Yêu cầu về cài đặt

Edge for Private Cloud phiên bản 4.17.09

Yêu cầu về phần cứng

Bạn phải đáp ứng các yêu cầu tối thiểu về phần cứng sau đây để có thể sử dụng trong môi trường cấp sản xuất. Đối với tất cả trường hợp cài đặt được mô tả trong Thông tin xin lỗi về việc cài đặt, các bảng sau liệt kê các yêu cầu tối thiểu về phần cứng cho cấu phần cài đặt.

Trong các bảng này, yêu cầu về ổ đĩa cứng ngoài dung lượng ổ đĩa cứng mà hệ điều hành. Tuỳ thuộc vào ứng dụng và lưu lượng truy cập mạng, quá trình cài đặt có thể cần nhiều hoặc ít tài nguyên hơn danh sách dưới đây.

Ngoài ra, sau đây liệt kê các yêu cầu về phần cứng nếu bạn muốn cài đặt Dịch vụ kiếm tiền:

Sau đây là các yêu cầu về phần cứng nếu bạn muốn cài đặt API BaaS:

Lưu ý:

• Nếu hệ thống tệp gốc không đủ lớn để cài đặt, bạn nên đặt dữ liệu vào một ổ đĩa lớn hơn.
• Nếu bạn đã cài đặt phiên bản Apigee Edge cho Private Cloud trên máy, hãy đảm bảo rằng bạn xoá thư mục /tmp/java trước khi cài đặt mới.
• Thư mục tạm thời trên toàn hệ thống /tmp cần quyền thực thi để khởi động Cassandra.
• Nếu người dùng "apigee" được tạo trước khi cài đặt, hãy đảm bảo rằng “/home/apigee” tồn tại dưới dạng thư mục gốc và thuộc sở hữu của “apigee:apigee”.

Hệ điều hành và bên thứ ba yêu cầu về phần mềm

Các hướng dẫn cài đặt này và tệp cài đặt được cung cấp đã được kiểm tra trên hệ điều hành và phần mềm bên thứ ba được liệt kê tại đây: https://apigee.com/docs/api-services/reference/supported-software.

Tạo người dùng apigee

Quy trình cài đặt này sẽ tạo một người dùng hệ thống Unix có tên 'apigee'. Thư mục cạnh và các tệp do "apigee" sở hữu, cũng như các quy trình của Edge. Điều đó có nghĩa là các thành phần Edge sẽ chạy dưới dạng "apigee" người dùng. nếu cần, bạn có thể chạy các thành phần với tư cách là một người dùng khác. Xem phần "Liên kết bộ định tuyến vào một cổng được bảo vệ" trong phần Cài đặt các thành phần Edge trên nút để biết ví dụ.

Thư mục cài đặt

Theo mặc định, trình cài đặt ghi tất cả các tệp vào thư mục /opt/apigee. Bạn không thể thay đổi chế độ cài đặt này vị trí thư mục. Mặc dù bạn không thể thay đổi thư mục này, nhưng bạn có thể tạo một đường liên kết tượng trưng để ánh xạ /opt/apigee sang một địa điểm khác, như mô tả dưới đây.

Trong phần hướng dẫn của tài liệu hướng dẫn này, thư mục cài đặt được ghi chú là /<inst_root>/apigee, trong đó /<inst_root> là /opt theo mặc định.

Tạo một đường liên kết tượng trưng từ /opt/apigee

Trước khi tạo đường liên kết tượng trưng, trước tiên bạn phải tạo một người dùng và nhóm có tên "apigee". Đây là cùng một nhóm và người dùng do trình cài đặt Edge tạo.

Để tạo liên kết tượng trưng, hãy thực hiện các bước này trước khi tải tệp bootstrap_4.17.01.sh xuống. Bạn phải thực hiện tất cả các bước sau dưới dạng thư mục gốc:

1. Tạo "apigee" người dùng và nhóm:
   &gt; groupadd -r API
   &gt; useradd -r -g apigee -d /opt/apigee -s /sbin/nologin -c "Người dùng nền tảng Apigee" API
2. Tạo một đường liên kết tượng trưng từ /opt/apigee đến lượt cài đặt mà bạn muốn gốc:
   &gt; ln -Ts /srv/myInstallDir /opt/apigee
   trong đó /srv/myInstallDir là vị trí mong muốn của Edge tệp.
3. Thay đổi quyền sở hữu thư mục gốc cài đặt và đường liên kết tượng trưng đến "api" ("API") người dùng:
   &gt; chown -h apigee:apigee /srv/myInstallDir /opt/apigee

Java

Bạn cần cài đặt phiên bản Java1.8 được hỗ trợ trên mỗi máy trước khi cài đặt. Các JDK được hỗ trợ được liệt kê tại đây:

https://apigee.com/docs/api-services/reference/supported-software

Đảm bảo rằng JAVA_HOME trỏ đến vào thư mục gốc của JDK để người dùng thực hiện cài đặt.

