Apigee mTLS accepte plusieurs centres de données, ce qui vous permet d'adapter votre configuration des topologies plus complexes telles qu'un réseau 12 nœuds en cluster.
Le processus d'installation de mTLS dans une topologie avec plusieurs centres de données comme pour les topologies plus simples. Vous devez toutefois vous assurer que votre installation respecte les les conditions préalables et à modifier vos fichiers de configuration comme décrit dans les sections suivre.
Prérequis
Pour utiliser Apigee mTLS avec plusieurs centres de données, vous devez:
- Désinstallez
apigee-mtls
, puis réinstallez-le avec le centre de données multiple configuration. Vous ne pouvez pas modifier une configuration existante. Pour plus d'informations, consultez la section Modifier une configuration apigee-mtls existante. - Ouvrez le port 8302 sur chaque hôte exécutant mTLS.
- Assurez-vous que tous les membres du cluster mTLS disposent d'adresses IP uniques, cohérentes pour tous membres du cluster.
- Lorsque vous spécifiez des fichiers de configuration, utilisez des chemins d'accès absolus dans vos commandes en cas d'ambiguïté. peut exister.
- Ajoutez des propriétés de configuration pour plusieurs centres de données, comme décrit dans la section Fichiers de configuration pour plusieurs centres de données.
Fichiers de configuration pour plusieurs centres de données
Pour utiliser Apigee mTLS avec plusieurs centres de données, vous devez créer un fichier de configuration distinct pour chaque dans un centre de données.
Dans chacun des fichiers de configuration:
- Modifiez la valeur de la propriété de configuration
ALL_IP
pour inclure all (tous). adresses IP de l'hôte dans toutes les régions. - Assurez-vous que la valeur de la propriété
REGION
correspond au nom de la région actuelle ou dans un centre de données. Exemple : "dc-1". - Ajoutez les propriétés suivantes:
Propriété Description APIGEE_MTLS_MULTI_DC_ENABLE
Si vous utilisez ou non une configuration de plusieurs centres de données. Définir sur "y" si vous êtes la configuration de plusieurs centres de données. Sinon, omettez-le ou définissez-le sur "n". La valeur par défaut est omise. MTLS_LOCAL_REGION_IP
Liste de toutes les adresses IP utilisées par la région dans laquelle vous vous trouvez actuellement, séparées par un espace configuration. Exemple : "10.0.0.1 10.0.0.2 10.0.0.3". Pour la deuxième région de la configuration, utilisez la classe
MTLP_REMOTE_REGION_1_IP
.MTLS_REMOTE_REGION_1_NAME
Nom de la deuxième région dans une configuration multicentre de données. Par exemple : "dc-2". Dans le fichier de configuration de la deuxième région, vous utiliserez "dc-2" pour
REGION
et "dc-1" pendantMTLS_REMOTE_REGION_1_NAME.
MTLS_REMOTE_REGION_1_IP
Liste de toutes les adresses IP utilisées par la deuxième région dans un centre de données multiples (délimitée par des espaces) configuration. Exemple : "10.0.0.4 10.0.0.5 10.0.0.6".
Les exemples suivants présentent les fichiers de configuration de deux centres de données ("dc-1" et "dc-2"). Les propriétés spécifiques à une configuration de plusieurs centres de données sont mises en surbrillance):
Fichier de configuration dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
Fichier de configuration dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Pour plus d'informations sur les propriétés de configuration standard, reportez-vous à la section Étape 1: Mettez à jour votre fichier de configuration
Tester la configuration de plusieurs centres de données
La commande raft list-peers
affiche la liste des adresses IP définies dans
MTLS_LOCAL_REGION_IP
, ce qui signifie qu'ils sont situés dans le même centre de données.
Voici un exemple de résultat d'une commande raft list-peers
:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
Apigee mTLS a été testé dans deux centres de données. Vous pouvez toutefois spécifier des configurations pour un maximum de huit centres de données à l'aide des éléments suivants : propriétés:
MTLS_REMOTE_REGION_[2-8]_IP
MTLS_REMOTE_REGION_[2-8]_NAME