متطلبات التثبيت

الإصدار 4.18.01 من Edge الخاص بخدمة Private Cloud

متطلبات الأجهزة

يجب أن تستوفي الحد الأدنى من المتطلبات التالية للأجهزة للحصول على بنية أساسية متاحة بدرجة كبيرة في بيئة ذات مستوى إنتاج. بالنسبة إلى جميع سيناريوهات التثبيت الموضّحة في طرق التثبيت، تسرد الجداول التالية الحد الأدنى من متطلبات الأجهزة لمكونات التثبيت.

تشمل هذه الجداول متطلبات القرص الثابت بالإضافة إلى مساحة القرص الثابت التي يتطلبها نظام التشغيل. استنادًا إلى التطبيقات وحركة بيانات الشبكة، قد يتطلب التثبيت موارد أكثر أو أقل مما هو مدرج أدناه.

مكوِّن التركيب ذاكرة الوصول العشوائي وحدة المعالجة المركزية (CPU) الحد الأدنى للقرص الثابت
من الفئة العمرية 31-45 16 غيغابايت ثماني النواة مساحة تخزين محلية تبلغ 250 غيغابايت مزودة بمحرك أقراص ذات الحالة الصلبة أو محرك أقراص ثابتة سريع متوافق مع معيار 2000 IOPS
معالج/موجه الرسائل على الجهاز نفسه 16 غيغابايت ثماني النواة 100 غيغابايت
"إحصاءات Google" - Postgres/Qpid على الخادم نفسه (لا يُنصح به للإنتاج) 16 غيغابايت* ثماني النواة* 500 غيغابايت - 1 تيرابايت** من مساحة التخزين على الشبكة***، ويُفضَّل أن تكون مزوّدة بخلفية SSD، مع التوافق مع 1000 IOPS أو أعلى*
إحصاءات Google - Postgres مستقلة 16 غيغابايت* ثماني النواة* 500 غيغابايت - 1 تيرابايت** من مساحة التخزين على الشبكة***، ويُفضَّل أن تكون مزوّدة بخلفية SSD، مع التوافق مع 1000 IOPS أو أعلى*
إحصاءات Google - معرّف Qpid مستقل 8 غيغابايت 4 أنوية 30 غيغابايت: مساحة تخزين محلية تبلغ 50 غيغابايت مع محرك SSD أو محرك أقراص HDD سريع

لعمليات التثبيت التي تزيد عن 250 TPS، يُنصح باستخدام محرك أقراص HDD مع مساحة تخزين محلية تدعم 1000 IOPS.

يكون حجم قائمة انتظار Qpid التلقائي هو 20 غيغابايت. إذا كنت بحاجة إلى إضافة المزيد من السعة، أضِف عُقد Qpid إضافية.
غير ذلك (OpenLDAP، واجهة المستخدم، خادم الإدارة) 4 غيغابايت ثنائي النواة 60 غيغابايت

* ضبط متطلبات نظام Postgres استنادًا إلى سرعة معالجة البيانات:

  • أقل من 250 نقطة في الثانية: 8 غيغابايت، ويمكن استخدام رباعي النواة مع مساحة تخزين الشبكة المُدارة*** التي تدعم 1000 إدخال في الثانية أو أعلى
  • أكثر من 250 نقطة في الثانية: مساحة تخزين مُدارة عبر الشبكة بسعة 16 غيغابايت، ثماني النواة،*** تدعم 1000 إدخال في الثانية أو أعلى
  • أكثر من 1,000 نقطة في الثانية: مساحة تخزين مُدارة عبر الشبكة بسعة 16 غيغابايت، ثماني النواة،*** تدعم 2000 إدخال في الثانية أو أعلى
  • أكثر من 2000 نقطة اتصال في الثانية: مساحة تخزين مُدارة على الشبكة من 16 نواة بسعة 32 غيغابايت*** تتوافق مع 2000 إدخال في الثانية أو أعلى
  • أكثر من 4,000 نقطة اتصال في الثانية: 64 غيغابايت، سعة 32 نواة، مساحة تخزين مُدارة عبر الشبكة*** تدعم 4000 IOPS أو أعلى

** تستند قيمة القرص الثابت في Postgres إلى إحصاءات جديدة يتم الحصول عليها من خلال Edge. إذا أضفت قيمًا مخصّصة إلى بيانات الإحصاءات، يجب زيادة هذه القيم وفقًا لذلك. استخدِم الصيغة التالية لتقدير مساحة التخزين المطلوبة:

bytes of storage needed =

  (# bytes of analytics data/request) *

  (requests/second) *

  (seconds/hour) *

  (hours of peak usage/day) *

  (days/month) *

  (months of data retention)

مثال:

(2K bytes) * (100 req/sec) * (3600 secs/hr) * (18 peak hours/day) * (30 days/month) * (3 months retention)

= 1,194,393,600,000 bytes or 1194.4 GB

*** يُنصح باستخدام ميزة تخزين الشبكة لقاعدة بيانات Postgresql للأسباب التالية:

  • وهي تتيح إمكانية تكبير حجم مساحة التخزين ديناميكيًا إذا لزم الأمر.
  • يمكن تعديل IOPS للشبكة بسرعة في معظم البيئات/أنظمة التخزين/الأنظمة الفرعية للشبكة اليوم.
  • يمكن تفعيل لقطات مستوى التخزين كجزء من حلول النسخ الاحتياطي والاسترداد.