SELinux

Tuỳ thuộc vào chế độ cài đặt của bạn cho SELinux, Edge có thể gặp sự cố khi cài đặt và khởi động Thành phần viền. Nếu cần, bạn có thể vô hiệu hoá SELinux hoặc đặt SELinux sang chế độ cho phép trong cài đặt, sau đó bật lại công cụ này sau khi cài đặt. Xem bài viết Cài đặt tiện ích thiết lập apigee của Edge để biết thêm thông tin.

Cài đặt mạng

Bạn nên kiểm tra chế độ cài đặt mạng trước khi cài đặt. Trình cài đặt yêu cầu rằng tất cả các máy đều có địa chỉ IP cố định. Hãy dùng các lệnh sau để xác thực cài đặt:

• hostname trả về tên của máy
• tên máy chủ -i trả về IP cho tên máy chủ có thể định địa chỉ từ các máy khác.

Tuỳ thuộc vào loại và phiên bản hệ điều hành, bạn có thể phải chỉnh sửa /etc/hosts và /etc/sysconfig/network nếu tên máy chủ không phải là đặt chính xác. Hãy xem tài liệu dành cho hệ điều hành cụ thể của bạn để biết thêm thông tin.

Nếu một máy chủ có nhiều thẻ giao diện, thì "tên máy chủ -i" trả về một lệnh được phân tách bằng dấu cách danh sách các địa chỉ IP. Theo mặc định, trình cài đặt Edge sử dụng địa chỉ IP đầu tiên được trả về. Địa chỉ này có thể không chính xác trong mọi trường hợp. Thay vào đó, bạn có thể đặt thuộc tính sau trong tệp cấu hình cài đặt:

ENABLE_DYNAMIC_HOSTIP=y

Khi thuộc tính đó được đặt thành "y", trình cài đặt sẽ nhắc bạn chọn địa chỉ IP để sử dụng làm của quá trình cài đặt. Giá trị mặc định là "n". Hãy xem bài viết Tham chiếu tệp cấu hình Edge để biết thêm thông tin.

Trình bao bọc TCP

Trình bao bọc TCP có thể chặn hoạt động giao tiếp của một số cổng và có thể ảnh hưởng đến OpenLDAP, Postgres và Lắp đặt Cassandra. Trên các nút đó, hãy đánh dấu chọn /etc/hosts.allow và /etc/hosts.deny để đảm bảo rằng không có hạn chế về cổng đối với các OpenLDAP, Postgres và Cassandra bắt buộc cổng.

iptables

Kiểm tra để đảm bảo rằng không có chính sách nào đối với iptables ngăn chặn khả năng kết nối giữa các nút trên các cổng Edge cần thiết. Nếu cần, bạn có thể dừng iptables trong quá trình cài đặt bằng cách sử dụng :

> sudo/etc/init.d/iptables stop

Trên CentOS 7.x:

> systemctl stop firewalld

Đảm bảo Bộ định tuyến cạnh có thể truy cập /etc/rc.d/init.d/functions

Các nút Edge Router và BaaS Portal sử dụng bộ định tuyến Nginx và yêu cầu quyền đọc vào /etc/rc.d/init.d/functions.

Nếu quy trình bảo mật yêu cầu bạn đặt quyền trên /etc/rc.d/init.d/functions, hãy thực hiện đừng đặt ở mức 700 nếu không bộ định tuyến sẽ không khởi động được. Bạn có thể đặt quyền thành 744 để cho phép quyền đọc /etc/rc.d/init.d/functions.

Cassandra

Tất cả các nút Cassandra phải được kết nối với một vòng. Cassandra lưu trữ các bản sao dữ liệu trên nhiều nút để đảm bảo độ tin cậy và khả năng chịu lỗi. Chiến lược sao chép cho mỗi Không gian phím cạnh xác định các nút Cassandra nơi đặt bản sao. Để biết thêm thông tin,hãy xem Giới thiệu về Cassandra Hệ số sao chép và mức độ nhất quán.

