在集群中的所有节点上安装 Apigee mTLS 后,
必须配置并初始化 apigee-mtls 组件。为此,您需要
证书/密钥对
管理机上配置配置文件。然后部署
相同的生成文件和配置文件添加到集群中的所有节点,并初始化本地
apigee-mtls 组件。
配置 apigee-mtls(初始安装后)
本部分介绍如何在之后直接配置 Apigee mTLS 初始安装。如需了解如何更新 现有 Apigee mTLS 安装,请参阅更改现有的 apigee-mtls 配置。
本部分适用于单个数据中心内的安装。相关信息 如需了解如何在多个数据中心设置中配置 Apigee mTLS,请参阅 为 Apigee mTLS 配置多个数据中心。
配置 apigee-mtls 的一般过程如下:
- 更新配置文件:在您的
更新配置文件以包含
apigee-mtls设置。 - 安装 Consul 并生成凭据:安装
Consul 并(可选)使用它生成 TLS 凭据(仅一次)。
此外,将您的 Apigee mTLS 配置文件修改为:
- 添加凭据信息
- 定义集群的拓扑
请注意,您可以使用现有凭据 使用 Consul 生成它们。
- 分发凭据和配置文件: 将同一个已生成的证书/密钥对和更新后的配置文件分发到所有节点 集群内
- 初始化 apigee-mtls:初始化
apigee-mtls组件。
后续几个部分将介绍其中每个步骤。
第 1 步:更新配置文件
本部分介绍如何修改配置文件以包含 mTLS 配置 属性。有关配置文件的更多常规信息,请参阅 创建配置 文件。
使用 mTLS 相关属性更新配置文件后,请将其复制到
对集群中的所有节点执行 apigee-mtls 组件初始化之前,
节点。
如需更新配置文件,请执行以下操作:
- 在管理机器上,打开配置文件进行修改。
- 复制下面一组 mTLS 配置属性,并将其粘贴到配置中
文件:
ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER" ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS" CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS" PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS" RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS" MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS" MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS" QP_MTLS_HOSTS="QPID_PRIVATE_IPS" LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS" MTLS_ENCAPSULATE_LDAP="y" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE" PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem" PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem" APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS" TLS_MIN_VERSION="tls12" TLS_CIPHER_SUITES="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
根据您的配置设置每个属性的值。
下表介绍了这些配置属性:
属性 说明 ALL_IP集群中所有节点的专用主机 IP 地址列表(以空格分隔)。 IP 地址的顺序无关紧要,只是所有 IP 地址的顺序都必须相同, 配置文件
如果您为多个数据中心配置 Apigee mTLS,请列出 所有区域中所有主机的所有 IP 地址。
LDAP_MTLS_HOSTS集群中 OpenLDAP 节点的专用主机 IP 地址。 ZK_MTLS_HOSTS托管 ZooKeeper 节点的专用主机 IP 地址列表(用空格分隔) 资源。
请注意,根据要求, 至少三个 ZooKeeper 节点
CASS_MTLS_HOSTS托管 Cassandra 服务器的专用主机 IP 地址列表(用空格分隔) 资源。 PG_MTLS_HOSTS托管 Postgres 服务器的专用主机 IP 地址列表(用空格分隔) 资源。 RT_MTLS_HOSTS以空格分隔的专用主机 IP 地址列表,在 集群。 MTLS_ENCAPSULATE_LDAP加密邮件处理器和 LDAP 服务器之间的 LDAP 流量。设置为 y。MS_MTLS_HOSTS以空格分隔的专用主机 IP 地址列表,管理服务器节点所在的 IP 地址 托管在集群中 MP_MTLS_HOSTS消息处理器使用空格分隔的专用主机 IP 地址列表 托管在集群中 QP_MTLS_HOSTS托管 Qpid 服务器的专用主机 IP 地址列表(用空格分隔) 集群。 ENABLE_SIDECAR_PROXY确定 Cassandra 和 Postgres 是否应了解服务网格。 您必须将此值设置为“y”。
ENCRYPT_DATAConsul 使用的 base64 编码的加密密钥。此密钥是使用 consul keygen命令中的第 2 步:安装 Consul 和 生成凭据。集群中所有节点的此值必须相同。
PATH_TO_CA_CERT节点上证书文件的位置。此文件是在 第 2 步:安装 Consul 并生成凭据。 此位置在集群中所有节点上应相同,这样 都相同
证书必须采用 X509v3 编码。
