を使用するには、localhost
ループバック アドレスが有効になっている必要があります。IP アドレス 127.0.0.1
がルーティング可能であること、クラスタ内のすべてのノードでそれが localhost
に解決されることが必要です。サービス メッシュ内の Consul プロキシ サーバーはこれに依存します。
以前に localhost
ループバック アドレスを無効にした場合は、クラスタ内のすべてのノードでこのアドレスを再度有効にする必要があります。
デフォルトのファイアウォールを置き換える
CentOS と RedHat Enterprise Linux(RHEL)のデフォルト ファイアウォールは firewalld
です。ただし、Apigee mTLS を使用するには、代わりにファイアウォールとして iptables
を使用する必要があります。そのため、以下の作業が必要になります。
firewalld
を無効にして削除します(インストールされている場合)。かつ
- 各ノードに
iptables
をインストールし、実行中であることを確認します。
このセクションでは、これらの作業を行う方法を説明します。
どのノードからどのノードの順序で作業を行うかは重要ではありません。
firewalld
をアンインストールし、iptables
がインストール済みで実行中であることを確認するには:
- root ユーザーとしてノードにログインします。
- 次のコマンドを実行して、すべてのコンポーネントを停止します。
/opt/apigee/apigee-service/bin/apigee-all stop
firewalld
を無効にしてアンインストールします。- 次のコマンドを実行して
firewalld
サービスを停止します。systemctl stop firewalld
- 次のコマンドを実行することで、
firewalld
サービスを無効にしてマスクします。systemctl disable firewalld
systemctl mask --now firewalld
- 次のコマンドを実行することで、
yum
を使用してfirewalld
サービスを削除します。yum remove firewalld
- 次のコマンドを実行して、失敗ステータスになっているすべてのサービスをリセットします。
systemctl reset-failed
- 次のコマンドを実行して、すべてのサービスを再び読み込みます。
systemctl daemon-reload
- 次のコマンドを実行して
iptables
をインストールします。- 次のコマンドを実行して、
iptables
パッケージとiptables-services
パッケージをインストールします。yum install iptables iptables-services
- 次のコマンドを実行して、実行中のサービスを再び読み込みます。
systemctl daemon-reload
- 次のコマンドを実行して、
iptables
を有効にします。systemctl enable iptables ip6tables
- 次のコマンドを実行して、
iptables
サービスとip6tables
サービスを起動します。systemctl start iptables ip6tables
- 次のコマンドを実行して、
- クラスタ内のノードごとにこのプロセスを繰り返します。