Требования к установке

Edge для частного облака v. 4.16.05

Требования к оборудованию

Вы должны соответствовать следующим минимальным требованиям к оборудованию для высокодоступной инфраструктуры в среде производственного уровня. Для всех сценариев установки, описанных в разделе «Топологии установки» , в следующих таблицах указаны минимальные требования к оборудованию для компонентов установки.

В этих таблицах требования к жесткому диску указаны в дополнение к пространству на жестком диске, необходимому операционной системе. В зависимости от ваших приложений и сетевого трафика для вашей установки может потребоваться больше или меньше ресурсов, чем указано ниже.

Кроме того, ниже перечислены требования к оборудованию, если вы хотите установить Службы монетизации:

Ниже перечислены требования к оборудованию, если вы хотите установить API BaaS:

Примечание :

• Если корневая файловая система недостаточно велика для установки, рекомендуется разместить данные на диске большего размера.
• Если на компьютере была установлена ​​более старая версия Apigee Edge для частного облака, убедитесь, что вы удалили папку /tmp/java перед новой установкой.
• Общесистемной временной папке /tmp необходимы разрешения на выполнение для запуска Cassandra.
• Если пользователь «apigee» был создан до установки, убедитесь, что «/home/apigee» существует в качестве домашнего каталога и принадлежит «apigee:apigee».

Требования к операционной системе и стороннему программному обеспечению

Эти инструкции по установке и прилагаемые установочные файлы были протестированы на операционных системах и стороннем программном обеспечении, перечисленных здесь: https://apigee.com/docs/api-services/reference/supported-software .

Создание пользователя apigee

Процедура установки создает пользователя системы Unix с именем «apigee». Каталоги и файлы Edge, как и процессы Edge, принадлежат Apigee. Это означает, что компоненты Edge запускаются от имени пользователя apigee. при необходимости вы можете запускать компоненты от имени другого пользователя. Пример см. в разделе «Привязка маршрутизатора к защищенному порту» в разделе «Установка компонентов Edge на узле» .

Каталог установки

По умолчанию установщик записывает все файлы в каталог /opt/apigee . Вы не можете изменить расположение этого каталога.

В инструкциях данного руководства каталог установки обозначен как /<inst_root>/apigee , где /<inst_root> по умолчанию равен /opt .

Джава

Перед установкой на каждом компьютере должна быть установлена ​​поддерживаемая версия Java1.8. Поддерживаемые JDK перечислены здесь:

https://apigee.com/docs/api-services/reference/supported-software

Убедитесь, что JAVA_HOME указывает на корень JDK пользователя, выполняющего установку.

Настройка сети

Перед установкой рекомендуется проверить настройки сети. Установщик ожидает, что все машины будут иметь фиксированные IP-адреса. Используйте следующие команды для проверки настройки:

• имя хоста возвращает имя машины
• имя_хоста -i возвращает IP-адрес имени хоста, к которому можно обращаться с других компьютеров.

В зависимости от типа и версии вашей операционной системы вам, возможно, придется отредактировать /etc/hosts и /etc/sysconfig/network, если имя хоста установлено неправильно. Дополнительную информацию см. в документации к вашей конкретной операционной системе.

Кассандра

Все узлы Cassandra должны быть подключены к кольцу.

Cassandra автоматически корректирует размер кучи Java в зависимости от доступной памяти. Дополнительную информацию см. в разделе Настройка ресурсов Java . В случае ухудшения производительности или высокого потребления памяти.

После установки Edge для частного облака вы можете проверить правильность настройки Cassandra, проверив файл /<inst_root>/apigee/apigee-cassandra/conf/cassandra.yaml . Например, убедитесь, что в сценарии установки Edge для частного облака заданы следующие свойства:

• имя_кластера
• начальный_токен
• разделитель
• семена
• прослушиваемый_адрес
• rpc_address
• стукач

Внимание : не редактируйте этот файл.

База данных PostgreSQL

После установки Edge вы можете настроить следующие параметры базы данных PostgreSQL в зависимости от объема оперативной памяти, доступной в вашей системе:

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

Чтобы установить эти значения:

1. Отредактируйте postgresql.properties:
   > vi /<inst_root>/apigee/customer/application/postgresql.properties
   
   Если файл не существует, создайте его.
2. Установите свойства, перечисленные выше.
3. Сохраните изменения.
4. Перезапустите базу данных PostgreSQL:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service перезапуск apigee-postgresql

JSVC

«jsvc» является обязательным условием для использования API BaaS. Версия 1.0.15-dev устанавливается при установке API BaaS.

