Verifique la instalación de Apigee mTLS

En esta sección, se describen varias formas de validar que la instalación de Apigee mTLS se haya realizado correctamente. También puedes usar las técnicas descritas en esta sección cuando soluciones problemas con las clúster.

Valida la configuración de iptables

Para validar que la instalación de apigee-mtls se realizó correctamente, verifica que que las rutas iptables funcionen y que las reglas sean válidas.

Antes de validar una configuración de iptables, asegúrate de lo siguiente:

  • Desinstalaste el firewall del nodo y lo reemplazaste por iptables, como se describe en Reemplaza el firewall predeterminado.
  • Detuviste todos los componentes de Apigee en el nodo, incluido apigee-mtls.

Para validar que la configuración de apigee-mtls se realizó correctamente con iptables, se debe hacer lo siguiente:

  1. Accede a un nodo en tu clúster. El orden en el que lo hagas no importa.
  2. Detén todos los componentes en el nodo, como se muestra en el siguiente ejemplo:
    /opt/apigee/apigee-service/bin/apigee-all stop
  3. Ejecuta el comando validate, como se muestra en el siguiente ejemplo:
    /opt/apigee/apigee-mtls/lib/actions/iptables.sh validate

    iptables envía mensajes a cada puerto que Consul o el Apigee local usen servicios usan. Si la secuencia de comandos encuentra una regla no válida o una ruta con errores, muestra un error.

    Si algún servicio de Apigee o servidor de Consul se está ejecutando en el nodo, este comando fallará.

  4. Inicia el componente apigee-mtls antes que todos los demás componentes del nodo. Para ello, haz lo siguiente: mediante la ejecución del siguiente comando:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  5. Inicia los componentes de Apigee restantes en el nodo, en la order order que que se muestra a continuación:
    /opt/apigee/apigee-service/bin/apigee-service component_name start
  6. Repite estos pasos en todos los nodos del clúster. Lo ideal es hacer esto en todos los nodos dentro de los 5 minutos de haber comenzado en el primer nodo.

Verifica el estado del proxy remoto

Puedes usar Consul en nodos de ZooKeeper para comprobar si los servicios de proxy de entrada y salida nodos están activos, en buen estado y se unieron a la malla de servicios.

Para verificar el estado del proxy de tus nodos, sigue estos pasos:

  1. Accede a un nodo que ejecute ZooKeeper.
  2. Ejecuta el siguiente comando:
    systemctl status consul_server

Verifica el estado del quórum

La instalación de mTLS incluye la adición de los servicios de proxy de Consul a todos los nodos. Como resultado, debe verificar el estado de quórum de todos los nodos de ZooKeeper.

Para verificar el estado del quórum, accede a cada nodo que ejecute ZooKeeper y ejecuta lo siguiente: :

/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers

Este comando muestra una lista de las instancias de Consul y sus estados, como se muestra a continuación ejemplo muestra:

Node             ID                     Address            State     Voter  RaftProtocol
prc-test-0-1619  b59c1f44-6eb0-81d4-42  10.126.0.98:8300   leader    true   3
prc-test-1-1619  a4372a6e-8044-e587-43  10.126.0.146:8300  follower  true   3
prc-test-2-1619  71eb181f-4242-5353-44  10.126.0.100:8300  follower  true   3

Para obtener más información, consulta lo siguiente:

Además, puedes obtener información sobre el estado del clúster, incluida la el quórum del clúster se formó y si los miembros remotos están afectando la funcionalidad. Para hacerlo, usa el siguiente comando:

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status