Yükleme Koşulları

Edge for Private Cloud s. 4.16.05

Donanım Gereksinimleri

Yüksek düzeyde kullanılabilir bir model için aşağıdaki minimum donanım gereksinimlerini karşılamanız gerekir: altyapı sunmanın en iyi yoludur. Şu makalede açıklanan tüm yükleme senaryoları için: Kurulum Topolojileri, aşağıdaki tablolarda yükleme bileşenlerinin minimum donanım gereksinimleri olup olmadığını kontrol edin.

Bu tablolarda sabit disk gereksinimleri, işletim sisteminin gerektirdiği sabit disk alanına ek olarak belirtilmiştir. Uygulamalarınıza ve ağ trafiğinize bağlı olarak, aşağıda listelenenden daha fazla veya daha az kaynak gerektirir.

Ayrıca, Para Kazanma Hizmetleri:

API BaaS'yi yüklemek istiyorsanız donanım gereksinimleri aşağıda listelenmiştir:

Not:

• Kök dosya sistemi yükleme için yeterince büyük değilse ve verileri daha büyük bir diske yerleştirin.
• Makinede Private Cloud için Apigee Edge'in eski bir sürümü yüklüyse Yeni bir yükleme işleminden önce /tmp/java klasörünü silin.
• Sistem genelindeki geçici /tmp klasörünün şunları yapmak için yürütme izinlerine ihtiyacı var: Cassandra'yı başlatıyorum.
• "Apigee" kullanıcısı kurulumdan önce oluşturulduysa “/home/Apigee” ana dizin olarak mevcuttur ve şuna aittir: "Apigee:Apigee"

İşletim Sistemi ve üçüncü taraf yazılım gereksinimleri

Bu yükleme talimatları ve sağlanan yükleme dosyaları, https://apigee.com/docs/api-services/reference/supported-software adresinde listelenen işletim sistemleri ve üçüncü taraf yazılımlarda test edilmiştir.

Apigee kullanıcısını oluşturma

Kurulum prosedürü, 'Apigee' adında bir Unix sistem kullanıcısı oluşturur. Uç dizinler ve dosyaları, Edge işlemlerinde olduğu gibi 'Apigee'ye aittir. Bu, Edge bileşenlerinin "Apigee" belirtir. gerekirse bileşenleri farklı bir kullanıcı olarak çalıştırabilirsiniz. Örnek için Bir düğüme Edge bileşenleri yükleme başlıklı makalenin "Yönlendiriciyi korunan bir bağlantı noktasına bağlama" bölümüne bakın.

Yükleme dizini

Varsayılan olarak, yükleyici tüm dosyaları /opt/apigee dizinine yazar. Bu ayarı değiştiremezsiniz. dizin konumu.

Bu kılavuzdaki talimatlarda, yükleme dizini /<inst_root>/apigee şeklinde belirtilmiştir. Burada, /<inst_root>/apigee varsayılan olarak /<inst_root>/apigee şeklindedir.

Java

Yüklemeden önce her makineye Java1.8'in desteklenen bir sürümünün yüklenmesi gerekir. Desteklenen JDK'ler burada listelenmiştir:

https://apigee.com/docs/api-services/reference/supported-software

JAVA_HOME işlevinin geçerli olduğundan emin olun kullanıcı için JDK'nın kök dizinine ekleyin.

Ağ Ayarı

Yüklemeden önce ağ ayarını kontrol etmeniz önerilir. Yükleyici tüm makinelerin sabit IP adreslerine sahip olmasını bekler. Ayarı doğrulamak için aşağıdaki komutları kullanın:

• anamakineadı, adı döndürür ne kadarının olduğunu
• anamakineadı -i, IP'yi döndürür diğer makinelerden adreslenebilecek ana makine adının adresidir.

Ana makine adı farklıysa işletim sisteminizin türüne ve sürümüne bağlı olarak /etc/hosts ve /etc/sysconfig/network ağlarını düzenlemeniz gerekebilir emin olun. Daha fazla bilgi için işletim sisteminizin belgelerine bakın.

Cassandra

Tüm Cassandra düğümlerinin bir halkaya bağlı olması gerekir.

Cassandra, Java yığın boyutunu mevcut belleğe göre otomatik olarak ayarlar. Daha fazla bilgi için Java kaynaklarını ayarlama başlıklı makaleyi inceleyin. Performansta düşüş veya yüksek bellek tüketimi durumunda.

