Apigee mTLS supporta più data center, in modo da poter scalare la configurazione in modo da includere terne più complesse, come un'installazione in cluster di 12 nodi.
La procedura di installazione di mTLS in una topologia di più data center è la stessa prevista per le topologie più semplici. Tuttavia, devi assicurarti che l'installazione soddisfi i prerequisiti e di modificare i file di configurazione come descritto nelle sezioni che seguono.
Prerequisiti
Per utilizzare Apigee mTLS con più data center, devi:
- Disinstalla
apigee-mtlse reinstallalo con la configurazione di più data center. Non puoi modificare una configurazione esistente. Per maggiori informazioni, vedi Cambiare una configurazione apigee-mtls esistente. - Apri la porta 8302 su ogni host che esegue mTLS.
- Assicurati che tutti i membri del cluster mTLS abbiano indirizzi IP univoci, coerenti per tutti i membri del cluster.
- Quando specifichi i file di configurazione, utilizza percorsi assoluti nei comandi in cui potrebbe esserci ambiguità.
- Aggiungi proprietà di configurazione per più data center, come descritto in File di configurazione per più data center.
File di configurazione per più data center
Per utilizzare mTLS di Apigee con più data center, devi creare un file di configurazione separato per ogni data center.
In ognuno dei file di configurazione:
- Modifica il valore della proprietà di configurazione
ALL_IPin modo da includere tutti gli indirizzi IP host in tutte le regioni. - Assicurati che il valore della proprietà
REGIONsia il nome della regione o del data center corrente. Ad esempio, "dc-1". - Aggiungi le seguenti proprietà:
Proprietà Descrizione APIGEE_MTLS_MULTI_DC_ENABLESe utilizzi o meno una configurazione multi-data center. Imposta su "y" se stai configurando più data center. In caso contrario, ometti o imposta il valore su "n". Il valore predefinito è omesso. MTLS_LOCAL_REGION_IPUn elenco delimitato da spazi di tutti gli indirizzi IP utilizzati dalla regione corrente che stai configurando. Ad esempio, "10.0.0.1 10.0.0.2 10.0.0.3". Per la seconda regione nella configurazione, utilizza la proprietà
MTLS_REMOTE_REGION_1_IP.MTLS_REMOTE_REGION_1_NAMEIl nome della seconda regione in una configurazione con più data center. Ad esempio, "dc-2". Nel file di configurazione della seconda regione, utilizzerai "dc-2" per
REGIONe "dc-1" perMTLS_REMOTE_REGION_1_NAME.MTLS_REMOTE_REGION_1_IPUn elenco separato da spazi di tutti gli indirizzi IP utilizzati dalla seconda regione in una configurazione con più data center. Ad esempio, "10.0.0.4 10.0.0.5 10.0.0.6".
Gli esempi seguenti mostrano i file di configurazione per due data center ("dc-1" e "dc-2"). Le proprietà specifiche di una configurazione di più data center sono evidenziate):
File di configurazione dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
File di configurazione dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Per informazioni sulle proprietà di configurazione standard, consulta Passaggio 1: aggiorna il file di configurazione.
Testare una configurazione con più data center
Il comando raft list-peers mostra un elenco di indirizzi IP definiti in
MTLS_LOCAL_REGION_IP, il che significa che si trovano nello stesso data center.
I seguenti esempi mostrano un output di esempio da un comando raft list-peers:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Apigee mTLS è stato testato su due data center. Tuttavia, puoi specificare configurazioni di massimo otto data center utilizzando le seguenti proprietà:
MTLS_REMOTE_REGION_[2-8]_IPMTLS_REMOTE_REGION_[2-8]_NAME