설치 요구사항

Private Cloud용 Edge v. 4.16.05

하드웨어 요구사항

프로덕션 등급 환경에서 가용성이 높은 인프라를 사용하려면 다음과 같은 최소 하드웨어 요구사항을 충족해야 합니다. 설치 토폴로지에 설명된 모든 설치 시나리오의 경우 다음 표에 설치 구성요소의 최소 하드웨어 요구사항이 나와 있습니다.

이 표에서 하드 디스크 요구사항은 운영체제에 필요한 하드 디스크 공간에 추가로 적용됩니다. 애플리케이션 및 네트워크 트래픽에 따라 설치에 아래 나열된 것보다 더 많거나 적은 리소스가 필요할 수 있습니다.

또한 수익 창출 서비스를 설치하려는 경우 다음과 같은 하드웨어 요구사항이 있습니다.

다음은 API BaaS를 설치하려는 경우의 하드웨어 요구사항입니다.

참고:

• 루트 파일 시스템이 설치하기에 충분하지 않은 경우 데이터를 더 큰 디스크에 배치하는 것이 좋습니다.
• 머신에 이전 버전의 Private Cloud용 Apigee Edge가 설치된 경우 새 버전을 설치하기 전에 /tmp/java 폴더를 삭제해야 합니다.
• Cassandra를 시작하려면 시스템 전반의 임시 폴더 /tmp에 실행 권한이 필요합니다.
• 설치 전에 'apigee' 사용자가 생성된 경우 '/home/apigee'가 홈 디렉터리로 존재하고 'apigee:apigee'가 소유하고 있는지 확인합니다.

운영체제 및 서드 파티 소프트웨어 요구사항

이 설치 안내와 제공된 설치 파일은 https://apigee.com/docs/api-services/reference/supported-software에 나열된 운영체제 및 서드 파티 소프트웨어에서 테스트되었습니다.

Apigee 사용자 만들기

설치 절차에서 'apigee'라는 Unix 시스템 사용자를 만듭니다. Edge 디렉터리와 파일은 Edge 프로세스와 마찬가지로 'Apigee'가 소유합니다. 즉, Edge 구성요소는 'apigee' 사용자로 실행됩니다. 필요한 경우 다른 사용자로 구성요소를 실행할 수 있습니다. 예를 보려면 노드에 Edge 구성요소 설치의 '보호된 포트에 라우터 결합'을 참조하세요.

설치 디렉터리

기본적으로 설치 프로그램은 모든 파일을 /opt/apigee 디렉터리에 씁니다. 이 디렉터리 위치는 변경할 수 없습니다.

이 가이드의 안내에서 설치 디렉터리는 /<inst_root>/apigee로 표시되어 있으며, 여기서 /<inst_root>의 기본값은 /opt입니다.

자바

설치하기 전에 각 머신에 지원되는 Java1.8 버전이 설치되어 있어야 합니다. 지원되는 JDK는 다음과 같습니다.

https://apigee.com/docs/api-services/reference/supported-software

JAVA_HOME이 설치를 실행하는 사용자의 JDK 루트를 가리키는지 확인합니다.

네트워크 설정

설치하기 전에 네트워크 설정을 확인하는 것이 좋습니다. 설치 프로그램은 모든 머신에 고정 IP 주소가 있다고 가정합니다. 다음 명령어를 사용하여 설정의 유효성을 검사합니다.

• 호스트 이름은 머신의 이름을 반환합니다.
• hostname -i는 다른 머신에서 주소를 지정할 수 있는 호스트 이름의 IP 주소를 반환합니다.

호스트 이름이 올바르게 설정되지 않은 경우 운영체제 유형과 버전에 따라 /etc/hosts 및 /etc/sysconfig/network를 편집해야 할 수 있습니다. 자세한 내용은 사용 중인 운영체제의 문서를 참고하세요.

Cassandra

모든 Cassandra 노드는 링에 연결되어야 합니다.

