กำหนดค่า Apigee mTLS

หลังจากติดตั้ง Apigee mTLS บนโหนดทั้งหมดในคลัสเตอร์แล้ว คุณจะทำสิ่งต่อไปนี้ได้ ต้องกำหนดค่าและเริ่มต้นคอมโพเนนต์ apigee-mtls คุณสามารถทำได้โดยการสร้าง ใบรับรอง/คู่คีย์และการอัปเดต ในเครื่องดูแลระบบ จากนั้นคุณก็ทำให้ใช้งานได้ ไฟล์ที่สร้างขึ้นและไฟล์การกำหนดค่าเดียวกันให้กับโหนดทั้งหมดในคลัสเตอร์ และเริ่มต้น คอมโพเนนต์ apigee-mtls

กำหนดค่า apigee-mtls (หลังการติดตั้งครั้งแรก)

ส่วนนี้จะอธิบายวิธีกำหนดค่า Apigee mTLS โดยตรงหลังจาก การติดตั้งครั้งแรก สำหรับข้อมูลเกี่ยวกับการอัปเดต การติดตั้ง Apigee mTLS ที่มีอยู่ โปรดดูเปลี่ยน apigee-mtls ที่มีอยู่ การกำหนดค่า

ส่วนนี้จะมีผลกับการติดตั้งในศูนย์ข้อมูลแห่งเดียว สำหรับข้อมูล ในการกำหนดค่า Apigee mTLS ในการตั้งค่าศูนย์ข้อมูลหลายรายการ โปรดดู กำหนดค่าศูนย์ข้อมูลหลายรายการสำหรับ Apigee mTLS

กระบวนการทั่วไปในการกำหนดค่า apigee-mtls มีดังนี้

  1. อัปเดตไฟล์การกำหนดค่า: ใน เครื่องของผู้ดูแลระบบ ให้อัปเดตไฟล์การกำหนดค่าเพื่อรวม apigee-mtls การตั้งค่า
  2. ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ: ติดตั้ง Consul และ (ไม่บังคับ) ใช้เพื่อสร้างข้อมูลเข้าสู่ระบบ TLS (ครั้งเดียวเท่านั้น)

    นอกจากนี้ ให้แก้ไขไฟล์การกำหนดค่า Apigee mTLS เป็น

    1. เพิ่มข้อมูลเข้าสู่ระบบ
    2. กำหนดโทโพโลยีของคลัสเตอร์

    โปรดทราบว่าคุณสามารถใช้ข้อมูลเข้าสู่ระบบที่มีอยู่ หรือ สร้างกับ Consul ได้

  3. เผยแพร่ข้อมูลเข้าสู่ระบบและไฟล์การกำหนดค่า แจกจ่ายใบรับรอง/คู่คีย์ที่สร้างเดียวกัน และไฟล์การกำหนดค่าที่อัปเดตแล้วไปยังโหนดทั้งหมด ในคลัสเตอร์ของคุณ
  4. เริ่มต้น apigee-mtls: เริ่มต้น apigee-mtls คอมโพเนนต์ในแต่ละโหนด

อ่านข้อมูลเกี่ยวกับแต่ละขั้นตอนเหล่านี้ได้ในส่วนต่อไป

ขั้นตอนที่ 1: อัปเดตไฟล์การกำหนดค่า

ส่วนนี้จะอธิบายวิธีแก้ไขไฟล์การกำหนดค่าให้รวมการกำหนดค่า mTLS พร็อพเพอร์ตี้ สำหรับข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับไฟล์การกำหนดค่า โปรดดู การสร้างการกำหนดค่า ไฟล์

หลังจากอัปเดตไฟล์การกำหนดค่าด้วยพร็อพเพอร์ตี้ที่เกี่ยวข้องกับ mTLS แล้ว ให้คัดลอกไปที่ โหนดทั้งหมดในคลัสเตอร์ก่อนที่คุณจะเริ่มต้นคอมโพเนนต์ apigee-mtls ในโหนดดังกล่าว

