Güvenlik duvarını yönetme ihtiyacı yalnızca sanal ana makinelerin ötesine geçer. Hem sanal makine hem de fiziksel ana makine güvenlik duvarları, bileşenlerin birbirleriyle iletişim kurması için gereken bağlantı noktalarına trafik izni vermelidir.
Bağlantı noktası şemaları
Aşağıdaki resimlerde hem tek bir veri merkezi hem de birden fazla veri merkezi yapılandırması için bağlantı noktası gereksinimleri gösterilmektedir:
Tek Veri Merkezi
Aşağıdaki resimde, tek bir veri merkezi yapılandırmasında her Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir:
Bu şemadaki notlar:
- "M" ön ekiyle başlayan bağlantı noktaları, bileşeni yönetmek için kullanılan bağlantı noktalarıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır.
- Edge kullanıcı arayüzü, izleme aracındaki Gönder düğmesini desteklemek için API proxy'leri tarafından sunulan bağlantı noktalarında Yönlendirici'ye erişim gerektirir.
- JMX bağlantı noktalarına erişim, kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Daha fazla bilgi için Nasıl İzlenir? başlıklı makaleyi inceleyin.
- Dilerseniz farklı bağlantı noktaları kullanabilen belirli bağlantılar için TLS/SSL erişimini yapılandırabilirsiniz. Daha fazla bilgi için TLS/SSL başlıklı makaleyi inceleyin.
- Yönetim sunucusunu ve Edge kullanıcı arayüzünü, e-postaları harici bir SMTP sunucusu üzerinden gönderecek şekilde yapılandırabilirsiniz. Bu durumda, Yönetim Sunucusu ve kullanıcı arayüzünün SMTP sunucusunda gerekli bağlantı noktasına (gösterilmemiştir) erişebildiğinden emin olmanız gerekir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için genellikle 465 olur ancak SMTP sağlayıcınıza danışın.
Birden çok veri merkezi
İki veri merkeziyle 12 düğümlü küme yapılandırmasını kurarsanız iki veri merkezindeki düğümlerin aşağıda gösterilen bağlantı noktaları üzerinden iletişim kurabileceğinden emin olun:
Not:
- Tüm yönetim sunucuları, diğer tüm veri merkezlerindeki tüm Cassandra düğümlerine erişebilmelidir.
- Tüm veri merkezlerindeki tüm İleti İşleyenlerin 4528 numaralı bağlantı noktası üzerinden birbirine erişebilmesi gerekir.
- Yönetim sunucusu, 8082 numaralı bağlantı noktası üzerinden tüm ileti işleyicilere erişebilmelidir.
- Tüm yönetim sunucuları ve tüm Qpid düğümleri, diğer tüm veri merkezlerindeki Postgres'e erişebilmelidir.
- Güvenlik nedeniyle, yukarıda gösterilen bağlantı noktaları ve kendi ağ gereksinimleriniz doğrultusunda gerekenler dışında veri merkezleri arasında başka bağlantı noktası açık olmamalıdır.
Bileşenler arasındaki iletişimler varsayılan olarak şifrelenmez. Apigee mTLS'yi yükleyerek şifreleme ekleyebilirsiniz. Daha fazla bilgi için Apigee mTLS'ye giriş başlıklı makaleyi inceleyin.
