Edge for Private Cloud، الإصدار 4.17.05
متطلبات الأجهزة
يجب أن تستوفي الحد الأدنى من متطلبات الأجهزة التالية للحصول على البنية التحتية في بيئة مستوى الإنتاج. لجميع سيناريوهات التثبيت الموضحة في طوعيات التثبيت، تسرد الجداول التالية الحد الأدنى من متطلبات الأجهزة لمكونات التثبيت.
في هذه الجداول، تكون متطلبات القرص الثابت بالإضافة إلى مساحة القرص الثابت التي يتطلبها نظام التشغيل. واستنادًا إلى التطبيقات وحركة بيانات الشبكة، قد تحدث عملية التثبيت تتطلب موارد أكثر أو أقل مما هو مذكور أدناه.
مكوِّن التثبيت |
ذاكرة الوصول العشوائي |
وحدة المعالجة المركزية (CPU) |
الحد الأدنى للقرص الثابت |
---|---|---|---|
كاساندرا |
16 غيغابايت |
ثماني النواة |
مساحة تخزين محلية تبلغ 250 غيغابايت مع محرك أقراص ذي حالة صلبة (SSD) أو قرص صلب (HDD) سريع يدعم 2000 عملية IOPS |
معالج/جهاز توجيه الرسائل على نفس الجهاز |
16 غيغابايت |
ثماني النواة |
100 غيغابايت |
Analytics: Postgres/Qpid على الخادم نفسه (لا يُنصَح بهذا الإجراء لمرحلة الإنتاج) |
16 غيغابايت* |
ثماني النواة* |
سعة تخزين على الشبكة تتراوح بين 500 غيغابايت و1 تيرابايت***، يُفضَّل أن يتم ذلك مع الواجهة الخلفية SSD بسعة 1,000 IOPS أو أعلى*. |
إحصاءات - Postgres مستقل |
16 غيغابايت* |
ثماني النواة* |
سعة تخزين بالشبكة تتراوح بين 500 غيغابايت و1 تيرابايت**، ويفضل أن يتم ذلك مع الواجهة الخلفية لمحرك الأقراص ذي الحالة الصلبة، ويدعم 1000 عملية IOPS أو أعلى*. |
"إحصاءات Google" - Qpid مستقل |
8 غيغابايت |
رباعي النواة |
مساحة تخزين محلية تتراوح بين 30 و50 غيغابايت مع محرك أقراص ذي حالة صلبة أو محرك أقراص ثابتة سريع بالنسبة إلى عمليات التثبيت التي تزيد عن 250 وحدة في الثانية، يتم استخدام محرك الأقراص الثابتة مع مساحة تخزين محلية تتيح 1000 عملية IOPS الموصى بها. حجم قائمة انتظار Qpid التلقائي هو 20 غيغابايت. إذا كنت بحاجة إلى إضافة سعة أكبر، يمكنك إضافة المزيد عُقد Qpid. |
غير ذلك (OpenLDAP وواجهة المستخدم وخادم الإدارة) |
4 غيغابايت |
ثنائي النواة |
60 غيغابايت |
*ضبط متطلبات نظام Postgres استنادًا إلى سرعة معالجة البيانات:
|
|||
**تعتمد قيمة القرص الثابت في Postgres على التحليلات غير المكتملة التي سجلتها
الحافة. إذا أضفت قيمًا مخصصة إلى بيانات التحليلات، فيجب أن تكون هذه القيم
زاد وفقًا لذلك. استخدِم الصيغة التالية لتقدير مساحة التخزين المطلوبة: |
|||
*** يُنصَح بتفعيل تخزين الشبكة لقاعدة بيانات Postgresql للأسباب التالية:
|
بالإضافة إلى ذلك، تسرد القائمة التالية متطلبات الأجهزة إذا كنت تريد تثبيت خدمات تحقيق الربح:
مكوّن مع تحقيق الربح |
ذاكرة الوصول العشوائي |
وحدة المعالجة المركزية (CPU) |
القرص الثابت |
---|---|---|---|
خادم الإدارة (مع خدمات تحقيق الربح) |
8 غيغابايت |
رباعي النواة |
60 غيغابايت |
Analytics - Postgres/Qpid على الخادم نفسه |
16 غيغابايت |
ثماني النواة |
من سعة تخزين الشبكة بين 500 غيغابايت و1 تيرابايت، ويفضل أن يتم ذلك مع الواجهة الخلفية SSD، والتي تتيح إجراء 1000 عملية IOPS أو أعلى، أو استخدم القاعدة من الجدول أعلاه. |
إحصاءات - Postgres مستقل |
16 غيغابايت |
ثماني النواة |
من سعة تخزين الشبكة بين 500 غيغابايت و1 تيرابايت، ويفضل أن يتم ذلك مع الواجهة الخلفية SSD، والتي تتيح إجراء 1000 عملية IOPS أو أعلى، أو استخدم القاعدة من الجدول أعلاه. |
"إحصاءات Google" - Qpid مستقل |
8 غيغابايت |
رباعي النواة |
مساحة تخزين محلية تتراوح بين 40 و500 غيغابايت عند استخدام محرك أقراص ذي حالة صلبة أو محرك أقراص ثابتة سريع بالنسبة إلى عمليات التثبيت التي تزيد عن 250 وحدة في الثانية، يتم استخدام محرك الأقراص الثابتة مع مساحة تخزين محلية تتيح 1000 عملية IOPS الموصى بها. |
في ما يلي قائمة بمتطلبات الأجهزة إذا كنت تريد تثبيت واجهة برمجة التطبيقات BaaS:
مكوِّن واجهة برمجة التطبيقات BaaS |
ذاكرة الوصول العشوائي |
وحدة المعالجة المركزية (CPU) |
القرص الثابت |
---|---|---|---|
ElasticSearch* |
8 غيغابايت |
رباعي النواة |
60 - 80 غيغابايت |
حزمة BaaS من واجهة برمجة التطبيقات * |
8 غيغابايت |
رباعي النواة |
60 - 80 غيغابايت |
بوابة BaaS لواجهة برمجة التطبيقات |
1 غيغابايت |
ثنائي النواة |
20 غيغابايت |
كاساندرا (اختياري - عادةً ما تستخدم نفس مجموعة Cassandra لكل من Edge وخدمات BaaS لواجهة برمجة التطبيقات) |
16 غيغابايت |
ثماني النواة |
مساحة تخزين محلية تبلغ 250 غيغابايت مع محرك أقراص ذي حالة صلبة (SSD) أو قرص صلب (HDD) سريع يدعم 2000 عملية IOPS |
* يمكنك تثبيت ElasticSearch وBaaS Stack على نفس العقدة. إذا فعلت ذلك، تهيئة ElasticSearch لاستخدام ذاكرة سعتها 4 غيغابايت (افتراضي). إذا كان تطبيق ElasticSearch مثبتًا العقدة الخاصة بها، ثم إعدادها لاستخدام ذاكرة بسعة 6 جيجا بايت. |
ملاحظة:
- إذا لم يكن نظام الملفات الجذر كبيرًا بما يكفي للتثبيت، ننصحك وضع البيانات على قرص أكبر.
