הגדרה של מספר מרכזי נתונים ל-Apigee mTLS

ב-Apigee mTLS יש תמיכה במספר מרכזי נתונים, כך שתוכלו להתאים את ההגדרות כך שיכללו טופולוגיות מורכבות יותר, כמו התקנה באשכולות עם 12 צמתים.

תהליך ההתקנה של mTLS בטופולוגיה של מרכז נתונים זהה לזה של טופולוגיות פשוטות יותר. עם זאת, צריך לוודא שההתקנה עומדת בדרישות המוקדמות ולשנות את קובצי התצורה, כפי שמתואר בסעיפים הבאים.

דרישות מוקדמות

כדי להשתמש ב-Apigee mTLS עם כמה מרכזי נתונים, צריך:

  • צריך להסיר את ההתקנה של apigee-mtls ולהתקין אותו מחדש עם ההגדרה של מרכזי נתונים מרובים. לא ניתן לשנות תצורה קיימת. מידע נוסף זמין במאמר שינוי הגדרה קיימת של apigee-mtls.
  • לפתוח את יציאה 8302 בכל מארח שבו פועל mTLS.
  • מוודאים שלכל החברים באשכול ה-mTLS יש כתובות IP ייחודיות, שהן עקביות לכל החברים באשכול.
  • כשמציינים קובצי תצורה, כדאי להשתמש בנתיבים מוחלטים בפקודות שבהן עשויה להיות אי בהירות.
  • הוספת מאפיינים של הגדרות אישיות של מרכז נתונים, כמו שמתואר במאמר קובצי הגדרות למספר מרכזי נתונים.

קובצי תצורה למספר מרכזי נתונים

כדי להשתמש ב-Apigee mTLS עם כמה מרכזי נתונים, צריך ליצור קובץ תצורה נפרד לכל מרכז נתונים.

בכל אחד מקובצי התצורה:

  1. משנים את הערך של מאפיין ההגדרה ALL_IP כך שיכלול את כל כתובות ה-IP של המארחים בכל האזורים.
  2. צריך לוודא שהערך של המאפיין REGION הוא השם של האזור הנוכחי או של מרכז הנתונים. לדוגמה, "dc-1".
  3. מוסיפים את המאפיינים הבאים:
    נכס התיאור
    APIGEE_MTLS_MULTI_DC_ENABLE האם אתם משתמשים בתצורה של מרכז נתונים מרובים? אם אתם מגדירים כמה מרכזי נתונים, צריך לבחור בערך "y". אחרת, יש להשמיט או להגדיר את הערך 'n'. ברירת המחדל הושמטה.
    MTLS_LOCAL_REGION_IP רשימה מופרדת ברווחים של כל כתובות ה-IP שנעשה בהן שימוש באזור הנוכחי שאתם מגדירים. לדוגמה, '10.0.0.1 10.0.0.2 10.0.0.3'.

    באזור השני בהגדרות האישיות, משתמשים במאפיין MTLS_REMOTE_REGION_1_IP.

    MTLS_REMOTE_REGION_1_NAME השם של האזור השני בהגדרה של מרכז נתונים מרובה. לדוגמה, "dc-2".

    בקובץ התצורה של האזור השני עליך להשתמש ב-"dc-2" עבור REGION וב-"dc-1" עבור MTLS_REMOTE_REGION_1_NAME.

    MTLS_REMOTE_REGION_1_IP רשימה מופרדת ברווחים של כל כתובות ה-IP שנעשה בהן שימוש באזור השני בהגדרה של מרכז נתונים מרובה. לדוגמה, '10.0.0.4 10.0.0.5 10.0.0.6'.

הדוגמאות הבאות מציגות את קובצי התצורה של שני מרכזי נתונים ("dc-1" ו-"dc-2"). מאפיינים הספציפיים לתצורה מרובת נתונים של מרכז נתונים מודגשים):

קובץ תצורה dc-1

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

קובץ תצורה dc-2

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

מידע נוסף על המאפיינים של ההגדרות הרגילות זמין במאמר שלב 1: עדכון קובץ התצורה.

בדיקת הגדרה של מרכז נתונים מרובה

בפקודה raft list-peers מוצגת רשימה של כתובות IP שמוגדרות ב-MTLS_LOCAL_REGION_IP, כלומר הן נמצאות באותו מרכז נתונים.

בדוגמאות הבאות אפשר לראות פלט לדוגמה מפקודה raft list-peers:

[ec2-user]# consul operator raft list-peers

Node              ID                Address            State     Voter  RaftProtocol
prc-test-1-2119   d1361917-b244-42  10.126.0.151:8300  leader    true   3
prc-test-0-2119   fad66fc3-22a0-43  10.126.0.155:8300  follower  true   3
prc-test-2-2119   78847b12-dd83-44  10.126.0.159:8300  follower  true   3
prc-test-6-2119   60bb50ac-37b6-52  10.126.0.152:8300  leader    true   3
prc-test-7-2119   515bbdfd-e968-53  10.126.0.147:8300  follower  true   3
prc-test-8-2119   d869c9a5-b4f6-54  10.126.0.158:8300  follower  true   3

Apigee mTLS נבדק בשני מרכזי נתונים. עם זאת, אפשר להגדיר הגדרות של עד שמונה מרכזי נתונים באמצעות המאפיינים הבאים:

  • MTLS_REMOTE_REGION_[2-8]_IP
  • MTLS_REMOTE_REGION_[2-8]_NAME