Questa sezione descrive i vari modi per verificare che l'installazione di Apigee mTLS sia riuscita. Puoi anche utilizzare le tecniche descritte in questa sezione per risolvere i problemi relativi al in un cluster Kubernetes.
Convalida la configurazione di iptables
Per verificare che l'installazione di apigee-mtls sia riuscita controllando che
che le route iptables funzionino e che le regole siano valide.
Prima di convalidare una configurazione iptables, assicurati che:
- Hai disinstallato il firewall dal nodo e lo hai sostituito con iptables, come descritto in Sostituisci il firewall predefinito.
- Hai arrestato tutti i componenti Apigee sul nodo, tra cui
apigee-mtls.
Per convalidare la configurazione di apigee-mtls con iptables:
- Accedi a un nodo nel tuo cluster. L'ordine in cui esegui questa operazione non ha importanza.
- Arresta tutti i componenti sul nodo, come illustrato nell'esempio seguente:
/opt/apigee/apigee-service/bin/apigee-all stop
- Esegui il comando
validate, come mostrato nell'esempio seguente:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptablesinvia messaggi a ogni porta di Consul o della piattaforma Apigee locale per l'utilizzo dei servizi. Se lo script rileva una regola non valida o un percorso con errori, viene visualizzato un errore.Se sul nodo sono in esecuzione servizi Apigee o server Consul, questo comando non riuscirà.
- Avvia il componente
apigee-mtlsprima di tutti gli altri componenti sul nodo eseguendo questo comando:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Avvia i restanti componenti Apigee sul nodo nell'
ordine iniziale, come
nell'esempio seguente:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Ripeti questi passaggi su tutti i nodi nel cluster. Possibilmente, esegui questa operazione su tutti i nodi entro 5 minuti di essere avviato sul primo nodo.
Verifica lo stato del proxy remoto
Puoi utilizzare Consul sui nodi ZooKeeper per verificare se i servizi proxy in entrata e in uscita su tutti nodi sono attivi, integri e si sono uniti al mesh di servizi.
Per controllare lo stato del proxy dei nodi:
- Accedi a un nodo su cui è in esecuzione ZooKeeper.
- Esegui questo comando:
systemctl status consul_server
Verificare lo stato del quorum
L'installazione di mTLS include l'aggiunta dei servizi proxy Consul a tutti i nodi. Di conseguenza, verificare lo stato di quorum di tutti i nodi di ZooKeeper.
Per verificare lo stato del quorum, accedi a ciascun nodo che esegue ZooKeeper ed esegui il comando riportato di seguito :
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
Questo comando visualizza un elenco delle istanze di Consul e i relativi stati, come riportato di seguito un esempio mostra:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
Per ulteriori informazioni, consulta le seguenti risorse:
Inoltre, puoi ottenere informazioni sull'integrità del cluster, incluse informazioni sul fatto che si è formato il quorum e se i membri remoti stanno compromettendo la funzionalità. A questo scopo, utilizza il seguente comando:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status