Bu sayfa, Cloud Translation API ile çevrilmiştir.

Apigee mTLS'yi yapılandırma

Kümenizdeki tüm düğümlere Apigee mTLS'yi yükledikten sonra apigee-mtls bileşenini yapılandırmalı ve başlatmalıdır. Bunu, yeni bir sertifika/anahtar çiftinin güncellenmesini yönetim makinenizdeki yapılandırma dosyasını seçin. Ardından oluşturulan bu dosyaları ve yapılandırma dosyasını kümedeki tüm düğümlere gönderir ve yerel apigee-mtls bileşeni.

Apigee-mtls'i yapılandırma (ilk kurulumdan sonra)

Bu bölümde, Apigee mTLS'nin doğrudan ilk yükleme. Bir Apigee mTLS'nin mevcut kurulumu için bkz. Mevcut bir Apigee-mtls öğesini değiştirme yapılandırma.

Bu bölüm, tek bir veri merkezindeki yüklemeler için geçerlidir. Daha fazla bilgi için Apigee mTLS'yi yapılandırma hakkında daha fazla bilgi için bkz. Apigee mTLS için birden fazla veri merkezi yapılandırın.

apigee-mtls yapılandırmasıyla ilgili genel süreç aşağıdaki gibidir:

Yapılandırma dosyanızı güncelleme: yönetim makinesinden, apigee-mtls Ayarlar'da devre dışı bırakabilirsiniz.
Consul'u yükleme ve kimlik bilgileri oluşturma: Yükleme Consul ve (isteğe bağlı olarak) TLS kimlik bilgileri oluşturmak için bunu kullanır (yalnızca bir kez).
Ayrıca, Apigee mTLS yapılandırma dosyanızı şu şekilde düzenleyin:
1. Kimlik bilgisi bilgilerini ekleyin
2. Kümenin topolojisini tanımlama
Mevcut kimlik bilgilerinizi veya Consul ile üretin.
Kimlik bilgilerini ve yapılandırma dosyasını dağıtın: Oluşturulan aynı sertifikayı/anahtar çiftini ve güncellenmiş yapılandırma dosyasını tüm düğümlere dağıtın kullanabilirsiniz.
Apigee-mtls ilk kullanıma hazır: Her düğümde apigee-mtls bileşeni.

Bu adımların her biri sonraki bölümlerde açıklanmıştır.

1. Adım: Yapılandırma dosyanızı güncelleyin

Bu bölümde, yapılandırma dosyanızı mTLS yapılandırmasını içerecek şekilde nasıl değiştireceğiniz açıklanmaktadır özellikler. Yapılandırma dosyası hakkında daha fazla genel bilgi için Yapılandırma oluşturma dosyası olarak adlandırılır.

Yapılandırma dosyanızı mTLS ile ilgili özelliklerle güncelledikten sonra kopyalayın. bu düğümlerde apigee-mtls bileşenini başlatmadan önce düğüm.

Yapılandırma dosyasını güncellemek için:

Yönetim makinenizde, düzenlemek için yapılandırma dosyasını açın.

Aşağıdaki mTLS yapılandırma özellikleri grubunu kopyalayıp yapılandırmaya yapıştırın dosya:

ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER"
ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS"
CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS"
PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS"
RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS"
MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS"
MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS"
QP_MTLS_HOSTS="QPID_PRIVATE_IPS"
LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS"
MTLS_ENCAPSULATE_LDAP="y"

ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE"
PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem"
PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem"
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS"

Her özelliğin değerini yapılandırmanıza uygun şekilde ayarlayın.

Aşağıdaki tabloda bu yapılandırma özellikleri açıklanmaktadır:

