הגדרה של מספר מרכזי נתונים ל-Apigee mTLS

Apigee mTLS תומך במספר מרכזי נתונים, כך שתוכלו להתאים את ההגדרות לטופולוגיות מורכבות יותר, כמו התקנה באשכול של 12 צמתים.

תהליך ההתקנה של mTLS בתצורה של כמה מרכזי נתונים זהה לתהליך ההתקנה בתצורות פשוטות יותר. עם זאת, חשוב לוודא שההתקנה עומדת בדרישות המוקדמות ושמשנים את קובצי התצורה כפי שמתואר בקטעים הבאים.

דרישות מוקדמות

כדי להשתמש ב-Apigee mTLS עם כמה מרכזי נתונים, צריך:

• מסירים את apigee-mtls ומתקינים אותו מחדש עם הגדרה של כמה מרכזי נתונים. אי אפשר לשנות הגדרה קיימת. מידע נוסף זמין במאמר שינוי הגדרה קיימת של apigee-mtls.
• יש לפתוח את היציאה 8302 בכל מארח שמפעיל mTLS.
• חשוב לוודא שלכל המכונות באשכול mTLS יש כתובות IP ייחודיות, ועקביות לכל המכונות באשכול.
• כשמציינים קובצי תצורה, צריך להשתמש בנתיבים מוחלטים בפקודות שבהן ייתכן אי-בהירות.
• מוסיפים מאפייני תצורה למספר מרכזי נתונים, כפי שמתואר בקטע קובצי תצורה למספר מרכזי נתונים.

קובצי תצורה למרכזי נתונים מרובים

כדי להשתמש ב-Apigee mTLS עם כמה מרכזי נתונים, צריך ליצור קובץ תצורה נפרד לכל מרכז נתונים.

בכל אחד מקובצי התצורה:

1. משנים את הערך של מאפיין התצורה ALL_IP כך שיכלול את כל כתובות ה-IP של המארחים בכל האזורים.
2. מוודאים שהערך של המאפיין REGION הוא השם של האזור או של מרכז הנתונים הנוכחיים. לדוגמה, 'dc-1'.
3. מוסיפים את המאפיינים הבאים:

   נכס	תיאור
   APIGEE_MTLS_MULTI_DC_ENABLE	אם אתם משתמשים בתצורה עם כמה מרכזי נתונים או לא. מגדירים את הערך ל-'y' אם מגדירים כמה מרכזי נתונים. אחרת, משמיטים את השדה או מגדירים אותו כ-'n'. ברירת המחדל לא מופיעה.
   MTLS_LOCAL_REGION_IP	רשימה מופרדת ברווחים של כל כתובות ה-IP שבהן נעשה שימוש באזור הנוכחי שאתם מגדירים. לדוגמה, '10.0.0.1 10.0.0.2 10.0.0.3'. לאזור השני בהגדרה, משתמשים במאפיין MTLS_REMOTE_REGION_1_IP.
   MTLS_REMOTE_REGION_1_NAME	השם של האזור השני בתצורה עם כמה מרכזי נתונים. לדוגמה, "dc-2". בקובץ התצורה של האזור השני, צריך להשתמש ב-'dc-2' עבור REGION וב-'dc-1' עבור MTLS_REMOTE_REGION_1_NAME.
   MTLS_REMOTE_REGION_1_IP	רשימה מופרדת בפסיקים של כל כתובות ה-IP שבהן האזור השני משתמש בהגדרה עם כמה מרכזי נתונים. לדוגמה, '10.0.0.4 10.0.0.5 10.0.0.6'.

הדוגמאות הבאות מציגות את קובצי התצורה של שני מרכזי נתונים ("dc-1" ו-"dc-2"). מאפיינים שספציפיים לתצורה של מרכז נתונים מרובים מודגשים):

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

למידע על המאפיינים הרגילים של הגדרות אישיות, ראו שלב 1: עדכון קובץ התצורה.

בדיקת הגדרה של מרכז נתונים מרובים

הפקודה raft list-peers מציגה רשימה של כתובות IP שמוגדרות ב-MTLS_LOCAL_REGION_IP, כלומר הן נמצאות באותו מרכז נתונים.

בדוגמאות הבאות מוצג פלט לדוגמה של פקודת raft list-peers:

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

mTLS של Apigee נבדק בשני מרכזי נתונים. עם זאת, אפשר לציין הגדרות של עד שמונה מרכזי נתונים באמצעות המאפיינים הבאים:

• MTLS_REMOTE_REGION_[2-8]_IP
• MTLS_REMOTE_REGION_[2-8]_NAME