متطلبات التثبيت

الإصدار 4.18.01 من Edge for Private Cloud

متطلبات الأجهزة

يجب أن تستوفي الحد الأدنى من متطلبات الأجهزة التالية للحصول على البنية التحتية في بيئة مستوى الإنتاج. لجميع سيناريوهات التثبيت الموضحة في طوعيات التثبيت، تسرد الجداول التالية الحد الأدنى من متطلبات الأجهزة لمكونات التثبيت.

في هذه الجداول، تكون متطلبات القرص الثابت بالإضافة إلى مساحة القرص الثابت التي يتطلبها نظام التشغيل. واستنادًا إلى التطبيقات وحركة بيانات الشبكة، قد تحدث عملية التثبيت تتطلب موارد أكثر أو أقل مما هو مذكور أدناه.

مكوِّن التثبيت ذاكرة الوصول العشوائي (RAM) وحدة معالجة مركزية (CPU) الحد الأدنى للقرص الثابت
كاساندرا 16 غيغابايت ثماني النواة مساحة تخزين محلية تبلغ 250 غيغابايت مع محرك أقراص ذي حالة صلبة (SSD) أو قرص صلب (HDD) سريع يتوافق مع 2000 عملية IOPS
معالج/جهاز توجيه الرسائل على نفس الجهاز 16 غيغابايت ثماني النواة 100 غيغابايت
Analytics: Postgres/Qpid على الخادم نفسه (لا يُنصَح بهذا الإجراء لمرحلة الإنتاج) 16 غيغابايت* ثماني النواة* مساحة تخزين على الشبكة بسعة 500 غيغابايت - 1 تيرابايت*****، ويُفضَّل أن يتم استخدامها مع الواجهة الخلفية لمحرك الأقراص ذي الحالة الصلبة، يتيح 1,000 عملية IOPS أو أكثر*
إحصاءات - Postgres مستقل 16 غيغابايت* ثماني النواة* مساحة تخزين على الشبكة بسعة 500 غيغابايت - 1 تيرابايت*****، ويُفضَّل أن يتم استخدامها مع الواجهة الخلفية لمحرك الأقراص ذي الحالة الصلبة، يتيح 1,000 عملية IOPS أو أكثر*
"إحصاءات Google" - Qpid مستقل 8 غيغابايت رباعي النواة مساحة تخزين محلية تتراوح بين 30 و50 غيغابايت مع محرك أقراص ذي حالة صلبة أو محرك أقراص ثابتة سريع

بالنسبة إلى عمليات التثبيت التي تزيد عن 250 وحدة في الثانية، يتم استخدام محرك الأقراص الثابتة مع مساحة تخزين محلية تتيح 1000 عملية IOPS الموصى بها.

حجم قائمة انتظار Qpid التلقائي هو 20 غيغابايت. إذا كنت بحاجة إلى إضافة سعة أكبر، يمكنك إضافة المزيد عُقد Qpid.
غير ذلك (OpenLDAP وواجهة المستخدم وخادم الإدارة) 4 غيغابايت ثنائي النواة 60 غيغابايت

* ضبط متطلبات نظام Postgres استنادًا إلى سرعة معالجة البيانات:

  • أقل من 250 وحدة TPS: يمكن استخدام شبكة مُدارة بسعة 8 غيغابايت مع اتصال رباعي النواة مساحة تخزين*** تتيح 1000 عملية IOPS أو أكثر
  • أكثر من 250 التيار في الثانية: وحدة تخزين شبكة مُدارة بسعة 16 غيغابايت، ثماني النواة*** يتيح 1000 عملية IOPS أو أكثر
  • أكثر من 1,000 وحدة TPS: مساحة تخزين شبكة مُدارة بسعة 16 غيغابايت، ثماني النواة*** تدعم 2000 عملية IOPS أو أعلى
  • أكثر من 2000 وحدة TPS: مساحة تخزين شبكة مُدارة بسعة 32 غيغابايت، بنظام 16 نواة*** تدعم 2000 عملية IOPS أو أعلى
  • أكثر من 4,000 وحدة TPS: ذاكرة تخزين شبكة مُدارة بسعة 64 غيغابايت، بنظام 32 نواة*** يتيح 4000 عملية IOPS أو أكثر

