Cette section décrit différentes manières de vérifier que l'installation d'Apigee mTLS a réussi. Vous pouvez également utiliser les techniques décrites dans cette section pour résoudre des problèmes liés à cluster.
Valider la configuration d'iptables
Vous pouvez vérifier que l'installation de apigee-mtls
a réussi en vérifiant que
les routes iptables
fonctionnent et les règles sont valides.
Avant de valider une configuration iptables
, vérifiez les points suivants:
- Vous avez désinstallé le pare-feu du nœud et l'avez remplacé par iptables, comme décrit dans Remplacer le pare-feu par défaut.
- Vous avez arrêté tous les composants Apigee sur le nœud, y compris
apigee-mtls
.
Pour vérifier que la configuration apigee-mtls a réussi avec iptables:
- Connectez-vous à un nœud de votre cluster. L'ordre dans lequel vous effectuez cette opération n'a pas d'importance.
- Arrêtez tous les composants sur le nœud, comme indiqué dans l'exemple suivant:
/opt/apigee/apigee-service/bin/apigee-all stop
- Exécutez la commande
validate
, comme le montre l'exemple suivant:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
envoie des messages à chaque port que Consul ou le serveur Apigee local des services Google. Si le script rencontre une règle non valide ou une route ayant échoué, il affiche une erreur.Si des services Apigee ou des serveurs Consul sont en cours d'exécution sur le nœud, cette commande échouera.
- Démarrez le composant
apigee-mtls
avant tous les autres composants du nœud en en exécutant la commande suivante:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Démarrez les composants Apigee restants sur le nœud dans le
start order (ordre de départ)
l'exemple suivant montre:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Répétez ces étapes sur tous les nœuds du cluster. Idéalement, faites-le sur tous les nœuds en 5 minutes d'avoir démarré sur le premier nœud.
Vérifier l'état du proxy distant
Vous pouvez utiliser Consul sur les nœuds ZooKeeper pour vérifier si les services proxy d'entrée et de sortie les nœuds sont actifs, opérationnels et ont rejoint le maillage de services.
Pour vérifier l'état du proxy de vos nœuds:
- Connectez-vous à un nœud qui exécute ZooKeeper.
- Exécutez la commande suivante:
systemctl status consul_server
Vérifier l'état du quorum
L'installation de mTLS inclut l'ajout des services proxy Consul à tous les nœuds. Par conséquent, vous doit vérifier l'état du quorum de tous les nœuds ZooKeeper.
Pour vérifier l'état du quorum, connectez-vous à chaque nœud exécutant ZooKeeper et exécutez la commande suivante : :
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
Cette commande affiche la liste des instances Consul et leur état, comme suit : dans cet exemple:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
Pour en savoir plus, consultez les ressources suivantes :
De plus, vous pouvez obtenir des informations sur l'état du cluster, y compris si le le quorum d'un cluster est formé et si des membres distants affectent ses fonctionnalités. Pour ce faire, utilisez la commande suivante:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status