Phần này mô tả các cách xác thực rằng quá trình cài đặt Apigee mTLS đã thành công. Bạn cũng có thể sử dụng các kỹ thuật được mô tả trong phần này khi khắc phục sự cố về cụm.
Xác thực cấu hình iptables
Bạn có thể xác thực việc cài đặt apigee-mtls
đã thành công bằng cách kiểm tra để đảm bảo rằng
các tuyến iptables
đang hoạt động và các quy tắc có hợp lệ.
Trước khi xác thực cấu hình iptables
, hãy đảm bảo rằng:
- Bạn đã gỡ cài đặt tường lửa khỏi nút và thay thế bằng iptables, như mô tả trong phần Thay thế tường lửa mặc định.
- Bạn đã dừng tất cả thành phần Apigee trên nút, bao gồm cả
apigee-mtls
.
Cách xác thực cấu hình apigee-mtls đã thành công với iptables:
- Đăng nhập vào một nút trong cụm của bạn. Thứ tự thực hiện việc này không quan trọng.
- Dừng tất cả thành phần trên nút, như trong ví dụ sau đây:
/opt/apigee/apigee-service/bin/apigee-all stop
- Thực thi lệnh
validate
, như trong ví dụ sau:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
gửi thông báo tới mọi cổng mà Lãnh sự hoặc các dịch vụ Apigee cục bộ sử dụng. Nếu tập lệnh gặp quy tắc không hợp lệ hoặc tuyến không thành công, tập lệnh sẽ hiển thị lỗi.Nếu có bất kỳ dịch vụ Apigee hoặc máy chủ Consul nào đang chạy trên nút này, thì lệnh này sẽ không thực hiện được.
- Khởi động thành phần
apigee-mtls
trước tất cả thành phần khác trên nút bằng cách thực thi lệnh sau:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Bắt đầu các thành phần còn lại của Apigee trên nút theo thứ tự bắt đầu, như trong ví dụ sau:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Lặp lại các bước này trên tất cả các nút trong cụm. Tốt nhất là bạn nên thực hiện việc này trên tất cả các nút trong vòng 5 phút kể từ khi bắt đầu trên nút đầu tiên.
Xác minh trạng thái proxy từ xa
Bạn có thể sử dụng Lãnh sự trên các nút ZooKeeper để kiểm tra xem các dịch vụ proxy vào và ra trên tất cả các nút có còn hoạt động, lành mạnh và đã tham gia lưới dịch vụ hay không.
Cách kiểm tra trạng thái proxy của các nút:
- Đăng nhập vào nút đang chạy ZooKeeper.
- Thực thi lệnh sau:
systemctl status consul_server
Xác minh trạng thái của nhóm cần tham gia
Quá trình cài đặt mTLS bao gồm cả việc thêm các dịch vụ proxy Consul vào tất cả các nút. Do đó, bạn nên xác minh trạng thái đại diện của tất cả các nút ZooKeeper.
Để kiểm tra trạng thái của nhóm hỗ trợ, hãy đăng nhập vào từng nút đang chạy ZooKeeper và thực thi lệnh sau:
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
Lệnh này hiển thị danh sách các thực thể Consul và trạng thái của các thực thể đó, như ví dụ sau cho thấy:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
Để biết thêm thông tin, hãy xem phần dưới đây:
Ngoài ra, bạn có thể nhận được thông tin về trạng thái của cụm, bao gồm cả việc nhóm đã hình thành hay chưa và các thành viên từ xa có đang suy giảm chức năng hay không. Để thực hiện việc này, hãy sử dụng lệnh sau:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status