Apigee mTLS obsługuje wiele centrów danych, dzięki czemu możesz skalować konfigurację, aby obejmowała bardziej złożone topologie, takie jak instalacja klastrowa z 12 węzłami.
Proces instalacji mTLS w topologii wielu centrów danych jest taki sam jak w przypadku prostszych topologii. Musisz jednak mieć pewność, że instalacja spełnia wymagania wstępne, i zmienić pliki konfiguracji zgodnie z opisem w kolejnych sekcjach.
Wymagania wstępne
Aby korzystać z mTLS Apigee w wielu centrach danych, musisz:
- Odinstaluj aplikację
apigee-mtlsi zainstaluj ją ponownie z konfiguracją wielu centrów danych. Nie możesz modyfikować istniejącej konfiguracji. Więcej informacji znajdziesz w artykule Zmienianie istniejącej konfiguracji apigee-mtls. - Otwórz port 8302 na każdym hoście, na którym działa mTLS.
- Upewnij się, że wszyscy członkowie klastra mTLS mają unikalne adresy IP, które są spójne dla wszystkich członków klastra.
- W poleceniach, w których może wystąpić niejednoznaczność, używaj ścieżek bezwzględnych do plików konfiguracji.
- Dodaj właściwości konfiguracji wielu centrów danych zgodnie z opisem w artykule Pliki konfiguracji dla wielu centrów danych.
Pliki konfiguracji dla wielu centrów danych
Aby korzystać z mTLS w Apigee w wielu centrach danych, musisz utworzyć osobny plik konfiguracji dla każdego z nich.
W każdym pliku konfiguracji:
- Zmień wartość właściwości konfiguracji
ALL_IP, aby uwzględnić wszystkie adresy IP hosta we wszystkich regionach. - Upewnij się, że wartość właściwości
REGIONto nazwa bieżącego regionu lub centrum danych. Przykład: „dc-1”. - Dodaj te właściwości:
Właściwość Opis APIGEE_MTLS_MULTI_DC_ENABLECzy używasz konfiguracji z wieloma centrami danych. Jeśli konfigurujesz wiele centrów danych, ustaw wartość „y”. W przeciwnym razie pomiń tę opcję lub ustaw ją na „n”. Domyślnie nie jest ona podana. MTLS_LOCAL_REGION_IPPoprzestrzeniona lista wszystkich adresów IP używanych przez bieżący region, który konfigurujesz. Na przykład: „10.0.0.1 10.0.0.2 10.0.0.3”. W przypadku drugiego regionu w konfiguracji użyj właściwości
MTLP_REMOTE_REGION_1_IP.MTLS_REMOTE_REGION_1_NAMENazwa drugiego regionu w konfiguracji z wieloma centrami danych. Na przykład: „dc-2”. W drugim pliku konfiguracji regionu wstawisz „dc-2” dla
REGIONi „dc-1” dlaMTLS_REMOTE_REGION_1_NAME.MTLS_REMOTE_REGION_1_IPLista oddzielonych spacjami adresów IP używanych przez drugi region w konfiguracji z wieloma centrami danych. Na przykład: „10.0.0.4 10.0.0.5 10.0.0.6”.
Poniższe przykłady pokazują pliki konfiguracji dla 2 centrów danych („dc-1” i „dc-2”). Właściwości charakterystyczne dla konfiguracji z wieloma centrami danych są wyróżnione):
Plik konfiguracji dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
Plik konfiguracji dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Informacje o standardowych właściwościach konfiguracji znajdziesz w sekcji Krok 1. Zaktualizuj plik konfiguracji.
Testowanie konfiguracji z wieloma centrami danych
Polecenie raft list-peers wyświetla listę adresów IP zdefiniowanych w usłudze MTLS_LOCAL_REGION_IP, co oznacza, że znajdują się w tym samym centrum danych.
Poniższe przykłady pokazują dane wyjściowe polecenia raft list-peers:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Protokół Apigee mTLS został przetestowany w 2 centrach danych i jest obsługiwany tylko w 2 centrach danych. Możesz jednak określić konfiguracje dla maksymalnie 8 centrów danych, używając tych właściwości:
MTLS_REMOTE_REGION_[2-8]_IPMTLS_REMOTE_REGION_[2-8]_NAME
Jak już wspomnieliśmy, konfiguracje z większą liczbą niż 2 centrami danych nie są obsługiwane.