หลังจากติดตั้ง Apigee mTLS ในโหนดทั้งหมดในคลัสเตอร์แล้ว คุณต้องกําหนดค่าและเริ่มต้นคอมโพเนนต์ apigee-mtls
โดยสร้างคู่ใบรับรอง/คีย์และอัปเดตไฟล์การกําหนดค่าในเครื่องที่ใช้จัดการ จากนั้นคุณจึงติดตั้งใช้งานไฟล์ที่สร้างขึ้นและไฟล์การกําหนดค่าเดียวกันไปยังโหนดทั้งหมดในคลัสเตอร์ และเริ่มต้นใช้งานคอมโพเนนต์ apigee-mtls
ในพื้นที่
กำหนดค่า apigee-mtls (หลังจากการติดตั้งครั้งแรก)
ส่วนนี้จะอธิบายวิธีกำหนดค่า mTLS ของ Apigee โดยตรงหลังจากการติดตั้งครั้งแรก โปรดดูข้อมูลเกี่ยวกับการอัปเดตการติดตั้ง mTLS ของ Apigee ที่มีอยู่แล้วที่หัวข้อเปลี่ยนการกำหนดค่า apigee-mtls ที่มีอยู่
ส่วนนี้ใช้กับการติดตั้งในศูนย์ข้อมูลแห่งเดียว ดูข้อมูลเกี่ยวกับการกำหนดค่า mTLS ของ Apigee ในการตั้งค่าศูนย์ข้อมูลหลายแห่งได้ที่หัวข้อกำหนดค่าศูนย์ข้อมูลหลายแห่งสำหรับ mTLS ของ Apigee
ขั้นตอนทั่วไปในการกําหนดค่า apigee-mtls
มีดังนี้
- อัปเดตไฟล์การกําหนดค่า: ในเครื่องที่ใช้จัดการ ให้อัปเดตไฟล์การกําหนดค่าให้รวมการตั้งค่า
apigee-mtls
- ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ: ติดตั้ง Consul และใช้เพื่อสร้างข้อมูลเข้าสู่ระบบ TLS (ไม่บังคับ) (1 ครั้งเท่านั้น)
นอกจากนี้ ให้แก้ไขไฟล์การกําหนดค่า mTLS ของ Apigee ดังนี้
- เพิ่มข้อมูลเข้าสู่ระบบ
- กําหนดโทโพโลยีของคลัสเตอร์
โปรดทราบว่าคุณใช้ข้อมูลเข้าสู่ระบบที่มีอยู่หรือสร้างข้อมูลเข้าสู่ระบบด้วย Consul ก็ได้
- แจกจ่ายข้อมูลเข้าสู่ระบบและไฟล์การกําหนดค่า: แจกจ่ายคู่ใบรับรอง/คีย์ที่สร้างขึ้นและไฟล์การกําหนดค่าที่อัปเดตแล้วให้กับโหนดทั้งหมดในคลัสเตอร์
- เริ่มต้น apigee-mtls: เริ่มต้นคอมโพเนนต์
apigee-mtls
ในโหนดแต่ละโหนด
อ่านข้อมูลเกี่ยวกับแต่ละขั้นตอนเหล่านี้ได้ในส่วนต่อไปนี้
ขั้นตอนที่ 1: อัปเดตไฟล์การกําหนดค่า
ส่วนนี้จะอธิบายวิธีแก้ไขไฟล์การกําหนดค่าให้รวมพร็อพเพอร์ตี้การกําหนดค่า mTLS ดูข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับไฟล์การกําหนดค่าได้ที่การสร้างไฟล์การกําหนดค่า
หลังจากอัปเดตไฟล์การกําหนดค่าด้วยพร็อพเพอร์ตี้ที่เกี่ยวข้องกับ mTLS แล้ว ให้คัดลอกไฟล์ไปยังโหนดทั้งหมดในคลัสเตอร์ก่อนที่จะเริ่มต้นใช้งานคอมโพเนนต์ apigee-mtls
ในโหนดเหล่านั้น
วิธีอัปเดตไฟล์การกําหนดค่า
- เปิดไฟล์การกําหนดค่าเพื่อแก้ไขในเครื่องที่ใช้จัดการ
- คัดลอกชุดพร็อพเพอร์ตี้การกําหนดค่า mTLS ต่อไปนี้และวางลงในไฟล์การกําหนดค่า
ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER" ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS" CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS" PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS" RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS" MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS" MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS" QP_MTLS_HOSTS="QPID_PRIVATE_IPS" LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS" MTLS_ENCAPSULATE_LDAP="y" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE" PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem" PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem" APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS" TLS_MIN_VERSION="tls12" TLS_CIPHER_SUITES="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
ตั้งค่าของพร็อพเพอร์ตี้แต่ละรายการให้สอดคล้องกับการกําหนดค่า
ตารางต่อไปนี้อธิบายพร็อพเพอร์ตี้การกําหนดค่าเหล่านี้
พร็อพเพอร์ตี้ คำอธิบาย ALL_IP
รายการที่อยู่ IP ส่วนตัวของโฮสต์ของโหนดทั้งหมดในคลัสเตอร์ที่คั่นด้วยเว้นวรรค ลำดับของที่อยู่ IP นั้นไม่สำคัญ ยกเว้นว่าต้องเหมือนกันในไฟล์การกำหนดค่าทั้งหมดในคลัสเตอร์
หากคุณกำหนดค่า mTLS ของ Apigee สำหรับศูนย์ข้อมูลหลายแห่ง ให้ระบุที่อยู่ IP ทั้งหมดสำหรับโฮสต์ทั้งหมดในทุกภูมิภาค
LDAP_MTLS_HOSTS
ที่อยู่ IP ส่วนตัวของโฮสต์โหนด OpenLDAP ในคลัสเตอร์ ZK_MTLS_HOSTS
รายการที่อยู่ IP ส่วนตัวของโฮสต์ที่คั่นด้วยเว้นวรรค ซึ่งโฮสต์โหนด ZooKeeper ในคลัสเตอร์
โปรดทราบว่าตามข้อกําหนด ต้องมีโหนด ZooKeeper อย่างน้อย 3 โหนด
CASS_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยเว้นวรรค ซึ่งโฮสต์เซิร์ฟเวอร์ Cassandra ในคลัสเตอร์ PG_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยเว้นวรรค ซึ่งโฮสต์เซิร์ฟเวอร์ Postgres ในคลัสเตอร์ RT_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยเว้นวรรคซึ่งโฮสต์เราเตอร์ในคลัสเตอร์ MTLS_ENCAPSULATE_LDAP
เข้ารหัสการรับส่งข้อมูล LDAP ระหว่างโปรแกรมประมวลผลข้อความกับเซิร์ฟเวอร์ LDAP ตั้งค่าเป็น y
MS_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยเว้นวรรค ซึ่งโฮสต์โหนดเซิร์ฟเวอร์การจัดการในคลัสเตอร์ MP_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยเว้นวรรค ซึ่งโฮสต์โปรแกรมประมวลผลข้อความในคลัสเตอร์ QP_MTLS_HOSTS
รายการที่อยู่ IP ส่วนตัวของโฮสต์ที่คั่นด้วยเว้นวรรค ซึ่งโฮสต์เซิร์ฟเวอร์ Qpid ในคลัสเตอร์ ENABLE_SIDECAR_PROXY
กำหนดว่า Cassandra และ Postgres ควรรับรู้ถึง Service Mesh หรือไม่ คุณต้องตั้งค่านี้เป็น "y"
ENCRYPT_DATA
