Présentation d'Apigee mTLS

La fonctionnalité mTLS d'Apigee ajoute de la sécurité aux communications entre les composants de votre périphérie pour le cluster de cloud privé. Il s'agit d'une méthode standard dans l'industrie pour configurer et installer le maillage de services. Il permet la gestion des packages et l'automatisation de la configuration.

Présentation de l'architecture

Pour sécuriser les communications entre les composants, Apigee mTLS utilise un maillage de services qui établit des connexions TLS sécurisées et authentifiées mutuellement entre les composants.

L'image suivante montre les connexions entre les composants Apigee qu'Apigee mTLS sécurise (in red). Les ports indiqués dans l'image sont des exemples. Consultez la section Utilisation des ports pour obtenir la liste des plages que chaque composant peut utiliser.

(Notez que les ports indiqués par un "M" sont utilisés pour gérer le composant et doivent être ouverts sur le composant pour que le serveur de gestion puisse y accéder.)

Comme vous pouvez le voir dans le schéma ci-dessus, Apigee mTLS renforce la sécurité des connexions entre la plupart des composants du cluster, par exemple:

Source Destination
Serveur de gestion Nœuds Routeur, MP, QPid, LDAP, Postgres, Zookeeper et Cassandra
Routeur Bouclage ; nœuds Qpid, Zookeeper et Cassandra
Processeur de messages Bouclage ; nœuds Qpid, Zookeeper et Cassandra
ZooKeeper et Cassandra Autres nœuds Zookeeper et Cassandra
Interface utilisateur périphérique SMTP (pour l'IdP externe uniquement)
Postgres Autres nœuds Postgres, Zookeeper et Cassandra

Chiffrement/déchiffrement des messages

Le maillage de services mTLS Apigee se compose de serveurs Consul qui s'exécutent sur chaque nœud ZooKeeper de votre cluster, ainsi que des services Consul suivants sur chaque nœud du cluster:

  • Un proxy de sortie qui intercepte les messages sortants sur le nœud hôte Ce service chiffre les messages sortants avant de les envoyer à leur destination.
  • Un proxy d'entrée qui intercepte les messages entrants sur le nœud hôte Ce service déchiffre les messages entrants avant de les envoyer à leur destination finale.

Par exemple, lorsque le serveur de gestion envoie un message au routeur, le service proxy de sortie intercepte le message sortant, le chiffre, puis l'envoie au routeur. Lorsque le nœud du routeur reçoit le message, le service proxy d'entrée le déchiffre, puis le transmet au composant de routeur pour traitement.

Tout cela se produit de manière transparente pour les composants Edge: ils ne connaissent pas le processus de chiffrement et de déchiffrement effectué par les services proxy Consul.

En outre, Apigee mTLS utilise l'utilitaire iptables, un service de pare-feu Linux qui gère la redirection du trafic.

Conditions requises

Pour que vous puissiez installer Apigee mTLS, votre environnement doit disposer de la configuration suivante:

Les sections suivantes décrivent chacune de ces exigences en détail.

Exigences concernant la topologie

Apigee mTLS nécessite que la topologie de votre environnement inclue au moins trois nœuds Zookeeper. Par conséquent, vous ne pouvez installer Apigee mTLS que sur des topologies utilisant 5, 9, 12 (centres de données multiples) ou 13 nœuds. Pour en savoir plus, consultez la section Topologies d'installation.

Utilitaires/Packages

Apigee mTLS nécessite l'installation et l'activation des packages suivants sur chaque machine de votre cluster, y compris votre machine d'administration, avant de commencer le processus d'installation:

Utilitaire/Package Description Possibilité de retirer après l'installation ?
base64 Vérifie les données dans les scripts d'installation.
gnu-bash
gnu-sed
gnu-grep
Utilisé par le script d'installation et d'autres outils courants.
iptables Remplace le pare-feu par défaut, firewalld.
iptables-services Fournit des fonctionnalités à l'utilitaire iptables.
lsof Utilisé par le script d'installation.
nc Vérifie iptables routes.
openssl Signe les certificats localement lors du processus d'amorçage initial.

Lors de l'installation, vous installez également le package Consul sur la machine d'administration afin de pouvoir générer des identifiants et la clé de chiffrement.

Le package apigee-mtls installe et configure les serveurs Consul, y compris les proxys d'entrée et de sortie sur les nœuds ZooKeeper du cluster.

Autorisations du compte utilisateur

Avant l'installation, créez un compte utilisateur ou assurez-vous d'avoir accès à un compte disposant de droits élevés.

Le compte qui exécute l'installation mTLS Apigee sur chaque nœud du cluster doit être en mesure d'effectuer les opérations suivantes:

  • Démarrer, arrêter, redémarrer et initialiser des composants Apigee
  • Définir des règles de pare-feu
  • Créer un compte utilisateur système/système d'exploitation
  • Activer, désactiver, démarrer, arrêter et masquer des services avec systemctl

Machine d'administration (recommandé)

Apigee vous recommande de disposer d'un nœud au sein du cluster sur lequel vous pouvez effectuer diverses tâches administratives décrites dans ce document, y compris les suivantes:

  1. Installez HashiCorp Consul 1.6.2.
  2. Générez et distribuez un certificat/une paire de clés et une clé de chiffrement des rumeurs.
  3. Mettre à jour et distribuer le fichier de configuration

Lors de la configuration de la machine d'administration:

  • Assurez-vous de disposer d'un accès racine à celui-ci.
  • Téléchargez et installez les utilitaires apigee-service et apigee-setup dessus, comme décrit dans la section Installer l'utilitaire de configuration Edge.
  • Assurez-vous de pouvoir utiliser scp/ssh pour accéder à tous les nœuds du cluster à partir de la machine d'administration. Cette étape est nécessaire pour pouvoir distribuer votre fichier de configuration et vos identifiants.