Cassandra tự động điều chỉnh kích thước vùng nhớ khối xếp Java dựa trên bộ nhớ còn trống. Để biết thêm thông tin, xem phần Điều chỉnh Java . Trong trường hợp hiệu suất suy giảm hoặc mức tiêu thụ bộ nhớ cao.

Sau khi cài đặt Edge cho Đám mây riêng tư, bạn có thể kiểm tra để đảm bảo rằng Cassandra đã được định cấu hình chính xác bằng cách kiểm tra tệp /&lt;inst_root&gt;/apigee/apigee-cassandra/conf/cassandra.yaml . Ví dụ: đảm bảo rằng tập lệnh cài đặt Edge cho Đám mây riêng tư đặt các giá trị sau thuộc tính:

• cluster_name
• initial_token
• phân vùng
• hạt giống
• listen_address
• rpc_address
• mách nước

Cảnh báo: Đừng chỉnh sửa tệp này.

Cơ sở dữ liệu PostgreSQL

Sau khi cài đặt Edge, bạn có thể điều chỉnh các chế độ cài đặt cơ sở dữ liệu PostgreSQL sau đây dựa trên dung lượng RAM có sẵn trên hệ thống của bạn:

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

Cách đặt những giá trị này:

1. Chỉnh sửa postgresql.properties:
   &gt; vi /&lt;inst_root&gt;/apigee/customer/application/postgresql.properties
   
   Nếu tệp không tồn tại, hãy tạo tệp đó.
2. Đặt các thuộc tính nêu trên.
3. Lưu nội dung bạn chỉnh sửa.
4. Khởi động lại cơ sở dữ liệu PostgreSQL:
   &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql Khởi động lại

Giới hạn của hệ thống

Đảm bảo rằng bạn đã đặt các giới hạn hệ thống sau đây cho Cassandra và Message Processor nút:

• Trên các nút Cassandra, hãy đặt giới hạn cho memlock mềm và cứng, không có tệp và không gian địa chỉ (dưới dạng) cho người dùng cài đặt (mặc định là “apigee") trong /etc/security/limits.d/90-apigee-edge-limits.conf là hiển thị bên dưới:
  apigee mềm memlock không giới hạn
  apigee cứng memlock không giới hạn
  apigee mềm nofile 32768
  apigee cứng nofile 65536
  apigee mềm như không giới hạn
  apigee khó đến không giới hạn
  
• Trên các nút Trình xử lý thông báo, hãy đặt số lượng chỉ số mô tả tệp mở tối đa thành 64K trong /etc/security/limits.d/90-apigee-edge-limits.conf là hiển thị bên dưới:
  không có tệp mềm apigee 32768
  apigee cứng nofile 65536
  
  Nếu cần, bạn có thể tăng giới hạn đó. Ví dụ: nếu bạn có một số lượng lớn mở đồng thời.

jsvc

"jsvc" là điều kiện tiên quyết để sử dụng API BaaS. Phiên bản 1.0.15-dev được cài đặt khi bạn cài đặt API BaaS.

Dịch vụ an ninh mạng (NSS)

Dịch vụ bảo mật mạng (NSS) là một tập hợp các thư viện hỗ trợ việc phát triển các ứng dụng khách và máy chủ có hỗ trợ bảo mật. Bạn phải đảm bảo rằng mình đã cài đặt NSS phiên bản 3.19 trở lên.

Cách kiểm tra phiên bản hiện tại:

> yum info nss

Cách cập nhật NSS:

> yum update nss

Xem bài viết này của RedHat để biết thêm thông tin.

Tắt tính năng tra cứu DNS trên IPv6 khi sử dụng NSCD (Trình nền dịch vụ bộ nhớ đệm của dịch vụ tên)

Nếu bạn đã cài đặt và bật NSCD (Name Service Cache Daemon) Trình xử lý thư thực hiện hai tra cứu DNS: một cho IPv4 và một cho IPv6. Bạn phải tắt tính năng tra cứu DNS trên IPv6 khi sử dụng NSCD.

