Como monitorar

Este documento descreve as técnicas de monitoramento de componentes com suporte a uma implantação local do Apigee Edge.

Visão geral

O Edge oferece suporte a várias maneiras de receber detalhes sobre os serviços e verificar os statuses deles. A tabela a seguir lista os tipos de verificações que podem ser realizadas em cada serviço qualificado:

API Mgmt
Serviço Uso da memória [JMX*] Verificação de serviço Status da implantação do usuário/organização/ axstatus Verificação do banco de dados Status de apigee-service apigee-monit**
Servidor de gerenciamento
processador de mensagens
Postgres
Qpid
Roteador
Mais informações Mais informações Mais informações Mais informações Mais informações Mais informações Mais informações

* Antes de usar o JMX, é necessário ativá-lo, conforme descrito em Ativar o JMX.

** O serviço apigee-monit verifica se um componente está ativo e tenta reiniciá-lo se ele não estiver. Para mais informações, consulte Autocorreção com o apigee-monit.

Portas de monitoramento da API Management e do JMX

Cada componente oferece suporte a chamadas de monitoramento da API de gerenciamento e JMX em diferentes portas. A tabela a seguir lista as portas JMX e da API Management para cada tipo de servidor:

Componente Porta JMX Porta da API Management
Servidor de gerenciamento 1099 8080
Roteador 1100 8081
processador de mensagens 1101 8082
Qpid 1102 8083
Postgres 1103 8084

Usar o JMX para monitorar

Os processos de monitoramento do servidor de gerenciamento, do processador de mensagens, do Qpid e do Postgres usam JMX. No entanto, a JMX é ativada por padrão apenas para o Cassandra e desativada por padrão para todos os outros componentes do Edge. Portanto, é necessário ativar o JMX individualmente para cada componente antes de monitorá-los.

A autenticação JMX não está ativada por padrão. É possível ativar a autenticação JMX para todos os componentes. Para o Cassandra, use as instruções em Ativar a autenticação JMX para o Cassandra.

Ativar JMX

A JMX é ativada por padrão apenas para o Cassandra e desativada por padrão para todos os outros componentes do Edge. Esta seção descreve como ativar o JMX para os outros componentes do Edge.

Para ativar a JMX:

  1. Edite o arquivo de configuração do componente. Esse arquivo está localizado em opt/apigee/edge-component_name/bin/start. Em ambientes de produção, esses arquivos de configuração estarão em máquinas diferentes.

    Escolha um dos seguintes locais de arquivo em cada servidor:

    • Servidor de gerenciamento: /opt/apigee/edge-management-server/bin/start
    • Processador de mensagens: /opt/apigee/edge-message-processor/bin/start
    • Postgres: /opt/apigee/edge-postgres-server/bin/start
    • Qpid: /opt/apigee/edge-qpid-server/bin/start
    • Roteador: /opt/apigee/edge-router/bin/start

    Por exemplo, o arquivo de configuração do servidor de gerenciamento no servidor está em /opt/apigee/edge-management-server/bin/start.

  2. Adicione as seguintes opções com.sun.management.jmxremote à linha exec que inicia o componente: 
    -Dcom.sun.management.jmxremote \
  -Dcom.sun.management.jmxremote.port=port_number \
  -Dcom.sun.management.jmxremote.local.only=false \
  -Dcom.sun.management.jmxremote.authenticate=false \
  -Dcom.sun.management.jmxremote.ssl=false

    Em que port_number é a porta JMX do serviço. Para conferir o número da porta JMX do seu serviço, consulte Portas de monitoramento da API JMX e Management.

    Por exemplo, para ativar o JMX no servidor de gerenciamento, adicione o seguinte ao arquivo de configuração do servidor de gerenciamento:

    exec $JAVA -classpath "$classpath" -Xms$min_mem -Xmx$max_mem $xx_opts \
  -Djava.security.auth.login.config=$conf_path/jaas.config \
  -Dinstallation.dir=$install_dir $sys_props -Dconf.dir=$conf_path \
  -Ddata.dir=$data_dir \
  -Dcom.sun.management.jmxremote \
  -Dcom.sun.management.jmxremote.port=1099 \
  -Dcom.sun.management.jmxremote.local.only=false \
  -Dcom.sun.management.jmxremote.authenticate=false \
  -Dcom.sun.management.jmxremote.ssl=false \
   $* $debug_options com.apigee.kernel.MicroKernel

    Este exemplo especifica a porta 1099 para o servidor de gerenciamento. Como mencionado anteriormente, cada serviço tem o próprio número de porta.

    A linha editada no arquivo de configuração tem a seguinte aparência:

    exec $JAVA -classpath "$classpath" -Xms$min_mem -Xmx$max_mem $xx_opts -Djava.security.auth.login.config=$conf_path/jaas.config -Dinstallation.dir=$install_dir $sys_props -Dconf.dir=$conf_path -Ddata.dir=$data_dir -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=1099 -Dcom.sun.management.jmxremote.local.only=false -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl=false $* $debug_options com.apigee.kernel.MicroKernel
  3. Salve o arquivo de configuração.
  4. Reinicie o componente com o comando restart.