- في حال تثبيت إصدار قديم من Apigee Edge for Private Cloud على الجهاز، تأكَّد من حذف المجلد /tmp/java قبل إجراء عملية تثبيت جديدة.
- يحتاج المجلد المؤقت /tmp على مستوى النظام إلى أذونات تنفيذ من أجل لبدء تشغيل كاساندرا.
- في حال إنشاء واجهة برمجة تطبيقات المستخدم قبل التثبيت، تأكَّد من يوجد “/home/apigee” كدليل رئيسي ويمتلكه "apigee:apigee".
نظام التشغيل والجهة الخارجية متطلبات البرامج
تم اختبار إرشادات التثبيت هذه وملفات التثبيت المُقدَّمة على أنظمة التشغيل والبرامج الخارجية المُدرجة هنا: https://apigee.com/docs/api-services/reference/supported-software.
إنشاء مستخدم apigee
يؤدي إجراء التثبيت إلى إنشاء مستخدم نظام Unix باسم "apigee". أدلة Edge تكون الملفات مملوكة من قِبل "apigee"، كما هي الحال مع عمليات Edge. هذا يعني أن مكونات Edge تعمل "apigee" المستخدم. إذا لزم الأمر، يمكنك تشغيل المكونات كمستخدم مختلف. الاطّلاع على "ربط جهاز التوجيه إلى منفذ محمي" في تثبيت مكونات Edge على كمثال.
دليل التثبيت
بشكل تلقائي، يكتب المثبِّت جميع الملفات في دليل /opt/apigee. لا يمكنك تغيير هذا الإعداد. موقع الدليل. بينما لا يمكنك تغيير هذا الدليل، يمكنك إنشاء رابط رمزي لتعيين /opt/apigee إلى موقع آخر، كما هو موضح أدناه.
في التعليمات الواردة في هذا الدليل، تتم الإشارة إلى دليل التثبيت باسم /<inst_root>/apigee، حيث تكون /<inst_root> هي /opt تلقائيًا.
إنشاء رابط رمزي من /opt/apigee
قبل إنشاء الرابط الرمزي، يجب أولاً إنشاء مستخدم ومجموعة باسم "apigee". هذا هو نفس المجموعة والمستخدم الذي تم إنشاؤه بواسطة أداة تثبيت Edge.
لإنشاء الرابط الرمزي، نفِّذ هذه الخطوات قبل تنزيل ملف Bootstrap_4.17.01.sh. يجب تنفيذ كل هذه الخطوات كجذر:
- إنشاء "واجهة برمجة تطبيقات" المستخدم والمجموعة:
> groupadd -r apigee
> useradd -r -g apigee -d /opt/apigee -s /sbin/nologin -c "مستخدم نظام Apigee" apigee - أنشِئ رابطًا رمزيًا من /opt/apigee إلى التثبيت المطلوب.
الجذر:
> ln -Ts /srv/myInstallDir /opt/apigee
حيث يكون /srv/myInstallDir هو الموقع المطلوب لشبكة Edge الملفات. - تغيير ملكية جذر التثبيت والرابط الرمزي إلى "apigee" المستخدم:
> تشون -h apigee:apigee /srv/myInstallDir /opt/apigee
لغة Java
عليك تثبيت إصدار متوافق من Java1.8 على كل جهاز قبل عملية التثبيت. يتم إدراج ملفات JDK المتوافقة هنا:
https://apigee.com/docs/api-services/reference/supported-software
تأكَّد من أنّ JAVA_HOME يشير إلى إلى جذر JDK للمستخدم الذي يقوم بالتثبيت.
SELinux
بناءً على إعدادات SELinux، يمكن أن تواجه Edge مشكلات في التثبيت والبدء مكونات الحافة. إذا لزم الأمر، يمكنك تعطيل SELinux أو تعيينه على الوضع المتساهِل أثناء ثم إعادة تمكينه بعد التثبيت. راجع تثبيت أداة إعداد واجهة برمجة التطبيقات Edge لمعرفة المزيد.
إعدادات الشبكة
ننصحك بمراجعة إعدادات الشبكة قبل التثبيت. أداة التثبيت أن جميع الأجهزة تحتوي على عناوين IP ثابتة. استخدم الأوامر التالية للتحقق من صحة الإعداد:
- تعرض hostname الاسم من الجهاز
- يعرض hostname -i عنوان IP. لعنوان اسم المضيف الذي يمكن معالجته من أجهزة أخرى.