Cách tắt tính năng tra cứu DNS trên IPv6:

1. Trên mỗi nút Trình xử lý thông báo, hãy chỉnh sửa /etc/nscd.conf
2. Đặt thuộc tính sau:
   máy chủ bộ nhớ đệm không có

Tắt IPv6 trên Google Cloud Nền tảng dành cho RedHat/CentOS 7

Nếu bạn đang cài đặt Edge trên RedHat 7 hoặc CentOS 7 trên Google Cloud Platform, thì bạn phải tắt IPv6 trên tất cả các nút Qpid.

Hãy xem tài liệu về RedHat hoặc CentOS để biết phiên bản hệ điều hành cụ thể của bạn để biết hướng dẫn về tắt IPv6. Ví dụ như bạn có thể:

1. Mở /etc/hosts trong một trình chỉnh sửa.
2. Chèn dấu "#" ký tự trong cột một trong các dòng sau để nhận xét:
   Số::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
3. Lưu tệp.

AMI AWS

Nếu bạn đang cài đặt Edge trên Hình ảnh máy Amazon (AMI) của AWS cho Red Hat Enterprise Linux 7.x, trước tiên, bạn phải chạy lệnh sau:

> yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

Công cụ

Trình cài đặt sử dụng các công cụ UNIX sau đây trong phiên bản tiêu chuẩn do EL5 cung cấp hoặc EL6.

Lưu ý:

• Tệp thực thi cho công cụ "useradd" nằm trong /usr/sbin và cho chkconfig trong /sbin.
• Với quyền truy cập sudo, bạn có thể có quyền truy cập vào môi trường của người dùng gọi, ví dụ: thường, bạn sẽ gọi "sudo <command>" hoặc “sudo PATH=$PATH:/usr/sbin:/sbin <command>".
• Đảm bảo rằng bạn đã cài đặt công cụ "bản vá" trước khi sử dụng gói dịch vụ (bản vá) cài đặt.

ntpdate – Bạn nên đồng bộ hóa thời gian của máy chủ. Nếu chưa được định cấu hình, tiện ích "ntpdate" có thể phục vụ mục đích này, điều này xác minh xem các máy chủ có được đồng bộ hoá về thời gian hay không. Bạn có thể sử dụng "yum install ntp" để cài đặt tiện ích. Điều này đặc biệt hữu ích cho việc sao chép các thiết lập OpenLDAP. Lưu ý rằng bạn thiết lập máy chủ múi giờ theo giờ UTC.

openldap 2.4 – Việc lắp đặt tại chỗ yêu cầu OpenLDAP 2.4. Nếu máy chủ của bạn có kết nối Internet, thì tập lệnh cài đặt Edge sẽ tải xuống và cài đặt OpenLDAP. Nếu máy chủ của bạn không có kết nối Internet, bạn phải đảm bảo rằng OpenLDAP cài đặt trước khi chạy tập lệnh cài đặt Edge. Trên RHEL/CentOS, bạn có thể chạy "yum cài đặt openldap-clients openldap-servers&quot; để cài đặt OpenLDAP.

Đối với việc cài đặt 13 máy chủ và 12 máy chủ lưu trữ với 2 Trung tâm dữ liệu, bạn cần Sao chép OpenLDAP do có nhiều nút lưu trữ OpenLDAP.

Tường lửa và máy chủ ảo

Thuật ngữ "ảo" thường trở nên quá tải trong lĩnh vực CNTT, do đó, thuật ngữ này đi kèm với Apigee Edge để triển khai Đám mây riêng tư và máy chủ ảo. Để làm rõ, có hai việc sử dụng cụm từ "ảo":

• Máy ảo (VM): Không bắt buộc, nhưng một số hoạt động triển khai sử dụng công nghệ VM để tạo các máy chủ riêng biệt cho các thành phần Apigee. Các máy chủ ảo (như máy chủ thực) có thể có giao diện mạng và tường lửa.
• Máy chủ ảo: Các điểm cuối trên web, tương tự như máy chủ ảo Apache.

Một bộ định tuyến trong máy ảo có thể hiển thị nhiều máy chủ ảo (miễn là các máy chủ này khác nhau trong bí danh máy chủ lưu trữ hoặc trong cổng giao diện của họ).

Tương tự như ví dụ đặt tên, một máy chủ thực tế "A" có thể đang chạy hai máy ảo, có tên là "VM1" và "VM2". Giả sử VM1 hiển thị một Ethernet ảo giao diện này được đặt tên là eth0 bên trong máy ảo và được chỉ định địa chỉ IP 111.111.111.111 bằng công nghệ ảo hoá hoặc máy chủ DHCP mạng; và giả sử VM2 cũng hiển thị giao diện Ethernet ảo có tên eth0 và được gán địa chỉ IP 111.111.111.222.