    Por exemplo, para reiniciar o servidor de gerenciamento, execute o seguinte comando:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

A autenticação para JMX não está ativada por padrão. É possível ativar a autenticação JMX para todos os componentes, conforme descrito em Ativar a autenticação JMX. Para ativar a autenticação JMX do Cassandra, consulte Ativar a autenticação JMX do Cassandra.

Ativar a autenticação JMX

A autenticação JMX não está ativada por padrão. É possível ativar a autenticação JMX para todos os componentes. Para o Cassandra, use as instruções em Ativar a autenticação JMX para o Cassandra

Para ativar a autenticação JMX, execute a seguinte ação change_jmx_auth em todos os nós:

/opt/apigee/apigee-service/bin/apigee-service component_name change_jmx_auth [options|-f config_file]

Em que:

  • component é um dos seguintes:
    • edge-management-server
    • edge-message-processor
    • edge-postgres-server
    • edge-qpid-server
    • edge-router
  • options especifica o seguinte:
    • -u username
    • -p password
    • -e [y|n] (ativar ou desativar)
  • config_file especifica o local de um arquivo de configuração em que você define o seguinte:
    • JMX_USERNAME=username
    • JMX_ENABLED=y|n
    • JMX_PASSWORD=password (se não for definido ou não for transmitido com -p, você receberá uma solicitação)

É possível usar as opções da linha de comando ou o arquivo de configuração para definir o nome de usuário, a senha e o estado de ativação/desativação. Você não especifica um conjunto de opções e um arquivo de configuração.

O exemplo a seguir ativa a autenticação JMX para o servidor de gerenciamento usando as opções de linha de comando:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server
    change_jmx_auth -u foo -p bar -e y

O exemplo a seguir usa um arquivo de configuração em vez de opções de linha de comando:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server
    change_jmx_auth -f /tmp/my-config-file

Se você estiver executando o Edge em vários nós, execute o comando em todos os nós, especificando o mesmo nome de usuário e senha.

Para desativar a autenticação JMX na linha de comando, use a opção "-e n", conforme mostrado no exemplo abaixo:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server
    change_jmx_auth -e n

Monitorar com o JConsole

Use o JConsole (uma ferramenta compatível com JMX) para gerenciar e monitorar verificações de integridade e processar estatísticas. Com o JConsole, é possível consumir estatísticas JMX expostas pelos servidores e exibi-las em uma interface gráfica. Para mais informações, consulte Como usar o JConsole.

O JConsole usa o seguinte URL de serviço para monitorar os atributos JMX (MBeans) oferecidos pelo JMX:

service:jmx:rmi:///jndi/rmi://IP_address:port_number/jmxrmi

Em que:

  • IP_address é o endereço IP do servidor que você quer monitorar.
  • port_number é o número da porta JMX do servidor que você quer monitorar.

Por exemplo, para monitorar o servidor de gerenciamento, emita um comando como este (supondo que o endereço IP do servidor seja 216.3.128.12):

service:jmx:rmi:///jndi/rmi://216.3.128.12:1099/jmxrmi

Este exemplo especifica a porta 1099, que é a porta JMX do servidor de gerenciamento. Para outras portas, consulte Portas de monitoramento da API Management e JMX.

A tabela a seguir mostra as estatísticas genéricas do JMX:

JMX MBeans Atributos JMX

Memória

HeapMemoryUsage

NonHeapMemoryUsage

Uso

Monitorar com a API Management

O Edge inclui várias APIs que podem ser usadas para verificar serviços nos servidores, bem como verificar usuários, organizações e implantações. Esta seção descreve essas APIs.

Realizar verificações de serviço

A API Management oferece vários endpoints para monitorar e diagnosticar problemas com seus serviços. Esses endpoints incluem:

Endpoint Descrição
/servers/self/up

Verifica se um serviço está em execução. Essa chamada de API não exige autenticação.

Se o serviço estiver em execução, esse endpoint vai retornar a seguinte resposta:

<ServerField>
  <Up>true</Up>
</ServerField>

Se o serviço não estiver em execução, você receberá uma resposta semelhante a esta, dependendo do serviço e de como você o verificou:

curl: Failed connect to localhost:port_number; Connection refused
/servers/self

Retorna informações sobre o serviço, incluindo:

  • Propriedades de configuração
  • Horário de início e horário de atividade
  • Informações sobre build, RPM e UUID
  • Nome de host interno e externo e endereço IP
  • Região e pod
  • Propriedade <isUp>, que indica se o serviço está em execução

Essa chamada de API exige que você se autentique com suas credenciais de administrador do Apigee.

Para usar esses endpoints, invoque um utilitário como curl com comandos que usam a seguinte sintaxe:

curl http://host:port_number/v1/servers/self/up -H "Accept: [application/json|application/xml]"
curl http://host:port_number/v1/servers/self -u username:password -H "Accept: [application/json|application/xml]"

Em que:

  • host é o endereço IP do servidor que você quer verificar. Se você estiver conectado ao servidor, use "localhost". Caso contrário, especifique o endereço IP do servidor, bem como o nome de usuário e a senha.
  • port_number é a porta da API Management para o servidor que você quer verificar. Essa é uma porta diferente para cada tipo de componente. Por exemplo, a porta da API Management do servidor de gerenciamento é 8080. Para conferir uma lista de números de porta da API Management a serem usados, consulte Portas de monitoramento da API Management e JMX.