اعتمادًا على نوع نظام التشغيل وإصداره، قد تضطر إلى تعديل /etc/hosts و/etc/sysconfig/network إذا لم يكن اسم المضيف بشكل صحيح. للحصول على مزيد من المعلومات، يمكنك مراجعة وثائق نظام التشغيل المحدد.
أغلفة TCP
ويمكن أن تحظر برامج أغلفة TCP الاتصال ببعض المنافذ وقد تؤثر في بروتوكول OpenLDAP وPostgres تركيب "كاساندرا". على هذه العُقد، ضَع علامة في المربّع /etc/hosts.allow و/etc/hosts.deny لكي التأكد من عدم وجود قيود على المنفذ على برامج OpenLDAP وPostgres وCassandra المطلوبة متعددة.
أجهزة iptables
تحقَّق من عدم توفّر سياسات iptables تمنع الاتصال بين العُقد في منافذ Edge المطلوبة. إذا لزم الأمر، يمكنك إيقاف iptables أثناء التثبيت باستخدام :
> sudo/etc/init.d/iptables stop
على الإصدار 7.x من نظام التشغيل CentOS:
> systemctl stop firewalld
التأكد من قدرة جهاز توجيه الحافة الوصول إلى /etc/rc.d/init.d/functions
تستخدم عُقد شبكة Edge Router وBaaS Portal جهاز توجيه Nginx، وتتطلب إذنًا بالقراءة. إلى /etc/rc.d/init.d/functions.
إذا كانت العملية الأمنية تتطلب منك تعيين أذونات على /etc/rc.d/init.d/functions، لم يتم تعيينها على 700 وإلا سيفشل جهاز التوجيه في البدء. يمكن ضبط الأذونات على 744 للسماح إذن الوصول لقراءة /etc/rc.d/init.d/functions.
كاساندرا
يجب توصيل جميع عُقد Cassandra بحلقة. تقوم "كاساندرا" بتخزين النسخ المتماثلة للبيانات على عدة عُقد لضمان الموثوقية والتسامح مع الأخطاء. تعمل استراتيجية النسخ المتماثل لكل يحدد مفتاح المسافة على Edge عُقد Cassandra حيث يتم وضع النسخ المتماثلة. لمزيد من المعلومات، يُرجى مراجعة لمحة عن "كاساندرا" عامل النسخ ومستوى الاتساق.
تضبط "كاساندرا" حجم كومة الذاكرة المؤقتة في Java تلقائيًا استنادًا إلى الذاكرة المتاحة. لمزيد من المعلومات، راجع ضبط Java الموارد عند انخفاض الأداء أو استهلاك الذاكرة بشكل كبير
بعد تثبيت Edge for Private Cloud، يمكنك التحقّق من ضبط إعدادات Cassandra. بشكل صحيح عن طريق فحص /<inst_root>/apigee/apigee-cassandra/conf/cassandra.yaml الملف. على سبيل المثال، تأكَّد من أنّ النص البرمجي للتثبيت Edge for Private Cloud يضبط ما يلي المواقع:
- cluster_name
- initial_token
- التقسيم
- البذور
- listen_address
- rpc_address
- مذكرات
تحذير: لا تعدِّل هذا الملف.
قاعدة بيانات PostgreSQL
بعد تثبيت Edge، يمكنك ضبط إعدادات قاعدة بيانات PostgreSQL التالية بناءً على مقدار ذاكرة الوصول العشوائي المتاحة على نظامك:
conf_postgresql_shared_buffers = 35% of RAM # min 128kB conf_postgresql_effective_cache_size = 45% of RAM conf_postgresql_work_mem = 512MB # min 64kB
لضبط هذه القيم:
- تعديل خصائص postgresql:
> vi /<inst_root>/apigee/customer/application/postgresql.properties
إذا لم يكن الملف متوفّرًا، أنشئه. - اضبط الخصائص المدرَجة أعلاه.
- احفظ تعديلاتك.
- أعِد تشغيل قاعدة بيانات PostgreSQL:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql إعادة التشغيل
حدود النظام
تأكد من تعيين حدود النظام التالية على Cassandra ومعالج الرسائل العُقد:
- في عُقد Cassandra، اضبط حدودًا بسيطة وجامدة ونافذة فارغة (nofile) ومساحة العنوان (as)
مستخدم تثبيت (الإعداد التلقائي "apigee") في /etc/security/limits.d/90-apigee-edge-limits.conf
كما هو موضح أدناه:
مذكرة ناعمة غير محدودة
أمر apigee Hard Memlock غير محدود
apigee soft nofile 32768
أمر apigee hard nofile 65536
apigee soft كغير محدود
تحدي شديد لا حدود له
- في عُقد معالج الرسائل، اضبط الحد الأقصى لعدد أدوات وصف الملفات المفتوحة على 64 كيلوبايت
في /etc/security/limits.d/90-apigee-edge-limits.conf
كما هو موضح أدناه:
apigee soft nofile 32768
أمر apigee hard nofile 65536
يمكنك رفع هذا الحدّ إذا لزم الأمر. فعلى سبيل المثال، إذا كان لديك عدد كبير من الزيارات الملفات في أي وقت.
jsvc
"jsvc" هو شرط أساسي لاستخدام واجهة برمجة التطبيقات BaaS. يتم تثبيت الإصدار 1.0.15-dev عند التثبيت وتقديم خدمة BaaS لواجهة برمجة التطبيقات.
خدمات أمان الشبكات (NSS)
خدمات أمان الشبكات (NSS) هي مجموعة من المكتبات التي تدعم تطوير تطبيقات العميل والخادم المزودين بالأمان. يجب التأكّد من تثبيت NSS. أو الإصدار 3.19 أو إصدار أحدث.
