Apigee mTLS-Installation prüfen

In diesem Abschnitt werden verschiedene Möglichkeiten beschrieben, um zu prüfen, ob die Apigee mTLS-Installation erfolgreich war. Bei der Fehlerbehebung im Cluster können Sie auch die in diesem Abschnitt beschriebenen Techniken verwenden.

iptables-Konfiguration validieren

Sie können prüfen, ob die apigee-mtls-Installation erfolgreich war. Prüfen Sie dazu, ob die iptables-Routen funktionieren und die Regeln gültig sind.

Prüfen Sie Folgendes, bevor Sie eine iptables-Konfiguration validieren:

  • Sie haben die Firewall auf dem Knoten deinstalliert und durch iptables ersetzt, wie unter Standardfirewall ersetzen beschrieben.
  • Sie haben alle Apigee-Komponenten auf dem Knoten beendet, einschließlich apigee-mtls.

So validieren Sie mit iptables die erfolgreiche Konfiguration von Apigee-mtls:

  1. Melden Sie sich bei einem Knoten im Cluster an. Die Reihenfolge spielt dabei keine Rolle.
  2. Beenden Sie alle Komponenten auf dem Knoten, wie im folgenden Beispiel gezeigt:
    /opt/apigee/apigee-service/bin/apigee-all stop
  3. Führen Sie den Befehl validate wie im folgenden Beispiel aus:
    /opt/apigee/apigee-mtls/lib/actions/iptables.sh validate

    iptables sendet Nachrichten an jeden Port, den entweder Consul oder die lokalen Apigee-Dienste verwenden. Wenn das Skript auf eine ungültige Regel oder eine fehlgeschlagene Route stößt, wird ein Fehler angezeigt.

    Wenn Apigee-Dienste oder Consul-Server auf dem Knoten ausgeführt werden, schlägt dieser Befehl fehl.

  4. Starten Sie die Komponente apigee-mtls vor allen anderen Komponenten auf dem Knoten. Führen Sie dazu den folgenden Befehl aus:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  5. Starten Sie die verbleibenden Apigee-Komponenten auf dem Knoten in der Startreihenfolge, wie im folgenden Beispiel gezeigt:
    /opt/apigee/apigee-service/bin/apigee-service component_name start
  6. Wiederholen Sie diese Schritte auf allen Knoten im Cluster. Idealerweise sollten Sie dies auf allen Knoten innerhalb von 5 Minuten nach dem Start auf dem ersten Knoten tun.

Remote-Proxy-Status prüfen

Sie können Consul auf ZooKeeper-Knoten verwenden, um zu prüfen, ob die Proxy-Dienste für eingehenden und ausgehenden Traffic auf allen Knoten aktiv, fehlerfrei sind und dem Service Mesh beigetreten sind.

So prüfen Sie den Proxystatus Ihrer Knoten:

  1. Melden Sie sich bei einem Knoten an, auf dem ZooKeeper ausgeführt wird.
  2. Führen Sie den folgenden Befehl aus:
    systemctl status consul_server

Quorumstatus prüfen

Die mTLS-Installation umfasst das Hinzufügen der Consul-Proxy-Dienste zu allen Knoten. Daher sollten Sie den Quorumstatus aller ZooKeeper-Knoten prüfen.

Melden Sie sich zum Prüfen des Quorumstatus bei jedem Knoten an, auf dem ZooKeeper ausgeführt wird, und führen Sie den folgenden Befehl aus:

/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers

Mit diesem Befehl wird eine Liste der Consul-Instanzen und ihrer Statuswerte wie im folgenden Beispiel angezeigt:

Node             ID                     Address            State     Voter  RaftProtocol
prc-test-0-1619  b59c1f44-6eb0-81d4-42  10.126.0.98:8300   leader    true   3
prc-test-1-1619  a4372a6e-8044-e587-43  10.126.0.146:8300  follower  true   3
prc-test-2-1619  71eb181f-4242-5353-44  10.126.0.100:8300  follower  true   3

Hier finden Sie weitere Informationen:

Darüber hinaus können Sie Informationen zum Clusterzustand abrufen, z. B. ob das Quorum des Clusters gebildet wurde und ob Remote-Mitglieder die Funktionalität beeinträchtigen. Verwenden Sie dazu den folgenden Befehl:

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status