始める前に

このセクションでは、Apigee mTLS をインストールする前に行う必要がある要件以外の追加タスクについて説明します。これらのタスクは次のとおりです。

  • localhost が無効になっていないことを確認する。
  • クラスタ内のすべてのノードでデフォルトのファイアウォール サービス(多くの場合、firewalld)を iptables に置き換える。
  • Cassandra、Zookeeper、Postgres のデータをバックアップする。

以降のセクションで、これらの各タスクについて説明します。

Cassandra、Zookeeper、Postgres のデータをバックアップする

Apigee mTLS のインストールまたは構成時に、Cassandra と Postgres がそれぞれのノードに再インストールされます。そのため、次のコンポーネントのデータをバックアップする必要があります。

  • apigee-cassandra
  • apigee-postgresql
  • apigee-zookeeper

クラスタに ZooKeeper を再インストールすることはありませんが、Apigee mTLS をインストールする前に ZooKeeper のデータをバックアップすることをおすすめします。

これらのコンポーネントのデータをバックアップする方法については、バックアップ方法をご覧ください。

ループバック アドレスが有効になっていることを確認する

Apigee mTLS を使用するには、localhost ループバック アドレスが有効になっている必要があります。IP アドレス 127.0.0.1 がルーティング可能であること、クラスタ内のすべてのノードでそれが localhost に解決されることが必要です。サービス メッシュ内の Consul プロキシ サーバーはこれに依存します。

以前に localhost ループバック アドレスを無効にした場合は、クラスタ内のすべてのノードでこのアドレスを再度有効にする必要があります。

デフォルトのファイアウォールを置き換える

CentOS と RedHat Enterprise Linux(RHEL)のデフォルト ファイアウォールは firewalld です。ただし、Apigee mTLS を使用するには、代わりにファイアウォールとして iptables を使用する必要があります。そのため、以下の作業が必要になります。

  1. firewalld を無効にして削除します(インストールされている場合)。

    かつ

  2. 各ノードに iptables をインストールし、実行中であることを確認します。

このセクションでは、これらの作業を行う方法を説明します。

どのノードからどのノードの順序で作業を行うかは重要ではありません。

firewalld をアンインストールし、iptables がインストール済みで実行中であることを確認するには:

  1. root ユーザーとしてノードにログインします。
  2. 次のコマンドを実行して、すべてのコンポーネントを停止します。
    /opt/apigee/apigee-service/bin/apigee-all stop
  3. firewalld を無効にしてアンインストールします。
    1. 次のコマンドを実行して firewalld サービスを停止します。
      systemctl stop firewalld
    2. 次のコマンドを実行することで、firewalld サービスを無効にしてマスクします。 
      systemctl disable firewalld
      systemctl mask --now firewalld
    3. 次のコマンドを実行することで、yum を使用して firewalld サービスを削除します。
      yum remove firewalld
    4. 次のコマンドを実行して、失敗ステータスになっているすべてのサービスをリセットします。
      systemctl reset-failed
    5. 次のコマンドを実行して、すべてのサービスを再び読み込みます。
      systemctl daemon-reload
  4. iptables をインストールします。
    1. 次のコマンドを実行して、iptables パッケージと iptables-services パッケージをインストールします。
      yum install iptables iptables-services
    2. 次のコマンドを実行して、実行中のサービスを再び読み込みます。
      systemctl daemon-reload
    3. 次のコマンドを実行して、iptables を有効にします。
      systemctl enable iptables ip6tables
    4. 次のコマンドを実行して、iptables サービスと ip6tables サービスを起動します。
      systemctl start iptables ip6tables
  5. クラスタ内のノードごとにこのプロセスを繰り返します。