للتحقق من الإصدار الحالي:
> yum info nss
لتحديث NSS:
> yum update nss
يمكنك الاطّلاع على هذه المقالة من RedHat. لمزيد من المعلومات.
إيقاف بحث نظام أسماء النطاقات على IPv6 عند استخدام البرنامج الخفي لذاكرة التخزين المؤقت (NSCD)
إذا قمت بتثبيت برنامج NSCD (البرنامج الخفي لذاكرة التخزين المؤقت لخدمة الاسم) وتمكينه، فإن معالِجات الرسائل إجراء عمليتي بحث لنظام أسماء النطاقات: إحداهما لبروتوكول IPv4 والأخرى لبروتوكول IPv6. يجب إيقاف بحث نظام أسماء النطاقات على IPv6 عند استخدام NSCD.
لإيقاف بحث نظام أسماء النطاقات على IPv6:
- في كل عقدة "معالج الرسائل"، عدِّل /etc/nscd.conf.
- اضبط السمة التالية:
عدم تفعيل مضيفي ذاكرة التخزين المؤقت
إيقاف IPv6 على Google Cloud منصة RedHat/CentOS 7
في حال تثبيت Edge على RedHat 7 أو CentOS 7 على Google Cloud Platform، يجب يجب إيقاف IPv6 على جميع عُقد Qpid.
للحصول على تعليمات حول إصدار نظام التشغيل المستخدَم على جهازك، يمكنك الاطّلاع على وثائق RedHat أو CentOS وتعطيل IPv6. يمكنك مثلاً:
- فتح /etc/hosts في المحرِّر.
- إدراج "#" حرف في العمود الأول من السطر التالي للتعليق عليه:
#::1 Localhost localhost.localdomain localhost6 localhost6.localdomain6 - احفظ الملف.
AWS AMI
في حال تثبيت Edge على صورة جهاز AWS Amazon Machine (AMI) لنظام التشغيل Red Hat Enterprise Linux 7.x، يجب أولاً تشغيل الأمر التالي:
> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
الأدوات
أداة التثبيت تستخدم أدوات UNIX التالية في الإصدار العادي على النحو المقدَّم من EL5 أو المشروع EL6.
awk |
تجربة |
lua-socket |
دورة في الدقيقة |
فك الضغط |
الاسم الأساسي |
Grep |
ls |
rpm2cpio |
إضافة مستخدم |
تحطيم |
اسم المضيف |
أدوات الشبكة |
درهم إماراتي |
wc |
bc |
id |
Perl (من Procps) |
sudo |
wget |
curl |
ليبايو |
pgrep (من Procps) |
القطران |
xerces-c |
سايروس ساسل
|
libdb-cxx
|
ps | tr | لذيذ |
التاريخ |
أفعال ليبيب
|
pwd |
رقم uuid |
chkconfig |
اسم dirname |
librdmacm
|
python | uname | |
echo |
libxslt
|
ملاحظة:
- يمكنك العثور على الملف التنفيذي للأداة "useradd" في /usr/sbin وبالنسبة إلى chkconfig في /sbin.
- باستخدام إذن الوصول إلى برنامج sudo، يمكنك الوصول إلى بيئة المستخدم الذي يطلب البيانات، على سبيل المثال، سوف تسميها عادةً "sudo <command> أو “sudo PATH=$PATH:/usr/sbin:/sbin <command>”.
- التأكد من تثبيت أداة "التصحيح" قبل حزمة الخدمة (التصحيح) التثبيت.
ntpdate – يُنصَح بمزامنة وقت الخوادم. في حال حذف لم تتم تهيئتها بالفعل، فيمكن أن تخدم الأداة "ntpdate" هذا الغرض، الذي يتحقق ما إذا كانت الخوادم متزامنة مع الوقت. يمكنك استخدام "yum install ntp" لتثبيت الأخرى. ويعد هذا مفيدًا بشكل خاص لتكرار إعدادات OpenLDAP. لاحظ أنه يتم إعداد الخادم المنطقة الزمنية بالتوقيت العالمي المنسق (UTC).
openldap 2.4 - يتطلب التثبيت في المؤسسة الإصدار OpenLDAP 2.4. في حال حذف أن خادمك متصل بالإنترنت، عندئذٍ يتم تنزيل وتثبيت Edge البرمجي على خادمك OpenLDAP. إذا لم يكن خادمك متصلاً بالإنترنت، ينبغي لك التأكد من أن OpenLDAP "مثبت" بالفعل قبل تشغيل النص البرمجي لتثبيت Edge. على RHEL/CentOS، يمكنك تشغيل "yum install openldap-clients openldap-servers" لتثبيت بروتوكول OpenLDAP.
بالنسبة إلى عمليات التثبيت التي تتضمّن 13 مضيفًا وعمليات التثبيت التي تتضمّن 12 مضيفًا مع مركزَي بيانات، يجب توفير ما يلي: النسخ المتماثل لـ OpenLDAP نظرًا لوجود عُقد متعددة تستضيف OpenLDAP.
جدران الحماية والمضيفات الافتراضية
عادةً ما يتم تحميل مصطلح "افتراضي" بشكل زائد في مجال تكنولوجيا المعلومات، وبالتالي نشر Apigee Edge for Private Cloud والمضيفين الافتراضيين للتوضيح، هناك نوعان أساسيان لاستخدامات مصطلح "افتراضي":
- الأجهزة الافتراضية (VM): غير مطلوب، ولكن تستخدم بعض عمليات النشر تكنولوجيا الأجهزة الافتراضية. لإنشاء خوادم معزولة لمكونات Apigee. يمكن لمضيفي الأجهزة الافتراضية، مثل المضيفين المادي، وواجهات الشبكات والجدران النارية.
- المضيفات الافتراضية: نقاط نهاية الويب، مماثلة لمضيف Apache الافتراضي.
