Yêu cầu về cài đặt

Edge for Private Cloud phiên bản 4.16.05

Yêu cầu về phần cứng

Bạn phải đáp ứng những yêu cầu tối thiểu về phần cứng sau đây đối với một cơ sở hạ tầng có khả năng sử dụng cao trong môi trường cấp độ sản xuất. Đối với tất cả các trường hợp cài đặt được mô tả trong Cấu trúc liên kết cài đặt, các bảng sau đây liệt kê những yêu cầu tối thiểu về phần cứng cho các thành phần cài đặt.

Trong các bảng này, các yêu cầu về ổ đĩa cứng ngoài dung lượng ổ đĩa cứng mà hệ điều hành yêu cầu. Tuỳ thuộc vào ứng dụng và lưu lượng truy cập mạng, việc cài đặt có thể cần nhiều hoặc ít tài nguyên hơn so với danh sách dưới đây.

Ngoài ra, phần sau đây liệt kê các yêu cầu về phần cứng nếu bạn muốn cài đặt Dịch vụ kiếm tiền:

Phần sau đây liệt kê các yêu cầu về phần cứng nếu bạn muốn cài đặt API BaaS:

Lưu ý:

• Nếu hệ thống tệp gốc không đủ lớn để cài đặt, bạn nên đặt dữ liệu vào một ổ đĩa lớn hơn.
• Nếu bạn đã cài đặt phiên bản cũ của Apigee Edge for Private Cloud trên máy, hãy nhớ xoá thư mục /tmp/java trước khi cài đặt mới.
• Thư mục tạm thời trên toàn hệ thống /tmp cần thực thi các quyền để khởi động Cassandra.
• Nếu người dùng “apigee” được tạo trước khi cài đặt, hãy đảm bảo rằng “/home/apigee” tồn tại dưới dạng thư mục gốc và thuộc sở hữu của “apigee:apigee”.

Yêu cầu về hệ điều hành và phần mềm bên thứ ba

Các hướng dẫn cài đặt này và tệp cài đặt cung cấp đã được kiểm thử trên các hệ điều hành và phần mềm bên thứ ba có trong danh sách tại đây: https://apigee.com/docs/api-services/reference/supported-software.

Tạo người dùng apigee

Quy trình cài đặt sẽ tạo một người dùng hệ thống Unix có tên "apigee". Các thư mục và tệp Edge thuộc sở hữu của "apigee", cũng như các quy trình của Edge. Điều đó nghĩa là các thành phần Edge chạy như một người dùng "apigee". Nếu cần, bạn có thể chạy các thành phần với tư cách một người dùng khác. Hãy xem phần "Liên kết Bộ định tuyến với một cổng được bảo vệ" trong phần Cài đặt các thành phần của Edge trên một nút để tham khảo ví dụ.

Thư mục cài đặt

Theo mặc định, trình cài đặt ghi tất cả các tệp vào thư mục /opt/apigee. Bạn không thể thay đổi vị trí thư mục này.

Trong phần hướng dẫn trong tài liệu hướng dẫn này, thư mục cài đặt được ghi chú là /<inst_root>/apigee, trong đó /<inst_root> là /opt theo mặc định.

Java

Bạn cần cài đặt phiên bản Java1.8 được hỗ trợ trên mỗi máy trước khi cài đặt. Dưới đây là danh sách các JDK được hỗ trợ:

https://apigee.com/docs/api-services/reference/supported-software

Đảm bảo rằng JAVA_HOME trỏ đến thư mục gốc của JDK để người dùng thực hiện cài đặt.

Cài đặt mạng

Bạn nên kiểm tra chế độ cài đặt mạng trước khi cài đặt. Trình cài đặt yêu cầu tất cả các máy đều có địa chỉ IP cố định. Hãy dùng các lệnh sau để xác thực chế độ cài đặt:

• hostname trả về tên của máy
• tên máy chủ -i trả về địa chỉ IP cho tên máy chủ có thể được xác định địa chỉ từ các máy khác.

Tuỳ thuộc vào loại và phiên bản hệ điều hành, bạn có thể phải chỉnh sửa /etc/hosts và /etc/sysconfig/network nếu tên máy chủ không được đặt chính xác. Hãy xem tài liệu dành cho hệ điều hành cụ thể của bạn để biết thêm thông tin.

Cassandra

Tất cả các nút Cassandra phải được kết nối với một vòng.

Cassandra tự động điều chỉnh kích thước vùng nhớ khối xếp Java của mình dựa trên bộ nhớ còn trống. Để biết thêm thông tin, hãy xem bài viết Điều chỉnh tài nguyên Java. Trong trường hợp hiệu suất giảm hoặc mức sử dụng bộ nhớ cao.

Sau khi cài đặt Edge cho Đám mây riêng tư, bạn có thể kiểm tra để đảm bảo rằng Cassandra được định cấu hình chính xác bằng cách kiểm tra tệp /<inst_root>/apigee/apigee-cassandra/conf/cassandra.yaml. Ví dụ: đảm bảo rằng tập lệnh cài đặt Edge for Private Cloud đặt các thuộc tính sau:

• cluster_name
• initial_token
• phân vùng
• hạt giống
• listen_address
• rpc_address
• mách nước

Cảnh báo: Không chỉnh sửa tệp này.

Cơ sở dữ liệu PostgreSQL

Sau khi cài đặt Edge, bạn có thể điều chỉnh các chế độ cài đặt cơ sở dữ liệu PostgreSQL sau đây dựa trên dung lượng RAM có sẵn trên hệ thống:

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

Cách đặt các giá trị này:

1. Chỉnh sửa postgresql.properties:
   > vi /<inst_root>/apigee/customer/application/postgresql.properties
   
   Nếu tệp không tồn tại, hãy tạo tệp.
2. Thiết lập các thuộc tính nêu trên.
3. Lưu nội dung bạn chỉnh sửa.
4. Khởi động lại cơ sở dữ liệu PostgreSQL:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql khởi động lại

jsvc

"jsvc" là điều kiện tiên quyết để sử dụng API BaaS. Phiên bản 1.0.15-dev sẽ được cài đặt khi bạn cài đặt API BaaS.

Dịch vụ bảo mật mạng (NSS)

Dịch vụ bảo mật mạng (NSS) là một tập hợp các thư viện hỗ trợ phát triển các ứng dụng máy khách và máy chủ được bật tính năng bảo mật. Bạn nên đảm bảo rằng bạn đã cài đặt NSS phiên bản 3.19 trở lên.

Cách kiểm tra phiên bản hiện tại:

> yum info nss

Cách cập nhật NSS:

> yum update nss

Hãy xem bài viết này của RedHat để biết thêm thông tin.

AMI AWS

Nếu đang cài đặt Edge trên AWS Amazon Machine Image (AMI) dành cho Red Hat Enterprise Linux 7.x, trước tiên, bạn phải chạy lệnh sau:

> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

Công cụ

Trình cài đặt sử dụng các công cụ UNIX sau đây trong phiên bản chuẩn do EL5 hoặc EL6 cung cấp.

Lưu ý:

• Tệp thực thi cho công cụ "useradd" nằm ở /usr/sbin và đối với chkconfig trong /sbin.
• Với quyền truy cập sudo, bạn có thể có quyền truy cập qua môi trường của người dùng đang gọi. Ví dụ: thông thường, bạn sẽ gọi "sudo <command>" hoặc "sudo PATH=$PATH:/usr/sbin:/sbin <command>".
• Đảm bảo rằng bạn đã cài đặt công cụ "bản vá" trước khi cài đặt gói dịch vụ (bản vá).

ntpdate – Bạn nên đồng bộ hoá thời gian của máy chủ. Nếu chưa được định cấu hình, tiện ích "ntpdate" có thể phục vụ cho mục đích này, giúp xác minh xem các máy chủ có được đồng bộ hoá về thời gian hay không. Bạn có thể dùng "yum install ntp" để cài đặt tiện ích này. Thao tác này đặc biệt hữu ích cho việc sao chép các thiết lập Open LDAP. Xin lưu ý rằng bạn phải thiết lập múi giờ máy chủ theo giờ UTC.

openldap 2.4 – Việc cài đặt tại cơ sở yêu cầu Open LDAP 2.4. Nếu máy chủ của bạn có kết nối Internet, thì tập lệnh cài đặt Edge sẽ tải xuống và cài đặt OpenLDAP. Nếu máy chủ của bạn không có kết nối Internet, bạn phải đảm bảo đã cài đặt OpenLDAP trước khi chạy tập lệnh cài đặt Edge. Trên RHEL/CentOS, bạn có thể chạy "yum cài đặt openldap-clients openldap-servers" để cài đặt OpenLDAP.

Đối với các lượt cài đặt qua máy chủ 13 và các lượt cài đặt qua máy chủ lưu trữ với 2 Trung tâm dữ liệu, bạn cần yêu cầu sao chép OpenLDAP vì có nhiều nút lưu trữ OpenLDAP.

