Ta strona została przetłumaczona przez Cloud Translation API.

Konfigurowanie mTLS Apigee

Po zainstalowaniu komponentu apigee-mtls na każdym węźle w klastrze musisz go skonfigurować i zainicjować. Aby to zrobić, wygeneruj parę kluczy i certyfikatów oraz zaktualizuj plik konfiguracji na maszynie administracyjnej. Następnie wdrażasz te same wygenerowane pliki na wszystkich węzłach w klastrze i inicjujesz lokalny komponent apigee-mtls.

Konfigurowanie apige-mtls (po początkowej instalacji)

Z tej sekcji dowiesz się, jak skonfigurować mTLS w Apigee dla jednego centrum danych zaraz po początkowej instalacji. Informacje o aktualizowaniu istniejącej instalacji Apigee mTLS znajdziesz w artykule Zmienianie istniejącej konfiguracji apigee-mtls. Informacje o konfigurowaniu wielu centrów danych znajdziesz w artykule Konfigurowanie wielu centrów danych na potrzeby Apigee mTLS.

Oto ogólny proces konfiguracji:apigee-mtls

Zaktualizuj plik konfiguracji: na maszynie administracyjnej zaktualizuj plik konfiguracji, aby uwzględnić ustawienia apigee-mtls.
Zainstaluj aplikację Consul i wygeneruj dane logowania: zainstaluj aplikację Consul i użyj jej do wygenerowania danych logowania TLS (tylko raz).
Dodatkowo zmodyfikuj plik konfiguracji mTLS Apigee, aby:
1. Dodawanie danych logowania
2. Określ topologię klastra
Pamiętaj, że możesz użyć istniejących danych logowania lub wygenerować je za pomocą Consula.
Rozpowszechnij plik konfiguracji i poświadczenia: Dodaj ten sam wygenerowany klucz i certyfikat oraz zaktualizowany plik konfiguracji do wszystkich węzłów w klastrze.
Inicjowanie apigee-mtls: zainicjuj komponent apigee-mtls na każdym węźle.

Każdy z tych kroków jest opisany w dalszej części tego artykułu.

Krok 1. Zaktualizuj plik konfiguracji

W tej sekcji opisaliśmy, jak zmodyfikować plik konfiguracji, aby uwzględniał właściwości konfiguracji mTLS. Więcej ogólnych informacji o pliku konfiguracyjnym znajdziesz w artykule Tworzenie pliku konfiguracyjnego.

Po zaktualizowaniu pliku konfiguracji o właściwości związane z mTLS należy go skopiować na wszystkie węzły w klastrze, zanim zainicjujesz na nich komponent apigee-mtls.

Polecenia odwołujące się do pliku konfiguracji używają parametru „config_file”, aby wskazać, że jego lokalizacja jest zmienna i zależy od tego, gdzie jest przechowywany na każdym węźle.

Aby zaktualizować plik konfiguracji:

Na komputerze administracyjnym otwórz plik konfiguracji.

Skopiuj ten zestaw właściwości konfiguracji mTLS i wklej je do pliku konfiguracji:

ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER"
ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS"
CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS"
PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS"
RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS"
MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS"
MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS"
QP_MTLS_HOSTS="QPID_PRIVATE_IPS"
LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS"
MTLS_ENCAPSULATE_LDAP="y"

ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE"
PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem"
PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem"
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS"

Ustaw wartość każdej właściwości, aby dostosować ją do swojej konfiguracji.

Właściwości konfiguracji są opisane w tabeli poniżej:

Właściwość	Opis
`ALL_IP`	Lista oddzielonych spacjami prywatnych adresów IP hosta wszystkich węzłów w klastrze. Kolejność adresów IP nie ma znaczenia, z tym zastrzeżeniem, że musi być taka sama we wszystkich plikach konfiguracyjnych w klastrze. Jeśli skonfigurujesz mTLS Apigee dla wielu centrów danych, wymień wszystkie adresy IP wszystkich hostów we wszystkich regionach.
`LDAP_MTLS_HOSTS`	Adres IP prywatnego hosta węzła OpenLDAP w klastrze.
`ZK_MTLS_HOSTS`	Lista oddzielonych spacjami prywatnych adresów IP hosta, na których są hostowane węzły ZooKeeper w klastrze. Pamiętaj, że zgodnie z wymaganiami musisz mieć co najmniej 3 węzły ZooKeeper.
`CASS_MTLS_HOSTS`	Lista oddzielonych spacjami prywatnych adresów IP hosta, na których znajdują się serwery Cassandra w klastrze.
`PG_MTLS_HOSTS`	Rozdzielona spacjami lista adresów IP hostów prywatnych, na których są hostowane serwery Postgres w klastrze.
`RT_MTLS_HOSTS`	Lista oddzielonych spacjami prywatnych adresów IP hosta, na których są hostowane routery w klastrze.
`MTLS_ENCAPSULATE_LDAP`	Szyfruje ruch LDAP między procesorem wiadomości a serwerem LDAP. Ustaw jako `y`.
`MS_MTLS_HOSTS`	Lista oddzielonych spacjami prywatnych adresów IP hosta, na których są hostowane węzły serwera zarządzania w klastrze.
`MP_MTLS_HOSTS`	Rozdzielona spacjami lista adresów IP hostów prywatnych, na których procesory wiadomości są hostowane w klastrze.
`QP_MTLS_HOSTS`	Lista prywatnych adresów IP hosta oddzielonych spacjami, na których w klastrze są hostowane serwery Qpid.
`ENABLE_SIDECAR_PROXY`	Określa, czy Cassandra i Postgres powinny być świadome istnienia sieci usług. Musisz ustawić tę wartość na „y”.
`ENCRYPT_DATA`	Klucz szyfrowania zakodowany w base64 używany przez Consul . Klucz ten został wygenerowany za pomocą polecenia `consul keygen` w kroku 2: zainstaluj Consul i wygeneruj dane logowania. Ta wartość musi być taka sama na wszystkich węzłach w klastrze.
`PATH_TO_CA_CERT`	Lokalizacja pliku certyfikatu na węźle. Ten plik został wygenerowany w ramach kroku 2. Zainstaluj aplikację Consul i wygeneruj dane logowania. Ta lokalizacja powinna być taka sama na wszystkich węzłach w klastrze, aby pliki konfiguracji były takie same. Certyfikat musi być zakodowany w formacie X509v3.
`PATH_TO_CA_KEY`	lokalizacja pliku klucza na węźle. Ten plik został wygenerowany w kroku 2. Zainstaluj Consul i wygeneruj poświadczenia. Ta lokalizacja powinna być taka sama na wszystkich węzłach w klastrze, aby pliki konfiguracji były takie same. Plik klucza musi być zakodowany w standardzie X509v3.
`APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR`	Liczba dni, przez które certyfikat jest ważny, gdy generujesz certyfikat niestandardowy. Wartością domyślną jest 365. Maksymalna wartość to 7865 dni (5 lat).

Oprócz wymienionych powyżej właściwości Apigee mTLS używa kilku dodatkowych właściwości, gdy zainstalujesz go w konfiguracji z wieloma centrami danych. Więcej informacji znajdziesz w artykule Konfigurowanie wielu centrów danych.

Upewnij się, że właściwość ENABLE_SIDECAR_PROXY ma wartość „y”.
Zaktualizuj adresy IP we właściwościach związanych z hostem. Pamiętaj, aby używać prywatnych adresów IP, a nie publicznych adresów IP, gdy odwołujesz się do poszczególnych węzłów.
W kolejnych krokach skonfigurujesz wartości innych właściwości, takich jak ENCRYPT_DATA, PATH_TO_CA_CERT i PATH_TO_CA_KEY. Nie masz jeszcze ustawionych ich wartości.

Podczas edytowania właściwości konfiguracji apigee-mtls pamiętaj o tych kwestiach:
- Wszystkie właściwości mają formę ciągu znaków. Wartości wszystkich właściwości musisz ująć w pojedyncze lub podwójne cudzysłowe.
- Jeśli wartość powiązana z hostem ma więcej niż 1 prywatny adres IP, oddziel poszczególne adresy IP spacjami.
- W przypadku wszystkich właściwości hosta w pliku konfiguracyjnym używaj prywatnych adresów IP, a nie nazw hostów ani publicznych adresów IP.
- Kolejność adresów IP w wartości właściwości musi być taka sama we wszystkich plikach konfiguracji w klastrze.
Zapisz zmiany w pliku konfiguracji.

Krok 2. Zainstaluj aplikację Consul i wygeneruj dane logowania

Z tej sekcji dowiesz się, jak zainstalować Consul i wygenerować poświadczenia.

Aby wygenerować dane logowania, wybierz jedną z tych metod:

utwórz własny urząd certyfikacji za pomocą usługi Consul, zgodnie z opisem w tej sekcji (zalecane);
Używanie danych logowania do dotychczasowego urzędu certyfikacji z Apigee mTLS (zaawansowane)

Dane logowania

Dane logowania składają się z następujących elementów:

Certyfikat: certyfikat TLS hostowany na każdym węźle.
Klucz: klucz publiczny TLS hostowany w każdym węźle.
Wiadomość szeptem: klucz szyfrowania zakodowany w formacie Base64.