คีย์การเข้ารหัสที่เข้ารหัส Base64 ซึ่ง Consul ใช้ คุณสร้างคีย์นี้โดยใช้คำสั่ง consul keygen
ในขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบค่านี้ต้องเหมือนกันในทุกโหนดในคลัสเตอร์
PATH_TO_CA_CERT
ตำแหน่งของไฟล์ใบรับรองบนโหนด คุณสร้างไฟล์นี้ในขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ ตำแหน่งนี้ควรเหมือนกันในทุกโหนดในคลัสเตอร์เพื่อให้ไฟล์การกำหนดค่าเหมือนกัน
ใบรับรองต้องเข้ารหัส X509v3
PATH_TO_CA_KEY
ตำแหน่งของไฟล์คีย์ในโหนด คุณสร้างไฟล์นี้ในขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ ตำแหน่งนี้ควรเหมือนกันในทุกโหนดในคลัสเตอร์เพื่อให้ไฟล์การกําหนดค่าเหมือนกัน
ไฟล์คีย์ต้องเข้ารหัส X509v3
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR
จำนวนวันที่ใบรับรองใช้งานได้เมื่อคุณสร้างใบรับรองที่กำหนดเอง
ค่าเริ่มต้นคือ 365 ค่าสูงสุดคือ 7865 วัน (5 ปี)
TLS_MIN_VERSION
ระบุเวอร์ชัน TLS ขั้นต่ำที่อนุญาต ตั้งค่าเป็น tls12
เพื่อบังคับใช้ TLS 1.2 เป็นเวอร์ชันขั้นต่ำTLS_CIPHER_SUITES
รายการชุดการเข้ารหัส TLS ที่อนุญาตซึ่งคั่นด้วยคอมมา เช่น
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
นอกเหนือจากพร็อพเพอร์ตี้ที่ระบุไว้ข้างต้นแล้ว Apigee mTLS ยังใช้พร็อพเพอร์ตี้เพิ่มเติมอีกหลายรายการเมื่อคุณติดตั้งในการกำหนดค่าศูนย์ข้อมูลหลายแห่ง ดูข้อมูลเพิ่มเติมได้ที่กำหนดค่าศูนย์ข้อมูลหลายแห่ง
- ตรวจสอบว่าได้ตั้งค่า
ENABLE_SIDECAR_PROXY
เป็น "y" - อัปเดตที่อยู่ IP ในพร็อพเพอร์ตี้ที่เกี่ยวข้องกับโฮสต์ โปรดใช้ที่อยู่ IP ส่วนตัวเมื่ออ้างอิงถึงแต่ละโหนด ไม่ใช่ที่อยู่ IP สาธารณะ
ในขั้นตอนต่อๆ ไป คุณจะตั้งค่าพร็อพเพอร์ตี้อื่นๆ เช่น
ENCRYPT_DATA
,PATH_TO_CA_CERT
และPATH_TO_CA_KEY
คุณยังไม่ได้ตั้งค่าสิ่งที่ควรทราบเมื่อแก้ไขพร็อพเพอร์ตี้การกําหนดค่า
apigee-mtls
- พร็อพเพอร์ตี้ทั้งหมดคือสตริง คุณต้องตัดค่าของพร็อพเพอร์ตี้ทั้งหมดด้วยเครื่องหมายคำพูดเดี่ยวหรือเครื่องหมายคำพูดคู่
- หากค่าที่เกี่ยวข้องกับโฮสต์มีที่อยู่ IP ส่วนตัวมากกว่า 1 รายการ ให้คั่นที่อยู่ IP แต่ละรายการด้วยเว้นวรรค
- ใช้ที่อยู่ IP ส่วนตัว ไม่ใช่ชื่อโฮสต์หรือที่อยู่ IP สาธารณะสำหรับพร็อพเพอร์ตี้ทั้งหมดที่เกี่ยวข้องกับโฮสต์ในไฟล์การกําหนดค่า
- ลําดับของที่อยู่ IP ในค่าพร็อพเพอร์ตี้ต้องอยู่ในลําดับเดียวกันในไฟล์การกําหนดค่าทั้งหมดในคลัสเตอร์
- บันทึกการเปลี่ยนแปลงลงในไฟล์การกําหนดค่า
ขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ
ส่วนนี้จะอธิบายวิธีติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบที่ใช้โดยคอมโพเนนต์ที่เปิดใช้ mTLS