Tường lửa và máy chủ ảo

Thuật ngữ “ảo” thường bị quá tải trong lĩnh vực CNTT, do đó, có thể áp dụng qua Apigee Edge để triển khai đám mây riêng tư và máy chủ ảo. Để làm rõ, có hai cách sử dụng chính của thuật ngữ "ảo":

• Máy ảo (VM): Không bắt buộc, nhưng một số trường hợp triển khai sử dụng công nghệ máy ảo để tạo máy chủ tách biệt cho các thành phần Apigee. Máy chủ ảo (cũng như máy chủ thực tế) có thể có giao diện mạng và tường lửa. Những hướng dẫn cài đặt này không hỗ trợ riêng việc cài đặt máy ảo.
• Máy chủ ảo: Điểm cuối trên web, tương tự như máy chủ ảo Apache.

Một bộ định tuyến trong máy ảo có thể hiển thị nhiều máy chủ ảo (miễn là các máy chủ này khác nhau về bí danh của máy chủ hoặc ở cổng giao diện).

Tương tự như ví dụ đặt tên, một máy chủ vật lý "A" có thể chạy hai máy ảo tên là "VM1" và "VM12". Giả sử VM1 hiển thị một giao diện Ethernet ảo (có tên là eth0) bên trong máy ảo và được gán địa chỉ IP 111.111.111.111 bởi máy ảo Ethernet hoặc một mạng hiển thị máy chủ DHCP; và sau đó giả định một giao diện VM2 được gán cho một máy chủ DHCP;

Có thể chúng ta đang chạy một bộ định tuyến Apigee trong mỗi 2 máy ảo. Các bộ định tuyến sẽ hiển thị các điểm cuối của máy chủ ảo như trong ví dụ giả định sau:

Bộ định tuyến Apigee trong VM1 hiển thị 3 máy chủ ảo trên giao diện eth0 (có một số địa chỉ IP cụ thể), api.mycompany.com:80, api.mycompany.com:443 và test.mycompany.com:80.

Bộ định tuyến trong VM2 hiển thị api.mycompany.com:80 (cùng tên và cổng với VM1 hiển thị).

Hệ điều hành của máy chủ thực tế có thể có tường lửa mạng; nếu có, tường lửa đó phải được định cấu hình để vượt qua giới hạn lưu lượng truy cập TCP cho các cổng hiển thị trên giao diện được ảo hoá (111.111.111.111:{80, 443} và 111.111.111.222:80). Ngoài ra, mỗi hệ điều hành của mỗi máy ảo có thể cung cấp tường lửa riêng trên giao diện eth0, đồng thời các cổng này cũng phải cho phép lưu lượng truy cập cổng 80 và 443 kết nối.

Đường dẫn cơ sở là thành phần thứ ba liên quan đến việc định tuyến các lệnh gọi API đến nhiều proxy API mà bạn có thể đã triển khai. Các gói proxy API có thể dùng chung một điểm cuối nếu có các đường dẫn cơ sở khác nhau. Ví dụ: một đường dẫn cơ sở có thể được xác định là http://api.mycompany.com:80/ và một đường dẫn khác được xác định là http://api.mycompany.com:80/salesdemo.

Trong trường hợp này, bạn cần có trình cân bằng tải hoặc giám đốc lưu lượng truy cập theo hình thức nào đó để phân chia lưu lượng truy cập http://api.mycompany.com:80/ giữa hai địa chỉ IP (111.111.111.111 trên VM1 và 111.111.111.222 trên VM2). Chức năng này dành riêng cho chế độ cài đặt cụ thể của bạn và do nhóm mạng cục bộ của bạn định cấu hình.

Đường dẫn cơ sở được đặt khi bạn triển khai API. Từ ví dụ trên, bạn có thể triển khai hai API, mycompany và testmycompany cho tổ chức mycompany-org với máy chủ ảo có bí danh của máy chủ là api.mycompany.com và cổng được đặt là 80. Nếu bạn không khai báo đường dẫn cơ sở trong quá trình triển khai, thì bộ định tuyến sẽ không biết phải gửi yêu cầu đến API nào.

Tuy nhiên, nếu bạn triển khai API testmycompany bằng URL cơ sở là /salesdemo, thì người dùng sẽ truy cập vào API đó bằng http://api.mycompany.com:80/salesdemo. Nếu bạn triển khai API mycompany bằng URL cơ sở là /, thì người dùng có thể truy cập vào API bằng URL http://api.mycompany.com:80/.

Yêu cầu về cổng ở cạnh

Nhu cầu quản lý tường lửa không chỉ dừng lại ở máy chủ ảo; cả tường lửa của máy chủ ảo và máy chủ thực tế đều phải cho phép lưu lượng truy cập qua các cổng mà các thành phần yêu cầu giao tiếp với nhau.

Hình ảnh sau đây cho thấy các yêu cầu về cổng của từng thành phần Edge:

Lưu ý trên sơ đồ này:

• *Cổng 8082 trên Bộ xử lý thông báo chỉ phải được mở cho Bộ định tuyến truy cập khi bạn định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thông báo. Nếu bạn không định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thông báo thì cấu hình mặc định, cổng 8082 vẫn phải được mở trên Bộ xử lý thông báo để quản lý thành phần, nhưng Bộ định tuyến không yêu cầu quyền truy cập vào thành phần đó.
• Các cổng có tiền tố "M" là các cổng dùng để quản lý thành phần và phải được mở trên thành phần đó để Máy chủ quản lý truy cập.
• Các thành phần sau yêu cầu quyền truy cập vào cổng 8080 trên Máy chủ quản lý: Bộ định tuyến, Bộ xử lý thông báo, Giao diện người dùng, Postgres và Qpid.
• Bộ xử lý thư phải mở cổng 4528 làm cổng quản lý. Nếu bạn có nhiều Bộ xử lý thông báo, tất cả họ phải có khả năng truy cập vào nhau qua cổng 4528 (được biểu thị bằng mũi tên vòng lặp trong sơ đồ ở trên đối với cổng 4528 trên Bộ xử lý thông báo). Nếu bạn có nhiều Trung tâm dữ liệu, tất cả các Đơn vị xử lý thông báo trong mọi Trung tâm dữ liệu đều phải truy cập được cổng này.
• Mặc dù không bắt buộc nhưng bạn có thể mở cổng 4527 trên Bộ định tuyến để mọi Bộ xử lý thông báo truy cập. Nếu không, bạn có thể thấy thông báo lỗi trong tệp nhật ký của Trình xử lý thư.
• Bộ định tuyến phải mở cổng 4527 làm cổng quản lý. Nếu bạn có nhiều Bộ định tuyến, tất cả các Bộ định tuyến đó phải có khả năng truy cập vào nhau qua cổng 4527 (được biểu thị bằng mũi tên vòng lặp trong sơ đồ ở trên cho cổng 4527 trên Bộ định tuyến).
• Giao diện người dùng Edge yêu cầu quyền truy cập vào Bộ định tuyến (trên các cổng do proxy API hiển thị) để hỗ trợ nút Send (Gửi) trong công cụ theo dõi.
• Máy chủ quản lý yêu cầu quyền truy cập vào cổng JMX trên các nút Cassandra.
• Quyền truy cập vào cổng JMX có thể được định cấu hình để yêu cầu tên người dùng/mật khẩu. Hãy xem phần Cách theo dõi để biết thêm thông tin.
• Bạn có thể tuỳ ý định cấu hình quyền truy cập TLS/SSL cho một số kết nối nhất định, những kết nối này có thể sử dụng các cổng khác nhau. Xem TLS/SSL để biết thêm thông tin.
• Nếu định cấu hình 2 nút Postgres để sử dụng tính năng sao chép chính-chế độ chờ, bạn phải mở cổng 22 trên mỗi nút để truy cập ssh. Bạn có thể tuỳ ý mở cổng trên từng nút để cho phép truy cập ssh.
• Bạn có thể định cấu hình Máy chủ quản lý và giao diện người dùng Edge để gửi email thông qua một máy chủ SMTP bên ngoài. Nếu truy cập, bạn phải đảm bảo rằng Máy chủ quản lý và giao diện người dùng có thể truy cập vào cổng cần thiết trên máy chủ SMTP. Đối với SMTP không phải TLS, số cổng thường là 25. Đối với SMTP có hỗ trợ TLS, mã này thường là 465, nhưng hãy kiểm tra với nhà cung cấp SMTP của bạn.

