Einführung in Apigee mTLS

Das Apigee mTLS-Feature erhöht die Sicherheit der Kommunikation zwischen Komponenten in Ihrem Edge für den Private Cloud-Cluster. Es bietet eine branchenübliche Möglichkeit zum Konfigurieren und Installieren des Service Mesh. Die Paketverwaltung und Konfigurationsautomatisierung werden unterstützt.

Architekturübersicht

Für eine sichere Kommunikation zwischen Komponenten verwendet Apigee mTLS ein Service Mesh, das sichere, gegenseitig authentifizierte TLS-Verbindungen zwischen Komponenten herstellt.

Die folgende Abbildung zeigt Verbindungen zwischen Apigee-Komponenten, die Apigee mTLS sichert (in red). Die in der Abbildung gezeigten Ports sind Beispiele. Eine Liste der Bereiche, die jede Komponente verwenden kann, finden Sie unter Portnutzung.

Mit einem „M“ gekennzeichnete Ports werden zum Verwalten der Komponente verwendet und müssen auf der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein.

Wie Sie im obigen Diagramm sehen können, erhöht Apigee mTLS die Sicherheit von Verbindungen zwischen den meisten Komponenten im Cluster, darunter:

Quelle Ziel
Verwaltungsserver Router-, MP-, QPid-, LDAP-, Postgres-, Zookeeper- und Cassandra-Knoten
Router Loopback-; Qpid-, Zookeeper- und Cassandra-Knoten
Message Processor Loopback-; Qpid-, Zookeeper- und Cassandra-Knoten
ZooKeeper und Cassandra Andere Zookeeper- und Cassandra-Knoten
Edge-Benutzeroberfläche SMTP (nur für externen IdP)
Postgres Andere Postgres-, Zookeeper- und Cassandra-Knoten

Ver-/Entschlüsselung von Nachrichten

Das Service Mesh von Apigee mTLS besteht aus Consul-Servern, die auf jedem ZooKeeper-Knoten in Ihrem Cluster ausgeführt werden, und den folgenden Consul-Diensten auf jedem Knoten im Cluster:

  • Einen Proxy für ausgehenden Traffic, der ausgehende Nachrichten auf dem Hostknoten abfängt. Dieser Dienst verschlüsselt ausgehende Nachrichten, bevor sie an ihr Ziel gesendet werden.
  • Einen Ingress-Proxy, der eingehende Nachrichten auf dem Hostknoten abfängt. Dieser Dienst entschlüsselt eingehende Nachrichten, bevor sie an ihr endgültiges Ziel gesendet werden.

Wenn der Verwaltungsserver beispielsweise eine Nachricht an den Router sendet, fängt der Proxydienst für ausgehenden Traffic die ausgehende Nachricht ab, verschlüsselt sie und sendet sie dann an den Router. Wenn der Knoten des Routers die Nachricht empfängt, entschlüsselt der Ingress-Proxy-Dienst die Nachricht und übergibt sie dann zur Verarbeitung an die Routerkomponente.

Dies alles geschieht transparent für die Edge-Komponenten: Sie kennen den Ver- und Entschlüsselungsprozess, der von den Consul-Proxy-Diensten ausgeführt wird, nicht.

Darüber hinaus verwendet Apigee mTLS das Dienstprogramm iptables, einen Linux-Firewalldienst, der die Traffic-Weiterleitung verwaltet.

Voraussetzungen

Bevor Sie Apigee mTLS installieren können, muss Ihre Umgebung die folgenden Anforderungen erfüllen:

In den folgenden Abschnitten werden diese Anforderungen im Detail beschrieben.

Version, Plattform und Topologie

In der folgenden Tabelle sind die mTLS-Anforderungen aufgeführt:

Anforderung Beschreibung
Versionen
  • 4.51.00
  • 4.50.00
  • 4.19.06
Topologie Muss mindestens drei Zookeeper-Knoten enthalten. Daher können Sie Apigee mTLS nur auf Topologien installieren, die 5, 9, 12 (Multi-Rechenzentrum) oder 13 Knoten verwenden. Weitere Informationen finden Sie unter Installationstopologien.
Plattformen/Betriebssysteme

Verwenden Sie die folgenden Werte, um festzustellen, ob Apigee mTLS auf einem bestimmten Betriebssystem unterstützt wird:

Betriebssystem Unterstützte Version der privaten Cloud
v4.19.06 v4.50.00 v4.51.00
CentOS
RedHat Enterprise Linux (RHEL)
Oracle Linux
7,5, 7,6, 7,7 7,5, 7,6, 7,7, 7,8, 7,9 7,5, 7,6, 7,7, 7,8, 7,9, 8,0

Beachten Sie, dass Apigee mTLS nicht unbedingt alle Betriebssysteme unterstützt, die von der entsprechenden Version von Apigee Edge für die Private Cloud unterstützt werden, auf der es ausgeführt wird.