** تستند قيمة القرص الثابت في Postgres إلى الإحصاءات غير الجاهزة التي تم الحصول عليها من خلال Edge. إذا أضفت قيمًا مخصّصة إلى بيانات الإحصاءات، من المفترض زيادة هذه القيم. وفقًا لذلك. استخدِم الصيغة التالية لتقدير مساحة التخزين المطلوبة:

bytes of storage needed =

  (# bytes of analytics data/request) *

  (requests/second) *

  (seconds/hour) *

  (hours of peak usage/day) *

  (days/month) *

  (months of data retention)

على سبيل المثال:

(2K bytes) * (100 req/sec) * (3600 secs/hr) * (18 peak hours/day) * (30 days/month) * (3 months retention)

= 1,194,393,600,000 bytes or 1194.4 GB

*** يُنصَح بتفعيل تخزين الشبكة لقاعدة بيانات Postgresql للأسباب التالية:

  • تتيح لكم أيضًا زيادة حجم مساحة التخزين بشكل ديناميكي في حال حدوث ذلك. مطلوبة.
  • يمكن ضبط عمليات IOPS للشبكة بشكل سريع في معظم أوقات للبيئة/التخزين/الشبكة الفرعية.
  • يمكن تفعيل لقطات مستوى التخزين كجزء من الاحتفاظ بنسخة احتياطية والاسترداد الرائدة.

بالإضافة إلى ذلك، تسرد القائمة التالية متطلبات الأجهزة إذا كنت تريد تثبيت خدمات تحقيق الربح:

المكوِّن مع تحقيق الربح ذاكرة الوصول العشوائي (RAM) وحدة معالجة مركزية (CPU) قرص صلب
خادم الإدارة (مع خدمات تحقيق الربح) 8 غيغابايت رباعي النواة 60 غيغابايت
Analytics - Postgres/Qpid على الخادم نفسه 16 غيغابايت ثماني النواة من سعة تخزين الشبكة بين 500 غيغابايت و1 تيرابايت، ويفضل أن يتم ذلك مع الواجهة الخلفية SSD، والتي تتيح إجراء 1000 عملية IOPS أو أعلى، أو استخدم القاعدة من الجدول أعلاه.
إحصاءات - Postgres مستقل 16 غيغابايت ثماني النواة من سعة تخزين الشبكة بين 500 غيغابايت و1 تيرابايت، ويفضل أن يتم ذلك مع الواجهة الخلفية SSD، والتي تتيح إجراء 1000 عملية IOPS أو أعلى، أو استخدم القاعدة من الجدول أعلاه.
"إحصاءات Google" - Qpid مستقل 8 غيغابايت رباعي النواة مساحة تخزين محلية تتراوح بين 40 و500 غيغابايت عند استخدام محرك أقراص ذي حالة صلبة أو محرك أقراص ثابتة سريع

بالنسبة إلى عمليات التثبيت التي تزيد عن 250 وحدة في الثانية، يتم استخدام محرك الأقراص الثابتة مع مساحة تخزين محلية تتيح 1000 عملية IOPS الموصى بها.

في ما يلي قائمة بمتطلبات الأجهزة إذا كنت تريد تثبيت واجهة برمجة التطبيقات BaaS:

مكوِّن واجهة برمجة التطبيقات BaaS ذاكرة الوصول العشوائي وحدة معالجة مركزية (CPU) قرص صلب
ElasticSearch* 8 غيغابايت رباعي النواة من 60 إلى 80 غيغابايت
حزمة BaaS من واجهة برمجة التطبيقات* 8 غيغابايت رباعي النواة من 60 إلى 80 غيغابايت
بوابة BaaS لواجهة برمجة التطبيقات 1 غيغابايت ثنائي النواة 20 غيغابايت
كاساندرا** 16 غيغابايت ثماني النواة مساحة تخزين محلية تبلغ 250 غيغابايت مع محرك أقراص ذي حالة صلبة (SSD) أو قرص صلب (HDD) سريع يتوافق مع 2000 عملية IOPS

* يمكنك تثبيت ElasticSearch وBaaS Stack على نفس العقدة. إذا فعلت ذلك، تهيئة ElasticSearch لاستخدام ذاكرة سعتها 4 غيغابايت (افتراضي). إذا كان تطبيق ElasticSearch مثبتًا العقدة الخاصة بها، ثم إعدادها لاستخدام ذاكرة بسعة 6 جيجا بايت.