คุณต้องเลือกวิธีใดวิธีหนึ่งต่อไปนี้เพื่อสร้างข้อมูลเข้าสู่ระบบ
- (แนะนำ) สร้าง Certificate Authority (CA) ของคุณเองโดยใช้ Consul ตามที่อธิบายไว้ในส่วนนี้
- ใช้ข้อมูลเข้าสู่ระบบของ CA ที่มีอยู่กับ mTLS ของ Apigee (ขั้นสูง)
เกี่ยวกับข้อมูลเข้าสู่ระบบ
ข้อมูลเข้าสู่ระบบประกอบด้วยข้อมูลต่อไปนี้
- ใบรับรอง: ใบรับรอง TLS
- คีย์: คีย์สาธารณะ TLS
- ข้อความ Gossip: คีย์การเข้ารหัสที่เข้ารหัสฐาน 64
คุณสร้างไฟล์แต่ละไฟล์เหล่านี้ได้เพียงครั้งเดียวเท่านั้น จากนั้นให้คัดลอกไฟล์คีย์และใบรับรองไปยังโหนดทั้งหมดในคลัสเตอร์ และเพิ่มคีย์การเข้ารหัสลงในไฟล์การกําหนดค่าที่คุณคัดลอกไปยังโหนดทั้งหมดด้วย
ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้งานการเข้ารหัสของ Consul ได้ที่หัวข้อต่อไปนี้
ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ
หากต้องการสร้างข้อมูลเข้าสู่ระบบที่ Apigee mTLS ใช้สำหรับตรวจสอบสิทธิ์การสื่อสารที่ปลอดภัยระหว่างโหนดในคลัสเตอร์ระบบคลาวด์ส่วนตัว ให้ใช้ไฟล์ไบนารี Consul ในพื้นที่ คุณจึงต้องติดตั้ง Consul ในเครื่องที่ใช้จัดการก่อนจึงจะสร้างข้อมูลเข้าสู่ระบบได้
วิธีติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ mTLS
- ดาวน์โหลดไฟล์ไบนารี Consul 1.8.0 จากเว็บไซต์ HashiCorp ในเครื่องที่ใช้จัดการ
- แตกเนื้อหาของไฟล์เก็บถาวรที่ดาวน์โหลด เช่น ดึงข้อมูลไปยัง
/opt/consul/
- ในเครื่องที่ใช้จัดการ ให้สร้าง Certificate Authority (CA) ใหม่โดยเรียกใช้คำสั่งต่อไปนี้
/opt/consul/consul tls ca create
Consul จะสร้างไฟล์ต่อไปนี้ ซึ่งจะประกอบกันเป็นคู่ใบรับรอง/คีย์
consul-agent-ca.pem
(ใบรับรอง)consul-agent-ca-key.pem
(คีย์)
โดยค่าเริ่มต้น ไฟล์ใบรับรองและคีย์จะเข้ารหัส X509v3
หลังจากนั้นคุณจะคัดลอกไฟล์เหล่านี้ไปยังโหนดทั้งหมดในคลัสเตอร์ อย่างไรก็ตาม ในตอนนี้ คุณต้องตัดสินใจตำแหน่งในโหนดที่จะวางไฟล์เหล่านี้เท่านั้น โดยควรอยู่ในตําแหน่งเดียวกันในแต่ละโหนด เช่น
/opt/apigee/
- ในไฟล์การกําหนดค่า ให้กําหนดค่าของ
PATH_TO_CA_CERT
เป็นตําแหน่งที่จะคัดลอกไฟล์consul-agent-ca.pem
ในโหนด เช่นPATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
- ตั้งค่า
PATH_TO_CA_KEY
เป็นตำแหน่งที่จะคัดลอกไฟล์consul-agent-ca-key.pem
ในโหนด เช่นPATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
- สร้างคีย์การเข้ารหัสสำหรับ Consul โดยเรียกใช้คำสั่งต่อไปนี้
/opt/consul/consul keygen
Consul จะแสดงผลสตริงแบบสุ่มซึ่งมีลักษณะคล้ายกับตัวอย่างต่อไปนี้