Cassandra는 사용 가능한 메모리에 따라 Java 힙 크기를 자동으로 조정합니다. 자세한 내용은 Java 리소스 조정을 참고하세요. 성능이 저하되거나 메모리 소비가 많은 경우

Private Cloud용 Edge를 설치한 후 /<inst_root>/apigee/apigee-cassandra/conf/cassandra.yaml 파일을 검사하여 Cassandra가 올바르게 구성되었는지 확인할 수 있습니다. 예를 들어 Edge for Private Cloud 설치 스크립트가 다음 속성을 설정했는지 확인합니다.

• cluster_name
• initial_token
• 파티션 나누기
• 시드
• listen_address
• rpc_address
• snitch

경고: 이 파일을 수정하지 마세요.

PostgreSQL 데이터베이스

Edge를 설치한 후 시스템에서 사용 가능한 RAM의 양에 따라 다음 PostgreSQL 데이터베이스 설정을 조정할 수 있습니다.

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

이러한 값을 설정하는 방법은 다음과 같습니다.

1. postgresql.properties를 수정합니다.
   > vi /<inst_root>/apigee/customer/application/postgresql.properties
   
   파일이 없는 경우 만듭니다.
2. 위에 나열된 속성을 설정합니다.
3. 수정사항을 저장합니다.
4. PostgreSQL 데이터베이스를 다시 시작합니다.
   > /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql 재시작

jsvc

'jsvc'는 API BaaS 사용을 위한 선행 조건입니다. API BaaS를 설치하면 버전 1.0.15-dev가 설치됩니다.

네트워크 보안 서비스 (NSS)

네트워크 보안 서비스 (NSS)는 보안 지원 클라이언트 및 서버 애플리케이션 개발을 지원하는 라이브러리 모음입니다. NSS v3.19 이상을 설치했는지 확인해야 합니다.

현재 버전을 확인하려면 다음 단계를 따르세요.

> yum info nss

NSS를 업데이트하려면 다음 단계를 따르세요.

> yum update nss

자세한 내용은 RedHat의 이 도움말을 참고하세요.

AWS AMI

Red Hat Enterprise Linux 7.x용 AWS Amazon Machine Image (AMI)에 Edge를 설치하는 경우 먼저 다음 명령어를 실행해야 합니다.

> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

도구

설치 프로그램은 EL5 또는 EL6에서 제공하는 표준 버전의 다음 UNIX 도구를 사용합니다.

참고:

• 'useradd' 도구의 실행 파일은 /usr/sbin에 있고 chkconfig의 실행 파일은 /sbin에 있습니다.
• sudo 액세스를 사용하면 호출 사용자의 환경에 액세스할 수 있습니다. 예를 들어 일반적으로 'sudo <command>' 또는 'sudo PATH=$PATH:/usr/sbin:/sbin <command>'를 호출합니다.
• 서비스 팩 (패치) 설치 전에 '패치' 도구가 설치되어 있는지 확인합니다.

ntpdate – 서버 시간을 동기화하는 것이 좋습니다. 아직 구성하지 않았다면 'ntpdate' 유틸리티를 사용하여 서버의 시간이 동기화되었는지 확인할 수 있습니다. 'yum install ntp'를 사용하여 유틸리티를 설치할 수 있습니다. 이는 OpenLDAP 설정을 복제하는 데 특히 유용합니다. 서버 시간대는 UTC로 설정합니다.

openldap 2.4: 온프레미스 설치에는 OpenLDAP 2.4가 필요합니다. 서버에 인터넷 연결이 있으면 Edge 설치 스크립트가 OpenLDAP를 다운로드하여 설치합니다. 서버에 인터넷 연결이 없는 경우 Edge 설치 스크립트를 실행하기 전에 OpenLDAP가 이미 설치되어 있는지 확인해야 합니다. RHEL/CentOS에서는 'yum install openldap-clients openldap-servers'를 실행하여 OpenLDAP를 설치할 수 있습니다.

호스트 13대 설치 및 데이터 센터 2개가 있는 호스트 12대 설치의 경우 OpenLDAP를 호스팅하는 노드가 여러 개 있으므로 OpenLDAP 복제가 필요합니다.