Özellik	Açıklama
`ALL_IP`	Kümedeki tüm düğümlerin özel ana makine IP adreslerinin boşlukla ayrılmış listesi. IP adreslerinin sırası önemli değildir, yalnızca tüm noktalarda aynı olmalıdır yapılandırma dosyası hazırlar. Apigee mTLS'yi birden fazla veri merkezi için yapılandırırsanız Tüm bölgelerdeki tüm ana makineler için tüm IP adresleri.
`LDAP_MTLS_HOSTS`	Kümedeki OpenLDAP düğümünün özel ana makine IP adresi.
`ZK_MTLS_HOSTS`	ZooKeeper düğümlerinin barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var. Şartlara bağlı olarak en az üç ZooKeeper düğümü olmalıdır.
`CASS_MTLS_HOSTS`	Cassandra sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var.
`PG_MTLS_HOSTS`	Postgres sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var.
`RT_MTLS_HOSTS`	Yönlendiricilerin kümesidir.
`MTLS_ENCAPSULATE_LDAP`	İleti İşlemci ile LDAP sunucusu arasındaki LDAP trafiğini şifreler. Şu değere ayarla: `y`
`MS_MTLS_HOSTS`	Yönetim Sunucusu düğümlerinin bulunduğu özel ana makine IP adreslerinin boşlukla ayrılmış listesi veya kümede barındırılır.
`MP_MTLS_HOSTS`	İleti İşleyenlerin, bulunduğu özel ana makine IP adreslerinin boşlukla ayrılmış listesi veya kümede barındırılır.
`QP_MTLS_HOSTS`	Qpid sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi görebilirsiniz.
`ENABLE_SIDECAR_PROXY`	Cassandra ve Postgres'in hizmet ağından haberdar olması gerekip gerekmediğini belirler. Bu değeri "y" olarak ayarlamanız gerekir.
`ENCRYPT_DATA`	Consul tarafından kullanılan base64 kodlu şifreleme anahtarı. Bu anahtarı, `consul keygen` komutunu 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun. Bu değer, kümenin tüm düğümlerinde aynı olmalıdır.
`PATH_TO_CA_CERT`	Sertifika dosyasının düğümdeki konumu. Bu dosyayı şurada oluşturdunuz: 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun. Bu konumun, kümedeki tüm düğümlerde aynı olması aynıdır. Sertifika, X509v3 kodlu olmalıdır.
`PATH_TO_CA_KEY`	Anahtar dosyasının düğümdeki konumu. Bu dosyayı şurada oluşturdunuz: 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun. Bu konumun, kümedeki tüm düğümlerde aynı olması aynıdır. Anahtar dosyası X509v3 olarak kodlanmış olmalıdır.
`APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR`	Sertifikanın kullanılabilir olduğu gün sayısı özel bir sertifika oluşturun. Varsayılan değer 365'tir. Maksimum değer 7.865 gündür (5 yıl).

Apigee mTLS, yukarıda listelenen özelliklere ek olarak bazı ek özellikler de kullanır. çok veri merkezi yapılandırmasına yüklediğinizde. Daha fazla bilgi için bkz. Birden çok veri merkezi yapılandırma

ENABLE_SIDECAR_PROXY değerinin "y" olarak ayarlandığından emin olun.
Ana makineyle ilgili mülklerde IP adreslerini güncelleyin. Şunu kullandığınızdan emin olun: herkese açık değil, her düğüme atıfta bulunurken kullanılan gizli IP adresleri IP adresleri.
Sonraki adımlarda, ENCRYPT_DATA, PATH_TO_CA_CERT ve PATH_TO_CA_KEY. Google değerini henüz belirlememiştir.

apigee-mtls yapılandırma özelliklerini düzenlerken aşağıdakilere dikkat edin:
- Tüm özellikler dizedir; tüm özelliklerin değerlerini tek veya çift değer olarak sarmalamanız gerekir alıntılar.
- Ana makineyle ilgili bir değerde birden fazla özel IP adresi varsa her IP adresini ayırın bir alanla birlikte.
- Ana makineyle ilgili tüm bilgiler için ana makine adlarını veya genel IP adreslerini değil, özel IP adreslerini kullanın yapılandırma dosyasındakiler.
- Bir mülk değerindeki IP adreslerinin sırası, tüm mülklerde aynı sırada olmalıdır yapılandırma dosyası hazırlar.
Yapılandırma dosyasında yaptığınız değişiklikleri kaydedin.

2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun

Bu bölümde, Consul'un nasıl yükleneceği ve Search Console tarafından kullanılan kimlik bilgilerinin nasıl oluşturulacağı açıklanmaktadır. mTLS özellikli bileşenler.

Kimlik bilgilerinizi oluşturmak için aşağıdaki yöntemlerden birini seçmeniz gerekir:

(Önerilir) Consul'u kullanarak bu makalede açıklandığı şekilde kendi Sertifika Yetkilinizi (CA) oluşturun bölüm
Apigee mTLS (gelişmiş) ile mevcut bir CA'nın kimlik bilgilerini kullanın

Kimlik bilgileri hakkında

Kimlik bilgileri şunlardan oluşur:

Sertifika: TLS sertifikası
Anahtar: TLS ortak anahtarı
Dedikodu mesajı: Base-64 olarak kodlanmış şifreleme anahtarı

Bu dosyaların her biri için yalnızca bir kez tek bir sürüm oluşturursunuz. Ardından anahtarı ve sertifikayı kopyalayın. kümenizdeki tüm düğümlere ekleyin ve şifreleme anahtarını, bu tablodaki tüm düğümlere de kopyalarsınız.