Chúng tôi có thể có một bộ định tuyến Apigee đang chạy trên mỗi máy ảo. Bộ định tuyến hiển thị máy chủ ảo như trong ví dụ giả định này:

Bộ định tuyến Apigee trong VM1 hiển thị 3 máy chủ ảo trên giao diện eth0 (trong đó có một số địa chỉ IP cụ thể), api.mycompany.com:80, api.mycompany.com:443 và test.mycompany.com:80.

Bộ định tuyến trong VM2 hiển thị api.mycompany.com:80 (cùng tên và cổng với do VM1 cung cấp).

Hệ điều hành của máy chủ thực tế có thể có tường lửa mạng; nếu có, tường lửa đó phải được định cấu hình để truyền lưu lượng truy cập TCP bị giới hạn đối với các cổng hiển thị trên giao diện (111.111.111.111:{80, 443} và 111.111.111.222:80). Ngoài ra, mỗi Hệ điều hành của máy ảo có thể cung cấp tường lửa riêng trên giao diện eth0 và các tường lửa này cũng phải cho phép kết nối lưu lượng truy cập trên cổng 80 và 443.

Đường dẫn cơ sở là thành phần thứ ba liên quan đến việc định tuyến lệnh gọi API đến các proxy API khác nhau mà bạn có thể đã triển khai. Các gói proxy API có thể dùng chung một điểm cuối nếu chúng có các điểm cuối khác nhau đường dẫn cơ sở. Ví dụ: một đường dẫn cơ sở có thể được xác định là http://api.mycompany.com:80/ và một đường dẫn khác được xác định là http://api.mycompany.com:80/salesdemo.

Trong trường hợp này, bạn cần một trình cân bằng tải hoặc giám đốc lưu lượng truy cập để phân chia http://api.mycompany.com:80/ lưu lượng truy cập giữa hai địa chỉ IP (111.111.111.111 trên VM1 và 111.111.111.222 trên VM2). Chức năng này dành riêng cho cài đặt cụ thể của bạn và được định cấu hình bởi nhóm mạng cục bộ của bạn.

Đường dẫn cơ sở được thiết lập khi bạn triển khai API. Từ ví dụ trên, bạn có thể triển khai 2 API, mycompany và testmycompany cho tổ chức mycompany-org với máy chủ lưu trữ có bí danh máy chủ là api.mycompany.com và cổng được đặt thành 80. Nếu bạn không khai báo đường dẫn cơ sở trong phần triển khai thì bộ định tuyến không biết phải gửi các yêu cầu đến bằng API nào sang.

Tuy nhiên, nếu bạn triển khai testmycompany (thử nghiệm) của API với URL cơ sở là /salesdemo, sau đó người dùng truy cập API đó bằng cách sử dụng http://api.mycompany.com:80/salesdemo. Nếu bạn triển khai mycompany API với URL cơ sở của / sau đó người dùng của bạn truy cập API theo URL http://api.mycompany.com:80/.

Yêu cầu về cổng ở cạnh

Nhu cầu quản lý tường lửa không chỉ dừng lại ở máy chủ ảo; cả máy ảo và máy chủ thực tường lửa phải cho phép lưu lượng truy cập đối với các cổng do thành phần yêu cầu để giao tiếp với từng cổng khác.

Hình ảnh sau đây cho thấy các yêu cầu về cổng đối với mỗi thành phần của Edge:

Lưu ý trên sơ đồ này:

• *Cổng 8082 trên Bộ xử lý thông báo chỉ được mở để Bộ định tuyến truy cập khi bạn định cấu hình TLS/SSL giữa Bộ định tuyến và Trình xử lý thư. Nếu bạn không định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thư, cấu hình mặc định, cổng 8082 vẫn phải mở trên Trình xử lý thư để quản lý thành phần này nhưng Bộ định tuyến không yêu cầu quyền truy cập vào nội dung đó.
• Các cổng có tiền tố "M" là các cổng dùng để quản lý thành phần và phải được mở trên và phải mở trên thành phần đó để Máy chủ quản lý có thể truy cập.
• Các thành phần sau yêu cầu quyền truy cập vào cổng 8080 trên Máy chủ quản lý: Bộ định tuyến, Message Processor (Trình xử lý thông báo), UI, Postgres và Qpid.
• Bộ xử lý thông báo phải mở cổng 4528 làm cổng quản lý. Nếu bạn có nhiều Tất cả các Bộ xử lý thư này phải có thể truy cập lẫn nhau qua cổng 4528 (được biểu thị bằng mũi tên lặp lại trong sơ đồ ở trên cho cổng 4528 trên Bộ xử lý thông báo). Nếu bạn có nhiều Đối với Trung tâm dữ liệu, cổng phải truy cập được từ tất cả Trình xử lý thông báo trong mọi Trung tâm dữ liệu.
• Mặc dù không bắt buộc nhưng bạn có thể mở cổng 4527 trên Bộ định tuyến để truy cập bằng bất kỳ Thông báo nào Bộ xử lý. Nếu không, bạn có thể thấy thông báo lỗi trong tệp nhật ký của Trình xử lý thư.
• Bộ định tuyến phải mở cổng 4527 làm cổng quản lý. Nếu bạn có nhiều Bộ định tuyến, chúng tất cả đều có thể truy cập với nhau qua cổng 4527 (được biểu thị bằng mũi tên vòng lặp trong sơ đồ ở trên cho cổng 4527 trên Bộ định tuyến).
• Giao diện người dùng Edge yêu cầu quyền truy cập vào Bộ định tuyến, trên các cổng được proxy API hiển thị để hỗ trợ nút Send (Gửi) trong công cụ theo dõi.
• Máy chủ quản lý yêu cầu quyền truy cập vào cổng JMX trên Cassandra nút.
• Quyền truy cập vào cổng JMX có thể được định cấu hình để yêu cầu tên người dùng/mật khẩu. Hãy xem bài viết Cách giám sát để biết thêm thông tin.
• Bạn có thể tuỳ ý định cấu hình quyền truy cập TLS/SSL cho một số kết nối nhất định. Chế độ này có thể sử dụng cổng khác nhau. Xem TLS/SSL cho khác.
• Nếu định cấu hình hai nút Postgres để sử dụng tính năng sao chép chế độ chờ chính, bạn phải mở cổng 22 trên mỗi nút để truy cập SSH. Bạn có thể tuỳ ý mở các cổng trên từng nút để cho phép SSH.
• Bạn có thể định cấu hình Management Server và Edge UI để gửi email thông qua một SMTP bên ngoài máy chủ. Nếu làm như vậy, bạn phải đảm bảo rằng Máy chủ quản lý và giao diện người dùng có thể truy cập vào các thông tin cần thiết cổng trên máy chủ SMTP. Đối với SMTP không phải TLS, số cổng thường là 25. Đối với TLS được bật SMTP, thường là 465, nhưng hãy kiểm tra với nhà cung cấp SMTP của bạn.

Bảng bên dưới cho biết các cổng cần được mở trong tường lửa, theo thành phần Edge:

> curl -v http://<routerIP>:15999/v1/servers/self/reachable

Bảng tiếp theo trình bày các cổng đó, được liệt kê bằng số, kèm theo nguồn và đích thành phần:

Trình xử lý thông báo luôn mở nhóm kết nối chuyên dụng cho Cassandra (được định cấu hình) thành không bao giờ hết thời gian chờ. Khi một tường lửa giữa trình xử lý thư và máy chủ Cassandra, tường lửa có thể hết thời gian kết nối. Tuy nhiên, trình xử lý thư không được thiết kế để thiết lập lại kết nối với Cassandra.

Để ngăn chặn tình huống này, Apigee khuyến nghị máy chủ Cassandra, trình xử lý tin nhắn và các bộ định tuyến nằm trong cùng một mạng con để tường lửa không liên quan đến việc triển khai các thành phần.