방화벽 및 가상 호스트

'가상'이라는 용어는 IT 분야에서 일반적으로 과도하게 사용되며, Private Cloud용 Apigee Edge 배포 및 가상 호스트도 마찬가지입니다. '가상'이라는 용어에는 두 가지 기본 용도가 있습니다.

• 가상 머신 (VM): 필수는 아니지만 일부 배포에서는 VM 기술을 사용하여 Apigee 구성요소에 대해 격리된 서버를 만듭니다. 물리적 호스트와 마찬가지로 VM 호스트에도 네트워크 인터페이스와 방화벽이 있을 수 있습니다. 이 설치 안내에서는 VM 설치를 구체적으로 지원하지 않습니다.
• 가상 호스트: Apache 가상 호스트와 유사한 웹 엔드포인트입니다.

VM의 라우터는 호스트 별칭이나 인터페이스 포트에서 서로 다른 한 여러 가상 호스트를 노출할 수 있습니다.

이름 지정 예시와 같이 단일 물리적 서버 'A'는 'VM1'과 'VM2'라는 두 개의 VM을 실행할 수 있습니다. VM1이 가상 이더넷 인터페이스를 노출한다고 가정해 보겠습니다. 이 인터페이스는 VM 내부에서 이름이 eth0이고 IP 주소 111.111.111.111이 할당되는 가상 이더넷 인터페이스를 노출한다고 가정하겠습니다. VM1은 가상화 머신 또는 가상 머신 또는 네트워크에서 가상 IP 주소인 111.111.111.111을 할당하며, 이후 DHC1.

두 VM 각각에 Apigee 라우터가 실행 중일 수 있습니다. 라우터는 다음 가상 예시와 같이 가상 호스트 엔드포인트를 노출합니다.

VM1의 Apigee 라우터는 특정 IP 주소가 있는 eth0 인터페이스에 세 개의 가상 호스트 (api.mycompany.com:80, api.mycompany.com:443, test.mycompany.com:80)를 노출합니다.

VM2의 라우터는 api.mycompany.com:80을 노출합니다 (VM1에서 노출한 것과 동일한 이름 및 포트).

물리적 호스트의 운영체제에 네트워크 방화벽이 있을 수 있습니다. 이 경우 가상화된 인터페이스에 노출되는 포트 (111.111.111.111:{80, 443} 및 111.111.111.222:80)로 연결된 TCP 트래픽을 전달하도록 방화벽을 구성해야 합니다. 또한 각 VM의 운영체제는 eth0 인터페이스에 자체 방화벽을 제공할 수 있으며, 이 역시 포트 80 및 443 트래픽의 연결을 허용해야 합니다.

기본 경로는 API 호출을 배포했을 수 있는 여러 API 프록시로 라우팅하는 데 관련된 세 번째 구성요소입니다. API 프록시 번들의 기본 경로가 다른 경우 엔드포인트를 공유할 수 있습니다. 예를 들어 하나의 basepath는 http://api.mycompany.com:80/로 정의되고 다른 basepath는 http://api.mycompany.com:80/salesdemo로 정의될 수 있습니다.

이 경우 두 IP 주소 (VM1의 111.111.111.111 및 VM2의 111.111.111.222) 간에 http://api.mycompany.com:80/ 트래픽을 분할하는 일종의 부하 분산기 또는 트래픽 디렉터가 필요합니다. 이 함수는 특정 설치에만 적용되며 로컬 네트워킹 그룹에서 구성합니다.

기본 경로는 API를 배포할 때 설정됩니다. 위 예시에서 api.mycompany.com의 호스트 별칭이 있고 포트가 80으로 설정된 가상 호스트를 사용하여 조직 mycompany-org에 mycompany 및 testmycompany라는 두 API를 배포할 수 있습니다. 배포에서 basepath를 선언하지 않으면 라우터는 수신 요청을 전송할 API를 알 수 없습니다.

그러나 /salesdemo의 기본 URL로 API testmycompany를 배포하면 사용자는 http://api.mycompany.com:80/salesdemo를 사용하여 해당 API에 액세스합니다. /의 기본 URL로 mycompany API를 배포하면 사용자는 http://api.mycompany.com:80/ URL로 API에 액세스합니다.