بالإضافة إلى ذلك، تنطبق المتطلبات التالية على متطلبات الأجهزة إذا أردت تثبيت "خدمات تحقيق الربح":

مكوّن يتضمّن تحقيق الربح ذاكرة الوصول العشوائي وحدة المعالجة المركزية (CPU) القرص الثابت
خادم الإدارة (مع خدمات تحقيق الربح) 8 غيغابايت 4 أنوية 60 غيغابايت
إحصاءات Google - Postgres/Qpid على الخادم نفسه 16 غيغابايت ثماني النواة 500 غيغابايت - 1 تيرابايت من مساحة التخزين على الشبكة، ويُفضَّل أن تكون مع خلفية SSD، أو تتوافق مع 1000 إدخال في الثانية أو أكثر، أو استخدِم القاعدة المذكورة في الجدول أعلاه.
إحصاءات Google - Postgres مستقلة 16 غيغابايت ثماني النواة 500 غيغابايت - 1 تيرابايت من مساحة التخزين على الشبكة، ويُفضَّل أن تكون مع خلفية SSD، أو تتوافق مع 1000 إدخال في الثانية أو أكثر، أو استخدِم القاعدة المذكورة في الجدول أعلاه.
إحصاءات Google - معرّف Qpid مستقل 8 غيغابايت 4 أنوية 40 غيغابايت: مساحة تخزين محلية تبلغ 500 غيغابايت مع محرك SSD أو محرك أقراص HDD سريع

لعمليات التثبيت التي تزيد عن 250 TPS، يُنصح باستخدام محرك أقراص HDD مع مساحة تخزين محلية تدعم 1000 IOPS.

في ما يلي قائمة بمتطلبات الأجهزة إذا كنت تريد تثبيت نظام BaaS لواجهة برمجة التطبيقات:

مكوِّن BaaS لواجهة برمجة التطبيقات ذاكرة الوصول العشوائي وحدة المعالجة المركزية (CPU) القرص الثابت
مفتاح ElasticSearch* 8 غيغابايت 4 أنوية من 60 إلى 80 غيغابايت
حزمة BaaS Stack لواجهة برمجة التطبيقات* 8 غيغابايت 4 أنوية من 60 إلى 80 غيغابايت
بوابة BaaS لواجهة برمجة التطبيقات 1 غيغابايت ثنائي النواة 20 غيغابايت
كاساندرا** 16 غيغابايت ثماني النواة مساحة تخزين محلية تبلغ 250 غيغابايت مزودة بمحرك أقراص ذات الحالة الصلبة أو محرك أقراص ثابتة سريع متوافق مع معيار 2000 IOPS

* يمكنك تثبيت ElasticSearch وواجهة برمجة التطبيقات BaaS Stack على العقدة نفسها. وفي حال إجراء ذلك، يمكنك ضبط ElasticSearch لاستخدام ذاكرة بسعة 4 غيغابايت (الخيار التلقائي). في حال تثبيت ElasticSearch على العقدة الخاصة به، يجب إعداده لاستخدام سعة 6 غيغابايت من الذاكرة.

** اختياري، حيث يمكنك عادةً استخدام مجموعة Cassandra نفسها لكل من خدمات Edge وBaaS الخاصة بواجهة برمجة التطبيقات.

متطلبات نظام التشغيل والبرامج الخارجية

تم اختبار تعليمات التثبيت هذه وملفات التثبيت المرفقة على أنظمة التشغيل والبرامج الخارجية المدرَجة في البرامج المتوافقة والإصدارات المتوافقة.

إنشاء مستخدم واجهة برمجة التطبيقات

ينشئ إجراء التثبيت مستخدم نظام Unix يُسمى "apigee". أمّا أدلة Edge وملفاتها، فهي مملوكة لـ "apigee"، وكذلك عمليات Edge. وهذا يعني أنّ مكونات Edge يتم تشغيلها كمستخدم "apigee". وعند الضرورة، يمكنك تشغيل المكونات كمستخدم مختلف.

دليل التثبيت

تكتب أداة التثبيت تلقائيًا جميع الملفات في دليل /opt/apigee. لا يمكنك تغيير موقع الدليل هذا. ومع أنّه لا يمكنك تغيير هذا الدليل، يمكنك إنشاء رابط رمزي لربط /opt/apigee بموقع جغرافي آخر، كما هو موضّح أدناه.

في التعليمات الواردة في هذا الدليل، تتم الإشارة إلى دليل التثبيت على النحو التالي: /opt/apigee.

إنشاء رابط رمزي من /opt/apigee

قبل إنشاء الرابط الرمزي، يجب أولاً إنشاء مستخدم ومجموعة باسم "apigee". وهذه هي المجموعة والمستخدم نفسهما اللتان تم إنشاؤهما بواسطة أداة تثبيت Edge.

لإنشاء الرابط الرمزي، نفذ هذه الخطوات قبل تنزيل ملف Bootstrap_4.18.01.sh. يجب تنفيذ كل هذه الخطوات كجذر:

  1. إنشاء المستخدم والمجموعة "apigee": 
    groupadd -r apigee > useradd -r -g apigee -d /opt/apigee -s /sbin/nologin -c "Apigee platform user" apigee
  2. أنشِئ رابطًا رمزيًا من /opt/apigee إلى جذر التثبيت المطلوب: 
    ln -Ts /srv/myInstallDir /opt/apigee

    حيث يكون /srv/myInstallDir هو الموقع المطلوب لملفات Edge.

  3. غيِّر ملكية جذر التثبيت والرابط الرمزي لمستخدم "apigee": 
    chown -h apigee:apigee /srv/myInstallDir /opt/apigee

Java

تحتاج إلى إصدار معتمد من Java 1.8 مثبت على كل جهاز قبل التثبيت. يتم إدراج أرقام JDK المتوافقة في البرامج المتوافقة والإصدارات المتوافقة.

وتأكَّد من أنّ JAVA_HOME يشير إلى جذر JDK للمستخدم الذي يُجري التثبيت.

SELinux

استنادًا إلى إعدادات SELinux، قد يواجه Edge مشكلات في تثبيت وبدء مكونات Edge. ويمكنك إذا لزم الأمر إيقاف SELinux أو ضبطه على الوضع المتساهِل أثناء التثبيت، ثم إعادة تفعيله بعد التثبيت. راجع تثبيت الأداة المساعدة لإعداد واجهة برمجة تطبيقات Edge لمزيد من المعلومات.

إعدادات الشبكة

ننصحك بالتحقّق من إعدادات الشبكة قبل التثبيت. ويتوقّع أداة التثبيت أن تكون جميع الأجهزة لها عناوين IP ثابتة. استخدِم الأوامر التالية للتحقق من صحة الإعداد:

  • تعرض القيمة hostname اسم الجهاز.
  • تعرض hostname -i عنوان IP لاسم المضيف الذي يمكن معالجته من الأجهزة الأخرى.

استنادًا إلى نوع نظام التشغيل وإصداره، قد تحتاج إلى تعديل /etc/hosts و/etc/sysconfig/network إذا لم يتم ضبط اسم المضيف بشكل صحيح. راجِع وثائق نظام التشغيل المحدّد للحصول على مزيد من المعلومات.

إذا كان الخادم يحتوي على بطاقات واجهة متعدّدة، يعرض الأمر "hostname -i" قائمة بعناوين IP مفصولة بمسافات. بشكل تلقائي، يستخدم مثبِّت Edge أول عنوان IP يتم عرضه، وقد لا يكون صحيحًا في جميع الحالات. يمكنك بدلاً من ذلك إعداد السمة التالية في ملف إعداد التثبيت:

ENABLE_DYNAMIC_HOSTIP=y

عند ضبط هذه السمة على "y"، تطلب منك أداة التثبيت اختيار عنوان IP لاستخدامه كجزء من عملية التثبيت. القيمة الافتراضية هي "n". راجِع مرجع ملف ضبط الحافة لمزيد من المعلومات.

مغلّفات TCP

يمكن أن تحظر برامج تغليف TCP الاتصال ببعض المنافذ وقد تؤثر في تثبيت OpenLDAP وPostgres وCassandra. في هذه العُقد، تحقَّق من /etc/hosts.allow و/etc/hosts.deny للتأكّد من عدم فرض أي قيود على المنافذ على منافذ OpenLDAP وPostgres وCassandra المطلوبة.

iptables

تحقَّق من عدم وجود سياسات iptables تمنع الاتصال بين العُقد على منافذ Edge المطلوبة. إذا لزم الأمر، يمكنك إيقاف iptables أثناء التثبيت باستخدام الأمر:

sudo/etc/init.d/iptables stop

على CentOS 7.x:

systemctl stop firewalld

تأكَّد من إمكانية وصول جهاز توجيه Edge إلى /etc/rc.d/init.d/functions.

تستخدم عُقد جهاز توجيه Edge وبوابة BaaS جهاز التوجيه Nginx وتتطلب إذن الوصول للقراءة إلى /etc/rc.d/init.d/functions.

إذا كانت عملية الأمان تتطلب منك ضبط الأذونات على /etc/rc.d/init.d/functions، لا تضبطها على 700 وإلا سيتعذّر تشغيل جهاز التوجيه. يمكن ضبط الأذونات على 744 للسماح بالوصول للقراءة إلى /etc/rc.d/init.d/functions.

من الفئة العمرية 31-45

يجب توصيل جميع عُقد Cassandra بحلقة. تخزِّن "كاساندرا" نُسخًا طبق الأصل من البيانات على عُقد متعددة لضمان الموثوقية والتوافق مع الأخطاء. تحدد استراتيجية النسخ المماثل لكل مساحة مفاتيح Edge عُقد Cassandra التي يتم وضع النسخ المتماثلة فيها. لمزيد من المعلومات، راجِع لمحة عن عامل نسخ "كاساندرا" ومستوى الاتساق.

تقوم Cassandra تلقائيًا بضبط حجم كومة الذاكرة المؤقتة بلغة Java بناءً على الذاكرة المتاحة. لمعرفة مزيد من المعلومات، يُرجى الاطّلاع على ضبط موارد Java. في حال تدهور الأداء أو استهلاك كبير للذاكرة.

بعد تثبيت Edge for Private Cloud، يمكنك التأكّد من ضبط Cassandra بشكل صحيح من خلال فحص ملف /opt/apigee/apigee-cassandra/conf/cassandra.yaml. على سبيل المثال، تأكَّد من أنّ النص البرمجي لتثبيت Edge for Private Cloud قد ضبط السمات التالية:

  • cluster_name
  • initial_token
  • partitioner
  • seeds
  • listen_address
  • rpc_address
  • snitch

قاعدة بيانات PostgreSQL

بعد تثبيت Edge، يمكنك ضبط إعدادات قاعدة بيانات PostgreSQL التالية بناءً على حجم ذاكرة الوصول العشوائي المتاحة على نظامك:

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

لضبط هذه القيم:

  1. عدِّل ملف postgresql.properties: 
    vi /opt/apigee/customer/application/postgresql.properties
    .

    إذا لم يكن الملف موجودًا، فأنشئه.

  2. اضبط الخصائص المدرَجة أعلاه.
  3. احفظ التعديلات.
  4. أعِد تشغيل قاعدة بيانات PostgreSQL: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

حدود النظام

احرص على ضبط حدود النظام التالية على عُقد Cassandra ومعالج الرسائل:

  • في عُقد Cassandra، يمكنك ضبط حدود soft وثابتة وثابتة ومساحة العنوان (مثل) لمستخدمي التثبيت (القيمة التلقائية هي "apigee") في /etc/security/limits.d/90-apigee-edge-limits.conf كما هو موضّح أدناه: 
    apigee soft memlock unlimited
apigee hard memlock unlimited
apigee soft nofile 32768
apigee hard nofile 65536
apigee soft as unlimited
apigee hard as unlimited
  • في عُقد معالج الرسائل، اضبط الحد الأقصى لعدد أدوات وصف الملفات المفتوحة على 64 ألف في /etc/security/limits.d/90-apigee-edge-limits.conf كما هو موضّح أدناه: 
    apigee soft nofile 32768
apigee hard nofile 65536

    ويمكنك زيادة هذا الحد إذا لزم الأمر. على سبيل المثال، إذا كان لديك عدد كبير من الملفات المؤقتة المفتوحة في أي وقت.

