Apigee mTLS поддерживает несколько центров обработки данных, поэтому вы можете масштабировать свою конфигурацию, включая более сложные топологии, такие как кластерная установка из 12 узлов .
Процесс установки mTLS в топологии с несколькими центрами обработки данных такой же, как и для более простых топологий. Однако вы должны убедиться, что ваша установка соответствует предварительным требованиям, и что вы изменили файлы конфигурации, как описано в следующих разделах.
Предварительные условия
Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вам необходимо:
- Удалите
apigee-mtls
и переустановите его с конфигурацией с несколькими центрами обработки данных. Вы не можете изменить существующую конфигурацию. Дополнительные сведения см. в разделе Изменение существующей конфигурации apigee-mtls . - Откройте порт 8302 на каждом хосте, на котором работает mTLS.
- Убедитесь, что все члены кластера mTLS имеют уникальные IP-адреса, одинаковые для всех членов кластера.
- При указании файлов конфигурации используйте в командах абсолютные пути, где может существовать неоднозначность.
- Добавьте свойства конфигурации нескольких центров обработки данных, как описано в разделе Файлы конфигурации для нескольких центров обработки данных .
Файлы конфигурации для нескольких центров обработки данных
Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вы создаете отдельный файл конфигурации для каждого центра обработки данных.
В каждом из конфигурационных файлов:
- Измените значение свойства конфигурации
ALL_IP
, чтобы включить все IP-адреса узлов во всех регионах. - Убедитесь, что значение свойства
REGION
— это имя текущего региона или центра обработки данных. Например, «dc-1». - Добавьте следующие свойства:
Свойство Описание APIGEE_MTLS_MULTI_DC_ENABLE
Независимо от того, используете ли вы конфигурацию с несколькими центрами обработки данных. Установите значение «y», если вы настраиваете несколько центров обработки данных. В противном случае опустите или установите значение «n». Значение по умолчанию опущено. MTLS_LOCAL_REGION_IP
Разделенный пробелами список всех IP-адресов, используемых текущим регионом, который вы настраиваете. Например, «10.0.0.1 10.0.0.2 10.0.0.3». Для второго региона в конфигурации используйте свойство
MTLS_REMOTE_REGION_1_IP
.MTLS_REMOTE_REGION_1_NAME
Имя второго региона в конфигурации с несколькими центрами обработки данных. Например, «ДЦ-2». В файле конфигурации второго региона вы будете использовать «dc-2» для
REGION
и «dc-1» дляMTLS_REMOTE_REGION_1_NAME.
MTLS_REMOTE_REGION_1_IP
Разделенный пробелами список всех IP-адресов, используемых вторым регионом в конфигурации с несколькими центрами обработки данных. Например, «10.0.0.4 10.0.0.5 10.0.0.6».
В следующих примерах показаны файлы конфигурации для двух центров обработки данных («DC-1» и «DC-2»). Выделены свойства, характерные для конфигурации с несколькими центрами обработки данных):
Файл конфигурации dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
Файл конфигурации dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Информацию о стандартных свойствах конфигурации см. в разделе «Шаг 1. Обновите файл конфигурации» .
Тестирование конфигурации с несколькими центрами обработки данных
Команда raft list-peers
отображает список IP-адресов, которые определены в MTLS_LOCAL_REGION_IP
, что означает, что они расположены в одном центре обработки данных.
В следующих примерах показан пример вывода команды raft list-peers
:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Apigee mTLS был протестирован в двух центрах обработки данных. Однако вы можете указать конфигурации до восьми центров обработки данных, используя следующие свойства:
-
MTLS_REMOTE_REGION_[2-8]_IP
-
MTLS_REMOTE_REGION_[2-8]_NAME