หากต้องการอัปเดตไฟล์การกำหนดค่า ให้ทำดังนี้

  1. เปิดไฟล์การกำหนดค่าเพื่อแก้ไขในเครื่องการดูแลระบบ
  2. คัดลอกชุดพร็อพเพอร์ตี้การกำหนดค่า mTLS ต่อไปนี้แล้ววางลงในการกำหนดค่า ไฟล์:
    ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER"
    ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS"
    CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS"
    PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS"
    RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS"
    MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS"
    MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS"
    QP_MTLS_HOSTS="QPID_PRIVATE_IPS"
    LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS"
    MTLS_ENCAPSULATE_LDAP="y"
    
    ENABLE_SIDECAR_PROXY="y"
    ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE"
    PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem"
    PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem"
    APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS"
    TLS_MIN_VERSION="tls12"
    TLS_CIPHER_SUITES="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
    

    ตั้งค่าของแต่ละพร็อพเพอร์ตี้ให้สอดคล้องกับการกำหนดค่าของคุณ

    ตารางต่อไปนี้จะอธิบายพร็อพเพอร์ตี้การกำหนดค่าเหล่านี้

    พร็อพเพอร์ตี้ คำอธิบาย
    ALL_IP รายการที่อยู่ IP โฮสต์ส่วนตัวของโหนดทั้งหมดในคลัสเตอร์ที่คั่นด้วยช่องว่าง

    ลำดับของที่อยู่ IP ไม่มีความสำคัญ ยกเว้นว่าลำดับที่อยู่ IP ต้องเหมือนกันในทุก ไฟล์การกำหนดค่าทั่วทั้งคลัสเตอร์

    หากคุณกำหนดค่า Apigee mTLS สำหรับศูนย์ข้อมูลหลายแห่ง ให้แสดงรายการ ที่อยู่ IP ทั้งหมดของทุกโฮสต์ในทุกภูมิภาค

    LDAP_MTLS_HOSTS ที่อยู่ IP โฮสต์ส่วนตัวของโหนด OpenLDAP ในคลัสเตอร์
    ZK_MTLS_HOSTS

    รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์โหนด ZooKeeper ในคลัสเตอร์

    โปรดทราบว่า ตามข้อกำหนด จะต้องมี โหนด ZooKeeper อย่างน้อย 3 โหนด

    CASS_MTLS_HOSTS รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์เซิร์ฟเวอร์ Cassandra ในคลัสเตอร์
    PG_MTLS_HOSTS รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์เซิร์ฟเวอร์ Postgres ในคลัสเตอร์
    RT_MTLS_HOSTS รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์เราเตอร์อยู่ใน คลัสเตอร์
    MTLS_ENCAPSULATE_LDAP เข้ารหัสการรับส่งข้อมูลของ LDAP ระหว่าง Message Processor กับเซิร์ฟเวอร์ LDAP กำหนดเป็น y
    MS_MTLS_HOSTS รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโหนดเซิร์ฟเวอร์การจัดการอยู่ ที่โฮสต์ในคลัสเตอร์
    MP_MTLS_HOSTS รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งตัวประมวลผลข้อความอยู่ ที่โฮสต์ในคลัสเตอร์
    QP_MTLS_HOSTS รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์เซิร์ฟเวอร์ Qpid อยู่ คลัสเตอร์
    ENABLE_SIDECAR_PROXY กำหนดว่า Cassandra และ Postgres ควรตระหนักถึงโครงข่ายบริการหรือไม่

    โดยคุณต้องกำหนดค่านี้เป็น "y"

    ENCRYPT_DATA คีย์การเข้ารหัสที่เข้ารหัสฐาน 64 ที่ Consul ใช้ คุณได้สร้างคีย์นี้โดยใช้ คำสั่ง consul keygen ในขั้นตอนที่ 2: ติดตั้ง Consul และ สร้างข้อมูลเข้าสู่ระบบ

    ค่านี้จะต้องเหมือนกันในทุกโหนดในคลัสเตอร์

    PATH_TO_CA_CERT ตำแหน่งของไฟล์ใบรับรองบนโหนด คุณสร้างไฟล์นี้ใน ขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ

    ตำแหน่งที่ตั้งนี้ควรเหมือนกันในทุกโหนดในคลัสเตอร์เพื่อให้ค่า ไฟล์เดียวกันก็ได้

    ใบรับรองต้องเข้ารหัสแบบ X509v3

    PATH_TO_CA_KEY ตำแหน่งของไฟล์คีย์บนโหนด คุณสร้างไฟล์นี้ใน ขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ

    ตำแหน่งที่ตั้งนี้ควรเหมือนกันในทุกโหนดในคลัสเตอร์เพื่อให้ค่า ไฟล์เดียวกันก็ได้

    ไฟล์คีย์ต้องเข้ารหัสแบบ X509v3

    APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR

    จำนวนวันที่ใบรับรองใช้ได้เมื่อคุณ สร้างใบรับรองที่กำหนดเอง

    ค่าเริ่มต้นคือ 365 ค่าสูงสุดคือ 7,865 วัน (5 ปี)

    TLS_MIN_VERSION ระบุเวอร์ชัน TLS ขั้นต่ำที่อนุญาต ตั้งค่าเป็น tls12 เพื่อบังคับใช้ TLS 1.2 เป็นอย่างน้อย
    TLS_CIPHER_SUITES รายการชุดการเข้ารหัส TLS ที่อนุญาตซึ่งคั่นด้วยคอมมา

    เช่น TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    นอกเหนือจากพร็อพเพอร์ตี้ที่ระบุไว้ด้านบน Apigee mTLS จะใช้พร็อพเพอร์ตี้เพิ่มเติมอีกหลายรายการ เมื่อติดตั้งในการกำหนดค่าศูนย์ข้อมูลหลายแห่ง สำหรับข้อมูลเพิ่มเติม โปรดดู กำหนดค่าศูนย์ข้อมูลหลายแห่ง

  3. ตรวจสอบว่าตั้งค่า ENABLE_SIDECAR_PROXY เป็น "y"
  4. อัปเดตที่อยู่ IP ในพร็อพเพอร์ตี้ที่เกี่ยวข้องกับโฮสต์ อย่าลืมใช้ ที่อยู่ IP ส่วนตัว เมื่อพูดถึงแต่ละโหนด ไม่ใช่ สาธารณะ ที่อยู่ IP

    ในขั้นตอนถัดไป คุณจะกำหนดค่าของพร็อพเพอร์ตี้อื่นๆ เช่น ENCRYPT_DATA, PATH_TO_CA_CERT และ PATH_TO_CA_KEY คุณ ยังไม่ได้กำหนดค่า

    เมื่อแก้ไขพร็อพเพอร์ตี้การกำหนดค่า apigee-mtls โปรดทราบข้อมูลต่อไปนี้

    • พร็อพเพอร์ตี้ทั้งหมดเป็นสตริง คุณต้องรวมค่าของพร็อพเพอร์ตี้ทั้งหมดเป็นแบบเดี่ยวหรือคู่ คำกล่าว
    • หากค่าที่เกี่ยวข้องกับโฮสต์มีที่อยู่ IP ส่วนตัวมากกว่า 1 ที่อยู่ ให้คั่นที่อยู่ IP แต่ละรายการ ด้วยการเว้นวรรค
    • ใช้ที่อยู่ IP ส่วนตัว ไม่ใช่ชื่อโฮสต์หรือที่อยู่ IP สาธารณะสำหรับโฮสต์ทั้งหมดที่เกี่ยวข้องกับโฮสต์ ในไฟล์การกำหนดค่า
    • ลำดับของที่อยู่ IP ในค่าพร็อพเพอร์ตี้ต้องเรียงลำดับเหมือนกันในทุก ไฟล์การกำหนดค่าทั่วทั้งคลัสเตอร์
  5. บันทึกการเปลี่ยนแปลงลงในไฟล์การกำหนดค่า

ขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ

ส่วนนี้จะอธิบายวิธีติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบที่ คอมโพเนนต์ที่เปิดใช้ mTLS

