התכונה Apigee mTLS מוסיפה אבטחה לתקשורת בין רכיבים ב-Edge של אשכול הענן הפרטי. היא מאפשרת להגדיר ולהתקין את רשת השירות (Service mesh) בדרך המקובלת בתחום. הוא תומך בניהול חבילות ובאוטומציה של הגדרות אישיות.
סקירה אדריכלית
כדי לספק תקשורת מאובטחת בין רכיבים, ב-Apigee mTLS נעשה שימוש ב-Service mesh שיוצרת חיבורי TLS מאובטחים ומאומתים באופן הדדי בין רכיבים.
בתמונה הבאה מוצגים חיבורים בין רכיבי Apigee שמאבטחים את Apigee mTLS (in red). היציאות שמופיעות בתמונה הן דוגמאות. ניתן לעיין בשימוש ביציאה כדי לראות רשימה של טווחים שבהם כל רכיב יכול להשתמש.
(חשוב לשים לב שיציאות שמצוינות ב-M משמשות לניהול הרכיב וצריכות להיות פתוחות ברכיב כדי ששרת הניהול יוכל לגשת אליהן).
כפי שניתן לראות בתרשים שלמעלה, השימוש ב-Apigee mTLS מוסיף אבטחה לחיבורים בין רוב הרכיבים באשכול, כולל:
| מקור | יעד | |
|---|---|---|
| שרת ניהול | נתב, MP, QPid, LDAP, Postgres, zokeeper וצומתי Cassandra | |
| נתב | לופבק; צמתים של Qpid, Zookeeper ו-Cassandra | |
| מעבד בקשות | לופבק; צמתים של Qpid, Zookeeper ו-Cassandra | |
| גן החיות (ZooKeeper) ו-קסנדרה | צמתים נוספים של גן חיות ו-Cassandra | |
| ממשק המשתמש של Edge | SMTP (ל-IdP חיצוני בלבד) | |
| Postgres | צמתים אחרים בגן החיות, גן חיות וקסנדרה |
הצפנה/פענוח של הודעות
רשת השירות של Apigee mTLS מורכבת משרתים של Consul שפועלים בכל צומת שלzoKeeper באשכול, ואת שירותי Consul הבאים בכל צומת באשכול:
- שרת proxy לתעבורת נתונים יוצאת המיירט הודעות יוצאות בצומת המארח. השירות הזה מצפין הודעות יוצאות לפני שליחתן ליעדן.
- שרת proxy של תעבורת נתונים נכנסת המיירט הודעות נכנסות בצומת המארח. השירות הזה מפענח הודעות נכנסות לפני שהן נשלחות ליעד הסופי.
לדוגמה, כששרת הניהול שולח הודעה לנתב, שירות שרת ה-proxy לתעבורת נתונים יוצאת מיירט את ההודעה היוצאת, מצפין אותה ואז שולח אותה לנתב. כשהצומת של הנתב מקבל את ההודעה, שירות ה-proxy של תעבורת הנתונים הנכנסת מפענח את ההודעה ואז מעביר אותה לרכיב הנתב לצורך עיבוד.
כל זה מתרחש בשקיפות לרכיבי Edge: הם לא מודעים לתהליך ההצפנה והפענוח שמתבצע על ידי שירותי ה-proxy של Consul.
בנוסף, ב-Apigee mTLS נעשה שימוש בכלי השירות iptables, שירות של חומת אש של Linux שמנהל את ההפניה האוטומטית של תעבורת הנתונים.
דרישות
כדי להתקין את Apigee mTLS, הסביבה שלך חייבת לעמוד בדרישות הבאות:
- הדרישות לגבי הגרסה, הפלטפורמה והטופולוגיה
- כלי ניהול מותקנים ומופעלים
- חשבון משתמש עם רמת ההרשאות המתאימה
- מכונת ניהול (מומלץ)
- שימוש ביציאה
הקטעים הבאים מתארים בפירוט את כל אחת מהדרישות האלה.