Każdy z tych plików generujesz tylko raz. Skopiuj pliki klucza i certyfikatu na wszystkie węzły w klastrze oraz dodaj klucz szyfrowania do pliku konfiguracji, który również skopiujesz na wszystkie węzły.

Więcej informacji o implementacji szyfrowania w Consul znajdziesz w tych dokumentach:

Instalowanie usługi Consul i generowanie danych logowania

Lokalny plik binarny Consul służy do generowania poświadczeń, których Apigee mTLS używa do uwierzytelniania bezpiecznej komunikacji między węzłami w klastrze chmury prywatnej. Dlatego przed wygenerowaniem danych logowania musisz zainstalować Consul na maszynie administracyjnej.

Aby zainstalować Consul i wygenerować poświadczenia mTLS:

Na maszynie administracyjnej pobierz binarną wersję Consul 1.6.2 ze strony HashiCorp.
Wyodrębnij zawartość pobranego pliku archiwum. Na przykład wyodrębnij zawartość do /opt/consul/.
UWAGA: aby użyć usługi Consul do wygenerowania danych logowania (zalecane), wykonaj tę procedurę.
Jeśli chcesz używać dotychczasowych danych logowania, zapoznaj się z artykułem Integracja certyfikatów niestandardowych z protokołem mTLS Apigee (zaawansowany).
Na maszynie administracyjnej utwórz nowy urząd certyfikacji, wykonując to polecenie:
```
/opt/consul/consul tls ca create
```
Consul tworzy te pliki, które są parą certyfikatu i klucza:
- consul-agent-ca.pem (certyfikat)
- consul-agent-ca-key.pem (klucz)
Domyślnie pliki certyfikatu i klucza są zakodowane w formacie X509v3.

Później skopiujesz te pliki na wszystkie węzły w klastrze. Na razie musisz jednak tylko zdecydować, gdzie w węzłach umieścić te pliki. Powinny znajdować się w tym samym miejscu w każdym węźle. Na przykład: /opt/apigee/.
W pliku konfiguracji ustaw wartość parametru PATH_TO_CA_CERT na lokalizację, do której skopiujesz plik consul-agent-ca.pem na węźle. Przykład:
```
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
```
Ustaw wartość PATH_TO_CA_KEY na lokalizację, do której skopiujesz plik consul-agent-ca-key.pem w węźle. Przykład:
```
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
```
Utwórz klucz szyfrowania dla usługi Consul, wykonując to polecenie:
```
/opt/consul/consul keygen
```
Consul zwraca losowy ciąg znaków podobny do tego:
```
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
```
Skopiuj ciąg znaków i ustaw go jako wartość właściwości ENCRYPT_DATA w pliku konfiguracyjnym. Przykład:
```
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
```
UWAGA: podana powyżej wartość to przykład klucza szyfrowania. To nie jest rzeczywisty ciąg znaków, którego użyjesz. Musisz go wygenerować samodzielnie.
Zapisz plik konfiguracji.

Ten przykład pokazuje ustawienia związane z mTLS w pliku konfiguracji (z przykładowymi wartościami):

...
IP1=10.126.0.121
IP2=10.126.0.124
IP3=10.126.0.125
IP4=10.126.0.127
IP5=10.126.0.130
ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5"
LDAP_MTLS_HOSTS="$IP3"
ZK_MTLS_HOSTS="$IP3 $IP4 $IP5"
CASS_MTLS_HOSTS="$IP3 $IP4 $IP5"
PG_MTLS_HOSTS="$IP2 $IP1"
RT_MTLS_HOSTS="$IP4 $IP5"
MS_MTLS_HOSTS="$IP3"
MP_MTLS_HOSTS="$IP4 $IP5"
QP_MTLS_HOSTS="$IP2 $IP1"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
...

Krok 3. Rozpowszechnij plik konfiguracji i poświadczenia tożsamości

Skopiuj poniższe pliki do węzłów, w których działa ZooKeeper, za pomocą takiego narzędzia jak scp:

Plik konfiguracji: skopiuj zaktualizowaną wersję tego pliku i zastąp nią istniejącą wersję na wszystkich węzłach (nie tylko na węzłach z ZooKeeper).
consul-agent-ca.pem: skopiuj go do lokalizacji podanej jako wartość PATH_TO_CA_CERT w pliku konfiguracji.
consul-agent-ca-key.pem: skopiuj go do lokalizacji podanej w pliku konfiguracji jako wartość PATH_TO_CA_KEY.

