หลังจากติดตั้ง Apigee mTLS บนโหนดทั้งหมดในคลัสเตอร์แล้ว คุณจะทำสิ่งต่อไปนี้ได้
ต้องกำหนดค่าและเริ่มต้นคอมโพเนนต์ apigee-mtls
คุณสามารถทำได้โดยการสร้าง
ใบรับรอง/คู่คีย์และการอัปเดต
ในเครื่องดูแลระบบ จากนั้นคุณก็ทำให้ใช้งานได้
ไฟล์ที่สร้างขึ้นและไฟล์การกำหนดค่าเดียวกันให้กับโหนดทั้งหมดในคลัสเตอร์ และเริ่มต้น
คอมโพเนนต์ apigee-mtls
กำหนดค่า apigee-mtls (หลังการติดตั้งครั้งแรก)
ส่วนนี้จะอธิบายวิธีกำหนดค่า Apigee mTLS โดยตรงหลังจาก การติดตั้งครั้งแรก สำหรับข้อมูลเกี่ยวกับการอัปเดต การติดตั้ง Apigee mTLS ที่มีอยู่ โปรดดูเปลี่ยน apigee-mtls ที่มีอยู่ การกำหนดค่า
ส่วนนี้จะมีผลกับการติดตั้งในศูนย์ข้อมูลแห่งเดียว สำหรับข้อมูล ในการกำหนดค่า Apigee mTLS ในการตั้งค่าศูนย์ข้อมูลหลายรายการ โปรดดู กำหนดค่าศูนย์ข้อมูลหลายรายการสำหรับ Apigee mTLS
กระบวนการทั่วไปในการกำหนดค่า apigee-mtls
มีดังนี้
- อัปเดตไฟล์การกำหนดค่า: ใน
เครื่องของผู้ดูแลระบบ ให้อัปเดตไฟล์การกำหนดค่าเพื่อรวม
apigee-mtls
การตั้งค่า - ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ: ติดตั้ง
Consul และ (ไม่บังคับ) ใช้เพื่อสร้างข้อมูลเข้าสู่ระบบ TLS (ครั้งเดียวเท่านั้น)
นอกจากนี้ ให้แก้ไขไฟล์การกำหนดค่า Apigee mTLS เป็น
- เพิ่มข้อมูลเข้าสู่ระบบ
- กำหนดโทโพโลยีของคลัสเตอร์
โปรดทราบว่าคุณสามารถใช้ข้อมูลเข้าสู่ระบบที่มีอยู่ หรือ สร้างกับ Consul ได้
- เผยแพร่ข้อมูลเข้าสู่ระบบและไฟล์การกำหนดค่า แจกจ่ายใบรับรอง/คู่คีย์ที่สร้างเดียวกัน และไฟล์การกำหนดค่าที่อัปเดตแล้วไปยังโหนดทั้งหมด ในคลัสเตอร์ของคุณ
- เริ่มต้น apigee-mtls: เริ่มต้น
apigee-mtls
คอมโพเนนต์ในแต่ละโหนด
อ่านข้อมูลเกี่ยวกับแต่ละขั้นตอนเหล่านี้ได้ในส่วนต่อไป
ขั้นตอนที่ 1: อัปเดตไฟล์การกำหนดค่า
ส่วนนี้จะอธิบายวิธีแก้ไขไฟล์การกำหนดค่าให้รวมการกำหนดค่า mTLS พร็อพเพอร์ตี้ สำหรับข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับไฟล์การกำหนดค่า โปรดดู การสร้างการกำหนดค่า ไฟล์
หลังจากอัปเดตไฟล์การกำหนดค่าด้วยพร็อพเพอร์ตี้ที่เกี่ยวข้องกับ mTLS แล้ว ให้คัดลอกไปที่
โหนดทั้งหมดในคลัสเตอร์ก่อนที่คุณจะเริ่มต้นคอมโพเนนต์ apigee-mtls
ในโหนดดังกล่าว
หากต้องการอัปเดตไฟล์การกำหนดค่า ให้ทำดังนี้
- เปิดไฟล์การกำหนดค่าเพื่อแก้ไขในเครื่องการดูแลระบบ
- คัดลอกชุดพร็อพเพอร์ตี้การกำหนดค่า mTLS ต่อไปนี้แล้ววางลงในการกำหนดค่า
ไฟล์:
ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER" ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS" CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS" PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS" RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS" MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS" MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS" QP_MTLS_HOSTS="QPID_PRIVATE_IPS" LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS" MTLS_ENCAPSULATE_LDAP="y" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE" PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem" PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem" APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS" TLS_MIN_VERSION="tls12" TLS_CIPHER_SUITES="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
ตั้งค่าของแต่ละพร็อพเพอร์ตี้ให้สอดคล้องกับการกำหนดค่าของคุณ
ตารางต่อไปนี้จะอธิบายพร็อพเพอร์ตี้การกำหนดค่าเหล่านี้
พร็อพเพอร์ตี้ คำอธิบาย ALL_IP
รายการที่อยู่ IP โฮสต์ส่วนตัวของโหนดทั้งหมดในคลัสเตอร์ที่คั่นด้วยช่องว่าง ลำดับของที่อยู่ IP ไม่มีความสำคัญ ยกเว้นว่าลำดับที่อยู่ IP ต้องเหมือนกันในทุก ไฟล์การกำหนดค่าทั่วทั้งคลัสเตอร์
หากคุณกำหนดค่า Apigee mTLS สำหรับศูนย์ข้อมูลหลายแห่ง ให้แสดงรายการ ที่อยู่ IP ทั้งหมดของทุกโฮสต์ในทุกภูมิภาค
LDAP_MTLS_HOSTS
ที่อยู่ IP โฮสต์ส่วนตัวของโหนด OpenLDAP ในคลัสเตอร์ ZK_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์โหนด ZooKeeper ในคลัสเตอร์
โปรดทราบว่า ตามข้อกำหนด จะต้องมี โหนด ZooKeeper อย่างน้อย 3 โหนด
CASS_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์เซิร์ฟเวอร์ Cassandra ในคลัสเตอร์ PG_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์เซิร์ฟเวอร์ Postgres ในคลัสเตอร์ RT_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์เราเตอร์อยู่ใน คลัสเตอร์ MTLS_ENCAPSULATE_LDAP
เข้ารหัสการรับส่งข้อมูลของ LDAP ระหว่าง Message Processor กับเซิร์ฟเวอร์ LDAP กำหนดเป็น y
MS_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโหนดเซิร์ฟเวอร์การจัดการอยู่ ที่โฮสต์ในคลัสเตอร์ MP_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งตัวประมวลผลข้อความอยู่ ที่โฮสต์ในคลัสเตอร์ QP_MTLS_HOSTS
รายการที่อยู่ IP ของโฮสต์ส่วนตัวที่คั่นด้วยช่องว่างซึ่งโฮสต์เซิร์ฟเวอร์ Qpid อยู่ คลัสเตอร์ ENABLE_SIDECAR_PROXY
กำหนดว่า Cassandra และ Postgres ควรตระหนักถึงโครงข่ายบริการหรือไม่ โดยคุณต้องกำหนดค่านี้เป็น "y"
ENCRYPT_DATA
