mTLS của Apigee hỗ trợ nhiều trung tâm dữ liệu để bạn có thể mở rộng quy mô cấu hình nhằm đưa vào những lời xin lỗi phức tạp hơn, chẳng hạn như 12 nút cài đặt theo cụm.
Quy trình cài đặt mTLS trên cấu trúc liên kết đa trung tâm dữ liệu là giống như khi xin lỗi. Tuy nhiên, bạn phải đảm bảo rằng bản cài đặt của bạn đáp ứng điều kiện tiên quyết và bạn thay đổi các tệp cấu hình của mình như được mô tả trong các phần theo dõi.
Điều kiện tiên quyết
Để sử dụng mTLS của Apigee với nhiều trung tâm dữ liệu, bạn phải:
- Gỡ cài đặt
apigee-mtlsrồi cài đặt lại bằng nhiều trung tâm dữ liệu . Bạn không thể sửa đổi cấu hình hiện có. Để biết thêm thông tin, xem Thay đổi cấu hình apigee-mtls hiện có. - Mở cổng 8302 trên mọi máy chủ lưu trữ đang chạy mTLS.
- Đảm bảo rằng tất cả thành viên của cụm mTLS đều có địa chỉ IP duy nhất và nhất quán cho tất cả thành viên của cụm.
- Khi chỉ định tệp cấu hình, hãy sử dụng đường dẫn tuyệt đối trong các lệnh của bạn nơi có sự không rõ ràng có thể tồn tại.
- Thêm các thuộc tính cấu hình của nhiều trung tâm dữ liệu theo mô tả trong phần Tệp cấu hình cho nhiều trung tâm dữ liệu.
Tệp cấu hình cho nhiều trung tâm dữ liệu
Để sử dụng mTLS cho nhiều trung tâm dữ liệu, bạn cần tạo một tệp cấu hình riêng cho mỗi trung tâm dữ liệu trung tâm dữ liệu.
Trong mỗi tệp cấu hình:
- Thay đổi giá trị của thuộc tính cấu hình
ALL_IPđể bao gồm tất cả lưu trữ địa chỉ IP ở tất cả khu vực. - Đảm bảo rằng giá trị của thuộc tính
REGIONlà tên của khu vực hiện tại hoặc trung tâm dữ liệu. Ví dụ: "dc-1". - Hãy thêm các thuộc tính sau:
Thuộc tính Mô tả APIGEE_MTLS_MULTI_DC_ENABLEBạn có đang sử dụng cấu hình đa trung tâm dữ liệu hay không. Đặt thành "y" nếu bạn là định cấu hình nhiều trung tâm dữ liệu. Nếu không, hãy bỏ qua hoặc đặt thành "n". Giá trị mặc định bị bỏ qua. MTLS_LOCAL_REGION_IPDanh sách được phân tách bằng dấu cách gồm tất cả địa chỉ IP được khu vực hiện tại của bạn sử dụng đang định cấu hình. Ví dụ: "10.0.0.1 10.0.0.2 10.0.0.3". Đối với vùng thứ hai trong cấu hình, hãy sử dụng thuộc tính
MTLP_REMOTE_REGION_1_IP.MTLS_REMOTE_REGION_1_NAMETên của khu vực thứ hai trong cấu hình nhiều trung tâm dữ liệu. Ví dụ: "dc-2". Trong tệp cấu hình của khu vực thứ hai, bạn sẽ sử dụng "dc-2" với
REGIONvà "dc-1" trongMTLS_REMOTE_REGION_1_NAME.MTLS_REMOTE_REGION_1_IPDanh sách được phân tách bằng dấu cách gồm tất cả địa chỉ IP mà khu vực thứ hai sử dụng trong một trung tâm đa dữ liệu . Ví dụ: "10.0.0.4 10.0.0.5 10.0.0.6".
Các ví dụ sau đây hiển thị tệp cấu hình cho hai trung tâm dữ liệu ("dc-1" và "dc-2"). Những tài sản dành riêng cho cấu hình nhiều trung tâm dữ liệu được làm nổi bật):
Tệp cấu hình dc-1
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-1" MTLS_LOCAL_REGION_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104" MTLS_REMOTE_REGION_1_NAME="dc-2" MTLS_REMOTE_REGION_1_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112"
Tệp cấu hình dc-2
ALL_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104 10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" LDAP_MTLS_HOSTS="10.126.0.114 10.126.0.106" ZK_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" CASS_MTLS_HOSTS="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.106 10.126.0.105 10.126.0.95" PG_MTLS_HOSTS="10.126.0.104 10.126.0.112" RT_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" MS_MTLS_HOSTS="10.126.0.114 10.126.0.106" MP_MTLS_HOSTS="10.126.0.113 10.126.0.96 10.126.0.105 10.126.0.95" QP_MTLS_HOSTS="10.126.0.132 10.126.0.133 10.126.0.102 10.126.0.100" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="zRNQ9lhRySNTfegiLLLfIQ==" PATH_TO_CA_CERT="/opt/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/consul-agent-ca-key.pem" APIGEE_MTLS_MULTI_DC_ENABLE="y" REGION="dc-2" MTLS_LOCAL_REGION_IP="10.126.0.106 10.126.0.105 10.126.0.95 10.126.0.102 10.126.0.100 10.126.0.112" MTLS_REMOTE_REGION_1_NAME="dc-1" MTLS_REMOTE_REGION_1_IP="10.126.0.114 10.126.0.113 10.126.0.96 10.126.0.132 10.126.0.133 10.126.0.104"
Để biết thông tin về các thuộc tính cấu hình chuẩn, hãy xem Bước 1: Cập nhật tệp cấu hình.
Kiểm thử cấu hình nhiều trung tâm dữ liệu
Lệnh raft list-peers hiển thị danh sách địa chỉ IP được xác định trong
MTLS_LOCAL_REGION_IP, nghĩa là các trường này được đặt trong cùng một trung tâm dữ liệu.
Các ví dụ sau đây minh hoạ kết quả mẫu của lệnh raft list-peers:
[ec2-user]# consul operator raft list-peers Node ID Address State Voter RaftProtocol prc-test-1-2119 d1361917-b244-42 10.126.0.151:8300 leader true 3 prc-test-0-2119 fad66fc3-22a0-43 10.126.0.155:8300 follower true 3 prc-test-2-2119 78847b12-dd83-44 10.126.0.159:8300 follower true 3 prc-test-6-2119 60bb50ac-37b6-52 10.126.0.152:8300 leader true 3 prc-test-7-2119 515bbdfd-e968-53 10.126.0.147:8300 follower true 3 prc-test-8-2119 d869c9a5-b4f6-54 10.126.0.158:8300 follower true 3
mTLS của Apigee đã được thử nghiệm trên 2 trung tâm dữ liệu. Tuy nhiên, bạn có thể chỉ định cấu hình của tối đa 8 trung tâm dữ liệu bằng cách sử dụng thuộc tính:
MTLS_REMOTE_REGION_[2-8]_IPMTLS_REMOTE_REGION_[2-8]_NAME