Службы сетевой безопасности (NSS)

Службы сетевой безопасности (NSS) — это набор библиотек, которые поддерживают разработку клиентских и серверных приложений с поддержкой безопасности. Вам следует убедиться, что у вас установлена ​​NSS v3.19 или более поздняя версия.

Чтобы проверить текущую версию:

> yum info nss

Чтобы обновить NSS:

> yum update nss

Дополнительную информацию см. в этой статье RedHat.

АВС АМИ

Если вы устанавливаете Edge на образ машины AWS Amazon (AMI) для Red Hat Enterprise Linux 7.x, сначала необходимо выполнить следующую команду:

> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

Инструменты

Программа установки использует следующие инструменты UNIX в стандартной версии, предоставляемой EL5 или EL6.

Примечание:

• Исполняемый файл инструмента useradd находится в /usr/sbin , а chkconfig — в /sbin .
• С помощью доступа sudo вы можете получить доступ к среде вызывающего пользователя, например, обычно вы вызываете « sudo <команда> » или « sudo PATH=$PATH:/usr/sbin:/sbin <команда> ».
• Перед установкой пакета обновления (исправления) убедитесь, что у вас установлен инструмент «исправления».

ntpdate – рекомендуется синхронизировать время серверов. Если это еще не настроено, для этой цели может служить утилита «ntpdate», которая проверяет, синхронизированы ли серверы по времени. Вы можете использовать « yum install ntp » для установки утилиты. Это особенно полезно для репликации настроек OpenLDAP. Обратите внимание, что вы устанавливаете часовой пояс сервера в формате UTC.

openldap 2.4 – для локальной установки требуется OpenLDAP 2.4. Если ваш сервер имеет подключение к Интернету, сценарий установки Edge загружает и устанавливает OpenLDAP. Если ваш сервер не имеет подключения к Интернету, вы должны убедиться, что OpenLDAP уже установлен, прежде чем запускать сценарий установки Edge. В RHEL/CentOS вы можете запустить « yum install openldap-clients openldap-servers », чтобы установить OpenLDAP.

Для установок с 13 хостами и установок с 12 хостами с двумя центрами обработки данных требуется репликация OpenLDAP, поскольку существует несколько узлов, на которых размещен OpenLDAP.

Брандмауэры и виртуальные хосты

Термин «виртуальный» обычно перегружен в сфере ИТ, как и в случае с Apigee Edge для развертывания частного облака и виртуальных хостов. Чтобы уточнить, есть два основных использования термина «виртуальный»:

• Виртуальные машины (ВМ) : не обязательно, но в некоторых развертываниях используется технология виртуальных машин для создания изолированных серверов для своих компонентов Apigee. Хосты виртуальных машин, как и физические хосты, могут иметь сетевые интерфейсы и брандмауэры. Эти инструкции по установке не поддерживают установку виртуальных машин.
• Виртуальные хосты : конечные точки веб-сайта, аналогичные виртуальному хосту Apache.

Маршрутизатор в виртуальной машине может предоставлять доступ к нескольким виртуальным хостам (при условии, что они отличаются друг от друга псевдонимом хоста или интерфейсным портом).

В качестве примера именования: на одном физическом сервере «А» могут работать две виртуальные машины с именами «VM1» и «VM2». Предположим, VM1 предоставляет виртуальный интерфейс Ethernet, который внутри виртуальной машины называется eth0 и которому присвоен IP-адрес 111.111.111.111 механизмом виртуализации или сетевым DHCP-сервером; а затем предположим, что VM2 предоставляет виртуальный интерфейс Ethernet, также называемый eth0, и ему назначается IP-адрес 111.111.111.222 .

У нас может быть маршрутизатор Apigee, работающий на каждой из двух виртуальных машин. Маршрутизаторы предоставляют конечные точки виртуальных хостов, как в этом гипотетическом примере:

Маршрутизатор Apigee в VM1 предоставляет три виртуальных хоста на своем интерфейсе eth0 (который имеет определенный IP-адрес): api.mycompany.com:80, api.mycompany.com:443 и test.mycompany.com:80 .

Маршрутизатор в VM2 предоставляет api.mycompany.com:80 (то же имя и порт, что и в VM1).

Операционная система физического хоста может иметь сетевой брандмауэр; если да, то этот брандмауэр должен быть настроен для пропуска TCP-трафика, связанного с портами, доступными на виртуализированных интерфейсах ( 111.111.111.111:{80, 443} и 111.111.111.222:80 ). Кроме того, операционная система каждой виртуальной машины может предоставлять собственный брандмауэр на своем интерфейсе eth0, и они также должны разрешать подключение трафика через порты 80 и 443 .

Базовый путь — это третий компонент, участвующий в маршрутизации вызовов API к различным прокси-серверам API, которые вы, возможно, развернули. Пакеты прокси-серверов API могут использовать общую конечную точку, если у них разные базовые пути. Например, один базовый путь может быть определен как http://api.mycompany.com:80/ , а другой — как http://api.mycompany.com:80/salesdemo .

В этом случае вам понадобится какой-либо балансировщик нагрузки или директор трафика, разделяющий трафик http://api.mycompany.com:80/ между двумя IP-адресами ( 111.111.111.111 на VM1 и 111.111.111.222 на VM2). Эта функция специфична для вашей конкретной установки и настраивается вашей локальной сетевой группой.

Базовый путь задается при развертывании API. В приведенном выше примере вы можете развернуть два API, mycompany и testmycompany , для организации mycompany-org с виртуальным хостом, имеющим псевдоним хоста api.mycompany.com и порт, установленный на 80 . Если вы не объявите базовый путь при развертывании, то маршрутизатор не будет знать, на какой API отправлять входящие запросы.

Однако если вы развернете API testmycompany с базовым URL-адресом /salesdemo , пользователи получат доступ к этому API с помощью http://api.mycompany.com:80/salesdemo . Если вы развертываете свой API mycompany с базовым URL-адресом /, тогда ваши пользователи получают доступ к API по URL-адресу http://api.mycompany.com:80/ .

Требования к пограничному порту

Необходимость управления брандмауэром выходит за рамки только виртуальных хостов; Межсетевые экраны как виртуальной машины, так и физического хоста должны разрешать трафик для портов, необходимых компонентам для связи друг с другом.

На следующем изображении показаны требования к портам для каждого компонента Edge:

Примечания к этой схеме:

• *Порт 8082 процессора сообщений должен быть открыт для доступа маршрутизатора только при настройке TLS/SSL между маршрутизатором и процессором сообщений. Если вы не настраиваете TLS/SSL между маршрутизатором и процессором сообщений, в конфигурации по умолчанию порт 8082 по-прежнему должен быть открыт на процессоре сообщений для управления компонентом, но маршрутизатору не требуется доступ к нему.
• Порты с префиксом «M» — это порты, используемые для управления компонентом, и они должны быть открыты на компоненте для доступа к ним со стороны сервера управления.
• Следующие компоненты требуют доступа к порту 8080 на сервере управления: маршрутизатор, процессор сообщений, пользовательский интерфейс, Postgres и Qpid.
• Процессор сообщений должен открыть порт 4528 в качестве порта управления. Если у вас есть несколько процессоров сообщений, все они должны иметь доступ друг к другу через порт 4528 (обозначен стрелкой цикла на схеме выше для порта 4528 на процессоре сообщений). Если у вас несколько центров обработки данных, порт должен быть доступен всем процессорам сообщений во всех центрах обработки данных.
• Хотя это и не требуется, вы можете открыть порт 4527 на маршрутизаторе для доступа к нему любого процессора сообщений. В противном случае вы можете увидеть сообщения об ошибках в файлах журнала процессора сообщений.
• Маршрутизатор должен открыть порт 4527 в качестве порта управления. Если у вас несколько маршрутизаторов, все они должны иметь доступ друг к другу через порт 4527 (обозначен стрелкой петли на схеме выше для порта 4527 на маршрутизаторе).
• Пользовательскому интерфейсу Edge требуется доступ к маршрутизатору через порты, предоставляемые прокси-серверами API, для поддержки кнопки «Отправить» в инструменте трассировки.
• Серверу управления требуется доступ к порту JMX на узлах Cassandra.
• Доступ к портам JMX можно настроить так, чтобы требовалось имя пользователя и пароль. Дополнительную информацию см. в разделе «Как отслеживать» .
• При желании вы можете настроить доступ TLS/SSL для определенных соединений, которые могут использовать разные порты. Дополнительную информацию см. в разделе TLS/SSL .
• При настройке двух узлов Postgres для использования репликации главный-резервный необходимо открыть порт 22 на каждом узле для доступа по ssh. При желании вы можете открыть порты на отдельных узлах, чтобы разрешить доступ по ssh.
• Вы можете настроить сервер управления и пограничный пользовательский интерфейс для отправки электронных писем через внешний SMTP-сервер. Если вы это сделаете, вы должны убедиться, что сервер управления и пользовательский интерфейс могут получить доступ к необходимому порту на SMTP-сервере. Для SMTP без TLS номер порта обычно равен 25. Для SMTP с поддержкой TLS это часто 465, но уточните у своего поставщика SMTP.

В таблице ниже показаны порты, которые необходимо открыть в брандмауэрах с помощью компонента Edge:

> curl -v http://<routerIP>:15999/v1/servers/self/reachable

В следующей таблице показаны те же порты, пронумерованные, с компонентами источника и назначения:

Обработчик сообщений поддерживает выделенный пул соединений, открытый для Cassandra, который настроен на отсутствие тайм-аута. Когда межсетевой экран находится между процессором сообщений и сервером Cassandra, брандмауэр может прервать соединение. Однако процессор сообщений не предназначен для восстановления соединения с Cassandra.

Чтобы предотвратить такую ​​ситуацию, Apigee рекомендует, чтобы сервер Cassandra, процессор сообщений и маршрутизаторы находились в одной подсети, чтобы межсетевой экран не участвовал в развертывании этих компонентов.

Если между маршрутизатором и процессорами сообщений установлен межсетевой экран и для него установлен тайм-аут простоя TCP, мы рекомендуем:

1. Установите net.ipv4.tcp_keepalive_time = 1800 в настройках sysctl в ОС Linux, где 1800 должно быть меньше, чем тайм-аут TCP простоя брандмауэра. Этот параметр должен поддерживать соединение в установленном состоянии, чтобы брандмауэр не отключал его.
2. На всех процессорах сообщений отредактируйте /<inst_root>/apigee/customer/application/message-processor.properties , чтобы добавить следующее свойство. Если файл не существует, создайте его.
   conf_system_casssandra.maxconnecttimeinmillis=-1
3. Перезапустите процессор сообщений:
   > /opt/apigee/apigee-service/bin/apigee-service перезапуск процессора Edge-message
4. На всех маршрутизаторах отредактируйте /<inst_root>/apigee/customer/application/router.properties , чтобы добавить следующее свойство. Если файл не существует, создайте его.
   conf_system_casssandra.maxconnecttimeinmillis=-1
5. Перезагрузите маршрутизатор:
   > /opt/apigee/apigee-service/bin/apigee-service перезапуск пограничного маршрутизатора

Если вы устанавливаете кластерную конфигурацию из 12 узлов с двумя центрами обработки данных, убедитесь, что узлы в двух центрах обработки данных могут обмениваться данными через порты, показанные ниже:

Требования к порту API BaaS

Если вы решите установить API BaaS, вы добавите компоненты API BaaS Stack и API BaaS Portal. Эти компоненты используют порты, показанные на рисунке ниже:

Примечания к этой схеме:

• Узлы Cassandra могут быть выделены для API BaaS или могут использоваться совместно с Edge.
• Рабочая установка API BaaS использует балансировщик нагрузки между узлом портала API BaaS и узлами стека API BaaS. При настройке портала и при выполнении вызовов API BaaS вы указываете IP-адрес или DNS-имя балансировщика нагрузки, а не узлов стека.
• Вы должны настроить все узлы Baas Stack для отправки электронной почты через внешний SMTP-сервер. Для SMTP без TLS номер порта обычно равен 25. Для SMTP с поддержкой TLS это часто 465, но уточните у своего поставщика SMTP.

В таблице ниже показаны порты по умолчанию, которые необходимо открыть в брандмауэрах, по компонентам:

Лицензирование

Для каждой установки Edge требуется уникальный файл лицензии, который вы получаете от Apigee. При установке сервера управления вам потребуется указать путь к файлу лицензии, например /tmp/license.txt.

Установщик копирует файл лицензии в /<inst_root>/apigee/customer/conf/license.txt .

Если файл лицензии действителен, сервер управления проверяет срок действия и разрешенное количество процессоров сообщений (MP). Если срок действия каких-либо настроек лицензии истек, вы можете найти журналы в следующем месте: /<inst_root>/apigee/var/log/edge-management-server/logs . В этом случае вы можете обратиться в службу поддержки Apigee для получения подробной информации о миграции.

Edge для частного облака v. 4.16.05

Требования к оборудованию

Вы должны соответствовать следующим минимальным требованиям к оборудованию для высокодоступной инфраструктуры в среде производственного уровня. Для всех сценариев установки, описанных в разделе «Топологии установки» , в следующих таблицах указаны минимальные требования к оборудованию для компонентов установки.

В этих таблицах требования к жесткому диску указаны в дополнение к пространству на жестком диске, необходимому операционной системе. В зависимости от ваших приложений и сетевого трафика для вашей установки может потребоваться больше или меньше ресурсов, чем указано ниже.

Кроме того, ниже перечислены требования к оборудованию, если вы хотите установить Службы монетизации:

Ниже перечислены требования к оборудованию, если вы хотите установить API BaaS:

Примечание :

• Если корневая файловая система недостаточно велика для установки, рекомендуется разместить данные на диске большего размера.
• Если на компьютере была установлена ​​более старая версия Apigee Edge для частного облака, убедитесь, что вы удалили папку /tmp/java перед новой установкой.
• Общесистемной временной папке /tmp необходимы разрешения на выполнение для запуска Cassandra.
• Если пользователь «apigee» был создан до установки, убедитесь, что «/home/apigee» существует в качестве домашнего каталога и принадлежит «apigee:apigee».

Требования к операционной системе и стороннему программному обеспечению

Эти инструкции по установке и прилагаемые установочные файлы были протестированы на операционных системах и стороннем программном обеспечении, перечисленных здесь: https://apigee.com/docs/api-services/reference/supported-software .

Создание пользователя apigee

Процедура установки создает пользователя системы Unix с именем «apigee». Каталоги и файлы Edge, как и процессы Edge, принадлежат Apigee. Это означает, что компоненты Edge запускаются от имени пользователя apigee. при необходимости вы можете запускать компоненты от имени другого пользователя. Пример см. в разделе «Привязка маршрутизатора к защищенному порту» в разделе «Установка компонентов Edge на узле» .

Каталог установки

По умолчанию установщик записывает все файлы в каталог /opt/apigee . Вы не можете изменить расположение этого каталога.

В инструкциях в этом руководстве каталог установки указан как /<inst_root>/apigee , где /<inst_root> — это /opt по умолчанию.

Джава

Перед установкой на каждом компьютере должна быть установлена ​​поддерживаемая версия Java1.8. Поддерживаемые JDK перечислены здесь:

https://apigee.com/docs/api-services/reference/supported-software

Убедитесь, что JAVA_HOME указывает на корень JDK пользователя, выполняющего установку.

Настройка сети

Перед установкой рекомендуется проверить настройки сети. Установщик ожидает, что все машины будут иметь фиксированные IP-адреса. Используйте следующие команды для проверки настройки:

• имя хоста возвращает имя машины
• имя_хоста -i возвращает IP-адрес имени хоста, к которому можно обращаться с других компьютеров.

В зависимости от типа и версии вашей операционной системы вам, возможно, придется отредактировать /etc/hosts и /etc/sysconfig/network, если имя хоста установлено неправильно. Дополнительную информацию см. в документации к вашей конкретной операционной системе.

Кассандра

Все узлы Cassandra должны быть подключены к кольцу.

Cassandra автоматически корректирует размер кучи Java в зависимости от доступной памяти. Дополнительную информацию см. в разделе Настройка ресурсов Java . В случае ухудшения производительности или высокого потребления памяти.

После установки Edge для частного облака вы можете проверить правильность настройки Cassandra, проверив файл /<inst_root>/apigee/apigee-cassandra/conf/cassandra.yaml . Например, убедитесь, что в сценарии установки Edge для частного облака заданы следующие свойства:

• имя_кластера
• начальный_токен
• разделитель
• семена
• прослушиваемый_адрес
• rpc_address
• стукач

Внимание : не редактируйте этот файл.

База данных PostgreSQL

После установки Edge вы можете настроить следующие параметры базы данных PostgreSQL в зависимости от объема оперативной памяти, доступной в вашей системе:

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

Чтобы установить эти значения:

1. Отредактируйте postgresql.properties:
   > vi /<inst_root>/apigee/customer/application/postgresql.properties
   
   Если файл не существует, создайте его.
2. Установите свойства, перечисленные выше.
3. Сохраните изменения.
4. Перезапустите базу данных PostgreSQL:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service перезапуск apigee-postgresql

JSVC

«jsvc» является обязательным условием для использования API BaaS. Версия 1.0.15-dev устанавливается при установке API BaaS.

