דף זה תורגם על ידי Cloud Translation API.

הגדרה של מספר מרכזי נתונים ל-Apigee mTLS

Apigee mTLS תומך במספר מרכזי נתונים, כך שתוכלו להתאים את ההגדרה שלכם לטופולוגיות מורכבות יותר, כמו התקנה באשכול של 12 צמתים.

תהליך ההתקנה של mTLS בתצורה של כמה מרכזי נתונים זהה לתהליך ההתקנה בתצורות פשוטות יותר. עם זאת, חשוב לוודא שההתקנה עומדת בדרישות המוקדמות ושמשנים את קובצי התצורה כפי שמתואר בקטעים הבאים.

דרישות מוקדמות

כדי להשתמש ב-Apigee mTLS עם כמה מרכזי נתונים, צריך:

מסירים את apigee-mtls ומתקינים אותו מחדש עם הגדרה של כמה מרכזי נתונים. אי אפשר לשנות הגדרה קיימת. למידע נוסף, ראו שינוי של הגדרה קיימת של apigee-mtls.
פותחים את היציאה 8302 בכל מארח שבו פועל mTLS.
חשוב לוודא שלכל המכונות באשכול mTLS יש כתובות IP ייחודיות, ועקביות לכל המכונות באשכול.
כשמציינים קובצי תצורה, צריך להשתמש בנתיב מוחלט בפקודות שבהן קיימת אפשרות של אי-בהירות.
מוסיפים מאפייני תצורה למספר מרכזי נתונים, כפי שמתואר בקטע קובצי תצורה למספר מרכזי נתונים.

קובצי תצורה למספר מרכזי נתונים

כדי להשתמש ב-Apigee mTLS עם כמה מרכזי נתונים, צריך ליצור קובץ תצורה נפרד לכל מרכז נתונים.

בכל אחד מקובצי התצורה:

משנים את הערך של מאפיין התצורה ALL_IP כך שיכלול את כל כתובות ה-IP של המארחים בכל האזורים.
מוודאים שהערך של המאפיין REGION הוא השם של האזור או של מרכז הנתונים הנוכחיים. לדוגמה, 'dc-1'.

מוסיפים את המאפיינים הבאים:

נכס	תיאור
`APIGEE_MTLS_MULTI_DC_ENABLE`	אם אתם משתמשים בתצורה עם כמה מרכזי נתונים או לא. מגדירים את הערך ל-'y' אם מגדירים כמה מרכזי נתונים. אחרת, משמיטים את הערך או מגדירים אותו כ-'n'. ברירת המחדל לא מופיעה.
`MTLS_LOCAL_REGION_IP`	רשימה מופרדת בפסיקים של כל כתובות ה-IP שבהן נעשה שימוש באזור הנוכחי שאתם מגדירים. לדוגמה, '10.0.0.1 10.0.0.2 10.0.0.3'. לאזור השני בהגדרות, משתמשים במאפיין `MTLP_REMOTE_REGION_1_IP`.
`MTLS_REMOTE_REGION_1_NAME`	השם של האזור השני בתצורה עם כמה מרכזי נתונים. לדוגמה, "dc-2". בקובץ התצורה של האזור השני, צריך להשתמש ב-'dc-2' עבור `REGION` וב-'dc-1' עבור `MTLS_REMOTE_REGION_1_NAME.`
`MTLS_REMOTE_REGION_1_IP`	רשימה מופרדת בפסיקים של כל כתובות ה-IP שבהן האזור השני משתמש בהגדרה עם כמה מרכזי נתונים. לדוגמה, '10.0.0.4 10.0.0.5 10.0.0.6'.

בדוגמאות הבאות מוצגים קובצי התצורה של שני מרכזי נתונים (dc-1 ו-dc-2). נכסים ספציפיים להגדרה של כמה מרכזי נתונים מודגשים):

קובץ התצורה dc-1

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

קובץ התצורה dc-2

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

מידע על מאפייני התצורה הרגילים זמין במאמר שלב 1: מעדכנים את קובץ התצורה.

בדיקת הגדרה עם כמה מרכזי נתונים

הפקודה raft list-peers מציגה רשימה של כתובות IP שמשויכות לכל צמתים של ZooKeeper‏ (ZK) שמריצים תהליך Consul, כפי שמצוין בתהליך consul agent שפועל בשרת. השותפים האלה לא מוגבלים למרכז נתונים אחד, אלא נפרסים על פני כל מרכזי הנתונים בהגדרה.

הדוגמאות הבאות מראות פלט לדוגמה מפקודה raft list-peers עבור הגדרה עם 2 שרתים מרכזיים שתומכים ב-mTLS:

$ /opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
Node              ID                                    Address            State     Voter  RaftProtocol
prc-test-2-20036  0f30e0fc-a33b-2cf9-91fc-3dd0c02711c7  10.126.0.116:8300  leader    true   3
prc-test-0-20036  9b00b259-5848-c72b-623e-7991ea1a5d1c  10.126.0.121:8300  follower  true   3
prc-test-1-20036  e92cd7b3-e2f2-30a1-2b06-c434160372f5  10.126.0.122:8300  follower  true   3
prc-test-6-20036  b196a6a1-2813-49d6-e141-b4f0cce19383  10.126.0.118:8300  follower  true   3
prc-test-7-20036  3708ca5f-a17f-a31e-42ed-bb1f92b1506c  10.126.0.120:8300  follower  true   3
prc-test-8-20036  ed7f1658-ea4b-abec-148b-427203d4200c  10.126.0.115:8300  follower  true   3

כדי לפתור בעיות או לאמת את הפלט של raft list-peers, צריך לוודא שהתהליך consul agent פועל בכל צמתים של ZK. אפשר לאשר זאת על ידי הפעלת הפקודה הבאה:

$ ps -elf
4 S consul     77903       1  3  80   0 - 382742 -     Jan13 ?        00:41:10 /opt/apigee/apigee-mtls-consul/bin/consul agent -config-file=/opt/apigee/apigee-mtls-4.52.02-0.0.20256/conf/server.json

הפקודה הזו מאמתת שתהליך Consul פעיל ומוגדר בצורה נכונה בכל צומת בהגדרה של כמה מרכזי נתונים.