에지 포트 요구사항

방화벽을 관리해야 하는 필요성은 가상 호스트에만 국한되지 않습니다. VM 및 물리적 호스트 방화벽 모두 구성요소가 서로 통신하는 데 필요한 포트의 트래픽을 허용해야 합니다.

다음 이미지는 각 Edge 구성요소의 포트 요구사항을 보여줍니다.

이 다이어그램에 관한 참고사항:

• *메시지 프로세서에 있는 포트 8082는 라우터와 메시지 프로세서 간에 TLS/SSL을 구성할 때만 라우터에서 액세스할 수 있도록 열려 있어야 합니다. 라우터와 메시지 프로세서 간에 TLS/SSL을 구성하지 않은 경우에도 구성요소를 관리하기 위해 기본 구성인 포트 8082가 메시지 프로세서에 열려 있어야 하지만 라우터는 액세스할 필요가 없습니다.
• 'M' 접두사가 붙은 포트는 구성요소를 관리하는 데 사용되는 포트이며 관리 서버에서 액세스할 수 있도록 구성요소에서 열려 있어야 합니다.
• 라우터, 메시지 프로세서, UI, Postgres, Qpid의 경우 관리 서버의 포트 8080에 액세스해야 합니다.
• 메시지 프로세서는 포트 4528을 관리 포트로 열어야 합니다. 메시지 프로세서가 여러 개인 경우 모두 포트 4528 (위 다이어그램의 메시지 프로세서에 있는 포트 4528의 루프 화살표로 표시됨)을 통해 서로 액세스할 수 있어야 합니다. 데이터 센터가 여러 개 있는 경우 모든 데이터 센터의 모든 메시지 프로세서에서 포트에 액세스할 수 있어야 합니다.
• 필수 사항은 아니지만, 모든 메시지 프로세서가 액세스할 수 있도록 라우터에서 포트 4527을 열 수 있습니다. 그러지 않으면 메시지 프로세서 로그 파일에 오류 메시지가 표시될 수 있습니다.
• 라우터는 포트 4527을 관리 포트로 열어야 합니다. 라우터가 여러 대인 경우 모두 포트 4527 (위 다이어그램의 라우터 포트 4527에 루프 화살표로 표시됨)을 통해 서로 액세스할 수 있어야 합니다.
• Edge UI는 API 프록시에서 노출하는 포트의 라우터에 액세스해야 추적 도구의 전송 버튼을 지원할 수 있습니다.
• 관리 서버에는 Cassandra 노드의 JMX 포트에 대한 액세스 권한이 필요합니다.
• JMX 포트에 대한 액세스에 사용자 이름/비밀번호가 필요하도록 구성할 수 있습니다. 자세한 내용은 모니터링 방법을 참고하세요.
• 원하는 경우 다른 포트를 사용할 수 있는 특정 연결에 TLS/SSL 액세스를 구성할 수 있습니다. 자세한 내용은 TLS/SSL을 참고하세요.
• 마스터-스탠바이 복제를 사용하도록 두 개의 Postgres 노드를 구성하는 경우 ssh 액세스를 위해 각 노드에서 포트 22를 열어야 합니다. 원하는 경우 개별 노드에서 포트를 열어 SSH 액세스를 허용할 수 있습니다.
• 외부 SMTP 서버를 통해 이메일을 보내도록 관리 서버 및 Edge UI를 구성할 수 있습니다. 이 경우 관리 서버와 UI가 SMTP 서버의 필요한 포트에 액세스할 수 있는지 확인해야 합니다. TLS가 아닌 SMTP의 경우 포트 번호는 일반적으로 25입니다. TLS 지원 SMTP의 경우 465인 경우가 많지만 SMTP 제공업체에 문의하세요.

다음 표에는 방화벽에서 열어야 하는 포트가 Edge 구성요소별로 나와 있습니다.

> curl -v http://<routerIP>:15999/v1/servers/self/reachable

다음 표에는 소스 및 대상 구성요소와 함께 숫자로 나열된 동일한 포트가 표시됩니다.