Para alterar o formato da resposta, especifique o cabeçalho Accept como "application/json" ou "application/xml".

O exemplo a seguir recebe o status do roteador no localhost (porta 8081):

curl http://localhost:8081/v1/servers/self/up -H "Accept: application/xml"

O exemplo a seguir recebe informações sobre o processador de mensagens em 216.3.128.12 (porta 8082):

curl http://216.3.128.12:8082/v1/servers/self -u sysAdminEmail:password
  -H "Accept: application/xml"

Monitorar o status do usuário, da organização e da implantação

Use a API de gerenciamento para monitorar o status do usuário, da organização e da implantação de seus proxies em servidores de gerenciamento e processadores de mensagens executando os seguintes comandos:

curl http://host:port_number/v1/users -u sysAdminEmail:password
curl http://host:port_number/v1/organizations -u sysAdminEmail:password
curl http://host:port_number/v1/organizations/orgname/deployments -u sysAdminEmail:password

Em que port_number é 8080 para o servidor de gerenciamento ou 8082 para o processador de mensagens.

Essa chamada exige que você faça a autenticação com o nome de usuário e a senha de administração do sistema.

O servidor retornará o status "implantado" em todas as chamadas. Se eles falharem, faça o seguinte:

  1. Verifique se há erros nos registros do servidor. Os registros estão localizados em:
    • Servidor de gerenciamento: opt/apigee/var/log/edge-management-server
    • Processador de mensagens: opt/apigee/var/log/edge-message-processor
  2. Faça uma chamada ao servidor para verificar se ele está funcionando corretamente.
  3. Remova o servidor do ELB e reinicie-o: 
    /opt/apigee/apigee-service/bin/apigee-service service_name restart

    Onde service_name é:

    • edge-management-server
    • edge-message-processor

Verificar o status com o comando apigee-service

É possível resolver problemas nos serviços do Edge usando o comando apigee-service quando você está conectado ao servidor que executa o serviço.

Para verificar o status de um serviço com apigee-service:

  1. Faça login no servidor e execute o seguinte comando: 
    /opt/apigee/apigee-service/bin/apigee-service service_name status

    Em que service_name é um dos seguintes:

    • Servidor de gerenciamento: edge-management-server
    • Processador de mensagens: edge-message-processor
    • Postgres: edge-postgres-server
    • Qpid: edge-qpid-server
    • Roteador: edge-router

    Exemplo:

    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor status
  2. Se o serviço não estiver em execução, inicie-o: 
    /opt/apigee/apigee-service/bin/apigee-service service_name start
  3. Depois de reiniciar o serviço, verifique se ele está funcionando usando o comando apigee-service status usado anteriormente ou a API Management descrita em Monitorar com a API Management.

    Exemplo:

    curl -v http://localhost:port_number/v1/servers/self/up

    em que port_number é a porta da API Management para o serviço.

    Neste exemplo, presumimos que você tenha feito login no servidor e possa usar "localhost" como nome do host. Para verificar o status remotamente com a API de gerenciamento, você precisa especificar o endereço IP do servidor e incluir o nome de usuário e a senha do administrador do sistema na chamada de API.

Monitoramento do Postgres

O Postgres oferece suporte a vários utilitários que podem ser usados para verificar o status dele. Esses utilitários são descritos nas seções a seguir.

Verificar organizações e ambientes no Postgres

É possível verificar os nomes de organização e ambiente integrados no servidor Postgres emitindo o seguinte comando curl:

curl -v http://postgres_IP:8084/v1/servers/self/organizations

O sistema vai mostrar o nome da organização e do ambiente.

Verificar o status da análise

Para verificar o status dos servidores de análise Postgres e Qpid, emita o seguinte comando curl:

curl -u userEmail:password http://host:port_number/v1/organizations/orgname/environments/envname/provisioning/axstatus

O sistema vai mostrar um status de sucesso para todos os servidores de análise, como mostra o exemplo abaixo:

{
  "environments" : [ {
    "components" : [ {
      "message" : "success at Thu Feb 28 10:27:38 CET 2013",
      "name" : "pg",
      "status" : "SUCCESS",
      "uuid" : "[c678d16c-7990-4a5a-ae19-a99f925fcb93]"
     }, {
      "message" : "success at Thu Feb 28 10:29:03 CET 2013",
      "name" : "qs",
      "status" : "SUCCESS",
      "uuid" : "[ee9f0db7-a9d3-4d21-96c5-1a15b0bf0adf]"
     } ],
    "message" : "",
    "name" : "prod"
   } ],
  "organization" : "acme",
  "status" : "SUCCESS"
}

Banco de dados PostgreSQL

Nesta seção, descrevemos as técnicas que podem ser usadas especificamente para monitorar o banco de dados do Postgres.