أداة jsvc

"jsvc" هو شرط أساسي لاستخدام نظام BaaS لواجهة برمجة التطبيقات. يتم تثبيت الإصدار 1.0.15 -dev عند تثبيت BaaS لواجهة برمجة التطبيقات.

خدمات أمان الشبكات (NSS)

خدمات أمان الشبكة (NSS) هي مجموعة من المكتبات التي تدعم تطوير تطبيقات العميل والخادم التي تم تفعيل الأمان عليها. يجب التأكّد من تثبيت الإصدار 3.19 أو الإصدارات الأحدث من NSS.

للتحقّق من الإصدار الحالي، يُرجى اتّباع الخطوات التالية:

yum info nss

لتحديث NSS:

yum update nss

للحصول على مزيد من المعلومات، يمكنك الاطّلاع على هذه المقالة من RedHat.

إيقاف بحث نظام أسماء النطاقات على IPv6 عند استخدام NSCD (برنامج خفي لذاكرة التخزين المؤقت لخدمة الأسماء)

إذا كنت قد ثبَّت وفعّلت برنامج NSCD (الخفي لذاكرة التخزين المؤقت لخدمة الأسماء)، ستُجري معالِجات الرسائل عمليتَي بحث لنظام أسماء النطاقات: أحدهما لبروتوكول IPv4 والآخر لبروتوكول IPv6. يجب إيقاف بحث نظام أسماء النطاقات على IPv6 عند استخدام NSCD.

لإيقاف بحث نظام أسماء النطاقات على IPv6:

  1. تعديل /etc/nscd.conf في كل عقدة من عُقد معالج الرسائل
  2. اضبط السمة التالية: 
    enable-cache hosts no

إيقاف IPv6 على Google Cloud Platform لـ RedHat/CentOS 7

إذا كنت تثبّت Edge على RedHat 7 أو CentOS 7 على Google Cloud Platform، عليك إيقاف IPv6 على جميع عُقد Qpid.

راجِع مستندات RedHat أو CentOS لمعرفة إصدار نظام التشغيل الذي تستخدمه للحصول على تعليمات حول إيقاف IPv6. على سبيل المثال، يمكنك إجراء ما يلي:

  1. فتح /etc/hosts في محرِّر
  2. أدخِل الحرف "#" في العمود الأول من السطر التالي للتعليق عليه: 
    #::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
  3. احفظ الملف.

AWS AMI

في حال تثبيت Edge على AWS Amazon Machine Image (AMI) لنظام التشغيل Red Hat Enterprise Linux 7.x، عليك أولاً تشغيل الأمر التالي:

yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

الأدوات

تستخدم أداة التثبيت أدوات UNIX التالية في الإصدار العادي كما هو موضّح في EL5 أو EL6.

awk

expr

libxslt

نَفَس في الدقيقة

unzip

basename

grep

lua-socket

rpm2cpio

إضافة مستخدم

باش

 hostname

ls

sed

wc

bc

id

net-tools

sudo

wget

curl

ليبايو

Perl (من procps)

القطران

شيرسيس-سي
سايروس ساسل libdb4 pgrep (من procps) tr لذيذ

التاريخ

 libdb-cxx

ps

uuid

أمر chkconfig
dirname الأفعال الكتابية pwd بلا اسم  
echo ليبردماكم python    

بروتوكول ntpdate

يُوصى بمزامنة أوقات الخوادم. يمكن أن تخدم أداة ntpdate هذا الغرض إذا لم يتم إعدادها من قبل، الذي يتحقّق مما إذا كانت الخوادم متزامنة للوقت. يمكنك استخدام yum install ntp لتثبيت الأداة. وهذا مفيد على وجه الخصوص في تكرار إعدادات OpenLDAP. وتجدُر الإشارة إلى أنّك أعددت المنطقة الزمنية للخادم بالتوقيت العالمي المنسّق (UTC).

openldap 2.4

يتطلب التثبيت داخل المؤسسة الوصول إلى بروتوكول OpenLDAP 2.4. في حال كان خادمك متصلاً بالإنترنت، سيتم تنزيل البرنامج النصي لتثبيت Edge وتثبيته عبر بروتوكول OpenLDAP. إذا لم يكن الخادم متصلاً بالإنترنت، يجب التأكد من أنّ بروتوكول OpenLDAP قد تم تثبيته من قبل قبل تشغيل النص البرمجي لتثبيت Edge. في RHEL/CentOS، يمكنك تشغيل yum install openldap-clients openldap-servers لتثبيت OpenLDAP.

بالنسبة إلى عمليات التثبيت لـ 13 مضيفًا وعمليات التثبيت من 12 مضيفًا مع مركزَي بيانات، يجب طلب النسخ المماثل لخدمة OpenLDAP نظرًا لوجود عُقد متعددة تستضيف OpenLDAP.

جدران الحماية والمضيفون الافتراضيون

عادةً ما يتم تحميل مصطلح virtual بشكل زائد في مجال تكنولوجيا المعلومات، ولذلك فإنّه يحدث عند استخدام Apigee Edge مع نشر Private Cloud والمضيف الافتراضي. للتوضيح، هناك استخدامان أساسيان للمصطلح virtual:

  • الأجهزة الافتراضية (VM): ليس مطلوبًا، ولكن تستخدم بعض عمليات النشر تكنولوجيا الأجهزة الافتراضية لإنشاء خوادم معزولة لمكوّنات Apigee. ويمكن أن تحتوي مضيفات الأجهزة الافتراضية، مثل المضيفين الفعليين، على واجهات شبكة وجدران حماية.
  • المضيفون الافتراضيون: نقاط نهاية الويب، مشابهة لمضيف افتراضي Apache.

