このセクションでは、Apigee mTLS のインストールが成功したことを確認するさまざまな方法について説明します。このセクションで説明する手法は、クラスタの問題をトラブルシューティングする際にも使用できます。
iptables の構成を検証する
iptables
ルートが機能していることと、ルールが有効であることを確認することで、apigee-mtls
のインストールが成功したことを確認できます。
iptables
構成を検証する前に、次の点を確認してください。
- デフォルトのファイアウォールを置き換えるの説明に従って、ノードから firewalld をアンインストールし、iptables に置き換えた。
- ノード上のすべての Apigee コンポーネント(
apigee-mtls
を含む)を停止しました。
iptables を使用して apigee-mtls の構成が成功したことを確認するには:
- クラスタ内のノードにログインします。この順序は自由です。
- 次の例のように、ノード上のすべてのコンポーネントを停止します。
/opt/apigee/apigee-service/bin/apigee-all stop
- 次の例のように
validate
コマンドを実行します。/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
は、Consul またはローカル Apigee サービスが使用するすべてのポートにメッセージを送信します。スクリプトが無効なルールや失敗したルートを検出すると、エラーが表示されます。ノード上で Apigee サービスまたは Consul サーバーが実行されている場合、このコマンドは失敗します。
- 次のコマンドを実行して、ノード上の他のすべてのコンポーネントの前に
apigee-mtls
コンポーネントを起動します。/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- 次の例のように、ノード上の残りの Apigee コンポーネントを起動順序で起動します。
/opt/apigee/apigee-service/bin/apigee-service component_name start
- クラスタ内のすべてのノードで上記の手順を繰り返します。理想的には、最初のノードで起動してから 5 分以内にすべてのノードで行います。
リモート プロキシのステータスを確認する
ZooKeeper ノードで Consul を使用すると、すべてのノードの上り(内向き)プロキシ サービスと下り(外向き)プロキシ サービスが稼働しており、正常な状態であり、サービス メッシュに参加しているかどうかを確認できます。
ノードのプロキシ ステータスを確認するには:
- ZooKeeper を実行しているノードにログインします。
- 次のコマンドを実行します。
systemctl status consul_server
クォーラムのステータスを確認する
mTLS のインストールには、すべてのノードへの Consul プロキシ サービスの追加が含まれます。そのため、すべての ZooKeeper ノードのクォーラム ステータスを確認する必要があります。
クォーラム ステータスを確認するには、ZooKeeper を実行している各ノードにログインして、次のコマンドを実行します。
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
このコマンドは、次の例のように Consul インスタンスとそのステータスのリストを表示します。
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
詳しくは以下をご覧ください。
さらに、クラスタのクォーラムが形成されているかどうか、リモート メンバーが機能を低下させているかどうかなど、クラスタの健全性に関する情報を取得できます。これを行うには、次のコマンドを使用します。
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status