Yükleme Koşulları

Edge for Private Cloud v. 4.16.09

Donanım Gereksinimleri

Üretim düzeyinde bir ortamda yüksek düzeyde kullanılabilir bir altyapı için aşağıdaki minimum donanım gereksinimlerini karşılamanız gerekir. Yükleme Topolojileri'nde açıklanan tüm yükleme senaryoları için aşağıdaki tablolarda kurulum bileşenleri için minimum donanım gereksinimleri listelenmiştir.

Bu tablolarda sabit disk gereksinimleri, işletim sisteminin gerektirdiği sabit disk alanına ek olarak belirtilmiştir. Uygulamalarınıza ve ağ trafiğinize bağlı olarak yüklemeniz için aşağıda listelenenlerden daha fazla veya daha az kaynak gerekebilir.

Ayrıca Para Kazanma Hizmetleri'ni yüklemek istiyorsanız donanım gereksinimleri aşağıda listelenmiştir:

API BaaS'ı yüklemek istiyorsanız donanım gereksinimleri aşağıda listelenmiştir:

Not:

• Kök dosya sistemi yükleme için yeterince büyük değilse verileri daha büyük bir diske yerleştirmeniz önerilir.
• Makinede Private Cloud için Apigee Edge'in eski bir sürümü yüklüyse yeni yükleme işleminden önce /tmp/java klasörünü sildiğinizden emin olun.
• Sistem genelindeki geçici klasörün /tmp, Cassandra'yı başlatmak için yürütme izinlerine sahip olması gerekir.
• "Apigee" kullanıcısı yükleme öncesinde oluşturulduysa "/home/Apigee" adlı kullanıcının ana dizin olarak bulunduğundan ve "Apigee:Apigee"ye ait olduğundan emin olun.

İşletim sistemi ve üçüncü taraf yazılım gereksinimleri

Bu yükleme talimatları ve sağlanan yükleme dosyaları, şu adreste listelenen işletim sistemleri ve üçüncü taraf yazılımları üzerinde test edilmiştir: https://apigee.com/docs/api-services/reference/supported-software.

Apigee kullanıcısı oluşturma

Yükleme prosedürü, 'Apigee' adında bir Unix sistem kullanıcısı oluşturur. Edge dizinlerinin ve dosyalarının sahibi, Edge işlemlerinde olduğu gibi 'Apigee'dir. Bu, Edge bileşenlerinin "Apigee" kullanıcısı olarak çalıştığı anlamına gelir. Gerekirse bileşenleri farklı bir kullanıcı olarak çalıştırabilirsiniz. Örnek için Edge bileşenlerini bir düğüme yükleme bölümündeki "Yönlendiriciyi korumalı bir bağlantı noktasına bağlama" bölümüne bakın.

Yükleme dizini

Varsayılan olarak, yükleyici tüm dosyaları /opt/apigee dizinine yazar. Bu dizin konumunu değiştiremezsiniz.

Bu kılavuzdaki talimatlarda, yükleme dizini /<inst_root>/apigee şeklinde belirtilmiştir. Burada /<inst_root>/apigee varsayılan olarak /<inst_root>/apigee'tir.

Java

Yükleme öncesinde her makinede desteklenen bir Java1.8 sürümü yüklü olmalıdır. Desteklenen JDK'lar burada listelenmiştir:

https://apigee.com/docs/api-services/reference/supported-software

JAVA_HOME öğesinin, yüklemeyi gerçekleştiren kullanıcı için JDK'nın kökünü gösterdiğinden emin olun.

Ağ Ayarı

Yükleme işleminden önce ağ ayarını kontrol etmeniz önerilir. Yükleyici, tüm makinelerin sabit IP adreslerine sahip olmasını bekler. Ayarı doğrulamak için aşağıdaki komutları kullanın:

• ana makine adı, makinenin adını döndürür
• ana makine adı -i, diğer makinelerden gönderilebilen ana makine adının IP adresini döndürür.

