Эта страница переведена с помощью Cloud Translation API.

Настройка нескольких центров обработки данных для Apigee mTLS

Apigee mTLS поддерживает несколько центров обработки данных, поэтому вы можете масштабировать свою конфигурацию, включая более сложные топологии, такие как кластерная установка из 12 узлов .

Процесс установки mTLS в топологии с несколькими центрами обработки данных такой же, как и для более простых топологий. Однако вы должны убедиться, что ваша установка соответствует предварительным требованиям, и что вы изменили файлы конфигурации, как описано в следующих разделах.

Предварительные условия

Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вам необходимо:

Удалите apigee-mtls и переустановите его с конфигурацией с несколькими центрами обработки данных. Вы не можете изменить существующую конфигурацию. Дополнительную информацию см. в разделе Изменение существующей конфигурации apigee-mtls .
Откройте порт 8302 на каждом хосте, на котором работает mTLS.
Убедитесь, что все члены кластера mTLS имеют уникальные IP-адреса, одинаковые для всех членов кластера.
При указании файлов конфигурации используйте в командах абсолютные пути, где может существовать неоднозначность.
Добавьте свойства конфигурации нескольких центров обработки данных, как описано в разделе Файлы конфигурации для нескольких центров обработки данных .

Файлы конфигурации для нескольких центров обработки данных

Чтобы использовать Apigee mTLS с несколькими центрами обработки данных, вы создаете отдельный файл конфигурации для каждого центра обработки данных.

В каждом из конфигурационных файлов:

Измените значение свойства конфигурации ALL_IP , чтобы включить все IP-адреса узлов во всех регионах.
Убедитесь, что значение свойства REGION — это имя текущего региона или центра обработки данных. Например, «dc-1».

Добавьте следующие свойства:

Свойство	Описание
`APIGEE_MTLS_MULTI_DC_ENABLE`	Независимо от того, используете ли вы конфигурацию с несколькими центрами обработки данных. Установите значение «y», если вы настраиваете несколько центров обработки данных. В противном случае опустите или установите значение «n». Значение по умолчанию опущено.
`MTLS_LOCAL_REGION_IP`	Разделенный пробелами список всех IP-адресов, используемых текущим регионом, который вы настраиваете. Например, «10.0.0.1 10.0.0.2 10.0.0.3». Для второго региона в конфигурации используйте свойство `MTLP_REMOTE_REGION_1_IP` .
`MTLS_REMOTE_REGION_1_NAME`	Имя второго региона в конфигурации с несколькими центрами обработки данных. Например, «ДЦ-2». В файле конфигурации второго региона вы будете использовать «dc-2» для `REGION` и «dc-1» для `MTLS_REMOTE_REGION_1_NAME.`
`MTLS_REMOTE_REGION_1_IP`	Разделенный пробелами список всех IP-адресов, используемых вторым регионом в конфигурации с несколькими центрами обработки данных. Например, «10.0.0.4 10.0.0.5 10.0.0.6».

В следующих примерах показаны файлы конфигурации для двух центров обработки данных («DC-1» и «DC-2»). Выделены свойства, характерные для конфигурации с несколькими центрами обработки данных):

Файл конфигурации dc-1

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-1"
MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
MTLS_REMOTE_REGION_1_NAME="dc-2"
MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"

Файл конфигурации dc-2

ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106"
ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95"
PG_MTLS_HOSTS="10.126.0.104 10.126.0.112"
RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
MS_MTLS_HOSTS="10.126.0.114 10.126.0.106"
MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95"
QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ=="
PATH_TO_CA_CERT="/opt/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem"

APIGEE_MTLS_MULTI_DC_ENABLE="y"
REGION="dc-2"
MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
MTLS_REMOTE_REGION_1_NAME="dc-1"
MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"

Информацию о стандартных свойствах конфигурации см. в разделе «Шаг 1. Обновите файл конфигурации» .

Тестирование конфигурации с несколькими центрами обработки данных

Команда raft list-peers отображает список IP-адресов, связанных со всеми узлами ZooKeeper (ZK), на которых запущен процесс Consul, как указано процессом consul agent запущенным на сервере. Эти одноранговые узлы не ограничиваются одним центром обработки данных, а охватывают все центры обработки данных в конфигурации.

В следующих примерах показан пример вывода команды raft list-peers для настройки 2-DC с поддержкой mTLS:

$ /opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers
Node              ID                                    Address            State     Voter  RaftProtocol
prc-test-2-20036  0f30e0fc-a33b-2cf9-91fc-3dd0c02711c7  10.126.0.116:8300  leader    true   3
prc-test-0-20036  9b00b259-5848-c72b-623e-7991ea1a5d1c  10.126.0.121:8300  follower  true   3
prc-test-1-20036  e92cd7b3-e2f2-30a1-2b06-c434160372f5  10.126.0.122:8300  follower  true   3
prc-test-6-20036  b196a6a1-2813-49d6-e141-b4f0cce19383  10.126.0.118:8300  follower  true   3
prc-test-7-20036  3708ca5f-a17f-a31e-42ed-bb1f92b1506c  10.126.0.120:8300  follower  true   3
prc-test-8-20036  ed7f1658-ea4b-abec-148b-427203d4200c  10.126.0.115:8300  follower  true   3

Чтобы устранить неполадки или проверить выходные raft list-peers , убедитесь, что процесс consul agent запущен на всех узлах ZK. Вы можете убедиться в этом, выполнив следующую команду:

$ ps -elf
4 S consul     77903       1  3  80   0 - 382742 -     Jan13 ?        00:41:10 /opt/apigee/apigee-mtls-consul/bin/consul agent -config-file=/opt/apigee/apigee-mtls-4.52.02-0.0.20256/conf/server.json

Эта команда проверяет, что процесс Consul активен и правильно настроен на каждом узле в настройке нескольких центров обработки данных.