คุณต้องเลือกวิธีใดวิธีหนึ่งต่อไปนี้เพื่อสร้างข้อมูลเข้าสู่ระบบ

  • (แนะนำ) สร้างผู้ออกใบรับรอง (CA) ของคุณเองโดยใช้ Consul ตามที่อธิบายไว้ใน ส่วน
  • ใช้ข้อมูลเข้าสู่ระบบของ CA ที่มีอยู่ด้วย Apigee mTLS (ขั้นสูง)

เกี่ยวกับข้อมูลเข้าสู่ระบบ

ข้อมูลเข้าสู่ระบบประกอบด้วยข้อมูลต่อไปนี้

  • ใบรับรอง: ใบรับรอง TLS
  • คีย์: คีย์สาธารณะ TLS
  • ข้อความ Gossip: คีย์การเข้ารหัสที่เข้ารหัสฐาน 64

คุณสร้างไฟล์แต่ละไฟล์ในเวอร์ชันเดียวได้เพียงครั้งเดียว จากนั้นคุณคัดลอกคีย์และใบรับรอง ไฟล์ลงในโหนดทั้งหมดในคลัสเตอร์ และเพิ่มคีย์การเข้ารหัสลงในไฟล์การกำหนดค่าที่ คัดลอกไปยังโหนดทั้งหมดด้วย

ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้งานการเข้ารหัสของ Consul ได้ที่

ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ

วิธีสร้างข้อมูลเข้าสู่ระบบที่ Apigee mTLS จะใช้ การตรวจสอบสิทธิ์การสื่อสารที่ปลอดภัยระหว่างโหนดในคลัสเตอร์ Private Cloud โดยใช้ ไบนารีกงสุล ด้วยเหตุนี้คุณ คุณต้องติดตั้ง Consul ในเครื่องที่ใช้ดูแลระบบก่อน สร้างข้อมูลเข้าสู่ระบบ

วิธีติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ mTLS

  1. ดาวน์โหลดไบนารี Consul 1.8.0 ในเครื่องการดูแลระบบจาก เว็บไซต์ HaashiCorp
  2. แยกเนื้อหาของไฟล์ที่เก็บถาวรที่ดาวน์โหลดมา เช่น แยกเนื้อหาไปยัง /opt/consul/
  3. สร้าง Certificate Authority (CA) ใหม่ในเครื่องการดูแลระบบโดยเรียกใช้คำสั่ง คำสั่งต่อไปนี้
    /opt/consul/consul tls ca create

    Consul จะสร้างไฟล์ต่อไปนี้ ซึ่งจะสร้างใบรับรอง/คู่คีย์

    • consul-agent-ca.pem (ใบรับรอง)
    • consul-agent-ca-key.pem (คีย์)

    โดยค่าเริ่มต้น ไฟล์ใบรับรองและคีย์จะเข้ารหัสแบบ X509v3

    คุณจะคัดลอกไฟล์เหล่านี้ไปยังโหนดทั้งหมดในคลัสเตอร์ในภายหลัง แต่ถึงตอนนี้ คุณต้อง กำหนดเฉพาะตำแหน่งในโหนดที่คุณจะใส่ไฟล์เหล่านี้ ตัวกรองต่างๆ ควรอยู่ใน ในแต่ละโหนด เช่น /opt/apigee/

  4. ในไฟล์การกำหนดค่า ให้ตั้งค่า PATH_TO_CA_CERT ไปยังตำแหน่งเป็น ซึ่งคุณจะคัดลอกไฟล์ consul-agent-ca.pem บนโหนด ดังตัวอย่างต่อไปนี้
    PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
  5. ตั้งค่า PATH_TO_CA_KEY เป็นตำแหน่งที่จะคัดลอก consul-agent-ca-key.pem ในโหนด ดังตัวอย่างต่อไปนี้
    PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
  6. สร้างคีย์การเข้ารหัสสำหรับ Consul โดยเรียกใช้คำสั่งต่อไปนี้
    /opt/consul/consul keygen

