In diesem Abschnitt werden verschiedene Möglichkeiten beschrieben, um zu prüfen, ob die Apigee mTLS-Installation erfolgreich war. Bei der Fehlerbehebung im Cluster können Sie auch die in diesem Abschnitt beschriebenen Techniken verwenden.
iptables-Konfiguration validieren
Sie können prüfen, ob die apigee-mtls
-Installation erfolgreich war. Prüfen Sie dazu, ob die iptables
-Routen funktionieren und die Regeln gültig sind.
Prüfen Sie Folgendes, bevor Sie eine iptables
-Konfiguration validieren:
- Sie haben die Firewall auf dem Knoten deinstalliert und durch iptables ersetzt, wie unter Standardfirewall ersetzen beschrieben.
- Sie haben alle Apigee-Komponenten auf dem Knoten beendet, einschließlich
apigee-mtls
.
So validieren Sie mit iptables die erfolgreiche Konfiguration von Apigee-mtls:
- Melden Sie sich bei einem Knoten im Cluster an. Die Reihenfolge spielt dabei keine Rolle.
- Beenden Sie alle Komponenten auf dem Knoten, wie im folgenden Beispiel gezeigt:
/opt/apigee/apigee-service/bin/apigee-all stop
- Führen Sie den Befehl
validate
wie im folgenden Beispiel aus:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
sendet Nachrichten an jeden Port, den entweder Consul oder die lokalen Apigee-Dienste verwenden. Wenn das Skript auf eine ungültige Regel oder eine fehlgeschlagene Route stößt, wird ein Fehler angezeigt.Wenn Apigee-Dienste oder Consul-Server auf dem Knoten ausgeführt werden, schlägt dieser Befehl fehl.
- Starten Sie die Komponente
apigee-mtls
vor allen anderen Komponenten auf dem Knoten. Führen Sie dazu den folgenden Befehl aus:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Starten Sie die verbleibenden Apigee-Komponenten auf dem Knoten in der Startreihenfolge, wie im folgenden Beispiel gezeigt:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Wiederholen Sie diese Schritte auf allen Knoten im Cluster. Idealerweise sollten Sie dies auf allen Knoten innerhalb von 5 Minuten nach dem Start auf dem ersten Knoten tun.
Remote-Proxy-Status prüfen
Sie können Consul auf ZooKeeper-Knoten verwenden, um zu prüfen, ob die Proxy-Dienste für eingehenden und ausgehenden Traffic auf allen Knoten aktiv, fehlerfrei sind und dem Service Mesh beigetreten sind.
So prüfen Sie den Proxystatus Ihrer Knoten:
- Melden Sie sich bei einem Knoten an, auf dem ZooKeeper ausgeführt wird.
- Führen Sie den folgenden Befehl aus:
systemctl status consul_server
Quorumstatus prüfen
Die mTLS-Installation umfasst das Hinzufügen der Consul-Proxy-Dienste zu allen Knoten. Daher sollten Sie den Quorumstatus aller ZooKeeper-Knoten prüfen.
Melden Sie sich zum Prüfen des Quorumstatus bei jedem Knoten an, auf dem ZooKeeper ausgeführt wird, und führen Sie den folgenden Befehl aus:
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
Mit diesem Befehl wird eine Liste der Consul-Instanzen und ihrer Statuswerte wie im folgenden Beispiel angezeigt:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
Hier finden Sie weitere Informationen:
Darüber hinaus können Sie Informationen zum Clusterzustand abrufen, z. B. ob das Quorum des Clusters gebildet wurde und ob Remote-Mitglieder die Funktionalität beeinträchtigen. Verwenden Sie dazu den folgenden Befehl:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status