Usar o script check_postgres.pl

Para monitorar o banco de dados PostgreSQL, use um script de monitoramento padrão, check_postgres.pl. Para mais informações, consulte http://bucardo.org/wiki/Check_postgres.

Antes de executar o script:

  1. É necessário instalar o script check_postgres.pl em cada nó do Postgres.
  2. Verifique se você instalou o perl-Time-HiRes.x86_64, um módulo Perl que implementa alarme de alta resolução, sleep, gettimeofday e timers de intervalo. Por exemplo, é possível instalá-lo usando o seguinte comando:
    yum install perl-Time-HiRes.x86_64
  3. CentOS 7: antes de usar o check_postgres.pl no CentOS v7, instale a RPM perl-Data-Dumper.x86_64.

saída de check_postgres.pl

A saída padrão das chamadas de API que usam check_postgres.pl é compatível com o Nagios. Depois de instalar o script, faça as seguintes verificações:

  1. Verifique o tamanho do banco de dados: 
    check_postgres.pl -H 10.176.218.202 -db apigee -u apigee -dbpass postgres -include=apigee -action database_size --warning='800 GB' --critical='900 GB'
  2. Confira o número de conexões recebidas no banco de dados e compare com o número máximo de conexões permitidas: 
    check_postgres.pl -H 10.176.218.202 -db apigee -u apigee -dbpass postgres -action backends
  3. Verifique se o banco de dados está em execução e disponível: 
    check_postgres.pl -H 10.176.218.202 -db apigee -u apigee -dbpass postgres -action connection
  4. Verifique o espaço em disco: 
    check_postgres.pl -H 10.176.218.202 -db apigee -u apigee -dbpass postgres -action disk_space --warning='80%' --critical='90%'
  5. Confira o número de organizações e ambientes integrados em um nó do Postgres: 
    check_postgres.pl -H 10.176.218.202 -db apigee -u apigee -dbpass postgres -action=custom_query --query="select count(*) as result from pg_tables where schemaname='analytics' and tablename like '%fact'" --warning='80' --critical='90' --valtype=integer

Executar verificações do banco de dados

É possível verificar se as tabelas corretas foram criadas no banco de dados do PostgreSQL. Faça login no banco de dados do PostgreSQL usando o seguinte comando:

psql -h /opt/apigee/var/run/apigee-postgresql/ -U apigee -d apigee

Depois, execute:

\d analytics."org.env.fact"

Verificar o status de integridade do processo postgres

É possível realizar verificações de API na máquina Postgres invocando o seguinte comando curl:

curl -v http://postgres_IP:8084/v1/servers/self/health

Esse comando retorna o status ACTIVE quando o processo postgres está ativo. Se o processo do Postgres não estiver em execução, ele retornará o status INACTIVE.

Recursos do Postgres

Para mais informações sobre como monitorar o serviço do Postgres, consulte:

Apache Cassandra

O JMX é ativado por padrão para o Cassandra, e o acesso remoto do JMX ao Cassandra não requer uma senha.

Ativar a autenticação JMX para o Cassandra

Você pode ativar a autenticação JMX para o Cassandra. Depois disso, será necessário transmitir um nome de usuário e uma senha para todas as chamadas ao utilitário nodetool.

Para ativar a autenticação JMX para o Cassandra:

  1. Crie e edite o arquivo cassandra.properties:
    1. Edite o arquivo /opt/apigee/customer/application/cassandra.properties. Se o arquivo não existir, crie-o.
    2. Adicione o seguinte ao arquivo: 
      conf_cassandra-env_com.sun.management.jmxremote.authenticate=true
conf_cassandra-env_com.sun.management.jmxremote.password.file=${APIGEE_ROOT}/data/apigee-cassandra/jmxremote.password
conf_cassandra-env_com.sun.management.jmxremote.access.file=${APIGEE_ROOT}/data/apigee-cassandra/jmxremote.access
    3. Salve o arquivo cassandra.properties.
    4. Mude o proprietário do arquivo para apigee:apigee, conforme mostrado no exemplo a seguir: 
      chown apigee:apigee /opt/apigee/customer/application/cassandra.properties

    Para mais informações sobre como usar arquivos de propriedades para definir tokens, consulte Como configurar o Edge.

  2. Criar e editar jmx_auth.sh:
    1. Crie um arquivo no seguinte local, se ele não existir: 
      /opt/apigee/customer/application/jmx_auth.sh
    2. Adicione as seguintes propriedades ao arquivo: 
      export CASS_JMX_USERNAME=JMX_USERNAME
export CASS_JMX_PASSWORD=JMX_PASSWORD
    3. Salve o arquivo jmx_auth.sh.
    4. Origine o arquivo: 
      source /opt/apigee/customer/application/jmx_auth.sh
  3. Copie e edite o arquivo jmxremote.password:
    1. Copie o seguinte arquivo do diretório $JAVA_HOME para /opt/apigee/data/apigee-cassandra/: 
      cp ${JAVA_HOME}/lib/management/jmxremote.password.template $APIGEE_ROOT/data/apigee-cassandra/jmxremote.password
    2. Edite o arquivo jmxremote.password e adicione seu nome de usuário e senha do JMX usando a seguinte sintaxe: 
      JMX_USERNAME JMX_PASSWORD

      Em que JMX_USERNAME e JMX_PASSWORD são o nome de usuário e a senha do JMX que você definiu anteriormente.

