Apigee mTLS-Installation prüfen

In diesem Abschnitt werden verschiedene Möglichkeiten beschrieben, zu prüfen, ob die Apigee mTLS-Installation erfolgreich war. Sie können auch die in diesem Abschnitt beschriebenen Techniken anwenden, wenn Sie Probleme mit dem Cluster.

iptables-Konfiguration validieren

Sie können überprüfen, ob die Installation von apigee-mtls erfolgreich war, indem Sie Folgendes prüfen: die iptables-Routen funktionieren und dass die Regeln gültig sind.

Prüfen Sie vor dem Prüfen einer iptables-Konfiguration Folgendes:

  • Sie haben die Firewall auf dem Knoten deinstalliert und durch iptables ersetzt, wie unter Standardfirewall ersetzen
  • Sie haben alle Apigee-Komponenten auf dem Knoten beendet, einschließlich apigee-mtls.

So prüfen Sie, ob die Apigee-mtls-Konfiguration mit iptables erfolgreich war:

  1. Melden Sie sich bei einem Knoten in Ihrem Cluster an. Die Reihenfolge, in der Sie dies tun, spielt keine Rolle.
  2. Beenden Sie alle Komponenten auf dem Knoten, wie im folgenden Beispiel gezeigt:
    /opt/apigee/apigee-service/bin/apigee-all stop
  3. Führen Sie den Befehl validate wie im folgenden Beispiel aus:
    /opt/apigee/apigee-mtls/lib/actions/iptables.sh validate

    iptables sendet Nachrichten an jeden Port, den entweder Consul oder der lokale Apigee die von den Diensten genutzt werden. Wenn das Skript auf eine ungültige Regel oder eine fehlgeschlagene Route stößt, wird ein Fehler angezeigt.

    Wenn Apigee-Dienste oder Consul-Server auf dem Knoten ausgeführt werden, schlägt dieser Befehl fehl.

  4. Starten Sie die Komponente apigee-mtls vor allen anderen Komponenten auf dem Knoten, indem Sie und führen Sie den folgenden Befehl aus:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
  5. Starten Sie die verbleibenden Apigee-Komponenten auf dem Knoten im Startreihenfolge, da der Wert Folgendes Beispiel zeigt:
    /opt/apigee/apigee-service/bin/apigee-service component_name start
  6. Wiederholen Sie diese Schritte auf allen Knoten im Cluster. Idealerweise sollten Sie dies auf allen Knoten innerhalb von 5 Minuten auf dem ersten Knoten zu beginnen.

Remote-Proxy-Status prüfen

Sie können Consul auf ZooKeeper-Knoten verwenden, um zu prüfen, ob die Proxy-Dienste für eingehenden und ausgehenden Traffic auf allen Knoten aktiv sind, fehlerfrei sind und dem Service Mesh hinzugefügt wurden.

So prüfen Sie den Proxystatus Ihrer Knoten:

  1. Melden Sie sich bei einem Knoten an, auf dem ZooKeeper ausgeführt wird.
  2. Führen Sie den folgenden Befehl aus:
    systemctl status consul_server

Quorumstatus prüfen

Die mTLS-Installation umfasst das Hinzufügen der Consul-Proxy-Dienste zu allen Knoten. Daher sollten Sie sollte den Quorumstatus aller ZooKeeper-Knoten überprüfen.

Um den Quorumstatus zu prüfen, melden Sie sich bei jedem Knoten an, auf dem ZooKeeper ausgeführt wird, und führen Sie den folgenden Befehl aus: Befehl:

/opt/apigee/apigee-mtls-consul/bin/consul operator raft list-peers

Dieser Befehl zeigt eine Liste der Consul-Instanzen und deren Status wie folgt an: Das Beispiel zeigt:

Node             ID                     Address            State     Voter  RaftProtocol
prc-test-0-1619  b59c1f44-6eb0-81d4-42  10.126.0.98:8300   leader    true   3
prc-test-1-1619  a4372a6e-8044-e587-43  10.126.0.146:8300  follower  true   3
prc-test-2-1619  71eb181f-4242-5353-44  10.126.0.100:8300  follower  true   3

Hier finden Sie weitere Informationen:

Darüber hinaus können Sie Informationen zum Clusterstatus abrufen, z. B. ob der das Quorum des Clusters gebildet wurde und ob Remote-Mitglieder ihre Funktionalität beeinträchtigen. Verwenden Sie dazu folgenden Befehl:

/opt/apigee/apigee-service/bin/apigee-service apigee-mtls status