Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi Apigee mTLS

Setelah menginstal Apigee mTLS pada semua node dalam cluster, Anda harus mengonfigurasi dan melakukan inisialisasi komponen apigee-mtls. Anda melakukannya dengan membuat pasangan sertifikat/kunci dan memperbarui file konfigurasi di mesin administrasi Anda. Selanjutnya, Anda men-deploy file yang dihasilkan dan file konfigurasi yang sama ke semua node dalam cluster dan menginisialisasi komponen apigee-mtls lokal.

Mengonfigurasi apigee-mtls (setelah penginstalan awal)

Bagian ini menjelaskan cara mengonfigurasi Apigee mTLS secara langsung setelah penginstalan awal. Untuk mengetahui informasi tentang cara memperbarui penginstalan Apigee mTLS yang sudah ada, lihat Mengubah konfigurasi apigee-mtls yang ada.

Bagian ini berlaku untuk penginstalan di satu pusat data. Untuk informasi tentang cara mengonfigurasi Apigee mTLS dalam penyiapan beberapa pusat data, lihat Mengonfigurasi beberapa pusat data untuk Apigee mTLS.

Proses umum untuk mengonfigurasi apigee-mtls adalah sebagai berikut:

Update file konfigurasi Anda: Di mesin administrasi Anda, update file konfigurasi agar menyertakan setelan apigee-mtls.
Instal Consul dan buat kredensial: Instal Consul dan (secara opsional) gunakan untuk membuat kredensial TLS (hanya satu kali).
Selain itu, edit file konfigurasi mTLS Apigee Anda menjadi:
1. Menambahkan informasi kredensial
2. Menentukan topologi cluster
Perhatikan bahwa Anda dapat menggunakan kredensial yang sudah ada atau membuatnya dengan Consul.
Distribusikan kredensial dan file konfigurasi: Distribusikan pasangan sertifikat/kunci yang sama dan file konfigurasi yang diperbarui ke semua node di cluster Anda.
Inisialisasi apigee-mtls: Lakukan inisialisasi komponen apigee-mtls pada setiap node.

Setiap langkah ini dijelaskan di bagian berikutnya.

Langkah 1: Perbarui file konfigurasi

Bagian ini menjelaskan cara mengubah file konfigurasi untuk menyertakan properti konfigurasi mTLS. Untuk informasi lebih umum tentang file konfigurasi, lihat Membuat file konfigurasi.

Setelah Anda memperbarui file konfigurasi dengan properti terkait mTLS, salin file tersebut ke semua node dalam cluster sebelum melakukan inisialisasi komponen apigee-mtls pada node tersebut.

Untuk memperbarui file konfigurasi:

Di komputer administrasi, buka file konfigurasi untuk diedit.

Salin kumpulan properti konfigurasi mTLS berikut dan tempelkan ke file konfigurasi:

ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER"
ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS"
CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS"
PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS"
RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS"
MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS"
MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS"
QP_MTLS_HOSTS="QPID_PRIVATE_IPS"
LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS"
MTLS_ENCAPSULATE_LDAP="y"

ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE"
PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem"
PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem"
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS"

Tetapkan nilai setiap properti agar selaras dengan konfigurasi Anda.

Tabel berikut menjelaskan properti konfigurasi ini:

Properti	Deskripsi
`ALL_IP`	Daftar alamat IP host pribadi yang dipisahkan spasi dari semua node di cluster. Urutan alamat IP tidak menjadi masalah, hanya saja urutan tersebut harus sama di semua file konfigurasi di seluruh cluster. Jika Anda mengonfigurasi Apigee mTLS untuk beberapa pusat data, cantumkan semua alamat IP untuk semua host di semua region.
`LDAP_MTLS_HOSTS`	Alamat IP host pribadi node OpenLDAP di cluster.
`ZK_MTLS_HOSTS`	Daftar alamat IP host pribadi yang dipisahkan spasi, tempat node ZooKeeper dihosting di cluster. Perlu diperhatikan bahwa berdasarkan persyaratan, harus ada setidaknya tiga node ZooKeeper.
`CASS_MTLS_HOSTS`	Daftar alamat IP host pribadi yang dipisahkan spasi tempat server Cassandra dihosting di cluster.
`PG_MTLS_HOSTS`	Daftar alamat IP host pribadi yang dipisahkan spasi, tempat server Postgres dihosting di cluster.
`RT_MTLS_HOSTS`	Daftar alamat IP host pribadi yang dipisahkan ruang tempat Router dihosting di cluster.
`MTLS_ENCAPSULATE_LDAP`	Mengenkripsi traffic LDAP antara Message Processor dan server LDAP. Tetapkan ke `y`.
`MS_MTLS_HOSTS`	Daftar alamat IP host pribadi yang dipisahkan ruang, tempat node Server Pengelolaan dihosting di cluster.
`MP_MTLS_HOSTS`	Daftar alamat IP host pribadi yang dipisahkan spasi, tempat Pemroses Pesan dihosting di cluster.
`QP_MTLS_HOSTS`	Daftar alamat IP host pribadi yang dipisahkan spasi tempat server Qpid dihosting di cluster.
`ENABLE_SIDECAR_PROXY`	Menentukan apakah Cassandra dan Postgres harus mengetahui mesh layanan. Anda harus menetapkan nilai ini ke "y".
`ENCRYPT_DATA`	Kunci enkripsi berenkode base64 yang digunakan oleh Consul. Anda telah membuat kunci ini menggunakan perintah `consul keygen` di Langkah 2: Instal Consul dan buat kredensial. Nilai ini harus sama di semua node dalam cluster.
`PATH_TO_CA_CERT`	Lokasi file sertifikat pada node. Anda membuat file ini di Langkah 2: Instal Consul dan buat kredensial. Lokasi ini harus sama di seluruh node dalam cluster sehingga file konfigurasinya sama. Sertifikat harus dienkode dengan X509v3.
`PATH_TO_CA_KEY`	Lokasi file kunci pada node. Anda membuat file ini di Langkah 2: Instal Consul dan buat kredensial. Lokasi ini harus sama di seluruh node dalam cluster sehingga file konfigurasinya sama. File kunci harus dienkode X509v3.
`APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR`	Jumlah hari sertifikat cocok saat Anda membuat sertifikat kustom. Nilai defaultnya adalah 365. Nilai maksimumnya adalah 7865 hari (5 tahun).

Selain properti yang tercantum di atas, Apigee mTLS menggunakan beberapa properti tambahan saat Anda menginstalnya di konfigurasi pusat data multi-data. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi beberapa pusat data.

Pastikan ENABLE_SIDECAR_PROXY ditetapkan ke "y".
Perbarui alamat IP di properti terkait host. Pastikan Anda menggunakan alamat IP pribadi saat merujuk ke setiap node, bukan alamat IP publik.
Pada langkah selanjutnya, Anda akan menetapkan nilai properti lain seperti ENCRYPT_DATA, PATH_TO_CA_CERT, dan PATH_TO_CA_KEY. Anda belum menetapkan nilainya.

Saat mengedit properti konfigurasi apigee-mtls, perhatikan hal-hal berikut:
- Semua properti merupakan string; Anda harus menggabungkan nilai semua properti dalam tanda kutip tunggal atau ganda.
- Jika nilai terkait host memiliki lebih dari satu alamat IP pribadi, pisahkan setiap alamat IP dengan spasi.
- Gunakan alamat IP pribadi dan bukan nama host atau alamat IP publik untuk semua properti terkait host di file konfigurasi.
- Urutan alamat IP dalam nilai properti harus dalam urutan yang sama di semua file konfigurasi di seluruh cluster.
Simpan perubahan Anda pada file konfigurasi.

Langkah 2: Instal Consul dan buat kredensial

Bagian ini menjelaskan cara menginstal Consul dan membuat kredensial yang digunakan oleh komponen yang mendukung mTLS.

Anda harus memilih salah satu metode berikut untuk membuat kredensial:

(Direkomendasikan) Buat Certificate Authority (CA) Anda sendiri menggunakan Konsul, seperti yang dijelaskan di bagian ini
Menggunakan kredensial CA yang sudah ada dengan Apigee mTLS (lanjutan)

Tentang kredensial

Kredensial terdiri dari hal berikut:

Sertifikat: Sertifikat TLS
Kunci: Kunci publik TLS
Pesan gosip: Kunci enkripsi berenkode base-64

Anda membuat satu versi dari setiap file ini satu kali saja. Selanjutnya, salin file kunci dan sertifikat ke semua node dalam cluster, lalu tambahkan kunci enkripsi ke file konfigurasi yang juga Anda salin ke semua node.