Private Cloud için Edge'i yükledikten sonra Cassandra'nın yapılandırılıp yapılandırılmadığını kontrol edebilirsiniz. doğru şekilde kontrol etmek için /<inst_root>/apigee/apigee-cassandra/conf/cassandra.yaml dosyası olarak kaydedebilirsiniz. Örneğin, Edge for Private Cloud kurulum komut dosyasının aşağıdaki özellikleri ayarladığından emin olun:

• cluster_name
• initial_token
• bölümlendirici
• tohumlar
• listen_address
• rpc_address
• snitch

Uyarı: Bu dosyayı düzenlemeyin.

PostgreSQL veritabanı

Edge'i yükledikten sonra sisteminizde kullanılabilir RAM miktarı:

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

Bu değerleri ayarlamak için:

1. postgresql.properties:
   öğesini düzenle > vi /<inst_root>/apigee/customer/application/postgresql.properties
   
   Dosya yoksa, oluşturun.
2. Yukarıda listelenen özellikleri ayarlayın.
3. Yaptığınız düzenlemeleri kaydedin.
4. PostgreSQL veritabanını yeniden başlatın:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

jsvc

"jsvc" API BaaS'yi kullanmanın ön koşuludur. Uygulamayı yüklediğinizde 1.0.15-dev sürümü yüklenir hakkında daha fazla bilgi edinin.

Ağ Güvenliği Hizmetleri (NSS)

Ağ Güvenliği Hizmetleri (NSS), istemci ve sunucu uygulamaları için de geçerlidir. NSS'yi yüklediğinizden emin olmanız gerekir 3.19 veya daha yeni bir sürüm kullanın.

Mevcut sürümünüzü kontrol etmek için:

> yum info nss

NSS'yi güncellemek için:

> yum update nss

RedHat tarafından sunulan bu makaleyi inceleyin konulu videomuzu izleyin.

AWS AMI

Red Hat Enterprise Linux için bir AWS Amazon Machine Image'a (AMI) Edge'i yüklüyorsanız 7.x sürümünü kullanıyorsanız önce aşağıdaki komutu çalıştırmanız gerekir:

> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

Araçlar

Yükleyici, standart sürümde EL5 veya EL6.

Not:

• "useradd" aracı için yürütülebilir dosya /usr/sbin konumunda, chkconfig için ise /sbin konumunda bulunmaktadır.
• Sudo erişimi sayesinde, arayan kullanıcının ortamına erişebilirsiniz. Örneğin, genellikle "sudo <command>" veya "sudo PATH=$PATH:/usr/sbin:/sbin <command>" komutunu kullanırsınız.
• Bir hizmet paketinden (yama) önce "yama" aracının yüklü olduğundan emin olun teşekkür ederiz.

ntpdate: Sunucunun saatini senkronize etmesi önerilir. Eğer "ntpdate" yardımcı programı bu amaca hizmet edebilir. Bu da olup olmadığını kontrol edebilirsiniz. Yardımcı programı yüklemek için "yum install ntp" komutunu kullanabilirsiniz. Bu, özellikle OpenLDAP kurulumlarının çoğaltılmasında yararlıdır. Sunucuyu kendiniz kurun saat dilimidir (UTC).

openLDAP 2.4 – Şirket içi yükleme için OpenLDAP 2.4 gereklidir. Eğer Sunucunuzun internet bağlantısı varsa Edge yükleme komut dosyası indirilip yüklenir OpenLDAP. Sunucunuzun internet bağlantısı yoksa OpenLDAP'nin Edge yükleme komut dosyası çalıştırılmadan önce zaten yüklenmiş. RHEL/CentOS'te şunları çalıştırabilirsiniz: "yum install openLDAP-clients openldap-servers&quot; OpenLDAP'yi yükleyin.

13 ana makine yüklemeleri ve iki Veri Merkezi bulunan 12 ana makine yüklemeleri için OpenLDAP barındıran birden çok düğüm olduğu için OpenLDAP çoğaltması.

Güvenlik Duvarları ve Sanal Ana Makineler

“Sanal” terimi BT alanında genellikle aşırı yüklenmeye başlar ve bu nedenle, Private Cloud dağıtımı ve sanal ana makineler için Apigee Edge. Netleştirmek gerekirse, "sanal" teriminin bazı kullanım şekilleri:

• Sanal makineler (VM): Zorunlu değildir ancak bazı dağıtımlarda sanal makine teknolojisi kullanılır Apigee bileşenleri için izole sunucular oluşturmayı talep etti. Fiziksel ana makineler gibi sanal makine ana makineleri, güvenlik duvarlarını kullanabilirsiniz. Bu kurulum talimatları, sanal makine kurulumlarını özel olarak desteklemez.
• Sanal ana makineler: Apache sanal ana makinelerine benzer şekilde web uç noktaları.

Sanal makinedeki bir yönlendirici, ana makine takma adına veya arayüz bağlantı noktasından) girin.

Adlandırma örneği gibi, tek bir fiziksel sunucu "A" iki sanal makine çalıştırıyor olabilir, "VM1" ve "VM2" olarak adlandırıldı. VM1'in sanal bir Ethernet açığa çıkardığını varsayalım eth0 olarak adlandırılan arayüz ve sanallaştırma işlemiyle 111.111.111.111 IP adresine atanan IP adresi, sanal makinenin içinde yer alır. makine veya bir ağ DHCP sunucusu; daha sonra, VM2'nin sanal bir Ethernet arayüzü de gösterdiğini varsayın adı eth0 olur ve cihaza 111.111.111.222 adlı bir IP adresi atanır.

İki sanal makinenin her birinde de çalışan bir Apigee yönlendiricimiz olabilir. Yönlendiriciler, sanal ana makineyi açığa çıkarır uç noktaları da içerir:

VM1'deki Apigee yönlendiricisi, eth0 arayüzünde (belirli bir IP adresine sahip) üç sanal ana makine gösterir: api.mycompany.com:80, api.mycompany.com:443 ve test.mycompany.com:80.

VM2'deki yönlendirici api.mycompany.com:80 (VM1 tarafından sunulanla aynı ad ve bağlantı noktası) adresini gösterir.

Fiziksel ana makinenin işletim sisteminde ağ güvenlik duvarı olabilir; ve bu güvenlik duvarının sanallaştırılmış sunucu üzerinde açığa çıkan bağlantı noktaları için TCP trafiğine bağlı olacak şekilde yapılandırılmalıdır (111.111.111.111:{80, 443} ve 111.111.111.222:80). Ayrıca, her sanal makinenin işletim sistemi, eth0 arayüzünde kendi güvenlik duvarını sağlayabilir ve bu güvenlik duvarları da 80 ve 443 bağlantı noktalarının trafiğine izin vermelidir.

Temel yol, API çağrılarının farklı API proxy'lerine yönlendirilmesini sağlayan üçüncü bileşendir diğer kullanıcılar da dahildir. API proxy paketleri, farklı konumlara sahiplerse bir uç noktayı paylaşabilir için de geçerlidir. Örneğin, bir temel yol http://api.mycompany.com:80/ ve başka bir temel yol olarak tanımlanabilir http://api.mycompany.com:80/salesdemo şeklinde tanımlanır.

Bu durumda, http://api.mycompany.com:80/ trafiğini iki IP adresi (VM1'de 111.111.111.111 ve VM2'de 111.111.111.222) arasında bölen bir tür yük dengeleyiciye veya trafik yönlendiriciye ihtiyacınız vardır. Bu işlev ve yerel ağ grubunuz tarafından yapılandırılır.

Temel yol, bir API dağıttığınızda ayarlanır. Yukarıdaki örnekten iki API dağıtabilirsiniz: Kuruluş için sirketim ve testmycompany sanal ile sirketim-org api.mycompany.com ana makine takma adına sahip olan ve bağlantı noktasının 80. Dağıtım sırasında bir temel yol belirtmezseniz yönlendirici, gelen istekleri hangi API'ye göndereceğini bilemez.

Ancak testmycompany API'sini şu temel URL ile dağıtırsanız: /salesdemo, ardından kullanıcıların erişimi http://api.mycompany.com:80/salesdemo adresine giderek söz konusu API'yi kullanın. mycompany API'nizi / temel URL'si ile dağıtırsanız kullanıcılarınız API'ye http://api.mycompany.com:80/ URL'si üzerinden erişir.

Uç bağlantı noktası gereksinimleri

Güvenlik duvarı yönetimi, yalnızca sanal ana makinelerle sınırlı değildir. hem sanal makine hem de fiziksel ana makine güvenlik duvarları, bileşenlerin her biri ile iletişim kurması için gereken bağlantı noktalarından trafiğe izin vermelidir. diğer.

Aşağıdaki resimde, her Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir:

Bu şemadaki notlar:

• *Mesaj İşleyicideki 8082 numaralı bağlantı noktasının yalnızca yönlendiricinin erişebilmesi için Yönlendirici ve İleti İşlemci arasında TLS/SSL'yi yapılandırma. Yönlendirici ile Mesaj İşleyen arasında TLS/SSL yapılandırmadıysanız bileşeni yönetmek için Mesaj İşleyen'de varsayılan yapılandırma (8082 bağlantı noktası) açık olmalıdır ancak Yönlendirici'nin bu bağlantı noktasına erişmesi gerekmez.
• Önünde "M" olan bağlantı noktaları bileşeni yönetmek için kullanılan bağlantı noktalarıdır ve bileşeninin kullanılabilmesini sağlar.
• Şu bileşenler, Yönetim Sunucusu'nda bağlantı noktası 8080'e erişim gerektirir: Yönlendirici, Message Processor, UI, Postgres ve Qpid.
• Mesaj İşleyici, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla Mesaj İşleyicilerin hepsi birbirlerine 4528 numaralı bağlantı noktası üzerinden bağlantı noktası 4528 için aşağıdaki şemada yer alan döngü okuna sahiptir). Birden fazla Söz konusu bağlantı noktasına tüm Veri Merkezlerindeki tüm Mesaj İşleyicilerden erişilebilmelidir.
• Zorunlu olmamakla birlikte, herhangi bir İleti'nin erişmesini sağlamak için Yönlendirici üzerindeki 4527 numaralı bağlantı noktasını açabilirsiniz İşleyen. Aksi takdirde, Mesaj İşleyen günlük dosyalarında hata mesajları görebilirsiniz.
• Yönlendirici, yönetim bağlantı noktası olarak 4527 numaralı bağlantı noktasını açmalıdır. Birden fazla yönlendiriciniz varsa bunların tümü 4527 numaralı bağlantı noktası üzerinden birbirine erişebilmelidir (Yukarıdaki şemada, yönlendiricideki 4527 numaralı bağlantı noktası için döngü oku ile gösterilmiştir).
• Edge kullanıcı arayüzü, izleme aracındaki Gönder düğmesini desteklemek için API proxy'leri tarafından sunulan bağlantı noktalarında Yönlendirici'ye erişim gerektirir.
• Yönetim sunucusunun Cassandra düğümlerindeki JMX bağlantı noktasına erişmesi gerekir.
• JMX bağlantı noktalarına erişim, kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Daha fazla bilgi için Nasıl İzlemeli? bölümüne bakın.
• İsteğe bağlı olarak, farklı bağlantı noktaları vardır. Şu güvenlik ayarları için TLS/SSL başlıklı makaleyi inceleyin: daha fazla.
• İki Postgres düğümünü ana-beklemedeki replikayı kullanacak şekilde yapılandırıyorsanız bağlantı noktası 22'yi açmanız gerekir. her düğümde SSH erişimi sağlar. İsteğe bağlı olarak, tek tek düğümlerdeki bağlantı noktalarını açarak SSH erişimi.
• Yönetim sunucusunu ve Edge kullanıcı arayüzünü, e-postaları harici bir SMTP sunucusu üzerinden gönderecek şekilde yapılandırabilirsiniz. Bunu yaparsanız Yönetim Sunucusu'nun ve kullanıcı arayüzünün gerekli dosyalara erişebildiğinden emin olun bağlantı noktası üzerinden gönderilir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli genellikle 465'tir. Ancak SMTP sağlayıcınıza danışmanız gerekir.

Aşağıdaki tabloda, Edge bileşeni tarafından güvenlik duvarlarında açılması gereken bağlantı noktaları gösterilmektedir:

> curl -v http://<routerIP>:15999/v1/servers/self/reachable

Sonraki tabloda aynı bağlantı noktaları, kaynak ve hedef ile birlikte sayısal olarak listelenmiş şekilde gösterilir bileşenler:

Mesaj işlemcisi, Cassandra'ya özel bir bağlantı havuzunu açık tutar ve hiçbir zaman zaman aşımına uğramaması için Mesaj işleyici ile Cassandra sunucusu arasında bir güvenlik duvarı olduğunda güvenlik duvarı bağlantının zaman aşımına uğramasına neden olabilir. Ancak mesaj işlemcisi, şu şekilde tasarlanmamıştır: Cassandra ile yeniden bağlantılar kurmak.

Apigee, bu durumun önüne geçmek için Cassandra sunucusuna, mesaj işlemcisine bu ağ yapılandırmalarının dağıtımında bir güvenlik duvarının olmaması için bileşenlerine ayıralım.

Yönlendirici ile mesaj işlemcileri arasında bir güvenlik duvarı varsa ve boşta kalma TCP zaman aşımı ayarlıysa önerilerimiz şunlardır:

1. Şu şekilde ayarlayın: net.ipv4.tcp_keepalive_time = Linux OS'teki sysctl ayarlarında 1800 (burada 1800, güvenlik duvarının boşta kalma süresinden daha düşük olmalıdır) TCP zaman aşımı. Bu ayar, bağlantıyı yerleşik durumda tutması ve böylece bağlantıyı kesmez.
2. Tüm İleti İşleyicilerde, aşağıdaki özelliği eklemek için /<inst_root>/apigee/customer/application/message-processor.properties dosyasını düzenleyin. Dosya yoksa, oluşturun.
   conf_system_casssandra.maxconnecttimeinmillis=-1
3. Mesaj İşlemciyi yeniden başlatın:
   > /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
4. Tüm yönlendiricilerde, aşağıdaki özelliği eklemek için /<inst_root>/apigee/customer/application/router.properties dosyasını düzenleyin. Dosya yoksa, oluşturun.
   conf_system_casssandra.maxconnecttimeinmillis=-1
5. Yönlendiriciyi yeniden başlatın:
   &gt; /opt/Apigee/Apigee-service/bin/gelir-hizmeti uç-yönlendirici yeniden başlatma

İki veri merkezi bulunan 12 ana makine kümeli yapılandırmasını yüklerseniz iki Veri Merkezindeki düğümler, aşağıda gösterilen bağlantı noktaları üzerinden iletişim kurabilir:

API BaaS bağlantı noktası gereksinimleri

API BaaS'yi yüklemeyi tercih ederseniz API BaaS Yığını ve API BaaS Portalı bileşenlerini eklersiniz. Bu bileşenler, aşağıdaki şekilde gösterilen bağlantı noktalarını kullanır:

Bu şemadaki notlar:

• Cassandra düğümleri API BaaS'ye özel olabilir veya Edge ile paylaşılabilir.
• API BaaS üretim kurulumu, API BaaS Portalı düğümü arasında bir yük dengeleyici kullanır ve API BaaS Yığını düğümleri bulunur. Portal'ı yapılandırırken ve BaaS API çağrıları yaparken Yığın düğümlerinin değil yük dengeleyicinin IP adresini veya DNS adını belirtin.
• Harici bir SMTP sunucusu üzerinden e-posta göndermek için tüm Baas Stack düğümlerini yapılandırmanız gerekir. Örneğin, TLS dışı SMTP, bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için genellikle 465'tir ancak SMTP sağlayıcınızla iletişime geçerek doğrulayın.

Aşağıdaki tabloda, güvenlik duvarlarında açılması gereken varsayılan bağlantı noktaları bileşene göre gösterilmektedir:

Lisanslama

Edge'in her kurulumu için Apigee'den edineceğiniz benzersiz bir lisans dosyası gerekir. Bu kurstan sonra yönetim sunucusunu yüklerken lisans dosyasının yolunu sağlamam gerekir. Örneğin, /tmp/license.txt.

Yükleyici, lisans dosyasını /&lt;inst_root&gt;/apigee/customer/conf/license.txt dosyasına kopyalar.

Lisans dosyası geçerliyse yönetim sunucusu geçerlilik bitiş tarihini doğrular ve İşlemci (MP) sayısı. Lisans ayarlarından herhangi birinin süresi dolmuşsa günlükleri şurada bulabilirsiniz: şu konumla beraber: /&lt;inst_root&gt;/apigee/var/log/edge-management-server/logs. Bu durumda, taşımayla ilgili ayrıntılar için Apigee Destek Ekibi ile iletişime geçebilirsiniz.