İşletim sisteminizin türüne ve sürümüne bağlı olarak, ana makine adı doğru ayarlanmamışsa /etc/hosts ve /etc/sysconfig/network öğelerini düzenlemeniz gerekebilir. Daha fazla bilgi edinmek için ilgili işletim sisteminizle ilgili dokümanlara bakın.

Cassandra

Tüm Cassandra düğümleri bir halkaya bağlı olmalıdır. Cassandra, güvenilirlik ve hatadan etkilenmemek için veri replikalarını birden fazla düğümde depolar. Her bir Edge anahtar alanının çoğaltma stratejisi, replikaların yerleştirileceği Cassandra düğümlerini belirler. Daha fazla bilgi için Cassandra Çoğaltma Faktörü ve Tutarlılık Düzeyi hakkında başlıklı makaleyi inceleyin.

Cassandra, Java yığın boyutunu kullanılabilir belleğe göre otomatik olarak ayarlar. Daha fazla bilgi için Java kaynaklarını ayarlama bölümüne bakın. Performansta düşüş olması veya bellek tüketiminin yüksek olması.

Edge for Private Cloud'u yükledikten sonra /<inst_root>/apigee/apigee-cassandra/conf/cassandra.yaml dosyasını inceleyerek Cassandra'nın doğru şekilde yapılandırılıp yapılandırılmadığını kontrol edebilirsiniz. Örneğin, Edge for Private Cloud yükleme komut dosyasının aşağıdaki özellikleri ayarladığından emin olun:

• cluster_name
• initial_token
• bölüm öğesi
• tohum
• listen_address
• rpc_address
• iğrenç

Uyarı: Bu dosyayı düzenlemeyin.

PostgreSQL veritabanı

Edge'i yükledikten sonra sisteminizdeki kullanılabilir RAM miktarına göre aşağıdaki PostgreSQL veritabanı ayarlarını düzenleyebilirsiniz:

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

Bu değerleri ayarlamak için:

1. postgresql.properties:
   > vi /<inst_root>/Apigee/customer/application/postgresql.properties
   
   Dosya mevcut değilse oluşturun.
2. Yukarıda listelenen özellikleri ayarlayın.
3. Yaptığınız düzenlemeleri kaydedin.
4. PostgreSQL veritabanını yeniden başlatın:
   > /<inst_root>/teslim/Apigee-service/bin/Apigee-service Apigee-postgresql yeniden başlatma

jsvc

"jsvc", API BaaS'yi kullanmanın ön koşuludur. API BaaS'yi yüklediğinizde 1.0.15-dev sürümü yüklenir.

Ağ Güvenliği Hizmetleri (NSS)

Ağ Güvenliği Hizmetleri (NSS), güvenliğin etkin olduğu istemci ve sunucu uygulamalarının geliştirilmesini destekleyen bir kitaplık grubudur. NSS v3.19 veya sonraki bir sürümü yüklediğinizden emin olun.

Mevcut sürümünüzü kontrol etmek için:

> yum info nss

NSS'yi güncellemek için:

> yum update nss

Daha fazla bilgi için RedHat'in bu makalesine bakın.

RedHat/CentOS 7 için Google Cloud Platform'da IPv6'yı devre dışı bırakma

Edge'i Google Cloud Platform'da RedHat 7 veya CentOS 7'ye yüklüyorsanız tüm Qpid düğümlerinde IPv6'yı devre dışı bırakmanız gerekir.

IPv6'yı devre dışı bırakma talimatları için ilgili işletim sistemi sürümünüzle ilgili RedHat veya CentOS dokümanlarına bakın.

AWS AMI

Edge'i Red Hat Enterprise Linux 7.x için bir AWS Amazon Machine Image'a (AMI) yüklüyorsanız önce şu komutu çalıştırmanız gerekir:

> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

Araçlar

Yükleyici, EL5 veya EL6 tarafından sağlanan standart sürümde aşağıdaki UNIX araçlarını kullanır.

