mTLS Apigee mendukung beberapa pusat data sehingga Anda dapat menskalakan konfigurasi untuk menyertakan topologi yang lebih kompleks seperti penginstalan cluster 12 node.
Proses penginstalan untuk mTLS pada topologi multi-pusat data sama dengan proses penginstalan untuk topologi yang lebih sederhana. Namun, Anda harus memastikan bahwa penginstalan memenuhi prasyarat dan Anda mengubah file konfigurasi seperti yang dijelaskan di bagian berikutnya.
Prasyarat
Untuk menggunakan Apigee mTLS dengan beberapa pusat data, Anda harus:
- Uninstal
apigee-mtls, lalu instal ulang dengan beberapa konfigurasi pusat data. Anda tidak dapat mengubah konfigurasi yang ada. Untuk mengetahui informasi selengkapnya, lihat Mengubah konfigurasi apigee-mtls yang ada. - Buka port 8302 di setiap host yang menjalankan mTLS.
- Pastikan semua anggota cluster mTLS memiliki alamat IP unik, yang konsisten untuk semua anggota cluster.
- Saat menentukan file konfigurasi, gunakan jalur absolut dalam perintah Anda jika ambiguitas mungkin ada.
- Tambahkan properti konfigurasi multi-data center, seperti yang dijelaskan dalam File konfigurasi untuk beberapa data center.
File konfigurasi untuk beberapa pusat data
Untuk menggunakan mTLS Apigee dengan beberapa pusat data, Anda membuat file konfigurasi terpisah untuk setiap pusat data.
Di setiap file konfigurasi:
- Ubah nilai properti konfigurasi
ALL_IPuntuk menyertakan semua alamat IP host di semua region. - Pastikan nilai properti
REGIONadalah nama region atau pusat data saat ini. Misalnya, "dc-1". - Tambahkan properti berikut:
Properti Deskripsi APIGEE_MTLS_MULTI_DC_ENABLEApakah Anda menggunakan konfigurasi multi-pusat data atau tidak. Tetapkan ke "y" jika Anda mengonfigurasi beberapa pusat data. Jika tidak, hapus atau tetapkan ke "n". Defaultnya dihilangkan. MTLS_LOCAL_REGION_IPDaftar semua alamat IP yang dipisahkan spasi dan digunakan oleh region saat ini yang Anda konfigurasi. Misalnya, "10.0.0.1 10.0.0.2 10.0.0.3". Untuk wilayah kedua dalam konfigurasi, gunakan properti
MTLP_REMOTE_REGION_1_IP.MTLS_REMOTE_REGION_1_NAMENama region kedua dalam konfigurasi pusat data multi-data. Misalnya, "dc-2". Dalam file konfigurasi region kedua, Anda akan menggunakan "dc-2" untuk
REGIONdan "dc-1" untukMTLS_REMOTE_REGION_1_NAME.MTLS_REMOTE_REGION_1_IPDaftar semua alamat IP yang dipisahkan spasi dan digunakan oleh region kedua dalam konfigurasi multi-data center. Misalnya, "10.0.0.4 10.0.0.5 10.0.0.6".
Contoh berikut menunjukkan file konfigurasi untuk dua pusat data ("dc-1" dan "dc-2"). Properti yang khusus untuk konfigurasi multi-data center ditandai):
File Konfigurasi dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
File Konfigurasi dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Untuk mengetahui informasi tentang properti konfigurasi standar, lihat Langkah 1: Perbarui file konfigurasi Anda.
Menguji konfigurasi multi-pusat data
Perintah raft list-peers menampilkan daftar alamat IP yang ditentukan di
MTLS_LOCAL_REGION_IP, yang berarti alamat tersebut berada dalam pusat data yang sama.
Contoh berikut menunjukkan contoh output dari perintah raft list-peers:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
mTLS Apigee telah diuji di dua pusat data dan hanya didukung untuk dua pusat data. Namun, Anda dapat menentukan konfigurasi hingga delapan pusat data menggunakan properti berikut:
MTLS_REMOTE_REGION_[2-8]_IPMTLS_REMOTE_REGION_[2-8]_NAME
Seperti yang dinyatakan sebelumnya, konfigurasi lebih dari dua pusat data tidak didukung.