Wenn beispielsweise CentOS x und y von v4.19.06 unterstützt werden, bedeutet dies nicht unbedingt, dass Apigee mTLS unter CentOS x und y für v4.19.06 unterstützt wird.

Dienstprogramme/Pakete

Apigee mTLS setzt voraus, dass Sie die folgenden Pakete auf jeder Maschine in Ihrem Cluster, einschließlich Ihres Verwaltungscomputers, installiert und aktiviert haben, bevor Sie mit der Installation beginnen:

Dienstprogramm/Paket Beschreibung Nach Installation entfernen?
base64 Verifiziert Daten innerhalb der Installationsskripts.
gnu-bash
gnu-sed
gnu-grep
Wird vom Installationsskript und anderen gängigen Tools verwendet.
iptables Ersetzt die Standardfirewall firewalld.
iptables-services Bietet Funktionen für das Dienstprogramm iptables.
lsof Wird vom Installationsskript verwendet.
nc Verifiziert iptables Routen.
openssl Signiert Zertifikate lokal während des ersten Bootstrapping-Prozesses.

Während der Installation installieren Sie auch das Consul-Paket auf dem Verwaltungscomputer, damit Sie Anmeldedaten und den Verschlüsselungsschlüssel generieren können.

Das Paket apigee-mtls installiert und konfiguriert die Consul-Server, einschließlich der Proxys für eingehenden und ausgehenden Traffic auf ZooKeeper-Knoten im Cluster.

Nutzerkontoberechtigungen

Erstellen Sie vor der Installation ein neues Nutzerkonto oder prüfen Sie, ob Sie Zugriff auf ein Konto mit erhöhten Berechtigungen haben.

Das Konto, das die Apigee mTLS-Installation auf jedem Knoten im Cluster ausführt, muss folgende Berechtigungen haben:

  • Apigee-Komponenten starten, stoppen, neu starten und initialisieren
  • Firewallregeln festlegen
  • Neues Betriebssystem-/Systemnutzerkonto erstellen
  • Dienste mit systemctl aktivieren, deaktivieren, starten, stoppen und maskieren

Verwaltungscomputer (empfohlen)

Apigee empfiehlt, dass Sie einen Knoten innerhalb des Clusters haben, auf dem Sie verschiedene in diesem Dokument beschriebene Verwaltungsaufgaben ausführen können, darunter:

  1. Installieren Sie HashiCorp Consul 1.6.2.
  2. Generieren und verteilen Sie ein Zertifikat/Schlüsselpaar und einen Klatsch-Verschlüsselungsschlüssel.
  3. Aktualisieren und verteilen Sie die Konfigurationsdatei.

Beim Einrichten des Verwaltungscomputers:

  • Stellen Sie sicher, dass Sie Root-Zugriff darauf haben.
  • Laden Sie die Dienstprogramme apigee-service und apigee-setup herunter und installieren Sie sie, wie unter Edge-Dienstprogramm für Apigee-Setup installieren beschrieben.
  • Achten Sie darauf, dass Sie scp/ssh verwenden können, um vom Verwaltungscomputer auf alle Knoten im Cluster zuzugreifen. Dies ist erforderlich, damit Sie Ihre Konfigurationsdatei und Ihre Anmeldedaten weitergeben können.

Portnutzung und -zuweisung

In diesem Abschnitt werden die Portnutzung und Portzuweisungen beschrieben, um die Consul-Kommunikation mit Apigee mTLS zu unterstützen.

Portnutzung: Alle Knoten, auf denen apigee-mtls ausgeführt wird

Alle Knoten im Cluster, die den Dienst apigee-mtls verwenden, müssen Verbindungen von Diensten auf dem lokalen Host (127.0.0.1) zulassen. Auf diese Weise können die Consul-Proxys mit den anderen Diensten kommunizieren, wenn sie eingehende und ausgehende Nachrichten verarbeiten.

Portnutzung: Consul-Serverknoten (Knoten, auf denen ZooKeeper ausgeführt wird)

Sie müssen die meisten der folgenden Ports auf den Consul-Serverknoten (den Knoten, auf denen ZooKeeper ausgeführt wird) öffnen, um Anfragen von allen Knoten im Cluster zu akzeptieren:

Knoten Port des Consul-Servers Beschreibung Protokoll Externe mtls-Agents zulassen
*
Consul Server (ZooKeeper-Knoten) 8300 Verbindet alle Consul-Server im Cluster. RPC
8301 Verarbeitet Mitgliedschaften und Broadcast-Nachrichten innerhalb des Clusters. UDP/TCP
8302 WAN-Port, der Mitgliedschafts- und Broadcastnachrichten in einer Konfiguration mit mehreren Rechenzentren verarbeitet. UDP/TCP
8500 Verarbeitet HTTP-Verbindungen zu den Consul Server APIs von Prozessen auf demselben Knoten.

