W tej sekcji opisano różne sposoby sprawdzania, czy instalacja Apigee mTLS się powiodła. Możesz też używać technik opisanych w tej sekcji podczas rozwiązywania problemów z klastrem.
Zweryfikuj konfigurację iptables
Aby upewnić się, że instalacja apigee-mtls
się powiodła, sprawdź, czy trasy iptables
działają i czy reguły są prawidłowe.
Zanim zweryfikujesz konfigurację iptables
, upewnij się, że:
- Zapora sieciowa została odinstalowana z węzła i zastąpiona iptables zgodnie z opisem w sekcji Zastępowanie domyślnej zapory sieciowej.
- Zatrzymano wszystkie komponenty Apigee w węźle, w tym
apigee-mtls
.
Aby sprawdzić poprawność konfiguracji apigee-mtls za pomocą iptables:
- Zaloguj się w węźle w klastrze. Kolejność, w jakiej to zrobisz, nie ma znaczenia.
- Zatrzymaj wszystkie komponenty w węźle, jak pokazano w tym przykładzie:
/opt/apigee/apigee-service/bin/apigee-all stop
- Wykonaj polecenie
validate
zgodnie z tym przykładem:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
wysyła komunikaty do każdego portu używanego przez Consul lub lokalne usługi Apigee. Jeśli skrypt napotka nieprawidłową regułę lub nieudaną trasę, wyświetli błąd.Jeśli w węźle działają jakiekolwiek usługi Apigee lub serwery Consul, to polecenie zakończy się niepowodzeniem.
- Uruchom komponent
apigee-mtls
przed wszystkimi innymi komponentami w węźle, wykonując to polecenie:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Uruchom pozostałe komponenty Apigee w węźle w kolejności początkowej, jak pokazano w poniższym przykładzie:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Powtórz te czynności we wszystkich węzłach w klastrze. Najlepiej zrobić to we wszystkich węzłach w ciągu 5 minut od uruchomienia w pierwszym węźle.
Sprawdzanie stanu zdalnego serwera proxy
Możesz użyć narzędzia Consul w węzłach ZooKeeper, aby sprawdzić, czy usługi proxy ruchu przychodzącego i wychodzącego we wszystkich węzłach są aktywne, sprawne i należą do siatki usług.
Aby sprawdzić stan serwera proxy węzłów:
- Zaloguj się w węźle, w którym jest uruchomiona aplikacja ZooKeeper.
- Wykonaj to polecenie:
systemctl status consul_server
Sprawdzanie stanu kworum
Instalacja mTLS obejmuje dodanie usług proxy Consul do wszystkich węzłów. W związku z tym musisz sprawdzić stan kworum dla wszystkich węzłów ZooKeeper.
Aby sprawdzić stan kworum, zaloguj się w każdym węźle, na którym działa ZooKeeper, i wykonaj to polecenie:
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
To polecenie wyświetla listę instancji Consul i ich stany, jak na tym przykładzie:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
Więcej informacji znajdziesz w tych artykułach:
Dodatkowo możesz uzyskać informacje o stanie klastra, w tym o tym, czy utworzono kworum klastra i czy użytkownicy zdalni zakłócają jego działanie. Aby to zrobić, użyj tego polecenia:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status