يمكن أن يكشف الموجه في جهاز افتراضي عن مضيفين افتراضيين متعددين (طالما يختلفون عن بعضهم البعض في الاسم المستعار لمضيفه أو في منفذ الواجهة).
وكمثال على التسمية، قد يقوم خادم مادي واحد "A" بتشغيل جهازين افتراضيين، باسم "VM1" و"VM2". لنفترض أن الجهاز الافتراضي VM1 يعرض شبكة إيثرنت افتراضية الواجهة، التي يُطلق عليها اسم eth0 داخل الجهاز الافتراضي الذي يتم تخصيص عنوان IP له 111.111.111.111 من خلال المحاكاة الافتراضية آلات أو خادم بروتوكول التهيئة الآلية للمضيفين (DHCP) للشبكة؛ ثم نفترض أن VM2 تعرض واجهة Ethernet افتراضية أيضًا يُسمى eth0 ويتم تعيين عنوان IP له 111.111.111.222.
قد يكون لدينا جهاز توجيه Apigee يعمل في كل من الجهازين الافتراضيين. أجهزة التوجيه تكشف عن المضيف الظاهري نقاط النهاية كما في هذا المثال الافتراضي:
يعرض جهاز توجيه Apigee في VM1 ثلاثة مضيفات افتراضية على واجهة eth0 (التي تحتوي على بعض عنوان IP محدد)، وapi.mycompany.com:80، وapi.mycompany.com:443، وtest.mycompany.com:80.
يعرض جهاز التوجيه في VM2 api.mycompany.com:80 (الاسم والمنفذ نفسيهما). الكشف عنها بواسطة VM1).
قد يحتوي نظام تشغيل المضيف الفعلي على جدار حماية للشبكة. فإن جدار الحماية هذا لتمرير حركة بيانات TCP المرتبطة بالمنافذ التي يتم كشفها على الأجهزة الافتراضية الواجهات (111.111.111.111:{80, 443} و111.111.111.222:80). بالإضافة إلى ذلك، قد يوفّر نظام تشغيل الأجهزة الافتراضية جدار الحماية الخاص به على واجهة eth0، ويجب أن توفّر هذه الأجهزة أيضًا جدار حماية. يسمح باتصال حركة مرور المنفذين 80 و443.
المسار الأساسي هو المكوّن الثالث المُستخدَم في توجيه طلبات البيانات من واجهة برمجة التطبيقات إلى خوادم وكيلة مختلفة لواجهة برمجة التطبيقات. التي ربما تكون قد نشرتها يمكن لحِزم الخادم الوكيل لواجهة برمجة التطبيقات مشاركة نقطة نهاية إذا كان لها اختلاف والمسارات الأساسية. على سبيل المثال، يمكن تعريف أحد المسارات الأساسية على أنه http://api.mycompany.com:80/ وآخر هو http://api.mycompany.com:80/salesdemo.
وفي هذه الحالة، ستحتاج إلى جهاز موازنة الحمل أو مدير حركة بيانات من نوع ما يقسم http://api.mycompany.com:80/ عدد الزيارات بين عنواني IP (111.111.111.111 على VM1 و111.111.111.222 على الجهاز الافتراضي 2). هذه الدالة هي الخاصة بتثبيتك الخاص، وتهيئتها مجموعة الشبكات المحلية.
ويتم ضبط المسار الأساسي عند نشر واجهة برمجة تطبيقات. من المثال أعلاه، يمكنك نشر اثنين من واجهات برمجة التطبيقات، mycompany وtestmycompany، للمؤسسة mycompany-org باستخدام المضيف الذي يحتوي على الاسم المستعار المضيف لـ api.mycompany.com وتم تعيين المنفذ على 80. في حال عدم الإفصاح عن Basepath في عملية النشر، لن يعرف الموجه واجهة برمجة التطبيقات التي يجب إرسال الطلبات الواردة بها إليه.
ومع ذلك، إذا نشرت واجهة برمجة التطبيقات testmycompany باستخدام عنوان URL الأساسي /salesdemo، ثم إمكانية وصول المستخدمين واجهة برمجة التطبيقات هذه باستخدام http://api.mycompany.com:80/salesdemo. إذا كنت نشر واجهة برمجة التطبيقات mycompany باستخدام عنوان URL الأساسي، ثم دخول المستخدمين إلى واجهة برمجة التطبيقات من خلال عنوان URL http://api.mycompany.com:80/.
متطلبات منفذ Edge
الحاجة إلى إدارة جدار الحماية لا تقتصر على المضيفات الظاهرية فحسب؛ كل من الجهاز الافتراضي والمضيف الفعلي أن تسمح جدران الحماية بحركة مرور المنافذ التي تحتاجها المكونات للتواصل مع كل آخر.
توضح الصورة التالية متطلبات المنافذ لكل مكون من مكونات Edge:
ملاحظات على هذا المخطّط البياني:
-
*يجب فتح المنفذ 8082 في معالج الرسائل فقط للوصول إليه بواسطة جهاز التوجيه عند قم بتهيئة TLS/SSL بين جهاز التوجيه ومعالج الرسائل. في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، أيهما الإعداد التلقائي، لا يزال المنفذ 8082 مطلوبًا مفتوحة في معالج الرسائل لإدارة المكوِّن، غير أن جهاز التوجيه لا يتطلب الوصول إليها.
- المنافذ التي تبدأ بـ "M" هي منافذ تُستخدم لإدارة المكوِّن ويجب فتحها على ويجب فتحه على المكوِّن حتى يتمكن خادم الإدارة من الوصول إليه.
- تتطلب المكونات التالية الوصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه، معالج الرسائل، وواجهة المستخدم، وPostgres، وQpid.
- يجب أن يفتح معالج الرسائل المنفذ 4528 كمنفذ الإدارة الخاص به. إذا كان لديك عدة ينبغي أن يكون بإمكان معالجي الرسائل الوصول إلى بعضهم البعض عبر المنفذ 4528 (يُشار إليه باسم سهم حلقة في الرسم التخطيطي أعلاه للمنفذ 4528 في معالج الرسائل). إذا كان لديك عدة لمراكز البيانات، يجب أن تكون إمكانية الوصول إلى المنفذ متاحة من قِبل جميع معالِجات الرسائل في جميع مراكز البيانات.
- يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إلى أي رسالة على الرغم من أنّه غير مطلوب. المعالج. أو قد تظهر لك رسائل خطأ في ملفات سجلّ معالج الرسائل.
- يجب أن يفتح جهاز التوجيه المنفذ 4527 كمنفذ الإدارة الخاص به. إذا كانت لديك أجهزة توجيه متعددة، أن تكون جميعها قادرة على الوصول إلى بعضها البعض عبر المنفذ 4527 (يُشار إليه بواسطة سهم التكرار في أعلاه للمنفذ 4527 على جهاز التوجيه).
- تتطلب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، على المنافذ التي تعرضها الخوادم الوكيلة لواجهة برمجة التطبيقات، لدعم زر إرسال في أداة التتبُّع.
- يتطلب خادم الإدارة الوصول إلى منفذ JMX على كاساندرا العُقد.
- يمكن ضبط الوصول إلى منافذ JMX على طلب اسم مستخدم/كلمة مرور. راجِع كيفية المراقبة لمزيد من المعلومات.
- يمكنك اختياريًا ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لاتصالات معيّنة يمكنها استخدام منافذ مختلفة. يمكنك الاطّلاع على TLS/SSL للحصول على أخرى.
- في حال ضبط عقدتَين من قِبل Postgres لاستخدام النسخ المتماثل لوضع الاستعداد الرئيسي، يجب فتح المنفذ 22. على كل عقدة للوصول إلى ssh. يمكنك اختياريًا فتح المنافذ على العُقد الفردية للسماح وSSH.
- يمكنك ضبط واجهة مستخدم خادم الإدارة وEdge لإرسال الرسائل الإلكترونية من خلال بروتوكول SMTP خارجي. الخادم. وإذا فعلت ذلك، فيجب عليك التأكد من أنه يمكن لخادم الإدارة وواجهة المستخدم الوصول إلى على خادم SMTP. بالنسبة إلى بروتوكول نقل البريد البسيط (SMTP) الذي لا يستخدم بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى تفعيل بروتوكول أمان طبقة النقل (TLS) SMTP، غالبًا ما يكون 465، لكن تحقق مع موفر SMTP.
يوضح الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، بواسطة مكون Edge:
المكوّن |
المنفذ |
الوصف |
---|---|---|
منافذ HTTP العادية |
80، 443 |
HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفات الافتراضية |
خادم الإدارة |
8080 |
منفذ طلبات البيانات من واجهة برمجة التطبيقات لإدارة Edge تتطلب هذه المكونات الوصول إلى المنفذ 8080 على خادم الإدارة: Router، ومعالج الرسائل، وUI وPostgres، وQpid. |
1099 |
منفذ JMX |
|
4526 |
لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة |
|
واجهة مستخدم الإدارة |
9000 |
منفذ وصول المتصفّح إلى واجهة مستخدم الإدارة |
معالج الرسائل |
8998 |
منفذ معالج الرسائل للاتصالات من جهاز التوجيه |
8082 |
منفذ الإدارة الافتراضي لمعالج الرسائل ويجب فتحه على المكوِّن الوصول إليها من خلال خادم الإدارة.
إذا ضبطت بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، اللذين يستخدمهما جهاز التوجيه
لإجراء الفحوصات الصحية على معالج الرسائل.
|
|
1101 |
منفذ JMX |
|
4528 |
لذاكرة التخزين المؤقت واستدعاءات الإدارة الموزعة بين معالجات الرسائل، الاتصالات من جهاز التوجيه |
|
جهاز التوجيه |
8081 |
منفذ الإدارة التلقائي لجهاز التوجيه ويجب فتحه على المكوِّن للوصول إليه بواسطة خادم الإدارة. |
4527 |
لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة |
|
15999 |
منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه المتوفرة. للحصول على حالة جهاز التوجيه، يرسل جهاز موازنة الحمل طلبًا إلى المنفذ 15999 على الموجه: > curl -v http://<routerIP>:15999/v1/servers/self/reachable فإذا كان من الممكن الوصول إلى جهاز التوجيه، سيعرض الطلب HTTP 200. |
|
59001 |
المنفذ المستخدم لاختبار تثبيت Edge بواسطة الأداة المساعدة apigee-validate. تتطلب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. راجِع اختبار التثبيت للتعرّف على مزيد من المعلومات عن المنفذ 59001. |
|
ZooKeeper |
2181 |
تستخدمه مكونات أخرى مثل خادم الإدارة وجهاز التوجيه ومعالج الرسائل وما إلى ذلك في |
2888، 3888 |
يتم استخدامه داخليًا من قِبل ZooKeeper لمجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper) التواصل |
|
كاساندرا |
7000، 9042، 9160 |
منافذ Apache Cassandra للاتصال بين عُقد Cassandra وللوصول عن طريق مكونات Edge الأخرى. |
7199 |
منفذ JMX يجب أن يكون الوصول إليها متاحًا من خلال خادم الإدارة. |
|
Qpid |
5672 |
يُستخدم للاتصالات من جهاز التوجيه ومعالج الرسائل إلى خادم Qpid. |