Untuk mengetahui informasi selengkapnya tentang penerapan enkripsi Consul, lihat artikel berikut:

Instal Consul dan buat kredensial

Untuk membuat kredensial yang digunakan Apigee mTLS untuk mengautentikasi komunikasi yang aman di antara node di cluster Private Cloud Anda, gunakan biner Consul lokal . Akibatnya, Anda harus menginstal Consul di mesin administrasi sebelum dapat membuat kredensial.

Untuk menginstal Consul dan membuat kredensial mTLS:

Di komputer administrasi Anda, download biner Consul 1.8.0 dari situs HashiCorp.
Ekstrak konten file arsip yang didownload. Misalnya, ekstrak konten ke /opt/consul/.
CATATAN: Lanjutkan dengan prosedur ini untuk menggunakan Konsul guna membuat kredensial (direkomendasikan). Jika Anda ingin menggunakan kredensial yang sudah ada, lihat Mengintegrasikan sertifikat kustom dengan Apigee mTLS (lanjutan).
Di komputer administrasi Anda, buat Certificate Authority (CA) baru dengan menjalankan perintah berikut:
```
/opt/consul/consul tls ca create
```
Consul membuat file berikut, yang membentuk pasangan sertifikat/kunci:
- consul-agent-ca.pem (sertifikat)
- consul-agent-ca-key.pem (kunci)
Secara default, file sertifikat dan kunci dienkode dengan X509v3.

Kemudian, Anda akan menyalin file ini ke semua node dalam cluster. Namun, saat ini, Anda hanya boleh memutuskan lokasi di node tempat file ini akan diletakkan. Keduanya harus berada di lokasi yang sama pada setiap node. Misalnya, /opt/apigee/.
Dalam file konfigurasi, tetapkan nilai PATH_TO_CA_CERT ke lokasi tempat Anda akan menyalin file consul-agent-ca.pem pada node. Contoh:
```
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
```
Tetapkan nilai PATH_TO_CA_KEY ke lokasi tempat Anda akan menyalin file consul-agent-ca-key.pem pada node. Contoh:
```
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
```
Buat kunci enkripsi untuk Consul dengan menjalankan perintah berikut:
```
/opt/consul/consul keygen
```
Consul menghasilkan string acak yang terlihat mirip dengan berikut ini:
```
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
```
Salin string yang dihasilkan ini dan tetapkan sebagai nilai properti ENCRYPT_DATA dalam file konfigurasi Anda. Misalnya:
```
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
```
CATATAN: Nilai di atas adalah contoh kunci enkripsi. Ini bukan string sebenarnya yang akan Anda gunakan. Anda harus membuatnya sendiri.
Simpan file konfigurasi Anda.

Contoh berikut menunjukkan setelan terkait mTLS dalam file konfigurasi (dengan nilai contoh):

...
IP1=10.126.0.121
IP2=10.126.0.124
IP3=10.126.0.125
IP4=10.126.0.127
IP5=10.126.0.130
ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5"
LDAP_MTLS_HOSTS="$IP3"
ZK_MTLS_HOSTS="$IP3 $IP4 $IP5"
CASS_MTLS_HOSTS="$IP3 $IP4 $IP5"
PG_MTLS_HOSTS="$IP2 $IP1"
RT_MTLS_HOSTS="$IP4 $IP5"
MS_MTLS_HOSTS="$IP3"
MP_MTLS_HOSTS="$IP4 $IP5"
QP_MTLS_HOSTS="$IP2 $IP1"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
...

Langkah 3: Distribusikan file konfigurasi dan kredensial

Salin file berikut ke semua node menggunakan alat seperti scp:

File konfigurasi: Menyalin versi terbaru dari file ini dan mengganti versi yang ada di semua node (bukan hanya node yang menjalankan ZooKeeper).
consul-agent-ca.pem: Salin ke lokasi yang Anda tentukan sebagai nilai PATH_TO_CA_CERT dalam file konfigurasi.
consul-agent-ca-key.pem: Salin ke lokasi yang Anda tentukan sebagai nilai PATH_TO_CA_KEY dalam file konfigurasi.

Pastikan lokasi tempat Anda menyalin file sertifikat dan kunci cocok dengan nilai yang ditetapkan dalam file konfigurasi di Langkah 2: Instal Consul dan buat kredensial.