Not:

• "useradd" aracı için yürütülebilir dosya /usr/sbin, chkconfig içinse /sbin dizininde bulunur.
• Sudo erişimiyle, çağıran kullanıcının ortamına erişim sağlayabilirsiniz. Örneğin, genellikle “sudo <command>” veya “sudo PATH=$PATH:/usr/sbin:/sbin <command>” olarak adlandırılırsınız.
• "Yama" aracının, hizmet paketi (yama) kurulumundan önce yüklendiğinden emin olun.

ntpdate – Sunucuların zamanının senkronize edilmesi önerilir. "ntpdate" yardımcı programı önceden yapılandırılmamışsa bu amaca hizmet edebilir ve sunucuların zaman senkronize olup olmadığını doğrular. Yardımcı programı yüklemek için "yum install ntp" komutunu kullanabilirsiniz. Bu, özellikle OpenLDAP kurulumlarının çoğaltılması için yararlıdır. Sunucu saat dilimini UTC olarak ayarladığınızdan emin olun.

openldap 2.4 – Şirket içi yükleme için OpenLDAP 2.4 gerekir. Sunucunuzun internet bağlantısı varsa Edge yükleme komut dosyası, OpenLDAP'yi indirir ve yükler. Sunucunuzun internet bağlantısı yoksa Edge yükleme komut dosyasını çalıştırmadan önce OpenLDAP'nin zaten yüklü olduğundan emin olmanız gerekir. RHEL/CentOS'te, OpenLDAP'yi yüklemek için "yum install Openldap-clients Openldap-servers" komutunu çalıştırabilirsiniz.

13 ana makineli yüklemeler ve iki Veri Merkezi bulunan 12 ana makineli yüklemeler için OpenLDAP çoğaltması gerekir. Bunun nedeni, OpenLDAP'yi barındıran birden fazla düğüm olmasıdır.

Güvenlik Duvarları ve Sanal Ana Makineler

"Sanal" terimi genellikle BT alanında aşırı yüklüdür. Bu da, Private Cloud dağıtımı için Apigee Edge ve sanal ana makinelerde kullanılan bir türdür. "Sanal" teriminin başlıca iki kullanım şekli vardır:

• Sanal makineler (VM): Zorunlu değildir ancak bazı dağıtımlar Apigee bileşenleri için izole sunucular oluşturmak üzere sanal makine teknolojisini kullanır. Fiziksel ana makinelerde olduğu gibi sanal makine ana makinelerinin de ağ arayüzleri ve güvenlik duvarları olabilir. Bu yükleme talimatları, sanal makine yüklemelerini özellikle desteklemez.
• Sanal ana makineler: Apache sanal ana makinesine benzer web uç noktaları.

Bir sanal makinedeki yönlendirici, birden fazla sanal ana makineyi açığa çıkarabilir (ana makine takma adında veya arayüz bağlantı noktasında birbirinden farklı olduğu sürece).

Adlandırma örneğinde olduğu gibi, tek bir fiziksel sunucu olan "A, "VM1" ve "VM2" adlı iki sanal makine çalıştırıyor olabilir. VM1'in, sanal makine içinde eth0 olarak adlandırılan ve sanallaştırma makinesi tarafından 111.111.111.111 IP adresine sahip olan sanal bir Ethernet arayüzünü açığa çıkardığını ve sanallaştırma makinesi veya sanal makine tarafından bir ağ 201 adlı IP120 atandığını varsayalım. Sanal makine 1'e bir ağ DHCP atanır.

İki sanal makinenin her birinde birer Apigee yönlendirici çalışıyor olabilir. Yönlendiriciler, aşağıdaki varsayımsal örnekte olduğu gibi sanal ana makine uç noktalarını gösterir:

VM1'deki Apigee yönlendiricisi, eth0 arayüzünde (belirli bir IP adresine sahip), api.mycompany.com:80, api.mycompany.com:443 ve test.mycompany.com:80 adlı üç sanal ana makine gösterir.

VM2'deki yönlendirici, api.mycompany.com:80 adresini (VM1 tarafından gösterilen ad ve bağlantı noktası) açığa çıkarır.

Fiziksel ana makinenin işletim sisteminde ağ güvenlik duvarı olabilir. Bu durumda bu güvenlik duvarı, sanallaştırılmış arayüzlerde açılan bağlantı noktaları için TCP trafiğini geçecek şekilde yapılandırılmalıdır (111.111.111.111:{80, 443} ve 111.111.111.222:80). Ek olarak her sanal makinenin işletim sistemi, eth0 arayüzünde kendi güvenlik duvarını sağlayabilir ve bunlar da 80 ve 443 bağlantı noktalarının bağlanmasına izin vermelidir.

Basepath, API çağrılarını dağıtmış olabileceğiniz farklı API proxy'lerine yönlendirmede yer alan üçüncü bileşendir. API proxy paketleri, farklı temel yolları varsa bir uç noktayı paylaşabilir. Örneğin, bir temel yol http://api.mycompany.com:80/ ve başka bir temel yol http://api.mycompany.com:80/ olarak tanımlanabilir.

Bu durumda, http://api.sirketim.com:80/ trafiğini iki IP adresi (VM1'de 111.111.111.111 ve VM2'de 111.111.111.222) arasında bölen bir yük dengeleyici veya trafik yöneticisine ihtiyacınız vardır. Bu işlev, kurulumunuza özeldir ve yerel ağ grubunuz tarafından yapılandırılır.

Basepath, API dağıttığınızda ayarlanır. Yukarıdaki örnekte, ana makine takma adı api.mycompany.com ve bağlantı noktası 80 olarak ayarlanmış sanal ana makine ile mycompany-org kuruluşu için mycompany ve testmycompany adlı iki API dağıtabilirsiniz. Dağıtımda bir temel yol bildirmezseniz yönlendirici, gelen istekleri hangi API'ye göndereceğini bilemez.

Ancak testmycompany API'sini /salesdemo temel URL'siyle dağıtırsanız kullanıcılar bu API'ye http://api.mycompany.com:80/salesdemo adresinden erişir. sirketim API'nizi / temel URL'siyle dağıtırsanız kullanıcılarınız API'ye http://api.mycompany.com:80/ URL'si ile erişir.

Uç bağlantı noktası gereksinimleri

Güvenlik duvarını yönetme ihtiyacı, sanal ana makinelerin ötesine geçer. Hem sanal makine hem de fiziksel ana makine güvenlik duvarları, bileşenlerin birbiriyle iletişim kurması için gereken bağlantı noktaları için trafiğe izin vermelidir.

Aşağıdaki resimde, her bir Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir:

Bu diyagramla ilgili notlar:

• *Mesaj İşleyici'deki 8082 numaralı Bağlantı Noktasının, yalnızca Yönlendirici ve Mesaj İşleyici arasında TLS/SSL yapılandırdığınızda Yönlendirici tarafından erişim için açık olması gerekir. Yönlendirici ve Mesaj İşleyici arasında TLS/SSL'yi yapılandırmazsanız bileşeni yönetmek için Mesaj İşleyici'de varsayılan yapılandırma olan 8082 bağlantı noktasının hâlâ açık olması gerekir ancak Yönlendirici, buna erişim gerektirmez.
• Önlerinde "M" olan bağlantı noktaları, bileşeni yönetmek için kullanılan bağlantı noktalarıdır. Bileşen üzerinde açık ve Yönetim Sunucusu'nun erişimine açık olması gerekir.
• Şu bileşenler, Yönetim Sunucusu'nda 8080 numaralı bağlantı noktasına erişim gerektirir: Yönlendirici, Mesaj İşleyici, UI, Postgres ve Qpid.
• Bir Mesaj İşleyici, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla Mesaj İşleyiciniz varsa tümünün birbirine 4528 numaralı bağlantı noktası üzerinden erişebilmesi gerekir (Mesaj İşleyici'deki bağlantı noktası 4528 için yukarıdaki şemada döngü okuyla gösterilir). Birden fazla Veri Merkeziniz varsa tüm Veri Merkezlerindeki tüm Mesaj İşleyicilerden bağlantı noktasına erişilebilmelidir.
• Gerekli olmamakla birlikte, herhangi bir Mesaj İşleyici'nin erişebilmesi için Yönlendiricide 4527 numaralı bağlantı noktasını açabilirsiniz. Aksi takdirde, Message Processor günlük dosyalarında hata mesajları görebilirsiniz.
• Bir Yönlendirici, yönetim bağlantı noktası olarak 4527 numaralı bağlantı noktasını açmalıdır. Birden fazla Yönlendiriciniz varsa bunların hepsi birbirlerine 4527 numaralı bağlantı noktası (Yönlendiricideki 4527 numaralı bağlantı noktası için yukarıdaki şemada döngü okuyla gösterilir) üzerinden erişebilmelidir.
• Edge kullanıcı arayüzü, izleme aracındaki Gönder düğmesini desteklemek için, API proxy'lerinin açtığı bağlantı noktalarında Yönlendirici'ye erişim gerektirir.
• Yönetim Sunucusu, Cassandra düğümlerindeki JMX bağlantı noktasına erişim gerektirir.
• JMX bağlantı noktalarına erişim bir kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Daha fazla bilgi için Nasıl İzlenir? başlıklı makaleyi inceleyin.
• İsteğe bağlı olarak, farklı bağlantı noktaları kullanabilen belirli bağlantılar için TLS/SSL erişimini yapılandırabilirsiniz. Daha fazla bilgi için TLS/SSL sayfasına göz atın.
• İki Postgres düğümünü ana bekleme modunda çoğaltmayı kullanacak şekilde yapılandırıyorsanız ssh erişimi için her düğümde 22 numaralı bağlantı noktasını açmanız gerekir. Ssh erişimine izin vermek için isteğe bağlı olarak bağımsız düğümlerdeki bağlantı noktalarını açabilirsiniz.
• Yönetim Sunucusu'nu ve Uç Kullanıcı Arayüzünü, harici bir SMTP sunucusu üzerinden e-posta gönderecek şekilde yapılandırabilirsiniz. Bunu yaparsanız Yönetim Sunucusu ve kullanıcı arayüzünün SMTP sunucusundaki gerekli bağlantı noktasına erişebildiğinden emin olmanız gerekir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için bu değer genellikle 465'tir ancak SMTP sağlayıcınıza danışın.

Aşağıdaki tabloda, güvenlik duvarlarında Edge bileşeni tarafından açılması gereken bağlantı noktaları gösterilmektedir:

> curl -v http://<routerIP>:15999/v1/servers/self/reachable

Bir sonraki tabloda aynı bağlantı noktaları, kaynak ve hedef bileşenleriyle birlikte sayısal olarak listelenmiş şekilde gösterilmektedir:

Mesaj işlemcisi, hiçbir zaman zaman aşımına uğramayacak şekilde yapılandırılmış olan Cassandra'ya özel bağlantı havuzunu açık tutar. Güvenlik duvarı, mesaj işlemcisi ile Cassandra sunucusu arasında olduğunda, güvenlik duvarı bağlantıyı zaman aşımına uğratabilir. Ancak mesaj işlemcisi, Cassandra ile yeniden bağlantı kurmak için tasarlanmamıştır.

Apigee, bu durumu önlemek için Cassandra sunucusunun, mesaj işlemcisinin ve yönlendiricilerin aynı alt ağda olmasını önerir. Böylece bu bileşenlerin dağıtımında güvenlik duvarı bulunmaz.