Службы сетевой безопасности (NSS)

Службы сетевой безопасности (NSS) — это набор библиотек, которые поддерживают разработку клиентских и серверных приложений с поддержкой безопасности. Вам следует убедиться, что у вас установлена ​​NSS v3.19 или более поздняя версия.

Чтобы проверить текущую версию:

> yum info nss

Чтобы обновить NSS:

> yum update nss

Дополнительную информацию см. в этой статье RedHat.

АВС АМИ

Если вы устанавливаете Edge на образ машины AWS Amazon (AMI) для Red Hat Enterprise Linux 7.x, сначала необходимо выполнить следующую команду:

> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

Инструменты

Программа установки использует следующие инструменты UNIX в стандартной версии, предоставляемой EL5 или EL6.

Примечание:

• Исполняемый файл инструмента useradd находится в /usr/sbin , а chkconfig — в /sbin .
• С помощью доступа sudo вы можете получить доступ к среде вызывающего пользователя, например, обычно вы вызываете « sudo <команда> » или « sudo PATH=$PATH:/usr/sbin:/sbin <команда> ».
• Перед установкой пакета обновления (исправления) убедитесь, что у вас установлен инструмент «исправления».

ntpdate – рекомендуется синхронизировать время серверов. Если это еще не настроено, для этой цели может служить утилита «ntpdate», которая проверяет, синхронизированы ли серверы по времени. Вы можете использовать « yum install ntp » для установки утилиты. Это особенно полезно для репликации настроек OpenLDAP. Обратите внимание, что вы устанавливаете часовой пояс сервера в формате UTC.

openldap 2.4 – для локальной установки требуется OpenLDAP 2.4. Если ваш сервер имеет подключение к Интернету, сценарий установки Edge загружает и устанавливает OpenLDAP. Если ваш сервер не имеет подключения к Интернету, вы должны убедиться, что OpenLDAP уже установлен, прежде чем запускать сценарий установки Edge. В RHEL/CentOS вы можете запустить « yum install openldap-clients openldap-servers », чтобы установить OpenLDAP.

Для установок с 13 хостами и установок с 12 хостами с двумя центрами обработки данных требуется репликация OpenLDAP, поскольку существует несколько узлов, на которых размещен OpenLDAP.

Брандмауэры и виртуальные хосты

Термин «виртуальный» обычно перегружен в сфере ИТ, как и в случае с Apigee Edge для развертывания частного облака и виртуальных хостов. Чтобы уточнить, есть два основных использования термина «виртуальный»:

• Виртуальные машины (ВМ) : не обязательно, но в некоторых развертываниях используется технология виртуальных машин для создания изолированных серверов для своих компонентов Apigee. Хосты виртуальных машин, как и физические хосты, могут иметь сетевые интерфейсы и брандмауэры. Эти инструкции по установке не поддерживают установку виртуальных машин.
• Виртуальные хосты : конечные точки веб-сайта, аналогичные виртуальному хосту Apache.

Маршрутизатор в виртуальной машине может предоставлять доступ к нескольким виртуальным хостам (при условии, что они отличаются друг от друга псевдонимом хоста или интерфейсным портом).

В качестве примера именования: на одном физическом сервере «А» могут работать две виртуальные машины с именами «VM1» и «VM2». Предположим, VM1 предоставляет виртуальный интерфейс Ethernet, который внутри виртуальной машины называется eth0 и которому присвоен IP-адрес 111.111.111.111 механизмом виртуализации или сетевым DHCP-сервером; а затем предположим, что VM2 предоставляет виртуальный интерфейс Ethernet, также называемый eth0, и ему назначается IP-адрес 111.111.111.222 .

У нас может быть маршрутизатор Apigee, работающий на каждой из двух виртуальных машин. Маршрутизаторы предоставляют конечные точки виртуальных хостов, как в этом гипотетическом примере:

Маршрутизатор Apigee в VM1 предоставляет три виртуальных хоста на своем интерфейсе eth0 (который имеет определенный IP-адрес): api.mycompany.com:80, api.mycompany.com:443 и test.mycompany.com:80 .

Маршрутизатор в VM2 предоставляет api.mycompany.com:80 (то же имя и порт, что и в VM1).