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
- คัดลอกสตริงที่สร้างขึ้นนี้และตั้งค่าเป็นค่าของพร็อพเพอร์ตี้
ENCRYPT_DATA
ในไฟล์การกําหนดค่า เช่นENCRYPT_DATA="
QbhgD+EXAMPLE+Y9u0742X
/IqX3X429/x1cIQ+JsQvY=" - บันทึกไฟล์การกําหนดค่า
ตัวอย่างต่อไปนี้แสดงการตั้งค่าที่เกี่ยวข้องกับ mTLS ในไฟล์การกําหนดค่า (พร้อมตัวอย่างค่า)
... IP1=10.126.0.121 IP2=10.126.0.124 IP3=10.126.0.125 IP4=10.126.0.127 IP5=10.126.0.130 ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5" LDAP_MTLS_HOSTS="$IP3" ZK_MTLS_HOSTS="$IP3 $IP4 $IP5" CASS_MTLS_HOSTS="$IP3 $IP4 $IP5" PG_MTLS_HOSTS="$IP2 $IP1" RT_MTLS_HOSTS="$IP4 $IP5" MS_MTLS_HOSTS="$IP3" MP_MTLS_HOSTS="$IP4 $IP5" QP_MTLS_HOSTS="$IP2 $IP1" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=" PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem" ...
ขั้นตอนที่ 3: เผยแพร่ไฟล์การกําหนดค่าและข้อมูลเข้าสู่ระบบ
คัดลอกไฟล์ต่อไปนี้ไปยังโหนดทั้งหมดโดยใช้เครื่องมือ เช่น scp
- ไฟล์การกําหนดค่า: คัดลอกไฟล์เวอร์ชันที่อัปเดตแล้วมาแทนที่เวอร์ชันที่มีอยู่ในทุกโหนด (ไม่ใช่แค่โหนดที่ใช้ ZooKeeper)
- consul-agent-ca.pem: คัดลอกไปยังตำแหน่งที่คุณระบุเป็นค่าของ
PATH_TO_CA_CERT
ในไฟล์การกําหนดค่า - consul-agent-ca-key.pem: คัดลอกไปยังตำแหน่งที่คุณระบุเป็นค่าของ
PATH_TO_CA_KEY
ในไฟล์การกําหนดค่า
ตรวจสอบว่าตำแหน่งที่คุณคัดลอกไฟล์ใบรับรองและไฟล์คีย์ตรงกับค่าที่คุณตั้งไว้ในไฟล์การกําหนดค่าในขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ
ขั้นตอนที่ 4: เริ่มต้น apigee-mtls
หลังจากติดตั้ง apigee-mtls
ในโหนดแต่ละโหนด อัปเดตไฟล์การกําหนดค่า และคัดลอกไฟล์ดังกล่าวและข้อมูลเข้าสู่ระบบไปยังโหนดทั้งหมดในคลัสเตอร์แล้ว คุณก็พร้อมที่จะเริ่มต้นใช้งานคอมโพเนนต์ apigee-mtls
ในโหนดแต่ละโหนด
วิธีเริ่มต้น apigee-mtls
- เข้าสู่ระบบโหนดในคลัสเตอร์ในฐานะผู้ใช้รูท คุณทําตามขั้นตอนเหล่านี้บนโหนดตามลําดับใดก็ได้
- กำหนดให้ผู้ใช้
apigee:apigee
เป็นเจ้าของไฟล์การกำหนดค่าที่อัปเดตแล้ว ดังที่แสดงในตัวอย่างต่อไปนี้chown apigee:apigee config_file
- กำหนดค่าคอมโพเนนต์
apigee-mtls
โดยเรียกใช้คำสั่งต่อไปนี้/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file
- (ไม่บังคับ) เรียกใช้คําสั่งต่อไปนี้เพื่อยืนยันว่าการตั้งค่าสําเร็จ
/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
- เริ่ม mTLS ของ Apigee โดยเรียกใช้คําสั่งต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