גרסה, פלטפורמה וטופולוגיה
בטבלה הבאה מפורטות הדרישות ל-mTLS:
| דרישה | התיאור | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| גרסאות |
|
||||||||||||
| טופולוגיה | חייבת לכלול לפחות שלושה צמתים שלzokeeper. כתוצאה מכך, אפשר להתקין את Apigee mTLS רק בטופולוגיות שמשתמשות בצמתים 5, 9, 12 (מרכז נתונים מרובה) או 13 צמתים. למידע נוסף, ראו טופולוגיות של התקנה. | ||||||||||||
| פלטפורמות/מערכות הפעלה | צריך להשתמש בערכים הבאים כדי לקבוע אם Apigee mTLS נתמך במערכת הפעלה מסוימת:
חשוב לדעת ש-Apigee mTLS לא תומך בהכרח בכל מערכות ההפעלה שנתמכות על ידי הגרסה המתאימה של Apigee Edge לענן הפרטי שבו היא פועלת. לדוגמה, אם גרסה 4.19.06 תומכת ב-CentOS x וב-y, זה לא בהכרח אומר ש-Apigee mTLS נתמך ב-CentOS x ו-y עבור גרסה 4.19.06. |
||||||||||||
תוכניות שירות/חבילות
כדי להשתמש ב-Apigee mTLS, צריך להתקין ולהפעיל את החבילות הבאות בכל מכונה באשכול, כולל מכונת הניהול, לפני התחלת תהליך ההתקנה:
| כלי שירות/חבילה | התיאור | יש לך אפשרות להסיר לאחר ההתקנה? |
|---|---|---|
base64 |
מאמת נתונים בסקריפטים של ההתקנה. | |
gnu-bashgnu-sedgnu-grep |
משמש את סקריפט ההתקנה וכלים נפוצים אחרים. | |
iptables |
מחליפה את חומת האש המוגדרת כברירת מחדל, firewalld. |
|
iptables-services |
מספק פונקציונליות לכלי השירות iptables. |
|
lsof |
משמש את סקריפט ההתקנה. | |
nc |
מאמת iptables מסלולים. |
|
openssl |
חותם על אישורים באופן מקומי בתהליך האתחול הראשוני. |
במהלך ההתקנה, מתקינים גם את חבילת Consul במחשב הניהול כדי ליצור פרטי כניסה ואת מפתח ההצפנה.
החבילה apigee-mtls מתקינה ומגדירה את שרתי Consul, כולל שרתי ה-proxy של תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) בצמתים שלzoKeeper באשכול.
הרשאות בחשבון משתמש
לפני ההתקנה, עליכם ליצור חשבון משתמש חדש או לוודא שיש לכם גישה לחשבון עם הרשאות מורחבות.
החשבון שמפעיל את התקנת mTLS של Apigee בכל צומת באשכול צריך להיות מסוגל:
- הפעלה, עצירה, הפעלה מחדש ואתחול של רכיבי Apigee
- הגדרת כללים של חומת אש
- יצירת חשבון משתמש חדש במערכת ההפעלה/מערכת
- הפעלה, השבתה, הפעלה, הפסקה וביצוע אנונימיזציה של שירותים באמצעות
systemctl
מחשב ניהול (מומלץ)
ההמלצה של Apigee היא להוסיף צומת באשכול שבו תוכלו לבצע משימות ניהוליות שונות שמתוארות במסמך הזה, כולל:
- מתקינים את HashiCorp Consul 1.6.2.
- ליצור ולהפיץ זוג מפתחות/אישורים ומפתח להצפנת רכילות.
- מעדכנים ומפיצים את קובץ התצורה.
כשמגדירים את מכונת הניהול:
- יש לוודא שיש לך הרשאת גישה לרמה הבסיסית (root) שלו.
- מורידים ומתקינים בה את כלי השירות
apigee-serviceו-apigee-setup, כפי שמתואר בכלי ההתקנה של Edge להתקנת Edge. - יש לוודא שאפשר להשתמש ב-
scp/sshכדי לגשת לכל הצמתים באשכול ממחשב הניהול. הפעולה הזו נדרשת כדי שתהיה אפשרות להפיץ את קובץ התצורה ואת פרטי הכניסה.
שימוש ביציאות והקצאה שלהן
בקטע הזה מתוארים השימוש ביציאות והקצאות של יציאות כדי לתמוך בתקשורת באמצעות Consul באמצעות mTLS של Apigee.
שימוש ביציאה: כל הצמתים שמריצים apigee-mtls
כל הצמתים באשכול שמשתמשים בשירות apigee-mtls חייבים לאפשר חיבורים משירותים ב-localhost (127.0.0.1). כך שרתי ה-proxy של Consul יוכלו לתקשר עם השירותים האחרים בזמן שהם מעבדים הודעות נכנסות ויוצאות.
שימוש ביציאות: צמתים של שרת Consul (צמתים שמפעילים אתzoKeeper)
כדי לאשר בקשות מכל הצמתים באשכול, צריך לפתוח את רוב היציאות הבאות בצומתי שרת ה-Consul (הצמתים שמפעילים את ZooKeeper):
| צומת | יציאת שרת קונסול | התיאור | פרוטוקול | אפשר להשתמש ב-mtls-agents חיצוניים * |
|---|---|---|---|---|
| Consul Server (צומתי ZooKeeper) | 8300 |
חיבור כל שרתי Consul באשכול. | הכנסה לקליק | |
8301 |
טיפול בהודעות חברוּת ובהודעות שידור בתוך האשכול. | UDP/TCP | ||
8302 |
יציאת WAN שמטפלת בהודעות חברות ושידורים בהגדרה של מרכז נתונים מרובה. | UDP/TCP | ||
8500 |
מטפל בחיבורי HTTP לממשקי ה-API של שרת Consul מתהליכים באותו צומת.