Операционная система физического хоста может иметь сетевой брандмауэр; если да, то этот брандмауэр должен быть настроен для пропуска TCP-трафика, связанного с портами, доступными на виртуализированных интерфейсах ( 111.111.111.111:{80, 443} и 111.111.111.222:80 ). Кроме того, операционная система каждой виртуальной машины может предоставлять собственный брандмауэр на своем интерфейсе eth0, и они также должны разрешать подключение трафика через порты 80 и 443 .

Базовый путь — это третий компонент, участвующий в маршрутизации вызовов API к различным прокси-серверам API, которые вы, возможно, развернули. Пакеты прокси-серверов API могут использовать общую конечную точку, если у них разные базовые пути. Например, один базовый путь может быть определен как http://api.mycompany.com:80/ , а другой — как http://api.mycompany.com:80/salesdemo .

В этом случае вам понадобится какой-либо балансировщик нагрузки или директор трафика, разделяющий трафик http://api.mycompany.com:80/ между двумя IP-адресами ( 111.111.111.111 на VM1 и 111.111.111.222 на VM2). Эта функция специфична для вашей конкретной установки и настраивается вашей локальной сетевой группой.

Базовый путь задается при развертывании API. В приведенном выше примере вы можете развернуть два API, mycompany и testmycompany , для организации mycompany-org с виртуальным хостом, имеющим псевдоним хоста api.mycompany.com и порт, установленный на 80 . Если вы не объявите базовый путь при развертывании, то маршрутизатор не будет знать, на какой API отправлять входящие запросы.

Однако если вы развернете API testmycompany с базовым URL-адресом /salesdemo , пользователи получат доступ к этому API с помощью http://api.mycompany.com:80/salesdemo . Если вы развертываете свой API mycompany с базовым URL-адресом /, то ваши пользователи получают доступ к API по URL-адресу http://api.mycompany.com:80/ .

Требования к пограничному порту

Необходимость управления брандмауэром выходит за рамки только виртуальных хостов; Межсетевые экраны как виртуальной машины, так и физического хоста должны разрешать трафик для портов, необходимых компонентам для связи друг с другом.

На следующем изображении показаны требования портов для каждого компонента края:

Примечания к этой схеме:

• *Порт 8082 в процессе сообщений должен быть открыт только для доступа маршрутизатором, когда вы настраиваете TLS/SSL между маршрутизатором и процессором сообщений. Если вы не настраиваете TLS/SSL между маршрутизатором и процессором сообщений, в конфигурации по умолчанию порт 8082 по-прежнему должен быть открыт на процессоре сообщений для управления компонентом, но маршрутизатору не требуется доступ к нему.
• Порты с префиксом «M» — это порты, используемые для управления компонентом, и они должны быть открыты на компоненте для доступа к ним со стороны сервера управления.
• Следующие компоненты требуют доступа к порту 8080 на сервере управления: маршрутизатор, процессор сообщений, пользовательский интерфейс, Postgres и QPID.
• Процессор сообщений должен открыть порт 4528 в качестве порта управления. Если у вас есть несколько процессоров сообщений, все они должны иметь доступ друг к другу через порт 4528 (обозначен стрелкой цикла на схеме выше для порта 4528 на процессоре сообщений). Если у вас есть несколько центров обработки данных, порт должен быть доступен от всех процессоров сообщений во всех центрах обработки данных.
• Хотя это не требуется, вы можете открыть порт 4527 на маршрутизаторе для доступа любого процессора сообщений. В противном случае вы можете увидеть сообщения об ошибках в файлах журнала процессора сообщений.
• Маршрутизатор должен открыть порт 4527 в качестве порта управления. Если у вас несколько маршрутизаторов, все они должны иметь доступ друг к другу через порт 4527 (обозначен стрелкой петли на схеме выше для порта 4527 на маршрутизаторе).
• Пользовательскому интерфейсу Edge требуется доступ к маршрутизатору через порты, предоставляемые прокси-серверами API, для поддержки кнопки «Отправить» в инструменте трассировки.
• Сервер управления требует доступа к порту JMX на узлах Cassandra.
• Доступ к портам JMX можно настроить так, чтобы требовалось имя пользователя и пароль. Дополнительную информацию см. в разделе «Как отслеживать» .
• При желании вы можете настроить доступ TLS/SSL для определенных соединений, которые могут использовать разные порты. Дополнительную информацию см. в разделе TLS/SSL .
• Если настройка двух узлов Postgres для использования репликации Master-Standby, необходимо открыть порт 22 на каждом узле для доступа SSH. При желании вы можете открыть порты на отдельных узлах, чтобы разрешить доступ SSH.
• Вы можете настроить сервер управления и пограничный пользовательский интерфейс для отправки электронных писем через внешний SMTP-сервер. Если вы это сделаете, вы должны убедиться, что сервер управления и пользовательский интерфейс могут получить доступ к необходимому порту на SMTP -сервере. Для SMTP без TLS номер порта обычно равен 25. Для SMTP с поддержкой TLS это часто 465, но уточните у своего поставщика SMTP.