    3. Verifique se o arquivo é de "apigee" e se o modo do arquivo é 400: 
      chown apigee:apigee /opt/apigee/data/apigee-cassandra/jmxremote.password
chmod 400 /opt/apigee/data/apigee-cassandra/jmxremote.password
  4. Copie e edite o arquivo jmxremote.access:
    1. Copie o seguinte arquivo do diretório $JAVA_HOME para /opt/apigee/data/apigee-cassandra/: 
      cp ${JAVA_HOME}/lib/management/jmxremote.access $APIGEE_ROOT/data/apigee-cassandra/jmxremote.access
    2. Edite o arquivo jmxremote.access e adicione a seguinte função: 
      JMX_USERNAME readwrite
    3. Verifique se o arquivo é de propriedade de "apigee" e se o modo do arquivo é 400: 
      chown apigee:apigee /opt/apigee/data/apigee-cassandra/jmxremote.access
chmod 400 /opt/apigee/data/apigee-cassandra/jmxremote.access
  5. Execute configure no Cassandra: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
  6. Reinicie o Cassandra: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart
  7. Repita esse processo em todos os outros nós do Cassandra.

Ativar a criptografia de senha JMX

Para ativar a criptografia de senha JMX, siga estas etapas:

  1. Abra o arquivo source/conf/casssandra-env.sh.
  2. Remova a marca de comentário das seguintes linhas no arquivo:
    • JVM_OPTS="$JVM_OPTS -Djava.security.auth.login.config={T}conf_cassandra-env_java.security.auth.login.config{/T}"
    • JVM_OPTS="$JVM_OPTS -Dcom.sun.management.jmxremote.login.config=ApigeeSecureFileLoginModule"
  3. Na linha de comando, gere hashes SHA1 das senhas desejadas digitando echo -n 'Secret' | openssl dgst -sha1
  4. Defina as senhas de acordo com o nome de usuário no jmxremote.password.
  5. Mude o arquivo cassandra-env.sh de volta para leitura somente após a atualização.

Ativar o JMX com SSL para o Cassandra

Ativar o JMX com SSL oferece mais segurança e criptografia para comunicação baseada em JMX com o Cassandra. Para ativar o JMX com SSL, você precisa fornecer uma chave e um certificado ao Cassandra para aceitar conexões JMX baseadas em SSL. Você também precisa configurar o nodetool (e qualquer outra ferramenta que se comunique com o Cassandra por JMX) para SSL.

O JMX ativado para SSL oferece suporte a senhas JMX criptografadas e de texto simples.

Para ativar o JMX com SSL para o Cassandra, use o seguinte procedimento:

  1. Ative a JMX. Ative a criptografia de senha, se necessário.
  2. Ative a autenticação JMX para o Cassandra. conforme descrito acima. Verifique se o nodetool está funcionando com o nome de usuário e a senha configurados. 
    /opt/apigee/apigee-cassandra/bin/nodetool -u <JMX_USER> -pw <JMX_PASS> ring

  3. Prepare o keystore e o truststore.

    • O keystore deve conter uma chave e um certificado e é usado para configurar o servidor do Cassandra. Se o keystore tiver vários pares de chaves, o Cassandra vai usar o primeiro par de chaves para ativar o SSL.

      As senhas do keystore e da chave precisam ser as mesmas (o padrão ao gerar a chave usando o keytool).

    • O Truststore deve conter apenas o certificado e é usado por clientes (comandos baseados em serviço da Apigee ou nodetool) para se conectarem pelo JMX.

    Depois de verificar os requisitos acima:

    1. Coloque o arquivo de keystore em /opt/apigee/data/apigee-cassandra.
    2. Para garantir que o arquivo keystore seja legível apenas pelo usuário da Apigee, digite 
      chown apigee:apigee /opt/apigee/data/apigee-cassandra/keystore.node1
chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node1
  4. Configure o Cassandra para JMX com SSL seguindo estas etapas:
    1. Pare o nó do Cassandra digitando 
      apigee-service apigee-cassandra stop
    2. Ative o SSL no Cassandra abrindo o arquivo /opt/apigee/customer/application/cassandra.properties e adicionando a seguinte linha: 
      conf_cassandra-env_com.sun.management.jmxremote.ssl=true

      O arquivo precisa pertencer a apigee:apigee.

