Configurer plusieurs centres de données pour Apigee mTLS

Apigee mTLS est compatible avec plusieurs centres de données, ce qui vous permet de faire évoluer votre configuration pour inclure des topologies plus complexes telles qu'une installation en cluster à 12 nœuds.

Le processus d'installation de mTLS sur une topologie de plusieurs centres de données est le même que pour les topologies plus simples. Cependant, vous devez vous assurer que votre installation remplit les conditions préalables et que vous modifiez vos fichiers de configuration comme décrit dans les sections suivantes.

Conditions préalables

Pour utiliser Apigee mTLS avec plusieurs centres de données, vous devez:

  • Désinstallez apigee-mtls, puis réinstallez-le avec la configuration pour plusieurs centres de données. Vous ne pouvez pas modifier une configuration existante. Pour en savoir plus, consultez la section Modifier une configuration apigee-mtls existante.
  • Ouvrez le port 8302 sur chaque hôte qui exécute mTLS.
  • Assurez-vous que tous les membres du cluster mTLS disposent d'adresses IP uniques, qui sont cohérentes pour tous les membres du cluster.
  • Lorsque vous spécifiez des fichiers de configuration, utilisez des chemins d'accès absolus dans vos commandes en cas d'ambiguïté.
  • Ajoutez des propriétés de configuration pour plusieurs centres de données, comme décrit dans la section Fichiers de configuration pour plusieurs centres de données.

Fichiers de configuration pour plusieurs centres de données

Pour utiliser Apigee mTLS avec plusieurs centres de données, vous devez créer un fichier de configuration distinct pour chaque centre de données.

Dans chacun des fichiers de configuration:

  1. Modifiez la valeur de la propriété de configuration ALL_IP pour inclure toutes les adresses IP d'hôte de toutes les régions.
  2. Assurez-vous que la valeur de la propriété REGION correspond au nom de la région ou du centre de données actuel. Exemple : "dc-1".
  3. Ajoutez les propriétés suivantes:
    Propriété Description
    APIGEE_MTLS_MULTI_DC_ENABLE Le fait d'utiliser ou non une configuration multicentre de données Définissez la valeur sur "y" si vous configurez plusieurs centres de données. Sinon, omettez ou définissez la valeur sur "n". La valeur par défaut est omise.
    MTLS_LOCAL_REGION_IP Liste de toutes les adresses IP utilisées par la région que vous configurez actuellement, séparées par des espaces. Par exemple, "10.0.0.1 10.0.0.2 10.0.0.3".

    Pour la deuxième région de la configuration, utilisez la propriété MTLS_REMOTE_REGION_1_IP.

    MTLS_REMOTE_REGION_1_NAME Nom de la deuxième région dans une configuration de plusieurs centres de données. Exemple : "dc-2".

    Dans le fichier de configuration de la deuxième région, vous utiliserez "dc-2" pour REGION et "dc-1" pour MTLS_REMOTE_REGION_1_NAME.

    MTLS_REMOTE_REGION_1_IP Liste de toutes les adresses IP utilisées par la deuxième région dans une configuration multicentre de données, séparées par des espaces. Par exemple, "10.0.0.4 10.0.0.5 10.0.0.6".

Les exemples suivants illustrent les fichiers de configuration de deux centres de données ("dc-1" et "dc-2"). Les propriétés spécifiques à une configuration multicentre de données sont mises en évidence):

Fichier de configuration dc-1

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

Fichier de configuration dc-2

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

Pour en savoir plus sur les propriétés de configuration standards, consultez la section Étape 1: Mettez à jour votre fichier de configuration.

Tester une configuration multicentre de données

La commande raft list-peers affiche la liste des adresses IP définies dans MTLS_LOCAL_REGION_IP, ce qui signifie qu'elles se trouvent dans le même centre de données.

Les exemples suivants illustrent un exemple de résultat d'une commande raft list-peers:

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

Apigee mTLS a été testé sur deux centres de données. Vous pouvez toutefois spécifier des configurations pour un maximum de huit centres de données à l'aide des propriétés suivantes:

  • MTLS_REMOTE_REGION_[2-8]_IP
  • MTLS_REMOTE_REGION_[2-8]_NAME