يمكن لجهاز التوجيه في جهاز افتراضي كشف عدة مضيفات افتراضية (طالما يختلفان عن بعضهما في الاسم المستعار الخاص بالمضيف أو في منفذ الواجهة).

وكمثال على التسمية، قد يشغّل خادم مادي واحد A جهازَين افتراضيَّين، باسم "VM1" و "VM2". لنفترض أنّ "VM1" يعرض واجهة إيثرنت افتراضية تحمل الاسم "eth0" داخل الجهاز الافتراضي، ويتم تخصيص عنوان IP له رقم 111.111.111.111 من خلال أجهزة المحاكاة الافتراضية أو خادم بروتوكول DHCP للشبكة. ثم لنفترض أنّ الجهاز VM2 يعرض واجهة إيثرنت افتراضية تُسمى أيضًا "eth0" ويتم تخصيص عنوان IP لها 111.111.111.222.

قد يكون لدينا جهاز توجيه Apigee يعمل في كل من الجهازين الافتراضيين. تعرض أجهزة التوجيه نقاط نهاية المضيف الافتراضية كما هو موضّح في هذا المثال الافتراضي:

يعرض جهاز توجيه Apigee في VM1 ثلاثة مضيفات افتراضية على واجهة eth0 (التي تحتوي على عنوان IP محدد) وapi.mycompany.com:80 وapi.mycompany.com:443 وtest.mycompany.com:80.

يعرض جهاز التوجيه في الجهاز الافتراضي VM2 api.mycompany.com:80 (الاسم والمنفذ نفسيهما اللذَين يظهران في الجهاز الافتراضي VM1).

قد يحتوي نظام تشغيل المضيف الفعلي على جدار حماية للشبكة، وفي هذه الحالة، يجب ضبط جدار الحماية هذا لتمرير حركة مرور بيانات TCP المرتبطة بالمنافذ التي يتم عرضها على الواجهات الافتراضية (111.111.111.111:{80, 443} و111.111.111.222:80). بالإضافة إلى ذلك، قد يوفّر كل نظام تشغيل افتراضي جدار حماية خاص به على واجهة ET0 الخاصة به، ويجب أن يسمح هذا الجدار الناري أيضًا بالاتصال عبر المنافذ 80 و443.

يمثل المسار الأساسي المكون الثالث في توجيه طلبات البيانات من واجهة برمجة التطبيقات إلى الخوادم الوكيلة المختلفة لواجهة برمجة التطبيقات التي ربما تكون نشرتها. يمكن لحِزم الخادم الوكيل لواجهة برمجة التطبيقات مشاركة نقطة نهاية إذا كان لها مسارات أساسية مختلفة. على سبيل المثال، يمكن تحديد مسار أساسي واحد باعتباره http://api.mycompany.com:80/ ومسارًا آخر باسم http://api.mycompany.com:80/salesdemo.

في هذه الحالة، ستحتاج إلى أداة لموازنة الحمل أو أداة لإدارة عدد الزيارات من نوع ما لتقسيم حركة الزيارات http://api.mycompany.com:80/ بين عنوانَي IP (111.111.111.111 على VM1 و111.111.111.222 على VM2). هذه الدالة خاصة بعملية التثبيت التي تجريها، ويتم ضبطها من خلال مجموعة الشبكات المحلية.

يتم تحديد المسار الأساسي عند نشر واجهة برمجة تطبيقات. من المثال أعلاه، يمكنك نشر واجهتَي برمجة تطبيقات، mycompany وtestmycompany، للمؤسسة mycompany-org من خلال المضيف الافتراضي الذي يتضمن الاسم المستعار للمضيف api.mycompany.com والمنفذ على 80. إذا لم تحدّد مسارًا أساسيًا في عملية النشر، لن يعرف الموجه أي واجهة برمجة تطبيقات يجب إرسال الطلبات الواردة إليها.

في المقابل، إذا نشرت واجهة برمجة التطبيقات testmycompany باستخدام عنوان URL الأساسي /salesdemo، سيصل المستخدمون إلى واجهة برمجة التطبيقات هذه باستخدام http://api.mycompany.com:80/salesdemo. في حال نشر واجهة برمجة التطبيقات mycompany باستخدام عنوان URL الأساسي /، سيصل المستخدمون إلى واجهة برمجة التطبيقات من خلال عنوان URL التالي: http://api.mycompany.com:80/.

متطلبات منفذ الحافة

ولا تقتصر الحاجة إلى إدارة جدار الحماية على المضيفات الافتراضية فحسب، بل يجب أن يسمح كل من جدران الحماية للأجهزة الافتراضية والمضيف الفعلي بحركة مرور المنافذ التي تطلبها المكوّنات للاتصال بعضها ببعض.

