Vérifier l'installation d'Apigee mTLS

Cette section décrit différentes manières de vérifier que l'installation d'Apigee mTLS a réussi. Vous pouvez également utiliser les techniques décrites dans cette section pour résoudre des problèmes liés à cluster.

Valider la configuration d'iptables

Vous pouvez vérifier que l'installation de apigee-mtls a réussi en vérifiant que les routes iptables fonctionnent et les règles sont valides.

Avant de valider une configuration iptables, vérifiez les points suivants:

  • Vous avez désinstallé le pare-feu du nœud et l'avez remplacé par iptables, comme décrit dans Remplacer le pare-feu par défaut.
  • Vous avez arrêté tous les composants Apigee sur le nœud, y compris apigee-mtls.

Pour vérifier que la configuration apigee-mtls a réussi avec iptables:

  1. Connectez-vous à un nœud de votre cluster. L'ordre dans lequel vous effectuez cette opération n'a pas d'importance.
  2. Arrêtez tous les composants sur le nœud, comme indiqué dans l'exemple suivant:
    /opt/apigee/apigee-service/bin/apigee-all stop
  3. Exécutez la commande validate, comme le montre l'exemple suivant:
    /opt/apigee/apigee-mtls/lib/actions/iptables.sh validate

    iptables envoie des messages à chaque port que Consul ou le serveur Apigee local des services Google. Si le script rencontre une règle non valide ou une route ayant échoué, il affiche une erreur.

    Si des services Apigee ou des serveurs Consul sont en cours d'exécution sur le nœud, cette commande échouera.

  4. Démarrez le composant apigee-mtls avant tous les autres composants du nœud en en exécutant la commande suivante:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  5. Démarrez les composants Apigee restants sur le nœud dans le start order (ordre de départ) l'exemple suivant montre:
    /opt/apigee/apigee-service/bin/apigee-service component_name start
  6. Répétez ces étapes sur tous les nœuds du cluster. Idéalement, faites-le sur tous les nœuds en 5 minutes d'avoir démarré sur le premier nœud.

Vérifier l'état du proxy distant

Vous pouvez utiliser Consul sur les nœuds ZooKeeper pour vérifier si les services proxy d'entrée et de sortie les nœuds sont actifs, opérationnels et ont rejoint le maillage de services.

Pour vérifier l'état du proxy de vos nœuds:

  1. Connectez-vous à un nœud qui exécute ZooKeeper.
  2. Exécutez la commande suivante:
    systemctl status consul_server

Vérifier l'état du quorum

L'installation de mTLS inclut l'ajout des services proxy Consul à tous les nœuds. Par conséquent, vous doit vérifier l'état du quorum de tous les nœuds ZooKeeper.

Pour vérifier l'état du quorum, connectez-vous à chaque nœud exécutant ZooKeeper et exécutez la commande suivante : :

/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers

Cette commande affiche la liste des instances Consul et leur état, comme suit : dans cet exemple:

Node             ID                     Address            State     Voter  RaftProtocol
prc-test-0-1619  b59c1f44-6eb0-81d4-42  10.126.0.98:8300   leader    true   3
prc-test-1-1619  a4372a6e-8044-e587-43  10.126.0.146:8300  follower  true   3
prc-test-2-1619  71eb181f-4242-5353-44  10.126.0.100:8300  follower  true   3

Pour en savoir plus, consultez les ressources suivantes :

De plus, vous pouvez obtenir des informations sur l'état du cluster, y compris si le le quorum d'un cluster est formé et si des membres distants affectent ses fonctionnalités. Pour ce faire, utilisez la commande suivante:

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status