    Consul จะแสดงสตริงแบบสุ่มซึ่งมีลักษณะคล้ายกับข้อความต่อไปนี้

    QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
  7. คัดลอกสตริงที่สร้างขึ้นนี้และตั้งเป็นค่าของพร็อพเพอร์ตี้ ENCRYPT_DATA ในไฟล์การกำหนดค่า ดังตัวอย่างต่อไปนี้
    ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
  8. บันทึกไฟล์การกำหนดค่า

ตัวอย่างต่อไปนี้แสดงการตั้งค่าที่เกี่ยวข้องกับ mTLS ในไฟล์การกำหนดค่า (พร้อมตัวอย่าง ค่า)

...
IP1=10.126.0.121
IP2=10.126.0.124
IP3=10.126.0.125
IP4=10.126.0.127
IP5=10.126.0.130
ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5"
LDAP_MTLS_HOSTS="$IP3"
ZK_MTLS_HOSTS="$IP3 $IP4 $IP5"
CASS_MTLS_HOSTS="$IP3 $IP4 $IP5"
PG_MTLS_HOSTS="$IP2 $IP1"
RT_MTLS_HOSTS="$IP4 $IP5"
MS_MTLS_HOSTS="$IP3"
MP_MTLS_HOSTS="$IP4 $IP5"
QP_MTLS_HOSTS="$IP2 $IP1"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
...

ขั้นตอนที่ 3: แจกจ่ายไฟล์การกำหนดค่าและข้อมูลเข้าสู่ระบบ

คัดลอกไฟล์ต่อไปนี้ไปยังโหนดทั้งหมดโดยใช้เครื่องมือ เช่น scp

  • ไฟล์การกำหนดค่า: คัดลอกเวอร์ชันที่อัปเดตแล้วของไฟล์นี้ และแทนที่ เวอร์ชันที่มีอยู่บนโหนดทั้งหมด (ไม่ใช่เฉพาะโหนดที่ใช้งาน ZooKeeper)
  • consul-agent-ca.pem: คัดลอกไปยังตำแหน่งที่คุณระบุเป็นค่า PATH_TO_CA_CERT ในไฟล์การกำหนดค่า
  • consul-agent-ca-key.pem: คัดลอกไปยังตำแหน่งที่คุณระบุเป็นค่า PATH_TO_CA_KEY ในไฟล์การกำหนดค่า

ตรวจสอบให้แน่ใจว่าตำแหน่งที่คุณคัดลอกไฟล์ใบรับรองและไฟล์คีย์ไปนั้นตรงกับค่าที่คุณ ที่ตั้งไว้ในไฟล์การกำหนดค่าในขั้นตอนที่ 2: ติดตั้ง Consul และสร้าง ข้อมูลเข้าสู่ระบบ

ขั้นตอนที่ 4: เริ่มต้น apigee-mtls

หลังจากติดตั้ง apigee-mtls ในแต่ละโหนดแล้ว ให้อัปเดตไฟล์การกำหนดค่า และ คัดลอกและข้อมูลเข้าสู่ระบบไปยังโหนดทั้งหมดในคลัสเตอร์แล้ว คุณก็พร้อมที่จะเริ่มต้น apigee-mtls คอมโพเนนต์ในแต่ละโหนด

วิธีเริ่มต้น apigee-mtls

  1. ลงชื่อเข้าสู่ระบบโหนดในคลัสเตอร์ในฐานะผู้ใช้รูท คุณสามารถทำตามขั้นตอนเหล่านี้บนโหนดใน คำสั่งซื้อใดก็ได้ที่คุณต้องการ
  2. กำหนดให้ผู้ใช้ apigee:apigee เป็นเจ้าของไฟล์การกำหนดค่าที่อัปเดตแล้ว เป็น ตัวอย่างต่อไปนี้จะแสดง วันที่
    chown apigee:apigee config_file
  3. กำหนดค่าคอมโพเนนต์ apigee-mtls โดยเรียกใช้คำสั่งต่อไปนี้ วันที่
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file
  4. (ไม่บังคับ) เรียกใช้คำสั่งต่อไปนี้เพื่อยืนยันว่าการตั้งค่าเสร็จสมบูรณ์แล้ว
    /opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
  5. เริ่ม Apigee mTLS ด้วยการเรียกใช้คำสั่งต่อไปนี้
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