Bağlantı noktası ayrıntıları
Aşağıdaki tabloda, Edge bileşenine göre güvenlik duvarlarında açılması gereken bağlantı noktaları açıklanmaktadır:
| Bileşen | Bağlantı noktası | Açıklama |
|---|---|---|
| Standart HTTP bağlantı noktaları | 80, 443 | HTTP ve sanal ana makineler için kullandığınız diğer tüm bağlantı noktaları |
| Apigee TOA | 9099 | Kimlik doğrulama için harici kimlik sağlayıcılardan, Yönetim Sunucusu'ndan ve tarayıcılardan gelen bağlantılar. |
| Cassandra | 7000, 9042 | Cassandra düğümleri arasında iletişim ve diğer Edge bileşenlerinin erişimi için Apache Cassandra bağlantı noktaları. |
| 7199 | JMX bağlantı noktası. Yönetim sunucusunun erişebilmesi için açık olmalıdır. | |
| LDAP | 10389 | OpenLDAP |
| Yönetim sunucusu | 1099 | JMX bağlantı noktası |
| 4526 | Dağıtılmış önbellek ve yönetim çağrıları için bağlantı noktası. Bu bağlantı noktası yapılandırılabilir. | |
| 5636 | Para kazanma işlemiyle ilgili commit bildirimleri için bağlantı noktası. | |
| 8080 | Edge yönetim API çağrıları için bağlantı noktası. Yönlendirici, İleti İşleyen, Kullanıcı Arayüzü, Postgres, Apigee TOA (etkinse) ve Qpid adlı bileşenler için Yönetim Sunucusu'ndaki 8080 numaralı bağlantı noktasına erişim gerekir. | |
| Yönetim arayüzü | 9000 | Tarayıcının yönetim kullanıcı arayüzüne erişmesi için bağlantı noktası |
| Mesaj İşleyici | 1101 | JMX bağlantı noktası |
| 4528 | Mesaj işleyiciler arasında dağıtılmış önbellek ve yönetim çağrıları için ve Yönlendirici ile Yönetim Sunucusu'ndan gelen iletişim için.
Mesaj işleyici, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla mesaj işleyiciniz varsa bunların tümü 4528 numaralı bağlantı noktası üzerinden birbirine erişebilmelidir (yukarıdaki şemada, mesaj işleyicideki 4528 numaralı bağlantı noktası için döngü oku ile gösterilmiştir). Birden fazla veri merkeziniz varsa bağlantı noktasına tüm veri merkezlerindeki tüm Mesaj İşleyicilerden erişilebilmelidir. |
|
| 8082 |
Mesaj İşleyen için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. Yönlendirici ile Mesaj İşleyen arasında TLS/SSL yapılandırırsanız Yönlendirici tarafından Mesaj İşleyen'de durum kontrolleri yapmak için kullanılır. İleti İşleyen'deki 8082 numaralı bağlantı noktasının yalnızca Yönlendirici ile İleti İşleyen arasında TLS/SSL yapılandırdığınızda Yönlendirici'nin erişimine açık olması gerekir. Yönlendirici ile Mesaj İşleyen arasında TLS/SSL yapılandırmadıysanız bileşeni yönetmek için Mesaj İşleyen'de varsayılan yapılandırma (8082 numaralı bağlantı noktası) açık olmalıdır ancak Yönlendirici'nin bu bağlantı noktasına erişmesi gerekmez. |
|
| 8443 | Yönlendirici ile Mesaj İşleyen arasında TLS etkinleştirildiğinde, Yönlendirici'nin erişebilmesi için Mesaj İşleyen'de 8443 bağlantı noktasını açmanız gerekir. | |
| 8998 | Yönlendiriciden gelen iletişimler için mesaj işleyici bağlantı noktası | |
| Postgres | 22 | İki Postgres düğümünü ana-bekleme çoğaltma kullanacak şekilde yapılandırıyorsanız SSH erişimi için her düğümde 22 numaralı bağlantı noktasını açmanız gerekir. |
| 1103 | JMX bağlantı noktası | |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5432 | Qpid/Yönetim Sunucusu ile Postgres arasında iletişim için kullanılır. | |
| 8084 | Postgres sunucusunda varsayılan yönetim bağlantı noktası; yönetim sunucusunun erişebilmesi için bileşende açık olmalıdır. | |
| Qpid | 1102 | JMX bağlantı noktası |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5672 |
Aynı düğümdeki Qpid sunucusu ile broker bileşenleri arasında iletişim için de kullanılır. Birden fazla Qpid düğümü içeren topolojilerde sunucu, 5672 numaralı bağlantı noktasındaki tüm broker'lara bağlanabilmelidir. |
|
| 8083 | Qpid sunucusunda varsayılan yönetim bağlantı noktasıdır ve yönetim sunucusunun erişebilmesi için bileşende açık olmalıdır. | |
| 8090 | Qpid'in Broker'ı için varsayılan bağlantı noktası; izleme amacıyla Broker'ın yönetim konsoluna veya yönetim API'lerine erişmek için açık olmalıdır. | |
| Yönlendirici | 4527 | Dağıtılmış önbellek ve yönetim çağrıları için.
