安装要求

适用于私有云的 Edge v. 4.17.01

硬件要求

您必须满足以下最低硬件要求，才能获得高可用性 部署在生产级环境中的基础架构。对于 安装拓扑，下表中列出了 对安装组件的最低硬件要求

在以下表格中，除了要用到的磁盘可用空间之外， 操作系统根据您的应用和网络流量，您的安装可能 所需的资源比下面列出的资源要多或少。

此外，下面还列出了要安装 变现服务：

下面列出了要安装 API BaaS 的硬件要求：

注意：

• 如果根文件系统不够大，无法进行安装，建议您 将数据放在更大的磁盘上
• 如果机器上安装的是适用于私有云的旧版 Apigee Edge，请确保 在新安装前删除文件夹 /tmp/java。
• 系统级临时文件夹 /tmp 需要有执行权限， 启动 Cassandra。
• 如果在安装之前创建了用户“apigee”，请确保 “/home/apigee”以主目录形式存在，且由 “apigee:apigee”。

操作系统和第三方 软件要求

这些安装说明和提供的安装文件已在 操作系统和第三方软件（详见 https://apigee.com/docs/api-services/reference/supported-software）。

创建 apigee 用户

安装过程会创建一个名为“apigee”的 Unix 系统用户。边缘目录和 “apigee”拥有的文件和 Edge 进程均拥有。这意味着 Edge 组件会以 “apigee”用户。如有必要，您可以用其他用户身份运行组件。请参阅“绑定路由器” 安全端口”请参阅在 node。

安装目录

默认情况下，安装程序会将所有文件写入 /opt/apigee 目录。您无法更改此设置 目录位置。虽然您无法更改此目录，但可以创建用于映射的符号链接 /opt/apigee 另一个位置（如下所述）。

在本指南的说明中，安装目录标注为 /<inst_root>/apigee，其中 /<inst_root> 默认为 /opt。

从以下项目创建符号链接： /opt/apigee

在创建符号链接之前，您必须先创建一个名为“apigee”的用户和群组。这是 与 Edge 安装程序创建的同一群组和用户相同。

如需创建符号链接，请在下载 bootstrap_4.17.01.sh 文件之前执行以下步骤。 您必须以根用户身份执行所有这些步骤：

1. 创建“apigee”用户和群组：
   &gt;groupadd -r apigee
   &gt;useradd -r -g apigee -d /opt/apigee -s /sbin/nologin -c “Apigee 平台用户” apigee
2. 创建从 /opt/apigee 指向所需安装的符号链接 根：
   &gt;ln -Ts /srv/myInstallDir /opt/apigee
   其中，/srv/myInstallDir 是 Edge 的所需位置 文件。
3. 将安装根目录和符号链接的所有权更改为“apigee”用户：
   &gt;chown -h apigee:apigee /srv/myInstallDir /opt/apigee

Java

您需要在安装前在每台计算机上安装受支持的 Java1.8 版本。 下面列出了支持的 JDK：

https://apigee.com/docs/api-services/reference/supported-software

确保 JAVA_HOME 指向 到执行安装的用户的 JDK 的根目录。

SELinux

根据您针对 SELinux 的设置，Edge 可能会遇到安装和启动问题 Edge 组件。如有必要，您可以停用 SELinux 或在 然后在安装后重新启用它。如需了解详情，请参阅安装 Edge apigee-setup 实用程序。

网络设置

建议您在安装前检查网络设置。安装程序 希望所有机器都具有固定的 IP 地址。使用以下命令验证 设置：

• hostname：返回名称 机器的
• hostname -i 会返回 IP 地址。

根据您的操作系统类型和版本，您可能必须修改 /etc/hosts 和 /etc/sysconfig/network（如果主机名不是 设置正确。如需了解详情，请参阅具体操作系统的文档。

TCP 封装容器

TCP 封装容器可以阻止某些端口的通信，并可能影响 OpenLDAP、Postgres 和 Cassandra 安装。在这些节点上，检查 /etc/hosts.allow 和 /etc/hosts.deny 以 确保所需的 OpenLDAP、Postgres 和 Cassandra 没有端口限制 端口。

iptables

验证是否没有 iptables 政策阻止了上 所需的边缘端口如有必要，您可以使用 命令：

> sudo /etc/init.d/iptables stop

在 CentOS 7.x 上：

> systemctl stop firewalld

确保边缘路由器可以 访问 /etc/rc.d/init.d/functions

边缘路由器和 BaaS 门户节点使用 Nginx 路由器，并需要读取权限 复制到 /etc/rc.d/init.d/functions。

如果您的安全流程要求您设置 /etc/rc.d/init.d/functions 上的权限，请执行以下操作 不要将它们设置为 700，否则路由器将无法启动。权限可设置为 744，以允许 对 /etc/rc.d/init.d/functions 的读取权限。

卡桑德拉

所有 Cassandra 节点都必须连接到一个环。Cassandra 将数据副本存储在 以确保可靠性和容错能力每个 Pod 的复制策略 边缘键空间决定了副本所在的 Cassandra 节点。有关详情，请参阅 关于 Cassandra 复制因子和一致性级别。

Cassandra 会根据可用内存自动调整其 Java 堆大小。如需了解详情， 请参阅调整 Java 资源。在性能下降或内存消耗较高时。

安装适用于私有云的 Edge 后，您可以检查 Cassandra 是否已配置 正确做法是检查 /&lt;inst_root&gt;/apigee/apigee-cassandra/conf/cassandra.yaml 文件。例如，确保适用于私有云的 Edge 安装脚本设置了以下 属性：

• cluster_name
• initial_token
• 分区
• 种子
• listen_address
• rpc_address
• 告密

警告：请勿修改此文件。

PostgreSQL 数据库

安装 Edge 后，您可以根据 系统上的可用 RAM 容量：

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

如需设置这些值，请执行以下操作：

1. 修改 postgresql.properties:
   &gt;六 /&lt;inst_root&gt;/apigee/customer/application/postgresql.properties
   
   如果该文件不存在，请创建该文件。
2. 设置上面列出的属性。
3. 保存所做的修改。
4. 重启 PostgreSQL 数据库：
   &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql 重启

系统限制

确保您已在 Cassandra 和消息处理器上设置以下系统限制 节点：

• 在 Cassandra 节点上，针对 /etc/security/limits.d/90-apigee-edge-limits.conf 中的安装用户（默认为“apigee”） 如下所示：
  apigee soft memlock 无限制
  apigee Chromecast 硬 memlock 无限制
  apigee soft nofile 32768
  apigee hard nofile 65536
  apigee Soft as 无限制
  Apigee 硬性无限制
  
• 在消息处理器节点上，将打开文件描述符的最大数量设置为 64K 在 /etc/security/limits.d/90-apigee-edge-limits.conf 中，作为 如下所示：
  apigee soft nofile 32768
  apigee hard nofile 65536
  
  如有必要，您可以提高该上限。例如，如果您有大量临时性 文件。

jsvc

“jsvc”是使用 API BaaS 的前提条件。安装时，系统会同时安装版本 1.0.15-dev API BaaS

网络威胁防护服务 (NSS)

网络威胁防护服务 (NSS) 是一组库，支持开发 启用了安全性的客户端和服务器应用。您应该确保已安装 NSS v3.19 或更高版本。

如需查看当前版本，请按以下步骤操作：

> yum info nss

如需更新 NSS，请执行以下操作：

> yum update nss

请参阅 RedHat 的这篇文章 。

在 IPv6 上停用 DNS 查找 使用 NSCD（名称服务缓存守护程序）时

如果您已安装并启用 NSCD（名称服务缓存守护程序），则消息处理器 进行两次 DNS 查找：一次用于 IPv4，另一次用于 IPv6。您应该停用 DNS 查找 IPv6（使用 NSCD）。

要在 IPv6 上停用 DNS 查找功能，请执行以下操作：

1. 在每个消息处理器节点上，修改 /etc/nscd.conf
2. 设置以下属性：
   启用缓存主机数量

在 Google Cloud 上停用 IPv6 适用于 RedHat/CentOS 7 的平台

如果您要在 Google Cloud Platform 上的 RedHat 7 或 CentOS 7 上安装 Edge，则需要 必须在所有 Qpid 节点上停用 IPv6。

有关说明，请参阅与您的具体操作系统版本对应的 RedHat 或 CentOS 文档 停用 IPv6。

AWS AMI

如果要在适用于 Red Hat Enterprise Linux 的 AWS Amazon 机器映像 (AMI) 上安装 Edge 您必须先运行以下命令：

> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

工具

安装程序在 EL5 提供的标准版中使用以下 UNIX 工具，或者 EL6。

注意：

• 工具“useradd”的可执行文件位于 /usr/sbin 中，chkconfig 位于 /sbin 中。
• 通过 sudo 访问权限，您可以获取调用用户的环境的访问权限，例如， 通常，您会调用“sudo <command>”或 “sudo PATH=$PATH:/usr/sbin:/sbin <command>”。
• 确保您已先安装“补丁”工具，然后再安装服务软件包（补丁） 安装。

ntpdate - 建议对服务器进行时间同步。如果 则“ntpdate”实用程序可以用于这一目的， 服务器是否进行时间同步。您可以使用“yum install ntp”来安装 实用程序。这在复制 OpenLDAP 设置时特别有用。请注意，您设置了 时区。

openldap 2.4 - 本地安装需要 OpenLDAP 2.4。如果 您的服务器已连接到互联网，然后会下载并安装 Edge 安装脚本 OpenLDAP.如果您的服务器未连接到互联网，请务必确保 OpenLDAP 已 。在 RHEL/CentOS 上，你可以 “yum install openldap-clients openldap-servers&quot;安装 OpenLDAP。

对于 13 个主机的安装和具有 2 个数据中心的 12 个主机的安装，您需要 OpenLDAP 复制，因为有多个托管 OpenLDAP 的节点。

防火墙和虚拟主机

“虚拟”一词在 IT 领域经常被忽视， 适用于私有云部署和虚拟主机的 Apigee Edge。需要说明的是 “虚拟”一词的使用：

• 虚拟机 (VM)：不是必需的，但部分部署会使用虚拟机技术 为 Apigee 组件创建独立的服务器。虚拟机主机（如物理主机）可以 网络接口和防火墙
• 虚拟主机：网络端点，类似于 Apache 虚拟主机。

虚拟机中的路由器可以公开多个虚拟主机（只要这些主机在 其主机别名或接口端口中）。

举一个命名示例，单个物理服务器“A”可能运行两个虚拟机， 分别命名为“VM1”和“VM2”我们假设 VM1 公开了一个虚拟以太网 接口，命名为 eth0 并且虚拟化会为其分配 IP 地址 111.111.111.111 计算机或网络 DHCP 服务器；然后假设 VM2 还公开了一个虚拟以太网接口 名为 eth0，它会被分配一个 IP 地址 111.111.111.222。

两个虚拟机中可能都运行了一个 Apigee 路由器。路由器会公开虚拟主机 如以下假设示例所示：

VM1 中的 Apigee 路由器在其 eth0 接口（有一些 api.mycompany.com:80、api.mycompany.com:443 和 test.mycompany.com:80。

VM2 中的路由器公开 api.mycompany.com:80（与 由 VM1 公开）。

物理主机的操作系统可能具有网络防火墙；如果是，该防火墙 必须配置为通过 接口（111.111.111.111:{80, 443} 和 111.111.111.222:80）。此外，每个 虚拟机的操作系统可能会在其 eth0 接口上提供自己的防火墙，这些防火墙也必须 则允许端口 80 和 443 流量进行连接。

基本路径是将 API 调用路由到不同 API 代理所涉及的第三个组成部分 您可能已部署的资源如果 API 代理软件包具有不同的端点，则可以共享一个端点 基本路径。例如，一个基本路径可以定义为 http://api.mycompany.com:80/，而另一个基本路径可以定义为 定义为 http://api.mycompany.com:80/salesdemo。

在这种情况下，您需要通过某种类型的负载平衡器或 Traffic Director 来拆分 两个 IP 地址（VM1 上的 111.111.111.111 和 VM2 上的 111.111.111.222）之间的 http://api.mycompany.com:80/ 流量。此函数 特定于您的安装，并由本地网络组进行配置。

基本路径是在部署 API 时设置的。在上面的示例中，您可以部署两个 API， mycompany 和 testmycompany（对于组织） mycompany-org 和 其主机别名为 api.mycompany.com 且端口设置为 80。如果您没有声明 基本路径，则路由器不知道要发送传入请求的 API 目标。

但是，如果您使用 testmycompany 这一基准网址部署 API /salesdemo，则用户可以访问 该 API（网址为 http://api.mycompany.com:80/salesdemo）。如果您 使用 / 的基础网址部署您的 API mycompany，然后用户通过该网址访问 API http://api.mycompany.com:80/.

边缘端口要求

对防火墙的管理不仅仅局限于虚拟主机；虚拟机和物理主机 防火墙必须允许组件与各个组件通信所需端口的流量通过 其他。

下图显示了每个 Edge 组件的端口要求：

下图中的备注：

• *仅当您执行下列操作时，路由器上的端口 8082 才需要开放 配置路由器和邮件处理器之间的 TLS/SSL。如果您未配置 TLS/SSL （默认配置），端口 8082 仍必须 在消息处理器上打开以管理组件，但路由器不要求 访问。
• 以“M”为前缀的端口是用于管理组件的端口，必须在 组件。
• 以下组件需要访问管理服务器上的端口 8080：路由器、 消息处理器、界面、Postgres 和 Qpid。
• 消息处理器必须打开端口 4528 作为其管理端口。如果您有多个 它们必须都能够通过端口 4528（用 上图中消息处理器上的端口 4528 的循环箭头）。如果您有多个 数据中心，必须可从所有数据中心内的所有消息处理器访问该端口。
• 您可以在路由器上打开端口 4527，以供任何邮件访问，尽管这不是必需操作 处理器。否则，您可能会在消息处理器日志文件中看到错误消息。
• 路由器必须打开端口 4527 作为其管理端口。如果您有多个路由器 都必须能够通过端口 4527（由 如上图所示，路由器上的端口 4527）。
• Edge 界面需要访问 API 代理公开的端口上的路由器，以支持 跟踪工具中的发送按钮。
• 管理服务器需要访问 Cassandra 上的 JMX 端口 节点。
• 对 JMX 端口的访问可配置为需要用户名/密码。如需了解详情，请参阅如何监控。
• 您可以选择为特定连接配置 TLS/SSL 访问， 不同的端口请参阅 TLS/SSL 。
• 如果将两个 Postgres 节点配置为使用主备用复制功能，则必须打开端口 22 进行 SSH 访问您可以选择打开个别节点上的端口，以允许 使用 SSH 连接到 Cloud VPN。
• 您可以将管理服务器和边缘界面配置为通过外部 SMTP 发送电子邮件 服务器。如果这样做，您必须确保管理服务器和 UI 可以访问必要的 SMTP 服务器上的端口对于非 TLS SMTP，端口号通常为 25。对于已启用 TLS SMTP，通常为 465，但请与您的 SMTP 提供商确认。

下表显示了需要在防火墙中按 Edge 组件打开的端口：

> curl -v http://<routerIP>:15999/v1/servers/self/reachable

下表显示了相同的端口（以数字形式列出），其中包含来源和目标 组件：

消息处理器使专用连接池保持对已配置的 Cassandra 开放 永不超时。当消息处理器和 Cassandra 服务器之间有防火墙时， 防火墙可能会使连接超时。但是，消息处理器并非设计为 重新建立与 Cassandra 的连接。

为防止出现这种情况，Apigee 建议将 Cassandra 服务器、消息处理器和 因此这些路由器位于同一子网中，这样在部署这些路由器时无需防火墙 组件。

如果防火墙位于路由器和消息处理器之间，并且设置了空闲的 tcp 超时时间， 我们的建议是：

1. 设置 net.ipv4.tcp_keepalive_time = Linux 操作系统上 sysctl 设置中的 1800，其中 1800 应低于防火墙空闲时间 tcp 超时。此设置应使连接处于已建立状态， 防火墙不会断开连接。
2. 在所有消息处理器上，修改 /&lt;inst_root&gt;/apigee/customer/application/message-processor.properties 以添加以下属性。如果该文件不存在，请创建该文件。
   conf_system_cassandra.maxconnecttimeinmillis=-1
3. 重启消息处理器：
   &gt; /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
4. 在所有路由器上，修改 /&lt;inst_root&gt;/apigee/customer/application/router.properties 以添加以下属性。如果该文件不存在，请创建该文件。
   conf_system_cassandra.maxconnecttimeinmillis=-1
5. 重启路由器：
   &gt; /opt/apigee/apigee-service/bin/apigee-service Edge-router restart

如果您安装含有两个数据中心的 12 个主机集群配置，请确保 两个数据中心内的节点可以通过如下所示的端口进行通信：

API BaaS 端口要求

如果您选择安装 API BaaS，则需要添加 API BaaS 堆栈和 API BaaS 门户组件。 这些组件使用下图所示的端口：

下图中的备注：

• API BaaS 门户绝不会直接向 BaaS Stack 节点发出请求。如果开发者 登录门户后，系统会将该门户应用下载到浏览器。门户应用 然后浏览器向 BaaS 堆栈节点发出请求。
• API BaaS 的生产环境安装在 API BaaS 门户节点之间使用负载平衡器 和 API BaaS 栈节点在配置门户和进行 BaaS API 调用时，您需要 指定负载平衡器的 IP 地址或 DNS 名称，而不是栈节点的 IP 地址或 DNS 名称。
• 所有堆栈节点都必须打开端口 2551，才能从其他堆栈节点（用 上图中堆栈节点上的端口 2551 的循环箭头）。如果您有多个数据 必须可从所有数据中心的所有堆栈节点访问该端口。
• 您必须将所有 Baas Stack 节点配置为通过外部 SMTP 服务器发送电子邮件。对于 不使用 TLS SMTP，则端口号通常为 25。对于启用了 TLS 的 SMTP，该值通常为 465， 与您的 SMTP 提供商相关联。
• Cassandra 节点可以专用于 API BaaS，也可以与 Edge 共享。

下表按组件显示了需要在防火墙中打开的默认端口：

许可

每次安装 Edge 时，您都需要从 Apigee 获取唯一的许可文件。您将 在安装管理服务器时需要提供许可文件的路径，例如 /tmp/license.txt.

安装程序将许可文件复制到 /&lt;inst_root&gt;/apigee/customer/conf/license.txt。

如果许可文件有效，管理服务器会验证许可文件是否过期，并显示允许的消息 处理器 (MP) 数量。如果任何许可设置已过期，您可以在 以下位置：/&lt;inst_root&gt;/apigee/var/log/edge-management-server/logs。 在这种情况下，您可以联系 Apigee 支持团队 迁移详情。

如果您还没有许可，请点击此处与销售人员联系。