本節說明驗證 Apigee mTLS 安裝成功的各種方式。您也可以在排解叢集問題時使用本節所述的技巧。
驗證 iptables 設定
您可以檢查 iptables
路徑是否正常運作,以及規則是否有效,藉此驗證 apigee-mtls
安裝是否成功。
驗證 iptables
設定之前,請確認下列事項:
- 您已從節點解除安裝防火牆,並替換為 iptables,如「取代預設防火牆」中所述。
- 您已停止節點中的所有 Apigee 元件,包括
apigee-mtls
。
如要使用 iptables 驗證 apigee-mtls 設定:
- 登入叢集中的節點。執行此動作的順序無關緊要。
- 停止節點上的所有元件,如以下範例所示:
/opt/apigee/apigee-service/bin/apigee-all stop
- 執行
validate
指令,如以下範例所示:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
會將訊息傳送至 Consul 或本機 Apigee 服務所使用的每個通訊埠。如果指令碼遇到無效規則或失敗的路徑,系統會顯示錯誤。如果任何 Apigee 服務或 Consul 伺服器在節點上執行,這個指令就會失敗。
- 執行下列指令,在節點上的其他元件之前啟動
apigee-mtls
元件:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- 按照開始順序啟動節點上的其餘 Apigee 元件,如以下範例所示:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- 針對叢集中的所有節點重複執行這些步驟。理想情況下,在第一個節點開始後的 5 分鐘內,請為所有節點執行這項操作。
驗證遠端 Proxy 狀態
您可以在 ZooKeeper 節點上使用 Consul 檢查所有節點上的輸入和輸出 Proxy 服務是否有效、健康狀態良好,且已加入服務網格。
如要查看節點的 Proxy 狀態:
- 登入執行 ZooKeeper 的節點。
- 執行以下指令:
systemctl status consul_server
驗證仲裁狀態
安裝 mTLS 安裝作業包括將 Consul Proxy 服務新增至所有節點。因此,您應驗證所有 ZooKeeper 節點的仲裁狀態。
如要檢查仲裁狀態,請登入執行 ZooKeeper 的每個節點,然後執行下列指令:
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
這個指令會顯示 Consul 執行個體及其狀態的清單,如以下範例所示:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
如需更多資訊,請參考下列資源:
此外,您還可以取得叢集的健康狀態相關資訊,包括叢集的仲裁是否成立,以及遠端成員是否會影響功能。如要這麼做,請使用下列指令:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status