Consul'un şifreleme uygulaması hakkında daha fazla bilgi için aşağıdaki konulara bakın:

Consul'u yükleyin ve kimlik bilgisi oluşturun

Apigee mTLS'nin kullandığı kimlik bilgilerini oluşturmak için Private Cloud kümenizdeki düğümler arasındaki güvenli iletişimin kimliğini doğrulamak için yerel bir Konsolosluk ikilisi . Bunun sonucunda, şu işlemi yapabilmeniz için Consul'u yönetim makinenize yüklemeniz gerekir: kullanır.

Consul'u yüklemek ve mTLS kimlik bilgileri oluşturmak için:

Yönetim makinenize, HashiCorp web sitesi.
İndirilen arşiv dosyasının içeriğini çıkarın. Örneğin, içeriklerini /opt/consul/
NOT: Consul'u aşağıdaki amaçlarla kullanmak için bu prosedürle devam edin: kimlik bilgilerinin oluşturulması gerekir (önerilir). Mevcut kimlik bilgilerinizi kullanmak isterseniz Özel sertifikaları Apigee mTLS ile entegre edin (gelişmiş).
Yönetim makinenizde şu komutu kullanın:
```
/opt/consul/consul tls ca create
```
Consul, sertifika/anahtar çifti oluşturan aşağıdaki dosyaları oluşturur:
- consul-agent-ca.pem (sertifika)
- consul-agent-ca-key.pem (anahtar)
Sertifika ve anahtar dosyaları varsayılan olarak X509v3 olarak kodlanır.

Daha sonra bu dosyaları kümedeki tüm düğümlere kopyalayacaksınız. Ancak şu an için bu dosyaları yalnızca düğümlerde nereye yerleştireceğinize karar verin. Aynı her düğümdeki konumu da. Örneğin, /opt/apigee/.
Yapılandırma dosyasında PATH_TO_CA_CERT değerini şuna ayarlayın: consul-agent-ca.pem dosyasını da düğüme kopyalarsınız. Örneğin:
```
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
```
PATH_TO_CA_KEY değerini, kopyalayacağınız konuma ayarlayın Düğümde consul-agent-ca-key.pem dosyası var. Örneğin:
```
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
```
Aşağıdaki komutu çalıştırarak Consul için şifreleme anahtarı oluşturun:
```
/opt/consul/consul keygen
```
Konsol, aşağıdakine benzer rastgele bir dize üretir:
```
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
```
Oluşturulan bu dizeyi kopyalayıp ENCRYPT_DATA özelliğinin değeri olarak ayarlayın yapılandırma dosyanıza ekleyin. Örneğin:
```
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
```
NOT: Yukarıdaki değer bir örnek şifrelemedir. tuşuna basın. Bu, kullanacağınız dize değildir. Kendiniz oluşturmanız gerekir.
Yapılandırma dosyanızı kaydedin.

Aşağıdaki örnekte, bir yapılandırma dosyasındaki mTLS ile ilgili ayarlar (örneğin, değerler):

...
IP1=10.126.0.121
IP2=10.126.0.124
IP3=10.126.0.125
IP4=10.126.0.127
IP5=10.126.0.130
ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5"
LDAP_MTLS_HOSTS="$IP3"
ZK_MTLS_HOSTS="$IP3 $IP4 $IP5"
CASS_MTLS_HOSTS="$IP3 $IP4 $IP5"
PG_MTLS_HOSTS="$IP2 $IP1"
RT_MTLS_HOSTS="$IP4 $IP5"
MS_MTLS_HOSTS="$IP3"
MP_MTLS_HOSTS="$IP4 $IP5"
QP_MTLS_HOSTS="$IP2 $IP1"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
...

3. Adım: Yapılandırma dosyasını ve kimlik bilgilerini dağıtın

scp gibi bir araç kullanarak aşağıdaki dosyaları tüm düğümlere kopyalayın:

Yapılandırma dosyası: Bu dosyanın güncellenmiş sürümünü kopyalayın ve tüm düğümlerde mevcut olan sürümü (yalnızca ZooKeeper'ı çalıştıran düğümlerde değil).
consul-agent-ca.pem: Kodun değeri olarak belirttiğiniz konuma kopyalayın. PATH_TO_CA_CERT.
consul-agent-ca-key.pem: Kodun değeri olarak belirttiğiniz konuma kopyalayın. PATH_TO_CA_KEY.

Sertifikayı ve anahtar dosyalarını kopyaladığınız konumların belirlediğiniz değerlerle eşleştiğinden emin olun 2. Adım: Console'u yükleyin ve kimlik bilgileri ekleyin.

4. Adım: Apigee-mtls'i ilk kullanıma hazırlayın

Her düğüme apigee-mtls yüklendikten, yapılandırma dosyanızı güncelledikten ve kimlik bilgilerini kümedeki tüm düğümlere kopyalarsanız, ilk kullanıma Her düğümde apigee-mtls bileşeni.