Utilisation et attribution des ports

Cette section décrit l'utilisation et les attributions de ports permettant de gérer les communications Consul avec Apigee mTLS.

Utilisation des ports: tous les nœuds exécutant apigee-mtls

Tous les nœuds du cluster qui utilisent le service apigee-mtls doivent autoriser les connexions à partir des services sur l'hôte local (127.0.0.1). Cela permet aux proxys Consul de communiquer avec les autres services lors du traitement des messages entrants et sortants.

Utilisation du port: nœuds du serveur Consul (nœuds exécutant ZooKeeper)

Vous devez ouvrir la plupart des ports suivants sur les nœuds du serveur Consul (nœuds exécutant ZooKeeper) pour accepter les requêtes de tous les nœuds du cluster:

Nœud Port du serveur Consul Description Protocole Autoriser les agents mtls-externes
*
Serveur Consul (nœuds ZooKeeper) 8300 Connecte tous les serveurs Consul du cluster. RPC
8301 Gère les messages d'appartenance et de diffusion au sein du cluster. UDP/TCP
8302 Port WAN qui gère les messages d'adhésion et de diffusion dans une configuration multicentre de données. UDP/TCP
8500 Gère les connexions HTTP aux API Consul Server à partir de processus sur le même nœud.

Ce port n'est pas utilisé pour la communication ou la coordination à distance. Il n'écoute que sur localhost.

HTTP
8502 Gère les connexions gRPC+HTTPS aux API Consul Server à partir d'autres nœuds du cluster. gRPC+HTTPS
8503 Gère les connexions HTTPS aux API Consul Server à partir d'autres nœuds du cluster. HTTPS
8600 Gère le DNS du serveur Consul. UDP/TCP
* Apigee vous recommande de limiter les requêtes entrantes aux membres du cluster (y compris entre les datastores). Pour ce faire, vous pouvez utiliser iptables.

Comme le montre ce tableau, les nœuds exécutant le composant consul-server (nœuds ZooKeeper) doivent ouvrir les ports 8301, 8302, 8502 et 8503 à tous les membres du cluster qui exécutent le service apigee-mtls, même dans les centres de données. Les nœuds qui n'exécutent pas ZooKeeper n'ont pas besoin d'ouvrir ces ports.

Attributions de ports pour tous les nœuds Consul (y compris les nœuds exécutant ZooKeeper)

Pour prendre en charge les communications Consul, les nœuds exécutant les composants Apigee suivants doivent autoriser les connexions externes aux ports compris dans les plages suivantes:

Composant Apigee Plage Nombre de ports requis par nœud
mTLS Apigee 10 700 à 10 799 1
Cassandra 10 100 à 10 199 2
Processeur de messages 10 500 à 10 599 2
OpenLDAP 10 200 à 10 299 1
Postgres 10 300 à 10 399 3
QPID 10 400 à 10 499 2
Routeur 10 600 à 10 699 2
ZooKeeper 10 000 à 10 099 3

Consul attribue des ports de manière simple et linéaire. Par exemple, si votre cluster comporte deux nœuds Postgres, le premier nœud utilise deux ports. Consul lui attribue donc les ports 10300 et 10301. Le deuxième nœud utilise également deux ports. Consol lui attribue donc 10302 et 10303. Cela s'applique à tous les types de composants.

Comme vous pouvez le constater, le nombre réel de ports dépend de la topologie: si votre cluster comporte deux nœuds Postgres, vous devez ouvrir quatre ports (deux nœuds multipliés par deux ports chacun).

Veuillez noter les points suivants :

  • Les proxys Consul ne peuvent pas écouter sur les mêmes ports que les services Apigee.
  • Consul ne dispose que d'un seul espace d'adressage de port. Les attributions de ports du proxy Consul doivent être uniques dans le cluster, ce qui inclut les centres de données. Cela signifie que si le proxy A sur l'hôte A écoute sur le port 15 000, le proxy B sur l'hôte B ne peut pas écouter sur le port 15 000.
  • Le nombre de ports utilisés varie en fonction de la topologie, comme décrit précédemment.

Dans une configuration multicentre de données, tous les hôtes exécutant mTLS doivent également ouvrir le port 8302.

Vous pouvez personnaliser les ports par défaut utilisés par Apigee mTLS. Pour savoir comment procéder, consultez la section Personnalisation de la plage de ports du proxy.

Limites

Apigee mTLS présente les limites suivantes:

  • Ne chiffre pas les communications Cassandra entre les nœuds (port 7000)
  • La configuration ne sont pas idempotentes. Cela signifie que si vous apportez une modification sur un nœud, vous devez effectuer la même modification sur tous les nœuds. Le système n'applique pas cette modification pour vous sur les autres nœuds. Pour en savoir plus, consultez la section Modifier une configuration apigee-mtls existante.

Terminologie

Cette section utilise la terminologie suivante:

Terme Définition
Cluster Groupe de machines qui constituent votre périphérie de réseau pour l'installation de cloud privé.
Consul Maillage de services utilisé par Apigee mTLS. Pour en savoir plus sur la manière dont Consul sécurise vos communications dans le cloud privé, consultez le modèle de sécurité de Consul.
mTLS TLS authentifié mutuellement.
maillage de services Réseau en superposition (ou réseau au sein d'un réseau).
TLS Sécurité de la couche de transaction Protocole d'authentification standard dans l'industrie pour des communications sécurisées.