توضح الصورة التالية متطلبات المنافذ لكل مكون من مكونات Edge:

ملاحظات في هذا المخطّط البياني:

  • * يجب فتح منفذ 8082 على معالج الرسائل فقط للوصول إلى جهاز التوجيه عند إعداد بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة بين جهاز التوجيه ومعالج الرسائل. في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة بين جهاز التوجيه ومعالج الرسائل، يجب أن تكون الإعدادات التلقائية للمنفذ 8082 مفتوحة على معالج الرسائل لإدارة المكوّن، إلا أنّ جهاز التوجيه لا يطلب الوصول إليه.
  • المنافذ التي يسبقها الرمز "M" هي منافذ تستخدم لإدارة المكوِّن ويجب أن تكون مفتوحة على المكوِّن ويجب أن تكون مفتوحة على المكوِّن للوصول إليها من خلال خادم الإدارة.
  • تتطلب المكونات التالية الوصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه، ومعالج الرسائل، وواجهة المستخدم، وPostgres، وQpid.
  • يجب أن يفتح "معالج الرسائل" المنفذ 4528 ليكون منفذ الإدارة الخاص به. إذا كانت لديك عدة معالجات رسائل، يجب أن تتمكن جميعها من الوصول إلى بعضها عبر المنفذ 4528 (ويشار إليه بسهم التكرار الحلقي في المخطط أعلاه للمنفذ 4528 في معالج الرسائل). وإذا كانت لديك عدة مراكز بيانات، يجب أن تتوفر إمكانية الوصول إلى المنفذ من جميع معالجات الرسائل في جميع مراكز البيانات.
  • يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إلى البيانات من خلال أي معالج رسائل، علمًا أنّه ليس مطلوبًا. بخلاف ذلك، قد تظهر لك رسائل خطأ في ملفات سجل معالج الرسائل.
  • يجب أن يفتح جهاز التوجيه المنفذ 4527 ليكون منفذ الإدارة الخاص به. إذا كانت لديك عدة أجهزة توجيه، يجب أن يكون بمقدورها جميعًا الوصول إلى بعضها عبر المنفذ 4527 (يُشار إليه بسهم التكرار الحلقي في الرسم البياني أعلاه للمنفذ 4527 على جهاز التوجيه).
  • تتطلّب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، من خلال المنافذ التي تكشفها الخوادم الوكيلة لواجهة برمجة التطبيقات، لإتاحة استخدام الزر إرسال في أداة التتبُّع.
  • يتطلب خادم الإدارة الوصول إلى منفذ JMX في عُقد Cassandra.
  • يمكن تهيئة الوصول إلى منافذ JMX بحيث يتطلب اسم مستخدم/كلمة مرور. اطّلِع على كيفية المراقبة للحصول على مزيد من المعلومات.
  • يمكنك اختياريًا ضبط إمكانية الوصول إلى بروتوكول أمان طبقة النقل أو طبقة المقابس الآمنة لبعض الاتصالات التي يمكنها استخدام منافذ مختلفة. راجِع بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة لمعرفة المزيد.
  • في حال ضبط عقدتَين من Postgres لاستخدام النسخ المماثل في وضع الاستعداد الرئيسي، عليك فتح المنفذ 22 في كل عقدة للوصول إلى SSH. يمكنك اختياريًا فتح المنافذ على العُقد الفردية للسماح بالوصول إلى SSH.
  • يمكنك ضبط خادم الإدارة وواجهة مستخدم Edge لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. في حال إجراء ذلك، يجب التأكد من إمكانية وصول خادم الإدارة وواجهة المستخدم إلى المنفذ اللازم على خادم SMTP. بالنسبة إلى بروتوكول SMTP الذي لا يستخدم بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول SMTP المفعَّل فيه بروتوكول أمان طبقة النقل (TLS)، غالبًا ما يكون مقداره 465، ولكن يمكنك الرجوع إلى موفّر بروتوكول نقل البريد البسيط (SMTP).

يبين الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، بواسطة مكوِّن Edge:

المكوِّن المنفذ الوصف
منافذ HTTP العادية 80، 443 HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفات الظاهرية
خادم الإدارة 8080 منفذ طلبات واجهة برمجة التطبيقات لإدارة Edge تتطلب هذه المكوّنات الدخول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه ومعالج الرسائل وواجهة المستخدم وPostgres وQpid.
1099 منفذ JMX
4526 لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة
واجهة مستخدم الإدارة 9000 منفذ لوصول المتصفح إلى واجهة مستخدم الإدارة
معالج الرسائل 8998 منفذ معالج الرسائل للاتصالات من جهاز التوجيه
8082

منفذ الإدارة التلقائي لمعالج الرسائل ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة.

في حال ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة بين جهاز التوجيه ومعالج الرسائل، يستخدمه جهاز التوجيه لإجراء عمليات التحقّق من سلامة "معالج الرسائل".
1101 منفذ JMX
4528 لذاكرة التخزين المؤقت ومكالمات الإدارة الموزَّعة بين معالِجات الرسائل، وللاتصال من جهاز التوجيه وخادم الإدارة
جهاز التوجيه 8081 منفذ الإدارة التلقائي لجهاز التوجيه ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة.
4527 لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة
15999

منفذ التحقق من الصحة ويستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه متاحًا.

لمعرفة حالة جهاز التوجيه، يُجري جهاز موازنة الحمل طلبًا بمنفذ 15999 على جهاز التوجيه:

curl -v http://routerIP:15999/v1/servers/self/reachable

وفي حال إمكانية الوصول إلى جهاز التوجيه، سيعرض الطلب HTTP 200.
59001 المنفذ المستخدَم لاختبار تثبيت Edge من خلال الأداة المساعدة apigee-validate. تتطلب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. راجع اختبار التثبيت لمعرفة المزيد عن المنفذ 59001.
ZooKeeper 2181 يستخدمها مكوّنات أخرى مثل خادم الإدارة، وجهاز التوجيه، ومعالج الرسائل، وغير ذلك
2888، 3888 يتم استخدامه داخليًا من قِبل ZooKeeper للاتصال بالمجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper)
من الفئة العمرية 31-45 7000، 9042، 9160 منافذ Apache Cassandra للاتصال بين عُقد Cassandra والوصول إلى مكونات Edge الأخرى.
7199 منفذ JMX. يجب أن يكون متاحًا للوصول إليه من خلال خادم الإدارة.
معرّف Qpid 5672 يُستخدم للاتصالات من جهاز التوجيه ومعالج الرسائل إلى خادم Qpid
8083 منفذ الإدارة التلقائي على خادم Qpid ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة.
1102 منفذ JMX
4529 لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة
بوستجريس 5432 يُستخدم للاتصال من Qpid/Management Server إلى Postgres
8084 منفذ الإدارة التلقائي على خادم Postgres ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة.
1103 منفذ JMX
4530 لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة
22 في حال ضبط عقدتَين من Postgres لاستخدام النسخ المماثل في وضع الاستعداد الرئيسي، عليك فتح المنفذ 22 في كل عقدة للوصول إلى بروتوكول النقل الآمن (SSH).
LDAP 10389 OpenLDAP
SmartDocs 59002 المنفذ على جهاز توجيه Edge الذي يتم إرسال طلبات صفحة Smart Docs إليه.

