Apigee mTLS hỗ trợ nhiều trung tâm dữ liệu để bạn có thể mở rộng cấu hình của mình bao gồm cả các cấu trúc phức tạp hơn, chẳng hạn như cài đặt cụm 12 nút.
Quy trình cài đặt cho mTLS trên một cấu trúc liên kết nhiều trung tâm dữ liệu cũng giống như quy trình cài đặt cho các cấu trúc liên kết đơn giản hơn. Tuy nhiên, bạn phải đảm bảo rằng quá trình cài đặt của mình đáp ứng các điều kiện tiên quyết và bạn thay đổi các tệp cấu hình như mô tả trong các phần sau.
Điều kiện tiên quyết
Để sử dụng mTLS của Apigee với nhiều trung tâm dữ liệu, bạn phải:
- Gỡ cài đặt
apigee-mtlsrồi cài đặt lại bằng cấu hình nhiều trung tâm dữ liệu. Bạn không thể sửa đổi cấu hình hiện có. Để biết thêm thông tin, hãy xem phần Thay đổi cấu hình apigee-mtls hiện có. - Mở cổng 8302 trên mọi máy chủ đang chạy mTLS.
- Đảm bảo rằng tất cả các thành viên trong cụm mTLS đều có địa chỉ IP riêng biệt, nhất quán với tất cả thành viên trong cụm.
- Khi chỉ định tệp cấu hình, hãy sử dụng đường dẫn tuyệt đối trong các lệnh của bạn nơi có thể có sự không rõ ràng.
- Thêm các thuộc tính cấu hình nhiều trung tâm dữ liệu, như mô tả trong phần Tệp cấu hình cho nhiều trung tâm dữ liệu.
Tệp cấu hình cho nhiều trung tâm dữ liệu
Để sử dụng Apigee mTLS với nhiều trung tâm dữ liệu, bạn tạo một tệp cấu hình riêng cho từng trung tâm dữ liệu.
Trong mỗi tệp cấu hình:
- Thay đổi giá trị của thuộc tính cấu hình
ALL_IPđể bao gồm tất cả địa chỉ IP của máy chủ ở tất cả các khu vực. - Đảm bảo rằng giá trị của thuộc tính
REGIONlà tên của khu vực hoặc trung tâm dữ liệu hiện tại. Ví dụ: "dc-1". - Thêm các thuộc tính sau:
Thuộc tính Mô tả APIGEE_MTLS_MULTI_DC_ENABLELiệu bạn có đang sử dụng cấu hình nhiều trung tâm dữ liệu hay không. Đặt thành "y" nếu bạn đang định cấu hình nhiều trung tâm dữ liệu. Nếu không, hãy bỏ qua hoặc đặt thành "n". Giá trị mặc định bị bỏ qua. MTLS_LOCAL_REGION_IPDanh sách được phân tách bằng dấu cách gồm tất cả địa chỉ IP mà khu vực hiện tại mà bạn đang định cấu hình sử dụng. Ví dụ: "10.0.0.1 10.0.0.2 10.0.0.3". Đối với vùng thứ hai trong cấu hình, hãy sử dụng thuộc tính
MTLS_REMOTE_REGION_1_IP.MTLS_REMOTE_REGION_1_NAMETên của khu vực thứ hai trong cấu hình nhiều trung tâm dữ liệu. Ví dụ: "dc-2". Trong tệp cấu hình của khu vực thứ hai, bạn sẽ sử dụng "dc-2" cho
REGIONvà "dc-1" choMTLS_REMOTE_REGION_1_NAME.MTLS_REMOTE_REGION_1_IPDanh sách được phân tách bằng dấu cách gồm tất cả địa chỉ IP mà khu vực thứ hai sử dụng trong cấu hình nhiều trung tâm dữ liệu. Ví dụ: "10.0.0.4 10.0.0.5 10.0.0.6".
Các ví dụ sau đây hiển thị tệp cấu hình cho hai trung tâm dữ liệu ("dc-1" và "dc-2"). Những tài sản dành riêng cho cấu hình nhiều trung tâm dữ liệu được làm nổi bật):
Tệp cấu hình dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
Tệp cấu hình dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Để biết thông tin về các thuộc tính cấu hình chuẩn, hãy xem phần Bước 1: Cập nhật tệp cấu hình.
Kiểm thử cấu hình nhiều trung tâm dữ liệu
Lệnh raft list-peers hiển thị danh sách địa chỉ IP được xác định trong MTLS_LOCAL_REGION_IP, nghĩa là các địa chỉ IP này nằm trong cùng một trung tâm dữ liệu.
Các ví dụ sau đây cho thấy kết quả đầu ra mẫu từ lệnh raft list-peers:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Apigee mTLS đã được kiểm thử trên hai trung tâm dữ liệu. Tuy nhiên, bạn có thể chỉ định cấu hình của tối đa 8 trung tâm dữ liệu bằng cách sử dụng các thuộc tính sau:
MTLS_REMOTE_REGION_[2-8]_IPMTLS_REMOTE_REGION_[2-8]_NAME