Nesta seção, descrevemos várias maneiras de confirmar se a instalação da mTLS da Apigee foi bem-sucedida. Também é possível usar as técnicas descritas nesta seção ao solucionar problemas com o cluster.
Validar a configuração do iptables
Confirme se a instalação da apigee-mtls
foi bem-sucedida verificando se
as rotas iptables
estão funcionando e se as regras são válidas.
Antes de validar uma configuração iptables
, verifique se:
- Você desinstalou o firewall do nó e o substituiu por iptables, conforme descrito em Substituir o firewall padrão.
- Você interrompeu todos os componentes da Apigee no nó, incluindo
apigee-mtls
.
Para validar se a configuração apigee-mtls foi configurada com o iptables:
- Faça login em um nó no cluster. A ordem em que você faz isso não importa.
- Pare todos os componentes no nó, conforme o exemplo a seguir:
/opt/apigee/apigee-service/bin/apigee-all stop
- Execute o comando
validate
, como no exemplo a seguir:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
envia mensagens para todas as portas usadas pelo Consul ou pelos serviços locais da Apigee. Se o script encontrar uma regra inválida ou uma rota com falha, ele exibirá um erro.Se algum serviço da Apigee ou servidor do Consul estiver em execução no nó, esse comando vai falhar.
- Execute o seguinte comando para iniciar o componente
apigee-mtls
antes de todos os outros componentes no nó:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Inicie os componentes restantes da Apigee no nó na
ordem de início, conforme
o exemplo a seguir mostra:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Repita essas etapas em todos os nós no cluster. O ideal é fazer isso em todos os nós dentro de cinco minutos após o início do primeiro nó.
Verificar o status do proxy remoto
É possível usar o Consul nos nós do ZooKeeper para verificar se os serviços de proxy de entrada e saída em todos os nós estão ativos, íntegros e entraram na malha de serviço.
Para verificar o status do proxy dos seus nós:
- Faça login em um nó que esteja executando o ZooKeeper.
- Execute este comando:
systemctl status consul_server
Verificar o status do quórum
A instalação do mTLS inclui a adição dos serviços de proxy do Consul a todos os nós. Como resultado, você deve verificar o status de quórum de todos os nós do ZooKeeper.
Para verificar o status do quórum, faça login em cada nó que executa o ZooKeeper e execute o seguinte comando:
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
Esse comando exibe uma lista das instâncias do Consul e os respectivos status, conforme mostrado no exemplo a seguir:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
Para saber mais, consulte os tópicos abaixo:
Além disso, é possível receber informações sobre a integridade do cluster, incluindo se o quórum do cluster foi formado e se os membros remotos estão prejudicando a funcionalidade. Para isso, use este comando:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status