    3. Ative a configuração relacionada ao SSL no Cassandra da seguinte maneira. Abra o arquivo /opt/apigee/apigee-cassandra/source/conf/cassandra-env.sh e remova a marca de comentário das linhas a seguir, alterando o caminho /opt/apigee/data/apigee-cassandra/keystore.node1 e a senha do keystore conforme necessário. 
      JVM_OPTS="$JVM_OPTS -Djavax.net.ssl.keyStore=/opt/apigee/data/apigee-cassandra/keystore.node1"
JVM_OPTS="$JVM_OPTS -Djavax.net.ssl.keyStorePassword=keystore-password"
JVM_OPTS="$JVM_OPTS -Dcom.sun.management.jmxremote.registry.ssl=true"
      Verifique se o arquivo pertence a apigee:apigee.
    4. Inicie o nó do Cassandra digitando 
      apigee-service apigee-cassandra start
  5. Configure os comandos apigee-service do Cassandra. É necessário definir determinadas variáveis de ambiente ao executar comandos apigee-service, incluindo estes: 
    apigee-service apigee-cassandra stop
apigee-service apigee-cassandra wait_for_ready
apigee-service apigee-cassandra ring
apigee-service apigee-cassandra backup

    Há várias opções para configurar apigee-service para autenticação JMX e SSL. Escolha uma opção com base na usabilidade e nas suas práticas de segurança.

    Opção 1 (argumentos SSL armazenados em arquivo)

    Configure as variáveis de ambiente a seguir:

    export CASS_JMX_USERNAME=ADMIN
# Provide encrypted password here if you have setup JMX password encryption
export CASS_JMX_PASSWORD=PASSWORD
export CASS_JMX_SSL=Y

    Crie um arquivo no diretório principal do usuário da Apigee (/opt/apigee). 

    $HOME/.cassandra/nodetool-ssl.properties

    Edite o arquivo e adicione as seguintes linhas:

    -Djavax.net.ssl.trustStore=<path-to-truststore.node1>
-Djavax.net.ssl.trustStorePassword=<truststore-password>
-Dcom.sun.management.jmxremote.registry.ssl=true

    Verifique se o arquivo trustore pode ser lido pelo usuário da Apigee.

    Execute o seguinte comando apigee-service. Se ele for executado sem erros, as configurações estão corretas.

    apigee-service apigee-cassandra ring

    Opção 2 (argumentos SSL armazenados em variáveis de ambiente)

    Configure as variáveis de ambiente a seguir:

    export CASS_JMX_USERNAME=ADMIN
# Provide encrypted password here if you have setup JMX password encryption
export CASS_JMX_PASSWORD=PASSWORD
export CASS_JMX_SSL=Y
# Ensure the truststore file is accessible by Apigee user.
export CASS_JMX_TRUSTSTORE=<path-to-trustore.node1>
export CASS_JMX_TRUSTSTORE_PASSWORD=<truststore-password>

    Execute o seguinte comando apigee-service. Se ele for executado sem erros, as configurações estão corretas. 

    apigee-service apigee-cassandra ring

    Opção 3 (argumentos SSL transmitidos diretamente para apigee-service)

    Execute qualquer comando apigee-service, como o abaixo. Não é necessário configurar variáveis de ambiente.

    CASS_JMX_USERNAME=ADMIN CASS_JMX_PASSWORD=PASSWORD CASS_JMX_SSL=Y CASS_JMX_TRUSTSTORE=<path-to-trustore.node1> CASS_JMX_TRUSTSTORE_PASSWORD=<trustore-password> /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra ring

  6. Configure o nodetool. O Nodetool requer que os parâmetros JMX sejam passados para ele. Há duas maneiras de configurar o nodetool para ser executado com JMX ativado para SSL, conforme descrito nas opções de configuração abaixo:

    As opções diferem na maneira como as configurações relacionadas ao SSL são passadas para o nodetool. Em ambos os casos, o usuário que executa o nodetool precisa ter permissões de READ no arquivo truststore. Escolha uma opção adequada com base na usabilidade e nas suas práticas de segurança.

    Para saber mais sobre os parâmetros do nodetool, consulte a documentação do DataStax.

    Opção de configuração 1

    Crie um arquivo no diretório principal do usuário que está executando o nodetool.

    $HOME/.cassandra/nodetool-ssl.properties

    Adicione as seguintes linhas ao arquivo:

    -Djavax.net.ssl.trustStore=<path-to-truststore.node1>
-Djavax.net.ssl.trustStorePassword=<truststore-password>
-Dcom.sun.management.jmxremote.registry.ssl=true

    O caminho do truststore especificado acima deve ser acessível por qualquer usuário que execute o nodetool.

    Execute nodetool com a opção --ssl.

    /opt/apigee/apigee-cassandra/bin/nodetool --ssl -u <jmx-user-name> -pw <jmx-user-password> -h localhost ring

    Opção de configuração 2

    Execute nodetool como um único comando com os parâmetros extras listados abaixo.