يعرض الجدول التالي المنافذ نفسها مدرَجة رقميًا مع مكوّنات المصدر والوجهة:

رقم المنفذ الغرض المكوِّن المصدر مكوِّن الوجهة
virtual_host_port HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لعدد زيارات الاتصال عبر واجهة برمجة تطبيقات المضيف الظاهري. يتم استخدام المنفذين 80 و443 بشكل شائع، حيث يمكن لجهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة. العميل الخارجي (أو موازن التحميل) المستمع على جهاز توجيه الرسائل
من 1099 إلى 1103 إدارة JMX عميل JMX خادم الإدارة (1099)
معالج الرسائل (1101)
خادم Qpid (1102)
Postgres Server (1103)
2181 التواصل مع العميل في Zookeeper خادم الإدارة
جهاز التوجيه
معالج الرسائل
خادم Qpid
خادم Postgres 		حارس حديقة الحيوان
2888 و3888 إدارة الأجهزة الداخلية في Zookeeper حارس حديقة الحيوان حارس حديقة الحيوان
4526 منفَذ إدارة RPC خادم الإدارة خادم الإدارة
4527 منفذ إدارة استدعاء إجراء عن بُعد (RPC) لاستدعاءات ذاكرة التخزين المؤقت والإدارة الموزعة، والاتصالات بين أجهزة التوجيه جهاز توجيه
خادم الإدارة		 جهاز التوجيه
4528 لاستدعاءات ذاكرة التخزين المؤقت الموزَّعة بين معالِجات الرسائل، وللاتصالات من جهاز التوجيه خادم الإدارة
جهاز التوجيه
معالج الرسائل 		معالج الرسائل
4529 منفذ إدارة استدعاء إجراء عن بُعد (RPC) لمكالمات التخزين المؤقت ومكالمات الإدارة الموزعة خادم الإدارة خادم Qpid
4530 منفذ إدارة استدعاء إجراء عن بُعد (RPC) لمكالمات التخزين المؤقت ومكالمات الإدارة الموزعة خادم الإدارة خادم Postgres
5432 عميل Postgres خادم Qpid بوستجريس
5672

يُستخدم لإرسال الإحصاءات من جهاز التوجيه ومعالج الرسائل إلى معرّف Qpid

 جهاز التوجيه
معالج الرسائل 		خادم Qpid
7000 اتصالات بين عقدة كاساندرا من الفئة العمرية 31-45 عقدة Cassandra أخرى
7199 إدارة JMX. يجب أن يفتح خادم الإدارة إمكانية الوصول إلى عقدة Cassandra. عميل JMX من الفئة العمرية 31-45
8080 منفذ Management API برامج Management API خادم الإدارة
8081 إلى 8084

منافذ واجهة برمجة التطبيقات للمكوّنات، تُستخدَم لإصدار طلبات البيانات من واجهة برمجة التطبيقات إلى المكوّنات الفردية مباشرةً. يفتح كل مكون منفذ مختلف، ويعتمد المنفذ الدقيق المستخدم على التهيئة ولكن يجب أن يكون مفتوحًا على المكون للوصول إليه من خلال خادم الإدارة

 برامج Management API Router (8081)
Message Processor (8082)
Qpid Server (8083)
Postgres Server (8084)
8998 الاتصال بين جهاز التوجيه ومعالج الرسائل جهاز التوجيه معالج الرسائل
9000 المنفذ التلقائي لواجهة مستخدم إدارة Edge المتصفح خادم واجهة مستخدم الإدارة
9042 خدمة نقل أصلي من شركة CQL جهاز التوجيه
معالج الرسائل
خادم الإدارة 		من الفئة العمرية 31-45
9160 عميل للتوفير في "كاساندرا" جهاز التوجيه
معالج الرسائل
خادم الإدارة 		من الفئة العمرية 31-45
10389 منفذ LDAP خادم الإدارة OpenLDAP
15999 منفذ التحقق من الصحة ويستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه متاحًا. جهاز موازنة الحمل جهاز التوجيه
59001 المنفذ الذي تستخدمه الأداة المساعدة apigee-validate لاختبار تثبيت Edge apigee-validate جهاز التوجيه
59002 منفذ جهاز التوجيه الذي يتم من خلاله إرسال طلبات صفحة Smart Docs SmartDocs جهاز التوجيه

يبقي معالج الرسائل مجموعة اتصالات مخصّصة مفتوحة لـ Cassandra، والتي يتم ضبطها على عدم انقضاء المهلة أبدًا. عندما يكون جدار الحماية بين معالج الرسائل وخادم Cassandra، يمكن أن ينتهي جدار الحماية من الاتصال. ومع ذلك، لم يتم تصميم معالج الرسائل لإعادة الربط بـ Cassandra.

لمنع حدوث هذا الموقف، تنصح Apigee بأن يكون خادم Cassandra ومعالج الرسائل وأجهزة التوجيه في الشبكة الفرعية نفسها حتى لا يشارك جدار الحماية في نشر هذه المكونات.