คีย์การเข้ารหัสที่เข้ารหัสฐาน 64 ที่ Consul ใช้ คุณได้สร้างคีย์นี้โดยใช้ คำสั่ง consul keygen
ในขั้นตอนที่ 2: ติดตั้ง Consul และ สร้างข้อมูลเข้าสู่ระบบค่านี้จะต้องเหมือนกันในทุกโหนดในคลัสเตอร์
PATH_TO_CA_CERT
ตำแหน่งของไฟล์ใบรับรองบนโหนด คุณสร้างไฟล์นี้ใน ขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ ตำแหน่งที่ตั้งนี้ควรเหมือนกันในทุกโหนดในคลัสเตอร์เพื่อให้ค่า ไฟล์เดียวกันก็ได้
ใบรับรองต้องเข้ารหัสแบบ X509v3
PATH_TO_CA_KEY
ตำแหน่งของไฟล์คีย์บนโหนด คุณสร้างไฟล์นี้ใน ขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ ตำแหน่งที่ตั้งนี้ควรเหมือนกันในทุกโหนดในคลัสเตอร์เพื่อให้ค่า ไฟล์เดียวกันก็ได้
ไฟล์คีย์ต้องเข้ารหัสแบบ X509v3
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR
จำนวนวันที่ใบรับรองใช้ได้เมื่อคุณ สร้างใบรับรองที่กำหนดเอง
ค่าเริ่มต้นคือ 365 ค่าสูงสุดคือ 7,865 วัน (5 ปี)
TLS_MIN_VERSION
ระบุเวอร์ชัน TLS ขั้นต่ำที่อนุญาต ตั้งค่าเป็น tls12
เพื่อบังคับใช้ TLS 1.2 เป็นอย่างน้อยTLS_CIPHER_SUITES
รายการชุดการเข้ารหัส TLS ที่อนุญาตซึ่งคั่นด้วยคอมมา เช่น
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
นอกเหนือจากพร็อพเพอร์ตี้ที่ระบุไว้ด้านบน Apigee mTLS จะใช้พร็อพเพอร์ตี้เพิ่มเติมอีกหลายรายการ เมื่อติดตั้งในการกำหนดค่าศูนย์ข้อมูลหลายแห่ง สำหรับข้อมูลเพิ่มเติม โปรดดู กำหนดค่าศูนย์ข้อมูลหลายแห่ง
- ตรวจสอบว่าตั้งค่า
ENABLE_SIDECAR_PROXY
เป็น "y" - อัปเดตที่อยู่ IP ในพร็อพเพอร์ตี้ที่เกี่ยวข้องกับโฮสต์ อย่าลืมใช้
ที่อยู่ IP ส่วนตัว เมื่อพูดถึงแต่ละโหนด ไม่ใช่ สาธารณะ
ที่อยู่ IP
ในขั้นตอนถัดไป คุณจะกำหนดค่าของพร็อพเพอร์ตี้อื่นๆ เช่น
ENCRYPT_DATA
,PATH_TO_CA_CERT
และPATH_TO_CA_KEY
คุณ ยังไม่ได้กำหนดค่าเมื่อแก้ไขพร็อพเพอร์ตี้การกำหนดค่า
apigee-mtls
โปรดทราบข้อมูลต่อไปนี้- พร็อพเพอร์ตี้ทั้งหมดเป็นสตริง คุณต้องรวมค่าของพร็อพเพอร์ตี้ทั้งหมดเป็นแบบเดี่ยวหรือคู่ คำกล่าว
- หากค่าที่เกี่ยวข้องกับโฮสต์มีที่อยู่ IP ส่วนตัวมากกว่า 1 ที่อยู่ ให้คั่นที่อยู่ IP แต่ละรายการ ด้วยการเว้นวรรค
- ใช้ที่อยู่ IP ส่วนตัว ไม่ใช่ชื่อโฮสต์หรือที่อยู่ IP สาธารณะสำหรับโฮสต์ทั้งหมดที่เกี่ยวข้องกับโฮสต์ ในไฟล์การกำหนดค่า
- ลำดับของที่อยู่ IP ในค่าพร็อพเพอร์ตี้ต้องเรียงลำดับเหมือนกันในทุก ไฟล์การกำหนดค่าทั่วทั้งคลัสเตอร์
- บันทึกการเปลี่ยนแปลงลงในไฟล์การกำหนดค่า
ขั้นตอนที่ 2: ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ
ส่วนนี้จะอธิบายวิธีติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบที่ คอมโพเนนต์ที่เปิดใช้ mTLS
