Apigee mTLS supporta più data center in modo da poter scalare la configurazione in modo da includere topologie più complesse come un'installazione in cluster a 12 nodi.
Il processo di installazione di mTLS in una topologia multi-data center è la stessa che per le topologie più semplici. Tuttavia, devi assicurarti che l'installazione soddisfi i prerequisiti e di modificare i file di configurazione come descritto nelle sezioni seguenti.
Prerequisiti
Per utilizzare Apigee mTLS con più data center, devi:
- Disinstalla
apigee-mtlse reinstallalo con la configurazione di più data center. Non puoi modificare una configurazione esistente. Per ulteriori informazioni, consulta Modificare una configurazione apigee-mtls esistente. - Apri la porta 8302 su ogni host che esegue mTLS.
- Assicurati che tutti i membri del cluster mTLS abbiano indirizzi IP univoci, coerenti per tutti i membri del cluster.
- Quando specifichi i file di configurazione, nei comandi utilizza percorsi assoluti nei casi in cui potrebbero sussistere ambiguità.
- Aggiungi le proprietà di configurazione di più data center, come descritto in File di configurazione per più data center.
File di configurazione per più data center
Per utilizzare Apigee mTLS con più data center, devi creare un file di configurazione separato per ciascun data center.
In ciascun file di configurazione:
- Modifica il valore della proprietà di configurazione
ALL_IPin modo da includere tutti gli indirizzi IP host in tutte le regioni. - Assicurati che il valore della proprietà
REGIONsia il nome della regione o del data center attuale. Ad esempio, "dc-1". - Aggiungi le seguenti proprietà:
Proprietà Descrizione APIGEE_MTLS_MULTI_DC_ENABLESe utilizzi o meno una configurazione di più data center. Imposta su "y" se stai configurando più data center. Altrimenti, omettilo o impostalo su "n". Il valore predefinito è omesso. MTLS_LOCAL_REGION_IPUn elenco delimitato da spazi di tutti gli indirizzi IP utilizzati dalla regione attuale che stai configurando. Ad esempio, "10.0.0.1 10.0.0.2 10.0.0.3". Per la seconda regione nella configurazione, utilizza la proprietà
MTLS_REMOTE_REGION_1_IP.MTLS_REMOTE_REGION_1_NAMEIl nome della seconda regione in una configurazione di più data center. Ad esempio, "dc-2". Nel file di configurazione della seconda regione, utilizzerai "dc-2" per
REGIONe "dc-1" perMTLS_REMOTE_REGION_1_NAME.MTLS_REMOTE_REGION_1_IPUn elenco delimitato da spazi di tutti gli indirizzi IP utilizzati dalla seconda regione in una configurazione di più data center. Ad esempio, "10.0.0.4 10.0.0.5 10.0.0.6".
I seguenti esempi mostrano i file di configurazione per due data center ("dc-1" e "dc-2"). Sono evidenziate le proprietà specifiche per una configurazione multi-data center):
File di configurazione dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
File di configurazione dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Per informazioni sulle proprietà di configurazione standard, consulta il Passaggio 1: aggiorna il file di configurazione.
Testare una configurazione multi-data center
Il comando raft list-peers mostra un elenco di indirizzi IP definiti in MTLS_LOCAL_REGION_IP, ovvero all'interno dello stesso data center.
I seguenti esempi mostrano l'output di esempio di un comando raft list-peers:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Apigee mTLS è stato testato su due data center. Tuttavia, è possibile specificare configurazioni fino a otto data center utilizzando le seguenti proprietà:
MTLS_REMOTE_REGION_[2-8]_IPMTLS_REMOTE_REGION_[2-8]_NAME