В таблице ниже показаны порты, которые должны быть открыты в брандмауэрах, по краю:

> curl -v http://<routerIP>:15999/v1/servers/self/reachable

В следующей таблице показаны те же порты, пронумерованные, с компонентами источника и назначения:

Процессор сообщений сохраняет выделенный пул соединений, открытый для Cassandra, который настроен на Never Timeout. Когда брандмауэр находится между процессором сообщений и сервером Cassandra, брандмауэр может снять подключение. Тем не менее, процессор сообщений не предназначен для восстановления соединений с Кассандрой.

Чтобы предотвратить эту ситуацию, Apigee рекомендует, чтобы сервер Cassandra, процессор сообщений и маршрутизаторы находились в той же подсети, чтобы брандмауэр не участвовал в развертывании этих компонентов.

Если брандмауэр находится между маршрутизатором и процессорами сообщений, и имеет набор тайм -аута IDLE TCP, наши рекомендации должны:

1. Установите net.ipv4.tcp_keepalive_time = 1800 в настройках sysctl в ОС Linux, где 1800 должно быть меньше, чем тайм-аут TCP простоя брандмауэра. Этот параметр должен поддерживать соединение в установленном состоянии, чтобы брандмауэр не отключал его.
2. Во всех процессорах сообщений редактировать /iinst_root>/apigee/customer/application/message-processor.properties , чтобы добавить следующее свойство. Если файл не существует, создайте его.
   conf_system_casssandra.maxconnecttimeinmillis = -1
3. Перезагрузить процессор сообщений:
   > /opt/apigee/apigee-service/bin/apigee-service перезапуск процессора Edge-message
4. На всех маршрутизаторах редактировать /iinst_root>/apigee/customer/application/router.properties , чтобы добавить следующее свойство. Если файл не существует, создайте его.
   conf_system_casssandra.maxconnecttimeinmillis = -1
5. Перезагрузите маршрутизатор:
   > /opt/apigee/apigee-service/bin/apigee-service перезапуск пограничного маршрутизатора

Если вы установите конфигурацию 12 кластерных хостов с двумя центрами обработки данных, убедитесь, что узлы в двух центрах обработки данных могут передавать порты, показанные ниже:

Требования порта API BAAS

Если вы решите установить API BAAS, вы добавите компоненты портала API BAAS и портал API BAAS. Эти компоненты используют порты, показанные на рисунке ниже:

Примечания к этой схеме:

• Узлы Cassandra могут быть выделены для API BaaS или могут использоваться совместно с Edge.
• Производственная установка API BAAS использует балансировщик нагрузки между портальным узлом API BAAS и узлами стека API BAAS. При настройке портала и при создании вызовов API BAAS вы указываете IP -адрес или DNS -имя балансировщика нагрузки, а не узлов стека.
• Вы должны настроить все узлы стека BAAS для отправки электронных писем через внешний SMTP -сервер. Для SMTP без TLS номер порта обычно равен 25. Для SMTP с поддержкой TLS это часто 465, но уточните у своего поставщика SMTP.

В таблице ниже показаны порты по умолчанию, которые необходимо открыть в брандмауэрах, компонентом:

Лицензирование

Каждая установка Edge требует уникального лицензионного файла, который вы получаете от Apigee. Вам нужно будет предоставить путь к файлу лицензии при установке сервера управления, например, /tmp/license.txt.

Установщик копирует файл лицензии в /iinst_root>/apigee/customer/conf/license.txt .

Если файл лицензии действителен, сервер управления проверяет количество и разрешенного процессора сообщений (MP). Если какая-либо из настройки лицензии истек, вы можете найти журналы в следующем месте: /<St_Root>/apigee/var/log/edge-management-server/logs . В этом случае вы можете связаться с поддержкой Apigee для сведений о миграции.