    /opt/apigee/apigee-cassandra/bin/nodetool -Djavax.net.ssl.trustStore=<path-to-truststore.node1> -Djavax.net.ssl.trustStorePassword=<truststore-password> -Dcom.sun.management.jmxremote.registry.ssl=true -Dssl.enable=true -u <jmx-user-name> -pw <jmx-user-password> -h localhost ring

Reverter configurações de SSL

Se você precisar reverter as configurações SSL descritas no procedimento acima, siga estas etapas:

  1. Parar apigee-cassandra digitando 
    apigee-service apigee-cassandra stop
  2. Remova a linha conf_cassandra-env_com.sun.management.jmxremote.ssl=true do arquivo /opt/apigee/customer/application/cassandra.properties.
  3. Marque as seguintes linhas como comentários em /opt/apigee/apigee-cassandra/source/conf/cassandra-env.sh 
    # JVM_OPTS="$JVM_OPTS -Djavax.net.ssl.keyStore=/opt/apigee/data/apigee-cassandra/keystore.node0"
# JVM_OPTS="$JVM_OPTS -Djavax.net.ssl.keyStorePassword=keypass"
# JVM_OPTS="$JVM_OPTS -Dcom.sun.management.jmxremote.registry.ssl=true”
  4. Comece a apigee-cassandra digitando
    5. apigee-service apigee-cassandra start
  5. Remova a variável de ambiente CASS_JMX_SSL, se ela tiver sido definida.

    unset CASS_JMX_SSL
  6. Verifique se os comandos baseados em apigee-service, como ring, stop, backup e assim por diante, estão funcionando.
  7. Parar de usar a chave --ssl com o nodetool

Desativar a autenticação JMX para o Cassandra

Para desativar a autenticação JMX do Cassandra:

  1. Editar /opt/apigee/customer/application/cassandra.properties.
  2. Remova a seguinte linha do arquivo: 
    conf_cassandra-env_com.sun.management.jmxremote.authenticate=true
  3. Execute a configuração no Cassandra: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
  4. Reinicie o Cassandra: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart
  5. Repita esse processo em todos os outros nós do Cassandra.

Usar o JConsole: monitorar estatísticas de tarefas

Use o JConsole e o URL de serviço a seguir para monitorar os atributos JMX (MBeans) oferecidos pelo JMX:

service:jmx:rmi:///jndi/rmi://IP_address:7199/jmxrmi

Em que IP_address é o IP do servidor Cassandra.

Estatísticas do JMX do Cassandra

MBeans do JMX Atributos JMX

ColumnFamilies/apprepo/environments

ColumnFamilies/apprepo/organizations

ColumnFamilies/apprepo/apiproxy_revisions

ColumnFamilies/apprepo/apiproxies

ColumnFamilies/audit/audits

ColumnFamilies/audit/audits_ref

PendingTasks

MemtableColumnsCount

MemtableDataSize

ReadCount

RecentReadLatencyMicros

TotalReadLatencyMicros

WriteCount

RecentWriteLatencyMicros

TotalWriteLatencyMicros

TotalDiskSpaceUsed

LiveDiskSpaceUsed

LiveSSTableCount

BloomFilterFalsePositives

RecentBloomFilterFalseRatio

BloomFilterFalseRatio

Usar o nodetool para gerenciar os nós do cluster

O utilitário nodetool é uma interface de linha de comando do Cassandra que gerencia nós de cluster. O utilitário pode ser encontrado em /opt/apigee/apigee-cassandra/bin.

As seguintes chamadas podem ser feitas em todos os nós de cluster do Cassandra:

  1. Informações gerais do anel (também possível para um único nó do Cassandra): procure "Up" e "Normal" para todos os nós. 
    nodetool [-u username -pw password] -h localhost ring

    Você só precisa transmitir seu nome de usuário e senha se tiver ativado a autenticação JMX para o Cassandra.

    A saída do comando acima é mostrada abaixo: 

    Datacenter: dc-1
==========
Address            Rack     Status State   Load    Owns    Token
192.168.124.201    ra1      Up     Normal  1.67 MB 33,33%  0
192.168.124.202    ra1      Up     Normal  1.68 MB 33,33%  5671...5242
192.168.124.203    ra1      Up     Normal  1.67 MB 33,33%  1134...0484

  2. Informações gerais sobre nós (chamada por nó) 
    nodetool [-u username -pw password]  -h localhost info

    A saída do comando acima é semelhante a esta:

    ID                     : e2e42793-4242-4e82-bcf0-oicu812
Gossip active          : true
Thrift active          : true
Native Transport active: true
Load                   : 273.71 KB
Generation No          : 1234567890
Uptime (seconds)       : 687194
Heap Memory (MB)       : 314.62 / 3680.00
Off Heap Memory (MB)   : 0.14
Data Center            : dc-1
Rack                   : ra-1
Exceptions             : 0
Key Cache              : entries 150, size 13.52 KB, capacity 100 MB, 1520781 hits, 1520923 requests, 1.000 recent hit rate, 14400 save period in seconds
Row Cache              : entries 0, size 0 bytes, capacity 0 bytes, 0 hits, 0 requests, NaN recent hit rate, 0 save period in seconds
Counter Cache          : entries 0, size 0 bytes, capacity 50 MB, 0 hits, 0 requests, NaN recent hit rate, 7200 save period in seconds
Token                  : 0
  3. Status do servidor thrift (servindo a API do cliente) 
    nodetool [-u username -pw password] -h localhost statusthrift

    A saída do comando acima será semelhante a esta:

    running

  4. Status das operações de streaming de dados: observe o tráfego dos nós do Cassandra: 
    nodetool [-u username -pw password] -h localhost netstats

    A saída do comando acima vai ser semelhante a esta:

    Mode: NORMAL
Not sending any streams.
Read Repair Statistics:
Attempted: 151612
Mismatch (Blocking): 0
Mismatch (Background): 0
Pool Name                    Active   Pending      Completed   Dropped
Commands                        n/a         0              0         0
Responses                       n/a         0              0       n/a

Para mais informações sobre o nodetool, consulte Sobre o utilitário nodetool.