Upewnij się, że lokalizacje, do których kopiujesz pliki certyfikatu i klucza, są zgodne z wartościami ustawionymi w pliku konfiguracji w kroku 2: Zainstaluj Consul i wygeneruj poświadczenia.

Krok 4. Inicjuj apige-mtls

Po zaktualizowaniu pliku konfiguracji, skopiowaniu go i uprawnień do wszystkich węzłów w klastrze oraz zainstalowaniu apigee-mtls na każdym węźle możesz zainicjować komponent apigee-mtls na każdym węźle.

Aby zainicjować apige-mtls:

Zaloguj się w węźle w klastrze jako root. Te czynności możesz wykonywać w dowolnej kolejności.
Ustaw użytkownika apigee:apigee jako właściciela zaktualizowanego pliku konfiguracji, jak pokazano w tym przykładzie:
```
chown apigee:apigee config_file
```

Skonfiguruj komponent apigee-mtls, wykonując to polecenie:

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file

(Opcjonalnie) Aby sprawdzić, czy konfiguracja została zakończona pomyślnie, uruchom to polecenie:
```
/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
```
Uruchom mTLS w Apigee, wykonując to polecenie:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
```
Po zainstalowaniu Apigee mTLS musisz uruchomić ten komponent przed innymi komponentami w węźle.

(Dotyczy tylko węzłów Cassandra) Aby działać w ramach sieci bezpieczeństwa, Cassandra wymaga dodatkowych argumentów. W związku z tym musisz wykonać te polecenia w każdym węźle Cassandra:

/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart

(Tylko węzły Postgres) Postgres wymaga dodatkowych argumentów do działania w ramach sieci bezpieczeństwa. W związku z tym musisz wykonać te czynności na węzłach Postgres:
(Dotyczy tylko wersji głównej)
1. Na węźle głównym Postgres uruchom te polecenia:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
```
(tylko w stanie gotowości)
1. Utwórz kopię zapasową istniejących danych Postgres. Aby zainstalować Apigee mTLS, musisz ponownie zainicjować węzły główne/gotowe, co spowoduje utratę danych. Więcej informacji znajdziesz w artykule o konfigurowaniu replikacji instancji głównej/w trybie gotowości dla Postgres.
2. Usuń wszystkie dane Postgres:
```
rm -rf /opt/apigee/data/apigee-postgresql/pgdata
```
3. Skonfiguruj Postgres, a następnie uruchom go ponownie, jak pokazano w tym przykładzie:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
```
Uwaga: z powodu problemów z siecią może być konieczne wykonanie tego kroku więcej niż raz, aby osiągnąć sukces.

Jeśli instalujesz w topologii z wieloma centrami danych, użyj bezwzględnej ścieżki do pliku konfiguracji.
Uruchom pozostałe komponenty Apigee w węźle w kolejności początkowej, jak pokazano w tym przykładzie:
```
/opt/apigee/apigee-service/bin/apigee-service component_name start
```
Powtórz ten proces dla każdego węzła w klastrze.
(Opcjonalnie) Sprawdź, czy inicjalizacja apigee-mtls przebiegła pomyślnie, korzystając z co najmniej jednej z tych metod:
1. Sprawdzanie konfiguracji iptables
2. Sprawdzanie stanu serwera proxy zdalnego
3. Sprawdzanie stanu kworum
Każdą z tych metod opisujemy w artykule Weryfikacja konfiguracji.

Zmiana istniejącej konfiguracji apigee-mtls

Aby dostosować istniejącą konfigurację apigee-mtls, musisz odinstalować i ponownie zainstalować apigee-mtls.

OSTRZEŻENIE: konfiguracja i ustawienie mTLS w Apigee nie są idempotentne. W efekcie wpisy konfiguracji apigee-mtls muszą być identyczne we wszystkich węzłach: jeśli wprowadzasz zmianę w jednym węźle, musisz ją też wprowadzić we wszystkich węzłach. Jeśli tego nie zrobisz, siatka usług może przestać działać.

Przypominamy, że podczas zmiany istniejącej konfiguracji mTLS w usłudze Apigee:

Jeśli zmienisz plik konfiguracji, musisz najpierw odinstalować apigee-mtls i ponownie uruchomić setup lub configure:

# DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

# BEFORE YOU DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
OR
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure

Musisz odinstalować i ponownie uruchomić interfejs setup lub configure we wszystkich węzłach w klastrze, a nie tylko w 1 węźle.

UWAGA: wielokrotne wykonanie usługi setup lub configure na urządzeniu apigee-mtls nie działa tak samo jak inne usługi Apigee. Nie musi to spowodować wygenerowania nowej konfiguracji (ani zmiany konfiguracji lokalnej).