คุณต้องเลือกวิธีใดวิธีหนึ่งต่อไปนี้เพื่อสร้างข้อมูลเข้าสู่ระบบ
- (แนะนำ) สร้างผู้ออกใบรับรอง (CA) ของคุณเองโดยใช้ Consul ตามที่อธิบายไว้ใน ส่วน
- ใช้ข้อมูลเข้าสู่ระบบของ CA ที่มีอยู่ด้วย Apigee mTLS (ขั้นสูง)
เกี่ยวกับข้อมูลเข้าสู่ระบบ
ข้อมูลเข้าสู่ระบบประกอบด้วยข้อมูลต่อไปนี้
- ใบรับรอง: ใบรับรอง TLS
- คีย์: คีย์สาธารณะ TLS
- ข้อความ Gossip: คีย์การเข้ารหัสที่เข้ารหัสฐาน 64
คุณสร้างไฟล์แต่ละไฟล์ในเวอร์ชันเดียวได้เพียงครั้งเดียว จากนั้นคุณคัดลอกคีย์และใบรับรอง ไฟล์ลงในโหนดทั้งหมดในคลัสเตอร์ และเพิ่มคีย์การเข้ารหัสลงในไฟล์การกำหนดค่าที่ คัดลอกไปยังโหนดทั้งหมดด้วย
ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้งานการเข้ารหัสของ Consul ได้ที่
ติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ
วิธีสร้างข้อมูลเข้าสู่ระบบที่ Apigee mTLS จะใช้ การตรวจสอบสิทธิ์การสื่อสารที่ปลอดภัยระหว่างโหนดในคลัสเตอร์ Private Cloud โดยใช้ ไบนารีกงสุล ด้วยเหตุนี้คุณ คุณต้องติดตั้ง Consul ในเครื่องที่ใช้ดูแลระบบก่อน สร้างข้อมูลเข้าสู่ระบบ
วิธีติดตั้ง Consul และสร้างข้อมูลเข้าสู่ระบบ mTLS
- ดาวน์โหลดไบนารี Consul 1.8.0 ในเครื่องการดูแลระบบจาก เว็บไซต์ HaashiCorp
- แยกเนื้อหาของไฟล์ที่เก็บถาวรที่ดาวน์โหลดมา เช่น แยกเนื้อหาไปยัง
/opt/consul/
- สร้าง Certificate Authority (CA) ใหม่ในเครื่องการดูแลระบบโดยเรียกใช้คำสั่ง
คำสั่งต่อไปนี้
/opt/consul/consul tls ca create
Consul จะสร้างไฟล์ต่อไปนี้ ซึ่งจะสร้างใบรับรอง/คู่คีย์
consul-agent-ca.pem
(ใบรับรอง)consul-agent-ca-key.pem
(คีย์)
โดยค่าเริ่มต้น ไฟล์ใบรับรองและคีย์จะเข้ารหัสแบบ X509v3
คุณจะคัดลอกไฟล์เหล่านี้ไปยังโหนดทั้งหมดในคลัสเตอร์ในภายหลัง แต่ถึงตอนนี้ คุณต้อง กำหนดเฉพาะตำแหน่งในโหนดที่คุณจะใส่ไฟล์เหล่านี้ ตัวกรองต่างๆ ควรอยู่ใน ในแต่ละโหนด เช่น
/opt/apigee/
- ในไฟล์การกำหนดค่า ให้ตั้งค่า
PATH_TO_CA_CERT
ไปยังตำแหน่งเป็น ซึ่งคุณจะคัดลอกไฟล์consul-agent-ca.pem
บนโหนด ดังตัวอย่างต่อไปนี้PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
- ตั้งค่า
PATH_TO_CA_KEY
เป็นตำแหน่งที่จะคัดลอกconsul-agent-ca-key.pem
ในโหนด ดังตัวอย่างต่อไปนี้PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
- สร้างคีย์การเข้ารหัสสำหรับ Consul โดยเรียกใช้คำสั่งต่อไปนี้
/opt/consul/consul keygen
Consul จะแสดงสตริงแบบสุ่มซึ่งมีลักษณะคล้ายกับข้อความต่อไปนี้
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