Recurso do Cassandra

Acesse o seguinte URL: http://www.datastax.com/docs/1.0/operations/monitoring.

Apache ZooKeeper

Verificar o status do ZooKeeper

  1. Verifique se o processo ZooKeeper está em execução. O ZooKeeper grava um arquivo PID em opt/apigee/var/run/apigee-zookeeper/apigee-zookeeper.pid.
  2. Teste as portas do ZooKeeper para garantir que você possa estabelecer uma conexão TCP com as portas 2181 e 3888 em todos os servidores do ZooKeeper.
  3. Verifique se você consegue ler valores do banco de dados do ZooKeeper. Conecte-se usando uma biblioteca de cliente do ZooKeeper (ou /opt/apigee/apigee-zookeeper/bin/zkCli.sh) e leia um valor do banco de dados.
  4. Verifique o status: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-zookeeper status

Usar palavras de quatro letras do ZooKeeper

O ZooKeeper pode ser monitorado por um pequeno conjunto de comandos (palavras de quatro letras) enviados para a porta 2181 usando o netcat (nc) ou o telnet.

Para mais informações sobre os comandos do ZooKeeper, consulte: Referência de comandos do Apache ZooKeeper.

Exemplo:

  • srvr: lista os detalhes completos do servidor.
  • stat: lista detalhes breves do servidor e dos clientes conectados.

Os seguintes comandos podem ser emitidos para a porta do ZooKeeper:

  1. Execute o comando de quatro letras "ruok" para testar se o servidor está em execução sem erros. Uma resposta bem-sucedida retorna "imok". 
    echo ruok | nc host 2181

    Retorna:

    imok
  2. Execute o comando de quatro letras, stat, para listar a performance do servidor e as estatísticas dos clientes conectados: 
    echo stat | nc host 2181

    Retorna:

    Zookeeper version: 3.4.5-1392090, built on 09/30/2012 17:52 GMT
Clients:
/0:0:0:0:0:0:0:1:33467[0](queued=0,recved=1,sent=0)
/192.168.124.201:42388[1](queued=0,recved=8433,sent=8433)
/192.168.124.202:42185[1](queued=0,recved=1339,sent=1347)
/192.168.124.204:39296[1](queued=0,recved=7688,sent=7692)
Latency min/avg/max: 0/0/128
Received: 26144
Sent: 26160
Connections: 4
Outstanding: 0
Zxid: 0x2000002c2
Mode: follower
Node count: 283
  3. Se o netcat (nc) não estiver disponível, use o Python como alternativa. Crie um arquivo chamado zookeeper.py que contenha o seguinte: 
          import time, socket, sys
      c = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
      c.connect((sys.argv[1], 2181))
      c.send(sys.argv[2])
      time.sleep(0.1)
      print c.recv(512)

    Agora execute estas linhas Python:

    python zookeeper.py 192.168.124.201 ruok
python zookeeper.py 192.168.124.201 stat

Teste no nível do LDAP

É possível monitorar o OpenLDAP para saber se as solicitações específicas são atendidas corretamente. Em outras palavras, verifique se há uma pesquisa específica que retorna o resultado correto.

  1. Use ldapsearch (yum install openldap-clients) para consultar a entrada do administrador do sistema. Essa entrada é usada para autenticar todas as chamadas de API. 
    ldapsearch -b "uid=admin,ou=users,ou=global,dc=apigee,dc=com" -x -W -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -LLL

    Em seguida, você precisará digitar a senha de administrador do LDAP:

    Enter LDAP Password:

    Depois de inserir a senha, você verá uma resposta no formulário:

    dn:
uid=admin,ou=users,ou=global,dc=apigee,dc=com
objectClass: organizationalPerson
objectClass: person
objectClass: inetOrgPerson
objectClass: top
uid: admin
cn: admin
sn: admin
userPassword:: e1NTSEF9bS9xbS9RbVNXSFFtUWVsU1F0c3BGL3BQMkhObFp2eDFKUytmZVE9PQ=
 =
mail: opdk@google.com
  2. Verifique se o servidor de gerenciamento ainda está conectado ao LDAP com o seguinte comando: 
    curl -u userEMail:password http://localhost:8080/v1/users/ADMIN

    Retorna:

    {
  "emailId" : ADMIN,
  "firstName" : "admin",
  "lastName" : "admin"
}

Também é possível monitorar os caches do OpenLDAP, que ajudam a reduzir o número de acessos ao disco e, portanto, melhoram o desempenho do sistema. Monitorar e ajustar o tamanho do cache no servidor OpenLDAP pode afetar bastante o desempenho do servidor de diretório. Você pode conferir os arquivos de registro (opt/apigee/var/log) para saber mais sobre o cache.