8083 |
منفذ الإدارة التلقائي على خادم Qpid ويجب فتحه على المكوِّن الوصول إليها من خلال خادم الإدارة. |
|
1102 |
منفذ JMX |
|
4529 |
لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة |
|
Postgres |
5432 |
يستخدم للاتصال من Qpid/Management Server إلى Postgres |
8084 |
منفذ الإدارة التلقائي على خادم Postgres ويجب فتحه على المكوِّن للوصول بواسطة خادم الإدارة. |
|
1103 |
منفذ JMX |
|
4530 |
لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة |
|
22 |
في حالة تهيئة عُقدتين في Postgres لاستخدام النسخ الاحتياطي في وضع الاستعداد الرئيسي، يجب فتح المنفذ 22 في كل عقدة للوصول إلى SSH. |
|
LDAP |
10389 |
OpenLDAP |
SmartDocs |
59002 |
المنفذ في جهاز توجيه Edge الذي يتم إرسال طلبات صفحة Smart Docs إليه. |
يعرض الجدول التالي المنافذ نفسها، مدرَجة رقميًا مع المصدر والوجهة. المكونات:
رقم المنفذ |
الغرض |
المكوّن المصدر |
مكوّن الوجهة |
---|---|---|---|
<اسم المنفذ المضيف الافتراضي#> |
HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لعدد زيارات طلبات البيانات من واجهة برمجة التطبيقات للمضيف الظاهري. المنفذان 80 و443 الأكثر استخدامًا؛ بإمكان جهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة. |
برنامج خارجي (أو جهاز موازنة الحمل) |
أداة استماع على جهاز توجيه الرسائل |
من 1099 إلى 1103 |
إدارة JMX |
برنامج JMX |
خادم الإدارة (1099) معالج الرسائل (1101) Qpid Server (1102) Postgres Server (1103) |
2181 |
التواصل مع عميل Zookeeper |
خادم الإدارة جهاز التوجيه معالج الرسائل خادم Qpid خادم Postgres |
حارس حديقة حيوان |
2888 و3888 |
إدارة عمليات داخلية في Zookeeper |
حارس حديقة حيوان |
حارس حديقة حيوان |
4526 |
منفذ إدارة استدعاء إجراء عن بُعد (RPC) |
خادم الإدارة |
خادم الإدارة |
4527 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة، والاتصالات بين أجهزة التوجيه |
خادم الإدارة جهاز التوجيه |
جهاز التوجيه |
4528 |
لاستدعاءات ذاكرة التخزين المؤقت الموزعة بين معالجات الرسائل، وللتواصل مِنْ جِهَازِ التَّوْجِيهِ الْمَوْجُودْ |
خادم الإدارة جهاز التوجيه معالج الرسائل |
معالج الرسائل |
4529 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة | خادم الإدارة | خادم Qpid |
4530 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة | خادم الإدارة | خادم Postgres |
5432 |
عميل Postgres |
خادم Qpid |
Postgres |
5672 |
يتم استخدامه لإرسال الإحصاءات من جهاز التوجيه ومعالج الرسائل إلى Qpid. |
جهاز التوجيه معالج الرسائل |
خادم Qpid |
7,000 |
اتصالات بين العُقد من "كاساندرا" |
كاساندرا |
عقدة كاساندرا أخرى |
7199 |
إدارة JMX. يجب أن تكون مفتوحة للوصول على عقدة Cassandra من خلال "الإدارة". الخادم. |
عميل JMX |
كاساندرا |
8080 |
منفذ Management API |
برامج Management API |
خادم الإدارة |
8081 إلى 8084 |
منافذ مكونات واجهة برمجة التطبيقات، يتم استخدامها لإصدار طلبات واجهة برمجة التطبيقات مباشرة إلى المكونات الفردية. يفتح كل مكون منفذًا مختلفًا؛ يعتمد المنفذ الدقيق المستخدم على الإعدادات ولكن يجب فتحها على المكوِّن حتى يمكن الوصول إليه من خلال خادم الإدارة |
برامج Management API |
Router (8081) معالج الرسائل (8082) Qpid Server (8083) Postgres Server (8084) |
8998 |
الاتصال بين جهاز التوجيه ومعالج الرسائل |
جهاز التوجيه |
معالج الرسائل |
9,000 |
منفذ واجهة المستخدم التلقائي لإدارة Edge |
المتصفح |
خادم واجهة مستخدم الإدارة |
9042 |
النقل الأصلي لـ CQL |
جهاز التوجيه معالج الرسائل خادم الإدارة |
كاساندرا |
9160 |
عميل التوفير "كاساندرا" |
جهاز التوجيه معالج الرسائل خادم الإدارة |
كاساندرا |
10389 |
منفذ LDAP |
خادم الإدارة |
OpenLDAP |
15999 |
منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه المتوفرة. |
جهاز موازنة الحمل | جهاز التوجيه |
59,001 | المنفذ الذي تستخدمه أداة apigee-validate للاختبار تثبيت Edge | apigee-validate | جهاز التوجيه |
59002 |
منفذ جهاز التوجيه الذي يتم من خلاله إرسال طلبات صفحة Smart Docs |
SmartDocs |
جهاز التوجيه |
يعمل معالج الرسائل على إبقاء مجموعة اتصال مخصصة مفتوحة لـ "كاساندرا"، والتي يتم ضبطها على عدم انتهاء المهلة أبدًا. عندما يكون جدار حماية بين معالج الرسائل وخادم Cassandra، أن يؤدي جدار الحماية إلى إنهاء الاتصال. ومع ذلك، فإن معالج الرسائل غير مصمم إعادة إنشاء اتصالات مع "كاساندرا".
لمنع حدوث هذا الموقف، تنصح Apigee بأن يتم ضبط خادم Cassandra ومعالج الرسائل والموجهات في الشبكة الفرعية نفسها بحيث لا يشارك جدار حماية في نشر هذه والمكونات.