Langkah 4: Lakukan inisialisasi apigee-mtls

Setelah menginstal apigee-mtls di setiap node, memperbarui file konfigurasi, dan menyalinnya serta kredensial ke semua node dalam cluster, Anda siap untuk melakukan inisialisasi komponen apigee-mtls pada setiap node.

Untuk melakukan inisialisasi apigee-mtls:

Login ke node dalam cluster sebagai pengguna root. Anda dapat menjalankan langkah-langkah ini pada node dalam urutan apa pun yang Anda inginkan.
Jadikan pengguna apigee:apigee sebagai pemilik file konfigurasi yang diperbarui, seperti yang ditampilkan dalam contoh berikut:
```
chown apigee:apigee config_file
```

Konfigurasikan komponen apigee-mtls dengan menjalankan perintah berikut:

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file

(Opsional) Jalankan perintah berikut untuk memverifikasi bahwa penyiapan Anda berhasil:
```
/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
```
Mulai Apigee mTLS dengan menjalankan perintah berikut:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
```
Setelah menginstal Apigee mTLS, Anda harus memulai komponen ini sebelum komponen lain pada node.

(Khusus node Cassandra) Cassandra memerlukan argumen tambahan agar dapat berfungsi di dalam mesh keamanan. Oleh karena itu, Anda harus menjalankan perintah berikut di setiap node Cassandra:

/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart

(Khusus node Postgres) Postgres memerlukan argumen tambahan agar berfungsi dalam mesh keamanan. Oleh karena itu, Anda harus melakukan hal berikut pada node Postgres:
(Hanya utama)
1. Jalankan perintah berikut pada node utama Postgres:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
```
(Hanya standby)
1. Cadangkan data Postgres Anda yang sudah ada. Untuk menginstal Apigee mTLS, Anda harus menginisialisasi ulang node utama/standby, sehingga data akan hilang. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan replikasi utama/standby untuk Postgres.
2. Hapus semua data Postgres:
```
rm -rf /opt/apigee/data/apigee-postgresql/pgdata
```
3. Konfigurasikan Postgres, lalu mulai ulang Postgres, seperti yang ditunjukkan contoh berikut:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
```
CATATAN: Karena masalah jaringan, Anda mungkin perlu menjalankan langkah ini lebih dari sekali sebelum berhasil.

Jika Anda menginstal pada topologi pusat multi-data, gunakan jalur absolut untuk file konfigurasi.
Mulai komponen Apigee yang tersisa di node dalam urutan awal, seperti yang ditunjukkan contoh berikut:
```
/opt/apigee/apigee-service/bin/apigee-service component_name start
```
Ulangi proses ini untuk setiap node dalam cluster.
(Opsional) Pastikan bahwa inisialisasi apigee-mtls berhasil menggunakan satu atau beberapa metode berikut:
1. Memvalidasi konfigurasi iptables
2. Memverifikasi status proxy jarak jauh
3. Memverifikasi status kuorum
Setiap metode ini dijelaskan dalam Memverifikasi konfigurasi Anda.

Mengubah konfigurasi apigee-mtls yang ada

Untuk menyesuaikan konfigurasi apigee-mtls yang ada, Anda harus meng-uninstal dan menginstal ulang apigee-mtls. Anda juga harus menerapkan penyesuaian di semua node.

PERHATIAN: Penyiapan dan konfigurasi mTLS Apigee tidak idempoten. Akibatnya, entri konfigurasi apigee-mtls harus sama di semua node: jika membuat perubahan pada satu node, Anda harus membuat perubahan yang sama di semua node. Jika tidak, mesh layanan mungkin akan gagal.

Untuk menegaskan kembali poin ini, saat mengubah konfigurasi Apigee mTLS yang ada:

Jika Anda mengubah file konfigurasi, Anda harus meng-uninstal apigee-mtls terlebih dahulu, lalu menjalankan kembali setup atau configure:

# DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

# BEFORE YOU DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
OR
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure

Anda harus meng-uninstal dan menjalankan kembali setup atau configure pada semua node dalam cluster, bukan hanya satu node.

CATATAN: Berulang kali menjalankan setup atau configure pada apigee-mtls tidak bertindak sama dengan layanan Apigee lainnya. Tindakan ini belum tentu menghasilkan konfigurasi baru (atau memodifikasi konfigurasi lokal). Oleh karena itu, Anda harus meng-uninstal mTLS saat mengubah konfigurasi.