Yönlendirici, yönetim bağlantı noktası olarak 4527 numaralı bağlantı noktasını açmalıdır. Birden fazla yönlendiriciniz varsa bunların tümü 4527 numaralı bağlantı noktası üzerinden birbirine erişebilmelidir (yukarıdaki şemada yönlendiricideki 4527 numaralı bağlantı noktası için döngü oku ile gösterilmiştir). Zorunlu olmasa da herhangi bir Mesaj İşleyen tarafından erişilebilmesi için yönlendiricide 4527 bağlantı noktasını açabilirsiniz. Aksi takdirde, Mesaj İşleyen günlük dosyalarında hata mesajları görebilirsiniz. |
| 8081 | Yönlendirici için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. | |
| 15999 |
Durum denetimi bağlantı noktası. Yük dengeleyici, yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. Yük dengeleyici, bir yönlendiricinin durumunu almak için yönlendiricideki 15999 numaralı porta istek gönderir: curl -v http://routerIP:15999/v1/servers/self/reachable Yönlendirici erişilebilirse istek HTTP 200 döndürür. |
|
| 59001 | apigee-validate yardımcı programı tarafından Edge kurulumunu test etmek için kullanılan bağlantı noktası.
Bu yardımcı program, yönlendiricideki 59001 numaralı bağlantı noktasına erişim gerektirir. 59001 bağlantı noktası hakkında daha fazla bilgi için Yüklemeyi test etme başlıklı makaleyi inceleyin. |
|
| SmartDocs | 59002 | Edge yönlendiricide SmartDocs sayfa isteklerinin gönderildiği bağlantı noktası. |
| ZooKeeper | 2181 | Yönetim sunucusu, yönlendirici, ileti işleyici vb. gibi diğer bileşenler tarafından kullanılır. |
| 2888, 3888 | ZooKeeper kümesi (ZooKeeper topluluğu olarak bilinir) iletişimi için ZooKeeper tarafından dahili olarak kullanılır |
Aşağıdaki tabloda, kaynak ve hedef bileşenleriyle birlikte sayısal olarak listelenen aynı bağlantı noktaları gösterilmektedir:
| Bağlantı Noktası Numarası | Amaç | Kaynak bileşeni | Hedef Bileşeni |
|---|---|---|---|
| virtual_host_port | HTTP ve sanal ana makine API çağrısı trafiği için kullandığınız diğer tüm bağlantı noktaları. En yaygın olarak 80 ve 443 bağlantı noktaları kullanılır. İleti Yönlendirici, TLS/SSL bağlantılarını sonlandırabilir. | Harici istemci (veya yük dengeleyici) | Message Router'da dinleyici |
| 1099 - 1103 | JMX Yönetimi | JMX İstemcisi | Yönetim sunucusu (1099) Mesaj İşlemcisi (1101) Qpid Sunucusu (1102) Postgres Sunucusu (1103) |
| 2181 | Zookeeper istemci iletişimi | Yönetim sunucusu Yönlendirici Mesaj işleyici Qpid sunucusu Postgres sunucusu |
Zookeeper |
| 2888 ve 3888 | Zookeeper düğümler arası yönetimi | Zookeeper | Zookeeper |
| 4526 | RPC Yönetimi bağlantı noktası | Yönetim sunucusu | Yönetim sunucusu |
| 4527 | Dağıtılmış önbellek ve yönetim çağrıları ile yönlendiriciler arasındaki iletişim için RPC Yönetimi bağlantı noktası | Yönetim sunucusu Yönlendirici |
Yönlendirici |
| 4528 | Mesaj işleyiciler arasında dağıtılmış önbelleğe alma çağrıları ve yönlendiriciden gelen iletişim için | Yönetim sunucusu Yönlendirici Mesaj işleyici |
Mesaj İşleyici |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetim bağlantı noktası | Yönetim sunucusu | Qpid sunucusu |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetim bağlantı noktası | Yönetim sunucusu | Postgres sunucusu |
| 5432 | Postgres istemcisi | Qpid sunucusu | Postgres |
| 5636 | Para kazanma | Harici JMS bileşeni | Yönetim sunucusu |
| 5672 |
Aynı düğümdeki Qpid sunucusu ile broker bileşenleri arasında iletişim için de kullanılır. Birden fazla Qpid düğümü içeren topolojilerde sunucu, 5672 numaralı bağlantı noktasındaki tüm broker'lara bağlanabilmelidir. |