إذا كان جدار الحماية يقع بين جهاز التوجيه ومعالِجات الرسائل، وتم ضبط مهلة Tcp على عدم نشاطه، توصياتنا هي:
- اضبط net.ipv4.tcp_keepalive_time = 1800 في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن يكون الرقم 1800 أقل من جدار الحماية غير النشط مهلة tcp. وينبغي أن يبقي هذا الإعداد الاتصال في حالة مستقرة بحيث لا يقطع جدار الحماية الاتصال.
- في كل معالِجات الرسائل، عدِّل /<inst_root>/apigee/customer/application/message-processor.properties
لإضافة الخاصية التالية. إذا لم يكن الملف متوفّرًا، أنشئه.
conf_system_cassandra.maxconnecttimeinmillis=-1 - إعادة تشغيل معالج الرسائل:
> /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor - على جميع أجهزة التوجيه، عدِّل /<inst_root>/apigee/customer/application/router.properties
لإضافة الخاصية التالية. إذا لم يكن الملف متوفّرًا، أنشئه.
conf_system_cassandra.maxconnecttimeinmillis=-1 - إعادة تشغيل جهاز التوجيه:
> /opt/apigee/apigee-service/bin/apigee-service Edge-router
في حال تثبيت التهيئة المجمّعة حسب 12 مضيفًا مع مركزي بيانات، تأكد من يمكن للعُقد في مركزي البيانات الاتصال عبر المنافذ الموضحة أدناه:
متطلبات منفذ BaaS لواجهة برمجة التطبيقات
إذا اختَرت تثبيت BaaS لواجهة برمجة التطبيقات، يمكنك إضافة مكوّنات بوابة BaaS لواجهة برمجة التطبيقات وبوابة BaaS لواجهة برمجة التطبيقات. تستخدم هذه المكوّنات المنافذ الموضحة في الشكل أدناه:
ملاحظات على هذا المخطّط البياني:
- لا تُجري بوابة BaaS API الطلبات مباشرةً إلى عقدة حزمة BaaS. عندما يختار مطور البرامج تسجيل الدخول إلى "البوابة"، يتم تنزيل تطبيق "البوابة" على المتصفح. يتم تشغيل تطبيق "بوابة" في يقوم المتصفح بعد ذلك بإجراء طلبات إلى عُقد حزمة BaaS.
- إنّ تثبيت إصدار BaaS لواجهة برمجة التطبيقات يستخدم جهاز موازنة الحمل بين عقدة بوابة BaaS الخاصة بواجهة برمجة التطبيقات. وعُقد واجهة برمجة التطبيقات BaaS Stack. عند إعداد "البوابة" وعند إجراء طلبات بيانات من واجهة برمجة التطبيقات BaaS، عليك حدد عنوان IP أو اسم نظام أسماء النطاقات لجهاز موازنة الحمل، وليس لعُقد الحزمة.
- يجب أن تفتح جميع عُقد حزمة التكديس المنفذ 2551 للوصول من جميع عقد الحزمة الأخرى (يُشار إليها بواسطة سهم تكرار حلقي في الرسم التخطيطي أعلاه للمنفذ 2551 على عُقد الحزمة). إذا كانت لديك بيانات متعددة بالنسبة إلى المنفذ، يجب أن تتوفّر إمكانية الوصول إلى المنفذ من جميع عُقد الحزم في جميع مراكز البيانات.
- يجب إعداد جميع عُقد حزمة Baas Stack لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. بالنسبة SMTP بدون بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول نقل البريد البسيط (SMTP) الذي تم تفعيل بروتوكول أمان طبقة النقل (TLS)، يكون غالبًا 465، ولكن يُرجى التحقق مع مزوّد SMTP.
- يمكن تخصيص عُقد Cassandra لنظام BaaS لواجهة برمجة التطبيقات، أو يمكن مشاركتها مع Edge.
يوضح الجدول أدناه المنافذ التلقائية التي يجب فتحها في جدران الحماية، حسب المكوّن:
المكوّن |
المنفذ |
الوصف |
---|---|---|
بوابة واجهة برمجة التطبيقات BaaS |
9000 |
منفذ لواجهة مستخدم BaaS لواجهة برمجة التطبيقات |
حزمة BaaS من واجهة برمجة التطبيقات |
8080 |
المنفذ الذي يتم استلام طلب البيانات من خلاله |
2551 |
منفذ للاتصال بين جميع عُقد المكدس. يجب أن تكون متاحة من خلال جميع الحزم الأخرى العُقد في مستودع البيانات. إذا كان لديك عدة مراكز بيانات، يجب أن تتوفّر إمكانية الوصول إلى المنفذ من جميع عُقد تكديس في جميع مراكز البيانات. |
|
ElasticSearch |
9200 إلى 9400 |
للتواصل مع واجهة برمجة التطبيقات BaaS Stack وللتواصل بين ElasticSearch العُقد |
الترخيص
يتطلب كل عملية تثبيت Edge ملف ترخيص فريدًا تحصل عليه من Apigee. وسوف تحتاج إلى توفير المسار إلى ملف الترخيص عند تثبيت خادم الإدارة، على سبيل المثال /tmp/license.txt.
تنسخ أداة التثبيت ملف الترخيص إلى /<inst_root>/apigee/customer/conf/license.txt.
إذا كان ملف الترخيص صالحًا، يتحقّق خادم الإدارة من تاريخ انتهاء الصلاحية ويسمح لتطبيق "الرسائل" عدد المعالجات (MP). في حال انتهاء صلاحية أي من إعدادات الترخيص، يمكنك العثور على السجلّات في الموقع التالي: /<inst_root>/apigee/var/log/edge-management-server/logs. في هذه الحالة، يمكنك التواصل مع فريق دعم Apigee للحصول على تفاصيل النقل.
إذا لم يكن لديك ترخيص حتى الآن، يُرجى التواصل مع فريق المبيعات هنا.