- คัดลอกสตริงที่สร้างขึ้นนี้และตั้งเป็นค่าของพร็อพเพอร์ตี้
ENCRYPT_DATA
ในไฟล์การกำหนดค่า ดังตัวอย่างต่อไปนี้ENCRYPT_DATA="
QbhgD+EXAMPLE+Y9u0742X
/IqX3X429/x1cIQ+JsQvY=" - บันทึกไฟล์การกำหนดค่า
ตัวอย่างต่อไปนี้แสดงการตั้งค่าที่เกี่ยวข้องกับ mTLS ในไฟล์การกำหนดค่า (พร้อมตัวอย่าง ค่า)
... IP1=10.126.0.121 IP2=10.126.0.124 IP3=10.126.0.125 IP4=10.126.0.127 IP5=10.126.0.130 ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5" LDAP_MTLS_HOSTS="$IP3" ZK_MTLS_HOSTS="$IP3 $IP4 $IP5" CASS_MTLS_HOSTS="$IP3 $IP4 $IP5" PG_MTLS_HOSTS="$IP2 $IP1" RT_MTLS_HOSTS="$IP4 $IP5" MS_MTLS_HOSTS="$IP3" MP_MTLS_HOSTS="$IP4 $IP5" QP_MTLS_HOSTS="$IP2 $IP1" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=" PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem" ...
ขั้นตอนที่ 3: แจกจ่ายไฟล์การกำหนดค่าและข้อมูลเข้าสู่ระบบ
คัดลอกไฟล์ต่อไปนี้ไปยังโหนดทั้งหมดโดยใช้เครื่องมือ เช่น scp
- ไฟล์การกำหนดค่า: คัดลอกเวอร์ชันที่อัปเดตแล้วของไฟล์นี้ และแทนที่ เวอร์ชันที่มีอยู่บนโหนดทั้งหมด (ไม่ใช่เฉพาะโหนดที่ใช้งาน ZooKeeper)
- consul-agent-ca.pem: คัดลอกไปยังตำแหน่งที่คุณระบุเป็นค่า
PATH_TO_CA_CERT
ในไฟล์การกำหนดค่า - consul-agent-ca-key.pem: คัดลอกไปยังตำแหน่งที่คุณระบุเป็นค่า
PATH_TO_CA_KEY
ในไฟล์การกำหนดค่า
ตรวจสอบให้แน่ใจว่าตำแหน่งที่คุณคัดลอกไฟล์ใบรับรองและไฟล์คีย์ไปนั้นตรงกับค่าที่คุณ ที่ตั้งไว้ในไฟล์การกำหนดค่าในขั้นตอนที่ 2: ติดตั้ง Consul และสร้าง ข้อมูลเข้าสู่ระบบ
ขั้นตอนที่ 4: เริ่มต้น apigee-mtls
หลังจากติดตั้ง apigee-mtls
ในแต่ละโหนดแล้ว ให้อัปเดตไฟล์การกำหนดค่า และ
คัดลอกและข้อมูลเข้าสู่ระบบไปยังโหนดทั้งหมดในคลัสเตอร์แล้ว คุณก็พร้อมที่จะเริ่มต้น
apigee-mtls
คอมโพเนนต์ในแต่ละโหนด
วิธีเริ่มต้น apigee-mtls
- ลงชื่อเข้าสู่ระบบโหนดในคลัสเตอร์ในฐานะผู้ใช้รูท คุณสามารถทำตามขั้นตอนเหล่านี้บนโหนดใน คำสั่งซื้อใดก็ได้ที่คุณต้องการ
- กำหนดให้ผู้ใช้
apigee:apigee
เป็นเจ้าของไฟล์การกำหนดค่าที่อัปเดตแล้ว เป็น ตัวอย่างต่อไปนี้จะแสดง วันที่chown apigee:apigee config_file
- กำหนดค่าคอมโพเนนต์
apigee-mtls
โดยเรียกใช้คำสั่งต่อไปนี้ วันที่/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file
- (ไม่บังคับ) เรียกใช้คำสั่งต่อไปนี้เพื่อยืนยันว่าการตั้งค่าเสร็จสมบูรณ์แล้ว
/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
- เริ่ม Apigee mTLS ด้วยการเรียกใช้คำสั่งต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