Qpid sunucusu | Qpid sunucusu |
| 7000 | Cassandra düğümler arası iletişimi | Cassandra | Diğer Cassandra düğümü |
| 7199 | JMX yönetimi. Yönetim sunucusu tarafından Cassandra düğümünde erişime açık olmalıdır. | JMX istemcisi | Cassandra |
| 8080 | Management API bağlantı noktası | Management API istemcileri | Yönetim sunucusu |
| 8081 ila 8084 |
Doğrudan bileşenlere API isteği göndermek için kullanılan bileşen API bağlantı noktaları. Her bileşen farklı bir bağlantı noktası açar. Kullanılan bağlantı noktası, yapılandırmaya bağlıdır ancak yönetim sunucusunun erişebilmesi için bileşende açık olmalıdır. |
Management API istemcileri | Yönlendirici (8081) Mesaj İşleyen (8082) Qpid Sunucusu (8083) Postgres Sunucusu (8084) |
| 8090 | Qpid'in Broker'ının sıraları yönetmek ve izlemek için kullandığı varsayılan yönetim bağlantı noktası. | Tarayıcı veya API istemcisi | Qpid Broker (apigee-qpidd) |
| 8443 | TLS etkinleştirildiğinde Yönlendirici ile Mesaj İşleyen arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 8998 | Yönlendirici ile Mesaj İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 9000 | Varsayılan Edge yönetim kullanıcı arayüzü bağlantı noktası | Tarayıcı | Yönetim kullanıcı arayüzü sunucusu |
| 9042 | CQL doğal aktarımı | Yönlendirici Mesaj İşleyici Yönetim sunucusu |
Cassandra |
| 9099 | Harici IDP kimlik doğrulaması | IdP, tarayıcı ve yönetim sunucusu | Apigee TOA |
| 10389 | LDAP bağlantı noktası | Yönetim sunucusu | OpenLDAP |
| 15999 | Durum denetimi bağlantı noktası. Yük dengeleyici, yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. | Yük dengeleyici | Yönlendirici |
| 59001 | Edge kurulumunu test etmek için apigee-validate yardımcı programı tarafından kullanılan bağlantı noktası |
apigee-validate | Yönlendirici |
| 59002 | SmartDocs sayfa isteklerinin gönderildiği yönlendirici bağlantı noktası | SmartDocs | Yönlendirici |
Mesaj işleyici, Cassandra'ya özel bir bağlantı havuzunu açık tutar. Bu havuz, zaman aşımı süresi hiç olmayacak şekilde yapılandırılır. İleti İşleyen ile Cassandra sunucusu arasında bir güvenlik duvarı olduğunda güvenlik duvarı bağlantının zaman aşımına uğramasına neden olabilir. Ancak Mesaj İşleyici, Cassandra ile bağlantıları yeniden kurmak için tasarlanmamıştır.
Bu durumu önlemek için Apigee, Cassandra sunucusunun, ileti işleyicinin ve yönlendiricilerin aynı alt ağda olmasını önerir. Böylece bu bileşenlerin dağıtımında güvenlik duvarı kullanılmaz.
Yönlendirici ile ileti işleyiciler arasında bir güvenlik duvarı varsa ve boşta TCP zaman aşımı ayarlanmışsa aşağıdakileri yapmanızı öneririz:
- Linux OS'teki sysctl ayarlarında
net.ipv4.tcp_keepalive_time = 1800değerini ayarlayın. Bu değer 1.800'den az olmalı ve güvenlik duvarı boş tcp zaman aşımından düşük olmalıdır. Bu ayar, güvenlik duvarının bağlantıyı kesmemesi için bağlantıyı kurulan durumda tutar. - Tüm ileti işleyicilerde, aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/message-processor.propertiesdosyasını düzenleyin. Dosya mevcut değilse dosyayı oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mesaj işleyiciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Tüm yönlendiricilerde, aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/router.propertiesdeğerini düzenleyin. Dosya mevcut değilse dosyayı oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart