Apigee mTLS hỗ trợ nhiều trung tâm dữ liệu để bạn có thể mở rộng quy mô cấu hình nhằm đưa vào các cấu trúc liên kết phức tạp hơn, chẳng hạn như chế độ cài đặt theo cụm 12 nút.
Quy trình cài đặt cho mTLS trong cấu trúc liên kết của trung tâm đa dữ liệu cũng giống như quy trình với các cấu trúc liên kết đơn giản hơn. Tuy nhiên, bạn phải đảm bảo rằng quá trình cài đặt đáp ứng các điều kiện tiên quyết và bạn phải thay đổi các tệp cấu hình như mô tả trong các phần tiếp theo.
Điều kiện tiên quyết
Để sử dụng Apigee mTLS với nhiều trung tâm dữ liệu, bạn phải:
- Gỡ cài đặt
apigee-mtlsrồi cài đặt lại bằng cấu hình nhiều trung tâm dữ liệu. Bạn không thể sửa đổi cấu hình hiện tại. Để biết thêm thông tin, hãy xem phần Thay đổi cấu hình API API hiện có. - Mở cổng 8302 trên mọi máy chủ đang chạy mTLS.
- Đảm bảo rằng tất cả thành viên của cụm mTLS đều có địa chỉ IP duy nhất, nhất quán cho mọi thành phần của cụm.
- Khi chỉ định tệp cấu hình, hãy sử dụng đường dẫn tuyệt đối trong các lệnh của bạn khi có sự không rõ ràng.
- Thêm các thuộc tính cấu hình đa trung tâm dữ liệu, như mô tả trong phần Tệp cấu hình cho nhiều trung tâm dữ liệu.
Tệp cấu hình cho nhiều trung tâm dữ liệu
Để sử dụng Apigee mTLS với nhiều trung tâm dữ liệu, bạn cần tạo một tệp cấu hình riêng cho từng trung tâm dữ liệu.
Trong mỗi tệp cấu hình:
- Thay đổi giá trị của thuộc tính cấu hình
ALL_IPđể bao gồm tất cả địa chỉ IP của máy chủ lưu trữ ở tất cả khu vực. - Đảm bảo rằng giá trị của thuộc tính
REGIONlà tên của khu vực hiện tại hoặc trung tâm dữ liệu. Ví dụ: "dc-1". - Thêm các thuộc tính sau:
Tài sản Nội dung mô tả APIGEE_MTLS_MULTI_DC_ENABLEBạn có đang sử dụng cấu hình trung tâm đa dữ liệu hay không. Đặt thành "y" nếu bạn đang định cấu hình nhiều trung tâm dữ liệu. Nếu không, hãy bỏ qua hoặc đặt thành "n". Giá trị mặc định bị bỏ qua. MTLS_LOCAL_REGION_IPMột danh sách được phân tách bằng dấu cách gồm tất cả địa chỉ IP được sử dụng tại khu vực hiện tại mà bạn đang định cấu hình. Ví dụ: "10.0.0.1 10.0.0.2 10.0.0.3". Đối với khu vực thứ hai trong cấu hình, hãy dùng thuộc tính
MTLS_REMOTE_REGION_1_IP.MTLS_REMOTE_REGION_1_NAMETên của khu vực thứ hai trong cấu hình trung tâm dữ liệu. Ví dụ: "dc-2". Trong tệp cấu hình của vùng thứ hai, bạn sẽ sử dụng "dc-2" cho
REGIONvà "dc-1" choMTLS_REMOTE_REGION_1_NAME.MTLS_REMOTE_REGION_1_IPMột danh sách được phân tách bằng dấu cách gồm tất cả địa chỉ IP mà khu vực thứ hai sử dụng trong cấu hình trung tâm dữ liệu đa dữ liệu. Ví dụ: "10.0.0.4 10.0.0.5 10.0.0.6".
Các ví dụ sau đây hiển thị tệp cấu hình cho hai trung tâm dữ liệu ("dc-1" và "dc-2"). Những thuộc tính dành riêng cho cấu hình trung tâm đa dữ liệu được làm nổi bật):
Tệp cấu hình dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
Tệp cấu hình dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Để biết thông tin về các thuộc tính cấu hình chuẩn, hãy xem Bước 1: Cập nhật tệp cấu hình.
Kiểm tra cấu hình trung tâm dữ liệu
Lệnh raft list-peers hiển thị danh sách địa chỉ IP được xác định trong MTLS_LOCAL_REGION_IP, có nghĩa là các địa chỉ này nằm trong cùng một trung tâm dữ liệu.
Các ví dụ sau đây minh hoạ kết quả mẫu từ lệnh raft list-peers:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Apigee mTLS đã được kiểm thử trên 2 trung tâm dữ liệu. Tuy nhiên, bạn có thể chỉ định cấu hình cho tối đa 8 trung tâm dữ liệu bằng cách sử dụng các thuộc tính sau:
MTLS_REMOTE_REGION_[2-8]_IPMTLS_REMOTE_REGION_[2-8]_NAME