PATH_TO_CA_KEY密钥文件在节点上的位置。此文件是在 第 2 步:安装 Consul 并生成凭据。 此位置在集群中所有节点上应相同,这样 都相同
密钥文件必须采用 X509v3 编码。
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR证书有效期为多少天 生成自定义证书。
默认值为 365。最大值为 7865 天(5 年)。
TLS_MIN_VERSION指定允许使用的最低 TLS 版本。设置为 tls12可强制至少使用 TLS 1.2。TLS_CIPHER_SUITES允许的 TLS 加密套件列表(以英文逗号分隔)。 例如:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384除了上面列出的属性之外,Apigee mTLS 还可以使用一些其他属性 如需了解详情,请参阅 配置多个数据中心。
- 确保将
ENABLE_SIDECAR_PROXY设置为“y”。 - 更新主机相关属性中的 IP 地址。请务必使用
私有 IP 地址,而不是公共 IP 地址
IP 地址。
在后续步骤中,您将设置其他属性的值,例如
ENCRYPT_DATA、PATH_TO_CA_CERT和PATH_TO_CA_KEY。您负责 尚未设置其值。修改
apigee-mtls配置属性时,请注意以下事项:- 所有属性均为字符串;必须将所有属性的值封装在单精度或双精度型中 引号。
- 如果与主机相关的值有多个专用 IP 地址,请将每个 IP 地址分开 以及空格。
- 使用专用 IP 地址,而不要使用主机名或公共 IP 地址来进行所有与主机相关的 属性。
- 属性值中的 IP 地址顺序必须与所有 配置文件
- 将所做的更改保存到配置文件。
第 2 步:安装 Consul 并生成凭据
本部分介绍如何安装 Consul 并生成 已启用 mTLS 的组件。
您必须选择以下方法之一来生成凭据:
- (推荐)使用 Consul 创建您自己的证书授权机构 (CA),具体说明见 部分
- 将现有 CA 的凭据与 Apigee mTLS(高级)搭配使用
关于凭据
凭据由以下内容组成:
- Certificate(证书):TLS 证书
- 密钥:TLS 公钥
- Gossip 消息:base-64 编码的加密密钥
对于每个此类文件,您只需生成一次版本即可。然后复制密钥和证书 复制到集群中的所有节点,并将加密密钥添加到 也会复制到所有节点
如需详细了解 Consul 的加密实现,请参阅以下内容:
安装 Consul 并生成凭据
生成 Apigee mTLS 使用的凭据 对私有云集群中的节点之间的安全通信进行身份验证,请使用本地 Consul 二进制文件 。因此, 必须在您的管理机上安装 Consul,然后才能 生成凭据。
如需安装 Consul 并生成 mTLS 凭据,请执行以下操作:
- 在您的管理计算机上,从 HashiCorp 网站。
- 解压缩下载的归档文件的内容。例如,将内容提取到
/opt/consul/。 - 在您的管理计算机上,通过执行
以下命令:
/opt/consul/consul tls ca create
Consul 会创建以下文件,这些文件构成证书/密钥对:
consul-agent-ca.pem(证书)consul-agent-ca-key.pem(键)
默认情况下,证书和密钥文件采用 X509v3 编码。
稍后,您需要将这些文件复制到集群中的所有节点。不过,目前 而只决定要将这些文件放在节点上的位置。它们应位于同一 和每个节点上例如
/opt/apigee/。 - 在配置文件中,将
PATH_TO_CA_CERT的值设置为 您将复制节点上的consul-agent-ca.pem文件。例如:PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
- 将
PATH_TO_CA_KEY的值设置为您要将 节点上的consul-agent-ca-key.pem文件。例如:PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
- 通过执行以下命令为 Consul 创建加密密钥:
/opt/consul/consul keygen
Consul 会输出类似于以下内容的随机字符串:
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
- 复制生成的这个字符串,并将其设置为
ENCRYPT_DATA属性的值 。例如:ENCRYPT_DATA="
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=" - 保存配置文件。
以下示例显示了配置文件中与 mTLS 相关的设置(示例 值):
... IP1=10.126.0.121 IP2=10.126.0.124 IP3=10.126.0.125 IP4=10.126.0.127 IP5=10.126.0.130 ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5" LDAP_MTLS_HOSTS="$IP3" ZK_MTLS_HOSTS="$IP3 $IP4 $IP5" CASS_MTLS_HOSTS="$IP3 $IP4 $IP5" PG_MTLS_HOSTS="$IP2 $IP1" RT_MTLS_HOSTS="$IP4 $IP5" MS_MTLS_HOSTS="$IP3" MP_MTLS_HOSTS="$IP4 $IP5" QP_MTLS_HOSTS="$IP2 $IP1" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=" PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem" ...