Bảng dưới đây hiển thị các cổng cần được mở trong tường lửa, theo thành phần Edge:

> curl -v http://<routerIP>:15999/v1/servers/self/reachable

Bảng tiếp theo cho thấy các cổng tương tự, được liệt kê dưới dạng số, với các thành phần nguồn và đích:

Trình xử lý thông báo sẽ luôn mở một nhóm kết nối chuyên dụng để Cassandra được định cấu hình là không bao giờ hết thời gian chờ. Khi tường lửa nằm giữa trình xử lý thông báo và máy chủ Cassandra, tường lửa có thể hết thời gian chờ kết nối. Tuy nhiên, trình xử lý thông báo không được thiết kế để thiết lập lại các kết nối với Cassandra.

Để ngăn chặn tình huống này, Apigee khuyên máy chủ Cassandra, trình xử lý thông báo và bộ định tuyến không nên đặt trong cùng một mạng con để không có tường lửa tham gia vào việc triển khai các thành phần này.

Nếu tường lửa nằm giữa bộ định tuyến và trình xử lý thông báo, đồng thời đặt thời gian chờ tcp ở trạng thái rảnh, thì bạn nên:

1. Đặt net.ipv4.tcp_keepalive_time = 1800 trong phần cài đặt sysctl trên hệ điều hành Linux. Giá trị này phải thấp hơn thời gian chờ tcp của tường lửa ở trạng thái rảnh. Chế độ cài đặt này sẽ giữ kết nối ở trạng thái đã thiết lập để tường lửa không ngắt kết nối.
2. Trên mọi Trình xử lý tin nhắn, hãy chỉnh sửa /<inst_root>/apigee/customer/application/message-processor.properties để thêm thuộc tính sau. Hãy tạo tệp nếu chưa có.
   conf_system_casssandra.maxconnecttimeinmillis=-1
3. Khởi động lại Bộ xử lý thư:
   > /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor khởi động lại
4. Trên mọi Bộ định tuyến, hãy chỉnh sửa /<inst_root>/apigee/customer/application/router.properties để thêm thuộc tính sau. Hãy tạo tệp nếu chưa có.
   conf_system_casssandra.maxconnecttimeinmillis=-1
5. Khởi động lại Bộ định tuyến:
   > /opt/apigee/apigee-service/bin/apigee-service Edge-router khởi động lại

Nếu bạn cài đặt cấu hình 12 máy chủ lưu trữ được phân cụm với 2 Trung tâm dữ liệu, hãy đảm bảo rằng các nút trong 2 Trung tâm dữ liệu đó có thể giao tiếp qua các cổng như sau:

Yêu cầu về cổng API BaaS

Nếu chọn cài đặt API BaaS, bạn sẽ thêm các thành phần API BaaS Stack và API BaaS Cổng. Các thành phần này sử dụng các cổng như trong hình dưới đây:

Lưu ý trên sơ đồ này:

• Các nút Cassandra có thể dành riêng cho API BaaS hoặc có thể được chia sẻ với Edge.
• Quá trình cài đặt API BaaS chính thức sử dụng trình cân bằng tải giữa nút API BaaS Cổng và các nút Ngăn xếp API BaaS. Khi định cấu hình Cổng và khi thực hiện lệnh gọi API BaaS, bạn cần chỉ định địa chỉ IP hoặc tên DNS của trình cân bằng tải, chứ không phải của nút Ngăn xếp.
• Bạn phải định cấu hình tất cả các nút Baas Stack để gửi email thông qua một máy chủ SMTP bên ngoài. Đối với SMTP không phải TLS, số cổng thường là 25. Đối với SMTP có hỗ trợ TLS, mã này thường là 465, nhưng hãy kiểm tra với nhà cung cấp SMTP của bạn.

Bảng dưới đây hiển thị các cổng mặc định cần được mở trong tường lửa, theo thành phần:

Cấp phép

Mỗi lần cài đặt Edge, bạn cần có một tệp giấy phép riêng mà bạn nhận được từ Apigee. Bạn sẽ cần cung cấp đường dẫn đến tệp giấy phép khi cài đặt máy chủ quản lý, chẳng hạn như /tmp/License.txt.

Trình cài đặt sẽ sao chép tệp giấy phép vào /<inst_root>/apigee/customer/conf/license.txt.

Nếu tệp giấy phép hợp lệ, máy chủ quản lý sẽ xác thực thời hạn và số lượng Trình xử lý tin nhắn (MP) được cho phép. Nếu bất kỳ chế độ cài đặt giấy phép nào đã hết hạn, bạn có thể tìm thấy nhật ký ở vị trí sau: /<inst_root>/apigee/var/log/edge-management-server/logs. Trong trường hợp này, bạn có thể liên hệ với Nhóm hỗ trợ API để biết thông tin chi tiết về quá trình di chuyển.