Apigee-mtls'i ilk kullanıma hazırlamak için:

Kümedeki bir düğüme kök kullanıcı olarak giriş yapın. Bu adımları, istediğiniz sıraya ekleyin.
apigee:apigee kullanıcısını güncellenen yapılandırma dosyasının sahibi yapın. aşağıdaki örnek gösterilmektedir:
```
chown apigee:apigee config_file
```

Aşağıdaki komutu çalıştırarak apigee-mtls bileşenini yapılandırın:

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file

(İsteğe bağlı) Kurulumunuzun başarılı olduğunu doğrulamak için aşağıdaki komutu yürütün:
```
/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
```
Aşağıdaki komutu çalıştırarak Apigee mTLS'yi başlatın:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
```
Apigee mTLS'yi yükledikten sonra, bu bileşeni diğer nerede olduğunu anlayabilirsiniz.

(Yalnızca Cassandra düğümleri) Cassandra'nın güvenlik ağı. Sonuç olarak, her Cassandra düğümünde aşağıdaki komutları çalıştırmanız gerekir:

/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart

(Yalnızca Postgres düğümleri) Postgres, güvenlik ağı. Sonuç olarak, Postgres düğümlerinde aşağıdakileri yapmanız gerekir:
(Yalnızca birincil)
1. Postgres birincil düğümünde aşağıdaki komutları yürütün:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
```
(Yalnızca bekleme modunda)
1. Mevcut Postgres verilerinizi yedekleyin. Apigee mTLS'yi yüklemek için şunu yeniden başlatmanız gerekir: birincil/beklemedeki düğümler olduğu için veri kaybı olacaktır. Daha fazla bilgi için bkz. Şunun için birincil/beklemedeki replikayı ayarlayın: Postgre'ler.
2. Tüm Postgres verilerini silin:
```
rm -rf /opt/apigee/data/apigee-postgresql/pgdata
```
3. Postgres'i yapılandırın ve ardından aşağıdaki örnekte gösterildiği gibi Postgres'i yeniden başlatın:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
```
ziyaret edin.
NOT: Ağ sorunları nedeniyle bu adımı uygulamanız gerekebilir. birden fazla kez tekrarlanması gerekir.

Çoklu veri merkezi topolojisine yükleme yapıyorsanız yapılandırma dosyası.
Düğümdeki kalan Apigee bileşenlerini başlangıç siparişi, aşağıdaki örnek gösterilmektedir:
```
/opt/apigee/apigee-service/bin/apigee-service component_name start
```
Kümedeki her düğüm için bu işlemi tekrarlayın.
(İsteğe bağlı) Bir tane kullanarak apigee-mtls başlatma işleminin başarılı olduğunu doğrulayın veya daha fazla yöntemi kullanabilirsiniz:
1. iptables yapılandırmasını doğrulama
2. Uzak proxy durumunu doğrula
3. Çoğunluk durumunu doğrulama
Bu yöntemlerin her biri yapılandırma hakkında daha fazla bilgi edinin.

Mevcut Apigee-mtls yapılandırmasını değiştirme

Mevcut bir apigee-mtls yapılandırmasını özelleştirmek için uygulamanın yüklemesini kaldırmalı ve apigee-mtls uygulamasını yeniden yükle. Ayrıca özelleştirmenizi tüm reklam gruplarına düğüm.

DİKKAT: Apigee mTLS kurulumu ve yapılandırması değildir. her zaman mümkün. Sonuç olarak, apigee-mtls yapılandırma girişleri tüm düğümler: Bir düğümde değişiklik yaparsanız aynı değişikliği tüm düğümlerde yapmanız gerekir. Aksi takdirde başarısız olabilir.

Bu noktayı hatırlatmak gerekirse, mevcut bir Apigee mTLS yapılandırmasını değiştirirken:

Bir yapılandırma dosyasını değiştirirseniz önce apigee-mtls yüklemesini kaldırmanız ve setup veya configure öğesini yeniden çalıştırın:

# DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

# BEFORE YOU DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
OR
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure

Şuradaki tüm düğümlerde setup veya configure uygulamasını kaldırıp yeniden çalıştırmanız gerekir: tek bir düğümden oluşmasını sağlar.

ziyaret edin.

NOT: setup veya apigee-mtls üzerindeki configure, diğer Apigee ile aynı şekilde davranmıyor kullanıma sunuyoruz. Yeni bir yapılandırma oluşturmaz (veya yerel yapılandırma) ekleyebilirsiniz. Bu nedenle, yapılandırmayı değiştirirken mTLS'yi kaldırmanız gerekir.