היציאה הזו לא משמשת לתקשורת או לתיאום מרחוק. היא מאזינה רק ל-localhost. |
HTTP | ||
8502 |
מטפל בחיבורי gRPC+HTTPS לממשקי ה-API של שרת ה-Consul מצמתים אחרים באשכול. | gRPC+HTTPS | ||
8503 |
מטפל בחיבורי HTTPS לממשקי ה-API של שרת Consul מצמתים אחרים באשכול. | HTTPS | ||
8600 |
מטפל ב-DNS של שרת הקונסול. | UDP/TCP | ||
* לפי המלצת Apigee, יש להגביל בקשות נכנסות רק לחברי אשכולות
(כולל מאגר נתונים צולב). אפשר לעשות זאת באמצעות iptables.
|
||||
כפי שמוצג בטבלה הזו, הצמתים שמריצים את הרכיב consul-server (צומתי ZooKeeper) חייבים לפתוח את היציאות 8301, 8302, 8502 ו-8503 לכל חברי האשכול שמריצים את השירות apigee-mtls, אפילו במרכזי הנתונים השונים. צמתים שלא פועלים בהם גן החיות לא צריכים לפתוח את היציאות האלה.
הקצאות יציאות לכל צומתי Consul (כולל צמתים המפעילים אתzoKeeper)
כדי לתמוך בתקשורת עם Consul, צמתים שמריצים את רכיבי Apigee הבאים חייבים לאפשר חיבורים חיצוניים ליציאות בטווחים הבאים:
| רכיב Apigee | טווח | מספר היציאות הנדרשות לכל צומת |
|---|---|---|
| Apigee mTLS | 10700 עד 10799 | 1 |
| קסנדרה | 10100 עד 10199 | 2 |
| מעבד בקשות | 10500 עד 10599 | 2 |
| OpenLDAP | 10200 עד 10299 | 1 |
| Postgres | 10300 עד 10399 | 3 |
| QPID | 10400 עד 10499 | 2 |
| נתב | 10600 עד 10699 | 2 |
| ZooKeeper | 10000 עד 10099 | 3 |
ה-Consul מקצה יציאות בדרך ליניארית פשוטה. לדוגמה, אם לאשכול יש שני צומתי Postgres, הצומת הראשון משתמש בשתי יציאות ולכן Consul מקצה להן את היציאות 10300 ו-10301. הצומת השני משתמש גם בשתי יציאות, ולכן Consol מקצה את 10302 ואת 10303 לצומת הזה. כלל זה חל על כל סוגי הרכיבים.
כמו שאפשר לראות, מספר היציאות בפועל תלוי בטופולוגיה: אם לאשכול יש שני צומתי Postgres, צריך לפתוח ארבע יציאות (שני צמתים כפול שתי יציאות כל אחת).
שימו לב לנקודות הבאות:
- שרתי proxy של הקונסול לא יכולים להאזין באותן יציאות כמו שירותי Apigee.
- ל-Consul יש רק מרחב כתובות יציאות אחד. ההקצאות של יציאות שרת proxy בקונסולה צריכות להיות ייחודיות בכל האשכול, כולל מרכזי נתונים. המשמעות היא שאם שרת proxy א' במארח א' מאזין ביציאה 15,000, שרת B במארח ב' לא יכול להאזין ביציאה 15,000.
- מספר היציאות שנעשה בהן שימוש משתנה בהתאם לטופולוגיה, כפי שתואר קודם.
בהגדרה של מרכז נתונים מרובה, כל המארחים שמריצים mTLS צריכים לפתוח גם את יציאה 8302.
אפשר להתאים אישית את יציאות ברירת המחדל שבהן נעשה שימוש ב-Apigee mTLS. למידע נוסף על כך, תוכלו לקרוא את המאמר התאמה אישית של טווח יציאות proxy.
מגבלות
המגבלות הבאות חלות על Apigee mTLS:
- לא מצפין את התקשורת בין הצמתים של Cassandra (יציאה 7000)
- ההגדרה וההגדרה לא אידמפוטנטים. המשמעות היא שאם מבצעים שינוי אחד בצומת אחד, עליך לבצע את אותו שינוי בכל הצמתים. המערכת לא מחילה שינוי זה עבורך על צמתים אחרים. מידע נוסף זמין במאמר שינוי הגדרה קיימת של apigee-mtls.
טרמינולוגיה
בקטע הזה נעשה שימוש במונחים הבאים:
| מונח | הגדרה |
|---|---|
| cluster | קבוצת המכונות שמהן מורכב Edge להתקנה של הענן הפרטי. |
| קונסול | Service mesh שבו נעשה שימוש ב-Apigee mTLS. במודל האבטחה של Console מוסבר איך מאבטחים את התקשורת בענן הפרטי ב-Consul. |
| mTLS | TLS שאומת בו-זמנית. |
| Service mesh | רשת שכבת-על (או רשת בתוך רשת). |
| TLS | אבטחת שכבת הטרנזקציות. פרוטוקול אימות מקובל בתחום לתקשורת מאובטחת. |