Apigee mTLS поддерживает несколько центров обработки данных, поэтому вы можете масштабировать свою конфигурацию, включая более сложные топологии, такие как кластерная установка из 12 узлов .
Процесс установки mTLS в топологии с несколькими центрами обработки данных такой же, как и для более простых топологий. Однако вы должны убедиться, что ваша установка соответствует предварительным требованиям, и что вы изменили файлы конфигурации, как описано в следующих разделах.
Предварительные условия
Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вам необходимо:
- Удалите
apigee-mtls
и переустановите его с конфигурацией с несколькими центрами обработки данных. Вы не можете изменить существующую конфигурацию. Дополнительные сведения см. в разделе Изменение существующей конфигурации apigee-mtls . - Откройте порт 8302 на каждом хосте, на котором работает mTLS.
- Убедитесь, что все члены кластера mTLS имеют уникальные IP-адреса, одинаковые для всех членов кластера.
- При указании файлов конфигурации используйте в командах абсолютные пути, где может существовать неоднозначность.
- Добавьте свойства конфигурации нескольких центров обработки данных, как описано в разделе Файлы конфигурации для нескольких центров обработки данных .
Файлы конфигурации для нескольких центров обработки данных
Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вы создаете отдельный файл конфигурации для каждого центра обработки данных.
В каждом из конфигурационных файлов:
- Измените значение свойства конфигурации
ALL_IP
, чтобы включить все IP-адреса узлов во всех регионах. - Убедитесь, что значение свойства
REGION
— это имя текущего региона или центра обработки данных. Например, «dc-1». - Добавьте следующие свойства:
Свойство Описание APIGEE_MTLS_MULTI_DC_ENABLE
Независимо от того, используете ли вы конфигурацию с несколькими центрами обработки данных. Установите значение «y», если вы настраиваете несколько центров обработки данных. В противном случае опустите или установите значение «n». Значение по умолчанию опущено. MTLS_LOCAL_REGION_IP
Разделенный пробелами список всех IP-адресов, используемых текущим регионом, который вы настраиваете. Например, «10.0.0.1 10.0.0.2 10.0.0.3». Для второго региона в конфигурации используйте свойство
MTLP_REMOTE_REGION_1_IP
.MTLS_REMOTE_REGION_1_NAME
Имя второго региона в конфигурации с несколькими центрами обработки данных. Например, «ДЦ-2». В файле конфигурации второго региона вы будете использовать «dc-2» для
REGION
и «dc-1» дляMTLS_REMOTE_REGION_1_NAME.
MTLS_REMOTE_REGION_1_IP
Разделенный пробелами список всех IP-адресов, используемых вторым регионом в конфигурации с несколькими центрами обработки данных. Например, «10.0.0.4 10.0.0.5 10.0.0.6».
В следующих примерах показаны файлы конфигурации для двух центров обработки данных («DC-1» и «DC-2»). Выделены свойства, характерные для конфигурации с несколькими центрами обработки данных):
Файл конфигурации dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
Файл конфигурации dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Информацию о стандартных свойствах конфигурации см. в разделе «Шаг 1. Обновите файл конфигурации» .
Тестирование конфигурации с несколькими центрами обработки данных
Команда raft list-peers
отображает список IP-адресов, которые определены в MTLS_LOCAL_REGION_IP
, что означает, что они расположены в одном центре обработки данных.
В следующих примерах показан пример вывода команды raft list-peers
:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Apigee mTLS был протестирован в двух центрах обработки данных и поддерживается только в двух центрах обработки данных. Однако вы можете указать конфигурации до восьми центров обработки данных, используя следующие свойства:
-
MTLS_REMOTE_REGION_[2-8]_IP
-
MTLS_REMOTE_REGION_[2-8]_NAME
Как указывалось ранее, конфигурации более двух центров обработки данных не поддерживаются.
,Apigee mTLS поддерживает несколько центров обработки данных, поэтому вы можете масштабировать свою конфигурацию, включая более сложные топологии, такие как кластерная установка из 12 узлов .
Процесс установки mTLS в топологии с несколькими центрами обработки данных такой же, как и для более простых топологий. Однако вы должны убедиться, что ваша установка соответствует предварительным требованиям, и что вы изменили файлы конфигурации, как описано в следующих разделах.
Предварительные условия
Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вам необходимо:
- Удалите
apigee-mtls
и переустановите его с конфигурацией с несколькими центрами обработки данных. Вы не можете изменить существующую конфигурацию. Дополнительные сведения см. в разделе Изменение существующей конфигурации apigee-mtls . - Откройте порт 8302 на каждом хосте, на котором работает mTLS.
- Убедитесь, что все члены кластера mTLS имеют уникальные IP-адреса, одинаковые для всех членов кластера.
- При указании файлов конфигурации используйте в командах абсолютные пути, где может существовать неоднозначность.
- Добавьте свойства конфигурации нескольких центров обработки данных, как описано в разделе Файлы конфигурации для нескольких центров обработки данных .
Файлы конфигурации для нескольких центров обработки данных
Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вы создаете отдельный файл конфигурации для каждого центра обработки данных.
В каждом из конфигурационных файлов:
- Измените значение свойства конфигурации
ALL_IP
, чтобы включить все IP-адреса узлов во всех регионах. - Убедитесь, что значение свойства
REGION
— это имя текущего региона или центра обработки данных. Например, «dc-1». - Добавьте следующие свойства:
Свойство Описание APIGEE_MTLS_MULTI_DC_ENABLE
Независимо от того, используете ли вы конфигурацию с несколькими центрами обработки данных. Установите значение «y», если вы настраиваете несколько центров обработки данных. В противном случае опустите или установите значение «n». Значение по умолчанию опущено. MTLS_LOCAL_REGION_IP
Разделенный пробелами список всех IP-адресов, используемых текущим регионом, который вы настраиваете. Например, «10.0.0.1 10.0.0.2 10.0.0.3». Для второго региона в конфигурации используйте свойство
MTLP_REMOTE_REGION_1_IP
.MTLS_REMOTE_REGION_1_NAME
Имя второго региона в конфигурации с несколькими центрами обработки данных. Например, «ДЦ-2». В файле конфигурации второго региона вы будете использовать «dc-2» для
REGION
и «dc-1» дляMTLS_REMOTE_REGION_1_NAME.
MTLS_REMOTE_REGION_1_IP
Разделенный пробелами список всех IP-адресов, используемых вторым регионом в конфигурации с несколькими центрами обработки данных. Например, «10.0.0.4 10.0.0.5 10.0.0.6».
В следующих примерах показаны файлы конфигурации для двух центров обработки данных («DC-1» и «DC-2»). Выделены свойства, характерные для конфигурации с несколькими центрами обработки данных):
Файл конфигурации dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
Файл конфигурации dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Информацию о стандартных свойствах конфигурации см. в разделе «Шаг 1. Обновите файл конфигурации» .
Тестирование конфигурации с несколькими центрами обработки данных
Команда raft list-peers
отображает список IP-адресов, которые определены в MTLS_LOCAL_REGION_IP
, что означает, что они расположены в одном центре обработки данных.
В следующих примерах показан пример вывода команды raft list-peers
:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Apigee mTLS был протестирован в двух центрах обработки данных и поддерживается только в двух центрах обработки данных. Однако вы можете указать конфигурации до восьми центров обработки данных, используя следующие свойства:
-
MTLS_REMOTE_REGION_[2-8]_IP
-
MTLS_REMOTE_REGION_[2-8]_NAME
Как указывалось ранее, конфигурации более двух центров обработки данных не поддерживаются.