หลังจากติดตั้ง Apigee mTLS แล้ว คุณต้องเริ่มคอมโพเนนต์นี้ก่อนคอมโพเนนต์อื่นๆ ในโหนด
- (โหนด Cassandra เท่านั้น) Cassandra ต้องใช้อาร์กิวเมนต์เพิ่มเติมเพื่อทํางานภายในเมชการรักษาความปลอดภัย คุณจึงต้องเรียกใช้คําสั่งต่อไปนี้บนโหนด Cassandra แต่ละโหนด
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart
- (โหนด Postgres เท่านั้น) Postgres ต้องใช้อาร์กิวเมนต์เพิ่มเติมจึงจะทํางานภายในเมชความปลอดภัยได้ คุณจึงต้องทําดังนี้ในโหนด Postgres
(หลักเท่านั้น)
- เรียกใช้คําสั่งต่อไปนี้บนโหนดหลักของ Postgres
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
(โหมดสแตนด์บายเท่านั้น)
- สำรองข้อมูล Postgres ที่มีอยู่ หากต้องการติดตั้ง mTLS ของ Apigee คุณต้องเริ่มต้นโหนดหลัก/สำรองอีกครั้ง ดังนั้นข้อมูลจะสูญหาย ดูข้อมูลเพิ่มเติมได้ที่ตั้งค่าการจําลองข้อมูลหลัก/สแตนด์บายสําหรับ Postgres
- ลบข้อมูล Postgres ทั้งหมด
rm -rf /opt/apigee/data/apigee-postgresql/pgdata
- กำหนดค่า Postgres แล้วรีสตาร์ท Postgres ดังที่แสดงในตัวอย่างต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
หากคุณติดตั้งในโทโปโลยีศูนย์ข้อมูลหลายแห่ง ให้ใช้เส้นทางแบบสัมบูรณ์สำหรับไฟล์การกำหนดค่า
- เรียกใช้คําสั่งต่อไปนี้บนโหนดหลักของ Postgres
- เริ่มองค์ประกอบ Apigee ที่เหลือในโหนดตามลําดับการเริ่ม ดังตัวอย่างต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service component_name start
- ทำขั้นตอนนี้ซ้ำกับโหนดแต่ละโหนดในคลัสเตอร์
- (ไม่บังคับ) ยืนยันว่า
apigee-mtls
การเริ่มต้นใช้งานสําเร็จโดยใช้วิธีต่อไปนี้อย่างน้อย 1 วิธี- ตรวจสอบการกำหนดค่า iptables
- ยืนยันสถานะพร็อกซีระยะไกล
- ยืนยันสถานะครบองค์ประชุม
วิธีการแต่ละวิธีมีคำอธิบายอยู่ในส่วนยืนยันการกำหนดค่า
เปลี่ยนการกําหนดค่า apigee-mtls ที่มีอยู่
หากต้องการปรับแต่งการกำหนดค่า apigee-mtls
ที่มีอยู่ คุณต้องถอนการติดตั้งและติดตั้ง apigee-mtls
อีกครั้ง นอกจากนี้ คุณต้องตรวจสอบว่าได้ปรับแต่งโหนดทั้งหมดแล้ว
เราขอย้ำอีกครั้งว่าเมื่อเปลี่ยนการกำหนดค่า mTLS ของ Apigee ที่มีอยู่ ให้ทำดังนี้
- หากเปลี่ยนไฟล์การกําหนดค่า คุณต้องถอนการติดตั้ง
apigee-mtls
ก่อนแล้วจึงเรียกใช้setup
หรือconfigure
อีกครั้ง โดยทําดังนี้# DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
# BEFORE YOU DO THIS:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
OR/opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure
- คุณต้องถอนการติดตั้งและเรียกใช้
setup
หรือconfigure
อีกครั้งในโหนดทั้งหมดในคลัสเตอร์ ไม่ใช่แค่โหนดเดียว