W tej sekcji opisujemy różne sposoby sprawdzania, czy instalacja mTLS Apigee została wykonana. Możesz też wykorzystać techniki opisane w tej sekcji do rozwiązywania problemów z klastra.
Weryfikowanie konfiguracji IPtables
Aby potwierdzić, że instalacja apigee-mtls
się powiodła, sprawdź
trasy iptables
działają, a reguły są prawidłowe.
Przed zweryfikowaniem konfiguracji iptables
upewnij się, że:
- Zapora sieciowa została odinstalowana z węzła i zastąpiono ją elementem iptables zgodnie z opisem w tym artykule Zastąp domyślną zaporę sieciową.
- Wszystkie komponenty Apigee w węźle zostały zatrzymane, w tym
apigee-mtls
.
Aby sprawdzić, czy konfiguracja apigee-mtls zakończyła się powodzeniem z iptables:
- Zaloguj się do węzła w klastrze. Kolejność nie ma znaczenia.
- Zatrzymaj wszystkie komponenty w węźle, jak w przykładzie poniżej:
/opt/apigee/apigee-service/bin/apigee-all stop
- Uruchom polecenie
validate
zgodnie z przykładem poniżej:/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
iptables
wysyła wiadomości do każdego portu używanego przez Consul lub lokalny Apigee używanych usług. Jeśli skrypt napotka nieprawidłową regułę lub nieudaną trasę, wyświetli komunikat o błędzie.Jeśli w węźle są uruchomione usługi Apigee lub serwery Consul, to polecenie zakończy się niepowodzeniem.
- Uruchom komponent
apigee-mtls
przed wszystkimi innymi komponentami w węźle przez wykonując to polecenie:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
- Uruchom pozostałe komponenty Apigee w węźle
start order, jaka jest
następujący przykład:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Powtórz te czynności we wszystkich węzłach w klastrze. Najlepiej zrobić to na wszystkich węzłach w ciągu 5 minut. na pierwszym węźle.
Weryfikowanie stanu zdalnego serwera proxy
Możesz użyć Consul w węzłach ZooKeeper, aby sprawdzić, czy usługi proxy ruchu przychodzącego i wychodzącego we wszystkich węzły działają i są w dobrym stanie, a także dołączyły do siatki usług.
Aby sprawdzić stan serwera proxy węzłów:
- Zaloguj się w węźle, na którym działa ZooKeeper.
- Wykonaj następujące polecenie:
systemctl status consul_server
Sprawdzanie stanu kworum
Instalacja mTLS obejmuje dodanie usług proxy Consul do wszystkich węzłów. W rezultacie powinien zweryfikować stan kworum wszystkich węzłów ZooKeeper.
Aby sprawdzić stan kworum, zaloguj się w każdym węźle, w którym działa ZooKeeper, i wykonaj to polecenie polecenie:
/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
To polecenie wyświetla listę instancji Consul i ich stanów, jak poniżej przykład pokazuje:
Node ID Address State Voter RaftProtocol prc-test-0-1619 b59c1f44-6eb0-81d4-42 10.126.0.98:8300 leader true 3 prc-test-1-1619 a4372a6e-8044-e587-43 10.126.0.146:8300 follower true 3 prc-test-2-1619 71eb181f-4242-5353-44 10.126.0.100:8300 follower true 3
Więcej informacji:
Dodatkowo możesz uzyskać informacje o stanie klastra, w tym o tym, czy powołano się na kworum klastra i jeśli członkowie zdalni pogarszają funkcjonalność. W tym celu użyj następujące polecenie:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status