Nếu tường lửa nằm giữa bộ định tuyến và trình xử lý thư, đồng thời đã đặt thời gian chờ tcp ở trạng thái rảnh, các đề xuất của chúng tôi là:

1. Đặt net.ipv4.tcp_keepalive_time = 1800 trong phần cài đặt sysctl trên hệ điều hành Linux, trong đó 1800 phải thấp hơn tường lửa ở trạng thái rảnh tcp hết thời gian chờ. Chế độ cài đặt này sẽ giữ kết nối ở trạng thái đã thiết lập để tường lửa không ngắt kết nối kết nối.
2. Trên tất cả Trình xử lý thư, hãy chỉnh sửa /&lt;inst_root&gt;/apigee/customer/application/message-processor.properties để thêm thuộc tính sau. Nếu tệp không tồn tại, hãy tạo tệp đó.
   conf_system_cassandra.maxconnecttimeinmillis=-1
3. Khởi động lại Trình xử lý thư:
   &gt; /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor khởi động lại
4. Trên tất cả Bộ định tuyến, hãy chỉnh sửa /&lt;inst_root&gt;/apigee/customer/application/router.properties để thêm thuộc tính sau. Nếu tệp không tồn tại, hãy tạo tệp đó.
   conf_system_cassandra.maxconnecttimeinmillis=-1
5. Khởi động lại Bộ định tuyến:
   &gt; /opt/apigee/apigee-service/bin/apigee-service khởi động lại bộ định tuyến cạnh

Nếu bạn cài đặt cấu hình phân cụm 12 máy chủ lưu trữ với hai Trung tâm dữ liệu, hãy đảm bảo rằng các nút trong hai Trung tâm dữ liệu có thể giao tiếp qua các cổng được hiển thị dưới đây:

Các yêu cầu về cổng API BaaS

Nếu chọn cài đặt API BaaS, bạn sẽ thêm các thành phần API BaaS Stack và API BaaS Portal. Các thành phần này sử dụng các cổng như trong hình dưới đây:

Lưu ý trên sơ đồ này:

• Cổng API BaaS không bao giờ gửi yêu cầu trực tiếp đến nút Ngăn xếp BaaS. Khi một nhà phát triển đăng nhập vào Portal, ứng dụng Portal sẽ được tải xuống trình duyệt. Ứng dụng Portal đang chạy trong sau đó trình duyệt đưa ra yêu cầu đến các nút Ngăn xếp BaaS.
• Quá trình cài đặt phiên bản chính thức của API BaaS sẽ sử dụng trình cân bằng tải giữa nút Cổng API BaaS và nút Ngăn xếp API BaaS. Khi định cấu hình Portal và khi thực hiện lệnh gọi API BaaS, bạn chỉ định địa chỉ IP hoặc tên DNS của trình cân bằng tải, chứ không phải của các nút Ngăn xếp.
• Tất cả các nút Ngăn xếp phải mở cổng 2551 để truy cập từ tất cả các nút Ngăn xếp khác (được biểu thị bằng mũi tên lặp lại trong sơ đồ ở trên cho cổng 2551 trên các nút Ngăn xếp). Nếu bạn có nhiều Dữ liệu Trung tâm, cổng phải có thể truy cập được từ tất cả các nút Ngăn xếp trong tất cả Trung tâm dữ liệu.
• Bạn phải định cấu hình tất cả các nút Ngăn xếp Baas để gửi email thông qua một máy chủ SMTP bên ngoài. Cho SMTP không phải TLS, số cổng thường là 25. Đối với SMTP có bật TLS, thường là 465, nhưng hãy kiểm tra với nhà cung cấp SMTP của bạn.
• Các nút Cassandra có thể dành riêng cho API BaaS hoặc có thể được chia sẻ với Edge.

Bảng dưới đây trình bày các cổng mặc định cần được mở trong tường lửa theo thành phần:

Cấp phép

Mỗi lần cài đặt Edge, bạn sẽ phải có một tệp giấy phép duy nhất mà bạn nhận được từ Apigee. Bạn sẽ cần cung cấp đường dẫn đến tệp giấy phép khi cài đặt máy chủ quản lý, ví dụ: /tmp/license.txt.

Trình cài đặt sẽ sao chép tệp giấy phép vào /&lt;inst_root&gt;/apigee/customer/conf/license.txt.

Nếu tệp giấy phép hợp lệ, máy chủ quản lý sẽ xác thực ngày hết hạn và thời điểm thông báo được cho phép Số bộ xử lý (MP). Nếu bất kỳ chế độ cài đặt giấy phép nào đã hết hạn, bạn có thể xem nhật ký trong vị trí sau: /&lt;inst_root&gt;/apigee/var/log/edge-management-server/logs. Trong trường hợp này, bạn có thể liên hệ với Bộ phận hỗ trợ Apigee để thông tin chi tiết về việc di chuyển.

Nếu bạn chưa có giấy phép, hãy liên hệ với Bộ phận bán hàng tại đây.