หลังจากติดตั้ง Apigee mTLS คุณต้องเริ่มคอมโพเนนต์นี้ก่อนอื่นๆ บนโหนด
- (โหนด Cassandra เท่านั้น) Cassandra ต้องมีอาร์กิวเมนต์เพิ่มเติมเพื่อทำงานภายใน
ที่ง่ายดาย ดังนั้น คุณจึงต้องเรียกใช้คำสั่งต่อไปนี้ในแต่ละโหนด Cassandra
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart
- (โหนด Postgres เท่านั้น) Postgres ต้องมีอาร์กิวเมนต์เพิ่มเติมเพื่อทำงานภายใน
ที่ง่ายดาย ด้วยเหตุนี้ คุณจึงต้องดำเนินการต่อไปนี้บนโหนด Postgres
(กล่องจดหมายหลักเท่านั้น)
- เรียกใช้คำสั่งต่อไปนี้บนโหนดหลักของ Postgres
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
(สแตนด์บายเท่านั้น)
- สำรองข้อมูล Postgres ที่มีอยู่ หากต้องการติดตั้ง Apigee mTLS คุณต้องเริ่มต้น โหนดหลัก/สแตนด์บาย ดังนั้นข้อมูลจะสูญหาย สำหรับข้อมูลเพิ่มเติม โปรดดู ตั้งค่าการจำลองหลัก/สแตนด์บายสำหรับ Postgres
- ลบข้อมูล Postgres ทั้งหมด
rm -rf /opt/apigee/data/apigee-postgresql/pgdata
- กำหนดค่า Postgres จากนั้นรีสตาร์ท Postgres ตามตัวอย่างต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
หากคุณจะติดตั้งบนโทโพโลยีศูนย์ข้อมูลหลายแห่ง ให้ใช้เส้นทางสัมบูรณ์สำหรับ ใหม่
- เรียกใช้คำสั่งต่อไปนี้บนโหนดหลักของ Postgres
- เริ่มต้นคอมโพเนนต์ Apigee ที่เหลืออยู่บนโหนดใน
start order เป็นพารามิเตอร์
ตัวอย่างต่อไปนี้จะแสดง
/opt/apigee/apigee-service/bin/apigee-service component_name start
- ทำขั้นตอนนี้ซ้ำสำหรับแต่ละโหนดในคลัสเตอร์
- (ไม่บังคับ) ยืนยันว่า
apigee-mtls
การเริ่มต้นสำเร็จด้วยการใช้ วิธีการต่อไปนี้ขึ้นไป- ตรวจสอบการกําหนดค่า iptables
- ยืนยันสถานะพร็อกซีระยะไกล
- ยืนยันสถานะโควต้า
วิธีการแต่ละวิธีมีอธิบายอยู่ในยืนยัน การกำหนดค่า
เปลี่ยนการกำหนดค่า Apigee-mtls ที่มีอยู่
หากต้องการปรับแต่งการกำหนดค่า apigee-mtls
ที่มีอยู่ คุณต้องถอนการติดตั้งและ
ติดตั้ง apigee-mtls
อีกครั้ง นอกจากนี้ คุณต้องแน่ใจว่าได้ใช้การปรับแต่งของคุณในทุก
เมื่อเปลี่ยนการกำหนดค่า Apigee mTLS ที่มีอยู่ เราขอเน้นย้ำถึงจุดนี้ดังนี้
- หากเปลี่ยนไฟล์การกำหนดค่า คุณต้องถอนการติดตั้ง
apigee-mtls
ก่อนและ เรียกใช้setup
หรือconfigure
อีกครั้ง:# DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
# BEFORE YOU DO THIS:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
OR/opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure
- คุณต้องถอนการติดตั้งและเรียกใช้
setup
หรือconfigure
อีกครั้งบนโหนดทั้งหมดใน คลัสเตอร์ ไม่ใช่แค่โหนดเดียว