    หลังจากติดตั้ง Apigee mTLS คุณต้องเริ่มคอมโพเนนต์นี้ก่อนอื่นๆ บนโหนด

  6. (โหนด Cassandra เท่านั้น) Cassandra ต้องมีอาร์กิวเมนต์เพิ่มเติมเพื่อทำงานภายใน ที่ง่ายดาย ดังนั้น คุณจึงต้องเรียกใช้คำสั่งต่อไปนี้ในแต่ละโหนด Cassandra
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart
  7. (โหนด Postgres เท่านั้น) Postgres ต้องมีอาร์กิวเมนต์เพิ่มเติมเพื่อทำงานภายใน ที่ง่ายดาย ด้วยเหตุนี้ คุณจึงต้องดำเนินการต่อไปนี้บนโหนด Postgres

    (กล่องจดหมายหลักเท่านั้น)

    1. เรียกใช้คำสั่งต่อไปนี้บนโหนดหลักของ Postgres
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

    (สแตนด์บายเท่านั้น)

    1. สำรองข้อมูล Postgres ที่มีอยู่ หากต้องการติดตั้ง Apigee mTLS คุณต้องเริ่มต้น โหนดหลัก/สแตนด์บาย ดังนั้นข้อมูลจะสูญหาย สำหรับข้อมูลเพิ่มเติม โปรดดู ตั้งค่าการจำลองหลัก/สแตนด์บายสำหรับ Postgres
    2. ลบข้อมูล Postgres ทั้งหมด
      rm -rf /opt/apigee/data/apigee-postgresql/pgdata
    3. กำหนดค่า Postgres จากนั้นรีสตาร์ท Postgres ตามตัวอย่างต่อไปนี้
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

    หากคุณจะติดตั้งบนโทโพโลยีศูนย์ข้อมูลหลายแห่ง ให้ใช้เส้นทางสัมบูรณ์สำหรับ ใหม่

  8. เริ่มต้นคอมโพเนนต์ Apigee ที่เหลืออยู่บนโหนดใน start order เป็นพารามิเตอร์ ตัวอย่างต่อไปนี้จะแสดง
    /opt/apigee/apigee-service/bin/apigee-service component_name start
  9. ทำขั้นตอนนี้ซ้ำสำหรับแต่ละโหนดในคลัสเตอร์
  10. (ไม่บังคับ) ยืนยันว่าapigee-mtls การเริ่มต้นสำเร็จด้วยการใช้ วิธีการต่อไปนี้ขึ้นไป
    1. ตรวจสอบการกําหนดค่า iptables
    2. ยืนยันสถานะพร็อกซีระยะไกล
    3. ยืนยันสถานะโควต้า

    วิธีการแต่ละวิธีมีอธิบายอยู่ในยืนยัน การกำหนดค่า

เปลี่ยนการกำหนดค่า Apigee-mtls ที่มีอยู่

หากต้องการปรับแต่งการกำหนดค่า apigee-mtls ที่มีอยู่ คุณต้องถอนการติดตั้งและ ติดตั้ง apigee-mtls อีกครั้ง นอกจากนี้ คุณต้องแน่ใจว่าได้ใช้การปรับแต่งของคุณในทุก

เมื่อเปลี่ยนการกำหนดค่า Apigee mTLS ที่มีอยู่ เราขอเน้นย้ำถึงจุดนี้ดังนี้

  • หากเปลี่ยนไฟล์การกำหนดค่า คุณต้องถอนการติดตั้ง apigee-mtls ก่อนและ เรียกใช้ setup หรือ configure อีกครั้ง:
    # DO THIS:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
    
    # BEFORE YOU DO THIS:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
    OR
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure
  • คุณต้องถอนการติดตั้งและเรียกใช้ setup หรือ configure อีกครั้งบนโหนดทั้งหมดใน คลัสเตอร์ ไม่ใช่แค่โหนดเดียว