第 3 步:分发配置文件和凭据
使用 scp 等工具将以下文件复制到所有节点:
- 配置文件:复制此文件的更新版本,并替换 所有节点(而不仅仅是运行 ZooKeeper 的节点)上的现有版本。
- consul-agent-ca.pem::复制到您指定为
PATH_TO_CA_CERT。 - consul-agent-ca-key.pem::复制到您指定为
PATH_TO_CA_KEY。
请确保将证书和密钥文件复制到的位置 第 2 步:安装 Consul 并生成 凭据。
第 4 步:初始化 apigee-mtls
在每个节点上安装 apigee-mtls 后,更新了配置文件,并且
将密钥和凭据复制到集群中的所有节点,您就可以初始化
apigee-mtls 组件。
要初始化 apigee-mtls,请执行以下操作:
- 以根用户身份登录集群中的节点。您可以在 Google Cloud 上的节点上 订单。
- 将
apigee:apigee用户设置为更新配置文件的所有者,因为 如下例所示:chown apigee:apigee config_file
- 通过执行以下命令来配置
apigee-mtls组件:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file
- (可选)执行以下命令,验证您的设置是否成功:
/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
- 通过执行以下命令启动 Apigee mTLS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
安装 Apigee mTLS 后,您必须先启动此组件,再启动其他组件 组件。
- (仅限 Cassandra 节点)Cassandra 需要额外的参数
安全网格。因此,您必须在每个 Cassandra 节点上执行以下命令:
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart - (仅限 Postgres 节点)Postgres 需要额外的参数才能在
安全网格。因此,您必须在 Postgres 节点上执行以下操作:
(仅主要)
- 在 Postgres 主节点上执行以下命令:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
(仅限待机模式)
- 备份您现有的 Postgres 数据。要安装 Apigee mTLS,您必须重新初始化 因此会丢失数据如需了解详情,请参阅 为以下服务设置主/备用复制: Postgres。
- 删除所有 Postgres 数据:
rm -rf /opt/apigee/data/apigee-postgresql/pgdata
- 配置 Postgres,然后重启 Postgres,如以下示例所示:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
如果安装在多数据中心拓扑上, 配置文件
- 在 Postgres 主节点上执行以下命令:
- 在
startorder,作为
如下例所示:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- 对集群中的每个节点重复此过程。
- (可选)使用一个 API 来验证
apigee-mtls初始化是否成功 以下一种或多种方法: <ph type="x-smartling-placeholder">- </ph>
- 验证 iptables 配置
- 验证远程代理状态
- 验证仲裁状态
有关上述每种方法的说明,请参见验证您的 配置。
更改现有的 apigee-mtls 配置
如需自定义现有的 apigee-mtls 配置,您必须卸载并
重新安装 apigee-mtls。您还必须确保对
节点。
重申一下这一点,在更改现有 Apigee mTLS 配置时:
- 如果您要更改配置文件,则必须先卸载
apigee-mtls,然后 重新运行setup或configure:# DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall# BEFORE YOU DO THIS:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f fileOR/opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure - 您必须在集群中的所有节点上卸载并重新运行
setup或configure, 而不仅仅是单个节点