Dieser Port wird nicht für die Remotekommunikation oder -koordination verwendet. Er überwacht nur den Localhost.

HTTP
8502 Verarbeitet gRPC- und HTTPS-Verbindungen zu den Consul Server APIs von anderen Knoten im Cluster. gRPC+HTTPS
8503 Verarbeitet HTTPS-Verbindungen zu den Consul Server APIs von anderen Knoten im Cluster. HTTPS
8600 Verarbeitet das DNS des Consul-Servers. UDP/TCP
* Apigee empfiehlt, dass Sie eingehende Anfragen auf Clustermitglieder beschränken (einschließlich datenspeicherübergreifender). Dazu können Sie iptables verwenden.

Wie diese Tabelle zeigt, müssen die Knoten, auf denen die consul-server-Komponente ausgeführt wird (ZooKeeper-Knoten), die Ports 8301, 8302, 8502 und 8503 für alle Mitglieder des Clusters öffnen, die den Dienst apigee-mtls ausführen, auch über Rechenzentren hinweg. Knoten, auf denen ZooKeeper nicht ausgeführt wird, müssen diese Ports nicht öffnen.

Portzuweisungen für alle Consul-Knoten (einschließlich Knoten, auf denen ZooKeeper ausgeführt wird)

Zur Unterstützung der Kommunikation mit Consul müssen Knoten, auf denen die folgenden Apigee-Komponenten ausgeführt werden, externe Verbindungen zu Ports in den folgenden Bereichen zulassen:

Apigee-Komponente Bereich Anzahl der erforderlichen Ports pro Knoten
Apigee mTLS 10.700 bis 10.799 1
Cassandra 10.100 bis 10.199 2
Message Processor 10.500 bis 10.599 2
OpenLDAP 10.200 bis 10.299 1
Postgres 10.300 bis 10.399 3
QPID 10.400 bis 10.499 2
Router 10.600 bis 10.699 2
ZooKeeper 10.000 bis 10.099 3

Consul weist Ports auf einfache lineare Weise zu. Wenn Ihr Cluster beispielsweise zwei Postgres-Knoten hat, verwendet der erste Knoten zwei Ports. Daher weist Consul ihm die Ports 10300 und 10301 zu. Da der zweite Knoten ebenfalls zwei Ports verwendet, weist Consol diesem Knoten 10302 und 10303 zu. Dies gilt für alle Komponententypen.

Wie Sie sehen, hängt die tatsächliche Anzahl der Ports von der Topologie ab: Wenn Ihr Cluster zwei Postgres-Knoten hat, müssen Sie vier Ports öffnen (zwei Knoten multipliziert mit je zwei Ports).

Wichtige Hinweise:

  • Consul-Proxys können nicht dieselben Ports überwachen wie Apigee-Dienste.
  • Consul hat nur einen Portadressraum. Portzuweisungen von Consul-Proxy müssen im gesamten Cluster, einschließlich Rechenzentren, eindeutig sein. Wenn also Proxy A auf Host A Port 15000 überwacht, kann Proxy B auf Host B nicht Port 15000 überwachen.
  • Die Anzahl der verwendeten Ports variiert je nach Topologie, wie zuvor beschrieben.

In einer Konfiguration mit mehreren Rechenzentren müssen alle Hosts, auf denen mTLS ausgeführt wird, auch Port 8302 öffnen.

Sie können die Standardports anpassen, die Apigee mTLS verwendet. Informationen dazu finden Sie unter Proxy-Portbereich anpassen.

Beschränkungen

Für Apigee mTLS gelten die folgenden Einschränkungen:

  • Cassandra-Kommunikation zwischen Knoten wird nicht verschlüsselt (Port 7000)
  • Konfiguration und Einrichtung sind nicht idempotent. Wenn Sie also eine Änderung an einem Knoten vornehmen, müssen Sie dieselbe Änderung auf allen Knoten vornehmen. Das System wendet diese Änderung nicht auf einen anderen Knoten an. Weitere Informationen finden Sie unter Vorhandene Apigee-mtls-Konfiguration ändern.

Terminologie

In diesem Abschnitt wird die folgende Terminologie verwendet:

Laufzeit Definition
Cluster Die Gruppe von Maschinen, aus denen Ihr Edge für die Private Cloud-Installation besteht.
Consul Das von Apigee mTLS verwendete Service Mesh. Informationen darüber, wie Consul Ihre Kommunikation mit der privaten Cloud schützt, finden Sie unter Sicherheitsmodell von Consul.
mTLS Gegenseitig authentifiziertes TLS.
Service Mesh Ein Overlay-Netzwerk oder ein Netzwerk innerhalb eines Netzwerks.
TLS Transaktionsschichtsicherheit. Ein branchenübliches Authentifizierungsprotokoll für eine sichere Kommunikation.