Bir güvenlik duvarı, yönlendirici ile mesaj işlemcileri arasında bulunuyorsa ve boşta kalma TCP zaman aşımı ayarlanmışsa aşağıdaki önerileri öneririz:

1. Linux OS'te sysctl ayarlarında net.ipv4.tcp_keepalive_time = 1800 değerini ayarlayın. Burada 1800, güvenlik duvarı boşta kalma TCP zaman aşımından daha düşük olmalıdır. Bu ayar, güvenlik duvarının bağlantıyı kesmemesi için bağlantıyı kurulu durumda tutmalıdır.
2. Tüm Mesaj İşleyicilerinde aşağıdaki özelliği eklemek için /<inst_root>/apigee/customer/application/message-processor.properties dosyasını düzenleyin. Dosya yoksa oluşturun.
   conf_system_casssandra.maxconnecttimeinmillis=-1
3. Mesaj İşleyiciyi yeniden başlatın:
   > /opt/../..//Apigee-service/bin/Apigee-service Edge-message-processorYeniden Başlatma
4. Tüm yönlendiricilerde, aşağıdaki özelliği eklemek için /<inst_root>/apigee/customer/application/router.properties dosyasını düzenleyin. Dosya yoksa oluşturun.
   conf_system_casssandra.maxconnecttimeinmillis=-1
5. Yönlendiriciyi yeniden başlatın:
   > /opt/../..//Apigee-service/bin/Apigee-service kenar-router yeniden başlatma

İki Veri Merkezine sahip 12 ana makine kümelenmiş yapılandırmasını yüklerseniz iki Veri Merkezindeki düğümlerin aşağıda gösterilen bağlantı noktaları üzerinden iletişim kurabildiğinden emin olun:

API BaaS bağlantı noktası gereksinimleri

API BaaS'yi yüklemeyi tercih ederseniz API BaaS Yığını ve API BaaS Portal bileşenlerini eklersiniz. Bu bileşenler, aşağıdaki şekilde gösterilen bağlantı noktalarını kullanır:

Bu diyagramla ilgili notlar:

• API BaaS Portalı hiçbir zaman doğrudan bir BaaS Yığını düğümüne istek göndermez. Bir geliştirici, Portal'a giriş yaptığında Portal uygulaması tarayıcıya indirilir. Ardından tarayıcıda çalışan Portal uygulaması, BaaS Yığın düğümlerine istek gönderir.
• API BaaS üretim kurulumunda, API BaaS Portal düğümü ile API BaaS Yığın düğümleri arasında bir yük dengeleyici kullanılır. Portal'ı yapılandırırken ve BaaS API çağrıları yaparken Yığın düğümlerinin değil, yük dengeleyicinin IP adresini veya DNS adını belirtirsiniz.
• E-postaları harici bir SMTP sunucusu üzerinden göndermek için tüm Baas Yığın düğümlerini yapılandırmanız gerekir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için bu değer genellikle 465'tir ancak SMTP sağlayıcınıza danışın.
• Cassandra düğümleri API BaaS'a ayrılabilir veya Edge ile paylaşılabilir.

Aşağıdaki tabloda, güvenlik duvarlarında açılması gereken varsayılan bağlantı noktaları bileşene göre gösterilmektedir:

Lisanslama

Edge'in her kurulumu için Apigee'den edindiğiniz benzersiz bir lisans dosyası gerekir. Yönetim sunucusunu yüklerken lisans dosyasının yolunu belirtmeniz gerekir (ör. /tmp/Lic.txt).

Yükleyici, lisans dosyasını /<inst_root>/apigee/customer/conf/license.txt dosyasına kopyalar.

Lisans dosyası geçerliyse yönetim sunucusu süre sonunu ve izin verilen Mesaj İşleyici (MP) sayısını doğrular. Lisans ayarlarından herhangi birinin süresi dolduysa günlükleri şu konumda bulabilirsiniz: /<inst_root>/apigee/var/log/edge-management-server/logs. Bu durumda, taşıma ayrıntıları için Apigee Destek Ekibi ile iletişime geçebilirsiniz.