Apigee mTLS を使用するように複数のデータセンターを構成する

Apigee mTLS は複数のデータセンターをサポートしているため、以下を含むように構成をスケーリングできます。 たとえば、12 ノード構成の クラスタ化インストールをご覧ください。

マルチデータセンター トポロジでの mTLS のインストール プロセスは、 トポロジの場合と同じです。ただし、インストール環境が 必要な前提条件があります。また、上記のセクションの説明に沿って できます。

前提条件

複数のデータセンターで Apigee mTLS を使用するには、次のことを行う必要があります。

  • apigee-mtls をアンインストールし、複数のデータセンターで再インストールする できます。既存の構成は変更できません。詳しくは 既存の apigee-mtls 構成を変更するをご覧ください。
  • mTLS を実行しているすべてのホストでポート 8302 を開きます。
  • すべての mTLS クラスタ メンバーに、すべての mTLS クラスタ メンバーに一意の IP アドレスが割り当てられていることを確認してください。 メンバーのみです。
  • 構成ファイルを指定するときは、コマンドで絶対パスを使用してください。 存在する可能性があります。
  • 次の説明に沿って、マルチデータセンターの構成プロパティを追加する 複数のデータセンター用の構成ファイル

複数のデータセンター用の構成ファイル

複数のデータセンターで Apigee mTLS を使用するには、データセンターごとに個別の構成ファイルを作成します。 あります。

各構成ファイルで、次のように設定します。

  1. all を含むように ALL_IP 構成プロパティの値を変更します。 すべてのリージョンのホスト IP アドレス。
  2. REGION プロパティの値が現在のリージョンの名前であることを確認します。または、 あります。例: 「dc-1」
  3. 次のプロパティを追加します。
    プロパティ 説明
    APIGEE_MTLS_MULTI_DC_ENABLE マルチ データセンター構成を使用しているかどうか。「y」に設定もし 構成ミスを特定できますそれ以外の場合は、省略するか「n」に設定します。デフォルトは省略されています。
    MTLS_LOCAL_REGION_IP 現在のリージョンで使用されているすべての IP アドレスをスペースで区切ったリスト できます。例: 10.0.0.1 10.0.0.2 10.0.0.3。

    構成の 2 番目のリージョンには、次のコマンドを使用します。 MTLP_REMOTE_REGION_1_IP プロパティ。
    MTLS_REMOTE_REGION_1_NAME マルチデータセンター構成の 2 番目のリージョンの名前。たとえば 「dc-2」。

    2 番目のリージョンの構成ファイルでは、「dc-2」を使用します。 REGION と「dc-1」(MTLS_REMOTE_REGION_1_NAME.
    MTLS_REMOTE_REGION_1_IP マルチデータセンターの 2 番目のリージョンで使用されるすべての IP アドレスをスペースで区切ったリスト できます。例: 10.0.0.4 10.0.0.5 10.0.0.6。

次の例は、2 つのデータセンター(「dc-1」と「dc-2」)の構成ファイルを示しています。 マルチ データセンター構成に固有のプロパティがハイライト表示されている。

dc-1 構成ファイル

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

dc-2 構成ファイル

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

標準構成のプロパティについては、以下をご覧ください。 ステップ 1: 構成ファイルを更新する

マルチデータセンター構成をテストする

raft list-peers コマンドは、定義されている IP アドレスのリストを表示します。 MTLS_LOCAL_REGION_IP は、同じデータセンター内にあることを意味します。

次の例は、raft list-peers コマンドの出力例を示しています。

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

Apigee mTLS は 2 つのデータセンターでテストされており、2 つのデータセンターでのみサポートされています。 ただし、以下を使用して最大 8 つのデータセンターの構成を指定できます。 プロパティ:

  • MTLS_REMOTE_REGION_[2-8]_IP
  • MTLS_REMOTE_REGION_[2-8]_NAME

前述のとおり、3 つ以上のデータセンターの構成はサポートされていません。