בקטע הזה מתוארות דרכים שונות לוודא שההתקנה של Apigee mTLS הצליחה. תוכלו גם להשתמש בשיטות המתוארות בקטע הזה כדי לפתור בעיות באשכול.
אימות ההגדרות של iptables
כדי לוודא שההתקנה של apigee-mtls
בוצעה בהצלחה, אפשר לבדוק
שהמסלולים של iptables
פועלים ושהכללים תקפים.
לפני אימות של הגדרות iptables
, צריך לוודא את הפרטים הבאים:
- הסרתם את חומת האש מהצומת והחלפתם אותה ב-iptables, כמו שמתואר במאמר החלפת חומת האש שמוגדרת כברירת מחדל.
- עצרת את כל רכיבי Apigee בצומת, כולל
apigee-mtls
.
כדי לוודא שההגדרה של apigee-mtls בוצעה בהצלחה בעזרת iptables:
- מתחברים לצומת באשכול. לא משנה באיזה סדר מבצעים את התהליך.
- עוצרים את כל הרכיבים בצומת, כמו בדוגמה הבאה:
/opt/apigee/apigee-service/bin/apigee-all stop
- מריצים את הפקודה
validate
כמו בדוגמה הבאה:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
שולח הודעות לכל יציאה שבה משתמשים שירותי Consul או שירותי Apigee המקומיים. אם הסקריפט נתקל בכלל לא חוקי או בנתיב שנכשל, הוא מציג שגיאה.אם מריצים שירותי Apigee או שרתי Consul כלשהם על הצומת, הפקודה הזו תיכשל.
- מפעילים את הרכיב
apigee-mtls
לפני כל שאר הרכיבים בצומת על ידי הרצת הפקודה הבאה:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- מפעילים את שאר רכיבי Apigee בצומת
בסדר ההתחלה, כפי שניתן לראות
בדוגמה הבאה:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- חוזרים על השלבים האלה בכל הצמתים באשכול. באופן אידיאלי, צריך לבצע את הפעולה הזו בכל הצמתים תוך 5 דקות מתחילת התהליך בצומת הראשון.
אימות הסטטוס של שרת ה-proxy המרוחק
אפשר להשתמש ב-Consul בצמתים שלzoKeeper כדי לבדוק אם שירותי proxy לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) בכל הצמתים פעילים ותקינים, ואם הם מחוברים ל-Service mesh.
כדי לבדוק את הסטטוס של שרת ה-proxy של הצמתים:
- צריך להתחבר לצומת שבו פועלת גןzoKeeper.
- מריצים את הפקודה הבאה:
systemctl status consul_server
אימות סטטוס הקוורום
התקנת ה-mTLS כוללת הוספה של שירותי שרת proxy של Consul לכל הצמתים. כתוצאה מכך, עליכם לאמת את הסטטוס הקוורום של כל צומתי גן החיות.
כדי לבדוק את הסטטוס של הקוורום, מתחברים לכל צומת שבו פועלzoKeeper ומריצים את הפקודה הבאה:
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
בפקודה הזו מוצגת רשימה של מכונות Consul והסטטוסים שלהן, כמו בדוגמה הבאה:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
למידע נוסף, קראו את המאמרים הבאים:
בנוסף, תוכלו לקבל מידע על תקינות האשכול, כולל אם נוצר קוורום לאשכול ואם חברים מרוחקים פוגעים בפונקציונליות. כדי לעשות זאת, השתמשו בפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status