في حال كان جدار الحماية بين جهاز التوجيه ومعالجات الرسائل، وتم ضبط مهلة عدم النشاط لفترة قصيرة، على سبيل المثال، ننصح بما يلي:

  1. اضبط net.ipv4.tcp_keepalive_time = 1800 في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن يكون الرقم 1800 أقل من مهلة tcpئ لجدار الحماية. ويجب أن يؤدي هذا الإعداد إلى إبقاء الاتصال كما هو حتى لا يقطع الجدار الناري الاتصال.
  2. في جميع معالِجات الرسائل، عدِّل /opt/apigee/customer/application/message-processor.properties لإضافة السمة التالية. إذا لم يكن الملف موجودًا، فأنشئه. 
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. أعِد تشغيل معالج الرسائل: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. على جميع أجهزة التوجيه، عدِّل /opt/apigee/customer/application/router.properties لإضافة السمة التالية. إذا لم يكن الملف موجودًا، فأنشئه. 
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. عليك إعادة تشغيل جهاز التوجيه: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart

في حال تثبيت الإعدادات الـ 12 المجمّعة للمضيفين باستخدام مركزَي بيانات، تأكّد من إمكانية اتصال العُقد في "مركزَي البيانات" عبر المنافذ الموضّحة أدناه:

متطلبات منفذ BaaS لواجهة برمجة التطبيقات

في حال اختيار تثبيت نظام BaaS لواجهة برمجة التطبيقات، يمكنك إضافة مكوّنَي BaaS Stack وواجهة برمجة التطبيقات BaaS المدخل إلى واجهة برمجة التطبيقات. تستخدم هذه المكوّنات المنافذ الموضحة في الشكل أدناه:

ملاحظات في هذا المخطّط البياني:

  • لا ترسل بوابة BaaS الخاصة بواجهة برمجة التطبيقات طلبات مباشرةً إلى عقدة BaaS Stack. عندما يسجل مطوّر البرامج الدخول إلى البوابة، يتم تنزيل تطبيق البوابة إلى المتصفّح. يُجري تطبيق البوابة، الذي يعمل في المتصفح، طلبات إلى عُقد BaaS Stack.
  • في عملية تثبيت إنتاج BaaS لواجهة برمجة التطبيقات، يتم استخدام أداة موازنة الحمل بين عقدة بوابة BaaS الخاصة بواجهة برمجة التطبيقات وعُقد BaaS Stack لواجهة برمجة التطبيقات. عند إعداد البوابة وعند إجراء طلبات بيانات من BaaS API، عليك تحديد عنوان IP أو اسم نظام أسماء النطاقات في جهاز موازنة الحمل، وليس في عُقد حزمة Stack.
  • يجب أن تفتح جميع عُقد حزمة Stack المنفذ 2551 للوصول إليها من جميع عُقد Stack الأخرى (المُشار إليها بسهم التكرار الحلقي في الرسم البياني أعلاه للمنفذ 2551 على عُقد Stack). إذا كانت لديك عدة "مراكز بيانات"، يجب أن تتوفّر إمكانية الوصول إلى المنفذ من جميع عُقد حزمة Stack في جميع "مراكز البيانات".
  • يجب إعداد جميع عُقد Baas Stack لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. بالنسبة إلى بروتوكول SMTP الذي لا يستخدم بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول SMTP الذي تم تفعيل بروتوكول أمان طبقة النقل (TLS)، غالبًا ما يكون فيه 465، ولكن راجِع موفّر بروتوكول نقل البريد البسيط (SMTP).
  • يمكن تخصيص عُقد Cassandra لواجهة برمجة التطبيقات BaaS، أو يمكن مشاركتها مع Edge.

يعرض الجدول أدناه المنافذ التلقائية التي يجب فتحها في جدران الحماية حسب المكوِّن:

المكوِّن المنفذ الوصف
واجهة برمجة التطبيقات BaaS 9000 منفذ واجهة مستخدم BaaS لواجهة برمجة التطبيقات
حزمة BaaS لواجهة برمجة التطبيقات 8080 المنفذ الذي يتم تلقّي طلب واجهة برمجة التطبيقات عليه
2551

منفذ للاتصال بين جميع عُقد المكدس. يجب أن يكون الوصول إليها متاحًا من خلال جميع عُقد المكدس الأخرى في قسم البيانات.

إذا كانت لديك عدة مراكز بيانات، يجب أن يكون الوصول إلى المنفذ متاحًا من جميع عُقد حزمة Stack في جميع مراكز البيانات.
ElasticSearch 9200 إلى 9400 للتواصل مع حزمة BaaS Stack لواجهة برمجة التطبيقات والتواصل بين عُقد ElasticSearch

الترخيص

يتطلب كل تثبيت Edge ملف ترخيص فريد يمكنك الحصول عليه من Apigee. وعليك توفير المسار إلى ملف الترخيص عند تثبيت خادم الإدارة، على سبيل المثال /tmp/ترخيص.txt.

ينسخ أداة التثبيت ملف الترخيص إلى /opt/apigee/customer/conf/license.txt.

إذا كان ملف الترخيص صالحًا، يتحقّق خادم الإدارة من عدد انتهاء صلاحية عدد معالجات الرسائل (MP) المسموح به وانتهاء الصلاحية. إذا انتهت صلاحية أي من إعدادات الترخيص، يمكنك العثور على السجلات في الموقع التالي: /opt/apigee/var/log/edge-management-server/logs. في هذه الحالة، يمكنك التواصل مع فريق دعم Apigee Edge للحصول على تفاصيل نقل البيانات.

في حال لم يكن لديك ترخيص، يُرجى التواصل مع فريق مبيعات Apigee.