메시지 프로세서는 Cassandra에 전용 연결 풀을 열어 두며, 이 연결 풀은 제한 시간이 없도록 구성됩니다. 메시지 프로세서와 Cassandra 서버 사이에 방화벽이 있으면 방화벽으로 인해 연결 시간 초과가 발생할 수 있습니다. 그러나 메시지 프로세서는 Cassandra에 대한 연결을 다시 설정하도록 설계되지 않았습니다.

이러한 상황을 방지하려면 Apigee에서는 Cassandra 서버, 메시지 프로세서, 라우터가 동일한 서브넷에 있어야 방화벽이 이러한 구성요소의 배포에 관여하지 않도록 하는 것이 좋습니다.

방화벽이 라우터와 메시지 프로세서 사이에 있고 유휴 TCP 시간 제한이 설정된 경우 다음을 권장합니다.

1. Linux OS의 sysctl 설정에서 net.ipv4.tcp_keepalive_time = 1800을 설정합니다. 여기서 1800은 방화벽 유휴 TCP 제한 시간보다 낮아야 합니다. 이 설정은 방화벽이 연결을 해제하지 않도록 연결을 설정 상태로 유지해야 합니다.
2. 모든 메시지 프로세서에서 /&lt;inst_root&gt;/apigee/customer/application/message-processor.properties를 수정하여 다음 속성을 추가합니다. 파일이 없으면 만듭니다.
   conf_system_casssandra.maxconnecttimeinmillis=-1
3. 메시지 프로세서를 다시 시작합니다.
   > /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor 재시작
4. 모든 라우터에서 /&lt;inst_root&gt;/apigee/customer/application/router.properties를 수정하여 다음 속성을 추가합니다. 파일이 없으면 새로 만듭니다.
   conf_system_casssandra.maxconnecttimeinmillis=-1
5. 라우터를 다시 시작합니다.
   > /opt/apigee/apigee-service/bin/apigee-service edge-router restart

두 데이터 센터에 12개 호스트 클러스터 구성을 설치하는 경우 두 데이터 센터의 노드가 아래에 표시된 포트를 통해 통신할 수 있는지 확인합니다.

API BaaS 포트 요구사항

API BaaS를 설치하려면 API BaaS 스택 및 API BaaS 포털 구성요소를 추가합니다. 이러한 구성요소는 아래 그림에 표시된 포트를 사용합니다.

이 다이어그램에 관한 참고사항:

• Cassandra 노드를 API BaaS 전용으로 사용하거나 Edge와 공유할 수 있습니다.
• API BaaS의 프로덕션 설치에서는 API BaaS 포털 노드와 API BaaS 스택 노드 사이에 부하 분산기를 사용합니다. 포털을 구성하고 BaaS API를 호출할 때는 스택 노드가 아닌 부하 분산기의 IP 주소 또는 DNS 이름을 지정합니다.
• 외부 SMTP 서버를 통해 이메일을 전송하도록 모든 BaaS 스택 노드를 구성해야 합니다. TLS가 아닌 SMTP의 경우 포트 번호는 일반적으로 25입니다. TLS 지원 SMTP의 경우 465인 경우가 많지만 SMTP 제공업체에 문의하세요.

아래 표에는 방화벽에서 열어야 하는 기본 포트가 구성요소별로 나와 있습니다.

라이선스

Edge를 설치할 때마다 Apigee에서 가져온 고유한 라이선스 파일이 필요합니다. 관리 서버를 설치할 때 라이선스 파일 경로(예: /tmp/license.txt)를 제공해야 합니다.

설치 프로그램은 라이선스 파일을 /<inst_root>/apigee/customer/conf/license.txt에 복사합니다.

라이선스 파일이 유효하면 관리 서버는 만료 및 허용된 메시지 프로세서 (MP) 수를 확인합니다. 라이선스 설정이 만료된 경우 /<inst_root>/apigee/var/log/edge-management-server/logs 위치에서 로그를 확인할 수 있습니다. 이 경우 마이그레이션 세부정보는 Apigee 지원팀에 문의하세요.