** اختياري؛ عادةً ما تستخدم مجموعة Cassandra نفسها لكل من Edge وBaaS لواجهة برمجة التطبيقات الخدمات.

نظام التشغيل والجهة الخارجية متطلبات البرامج

تم اختبار إرشادات التثبيت هذه وملفات التثبيت المُقدَّمة على أنظمة التشغيل والبرامج الخارجية المدرجة في البرامج المتوافقة والإصدارات المتوافقة

إنشاء مستخدم apigee

يؤدي إجراء التثبيت إلى إنشاء مستخدم نظام Unix باسم "apigee". أدلة Edge الملفات مملوكة من قِبل "apigee"، كما هي الحال مع عمليات Edge. هذا يعني أن مكونات Edge تعمل "apigee" المستخدم. إذا لزم الأمر، يمكنك تشغيل المكونات كمستخدم مختلف.

دليل التثبيت

بشكل تلقائي، يكتب المثبت جميع الملفات في الدليل /opt/apigee. إِنْتَ لا يمكن تغيير موقع الدليل هذا. بينما لا يمكنك تغيير هذا الدليل، يمكنك إنشاء رمزي لربط "/opt/apigee" بموقع آخر، كما هو موضَّح أدناه.

في التعليمات الواردة في هذا الدليل، تتم الإشارة إلى دليل التثبيت /opt/apigee

إنشاء رابط رمزي من /opt/apigee

قبل إنشاء الرابط الرمزي، يجب أولاً إنشاء مستخدم ومجموعة باسم "apigee". هذا هو نفس المجموعة والمستخدم الذي تم إنشاؤه بواسطة أداة تثبيت Edge.

لإنشاء الرابط الرمزي، نفذ هذه الخطوات قبل تنزيل ملف Bootstrap_4.18.01.sh. يجب تنفيذ كل هذه الخطوات كجذر:

  1. إنشاء "واجهة برمجة تطبيقات" المستخدم والمجموعة: 
    groupadd -r apigee > useradd -r -g apigee -d /opt/apigee -s /sbin/nologin -c "Apigee platform user" apigee
  2. أنشِئ رابطًا رمزيًا من /opt/apigee إلى جذر التثبيت المطلوب: 
    ln -Ts /srv/myInstallDir /opt/apigee

    حيث /srv/myInstallDir هو الموقع المطلوب لملفات Edge.

  3. تغيير ملكية جذر التثبيت والرابط الرمزي إلى "apigee" المستخدم: 
    chown -h apigee:apigee /srv/myInstallDir /opt/apigee

Java

عليك تثبيت إصدار متوافق من Java 1.8 على كل جهاز قبل عملية التثبيت. يتم إدراج ملفات JDK المتوافقة في البرامج المتوافقة والإصدارات المتوافقة

تأكَّد من أنّ JAVA_HOME يشير إلى جذر JDK للمستخدم الذي يُجري عملية التثبيت.

SELinux

بناءً على إعدادات SELinux، يمكن أن تواجه Edge مشكلات في التثبيت والبدء مكونات الحافة. إذا لزم الأمر، يمكنك تعطيل SELinux أو تعيينه على الوضع المتساهِل أثناء ثم إعادة تمكينه بعد التثبيت. راجع تثبيت أداة إعداد واجهة برمجة التطبيقات Edge لمعرفة المزيد.

إعدادات الشبكة

ننصحك بمراجعة إعدادات الشبكة قبل التثبيت. أداة التثبيت أن جميع الأجهزة تحتوي على عناوين IP ثابتة. استخدم الأوامر التالية للتحقق من صحة الإعداد:

  • تعرض الدالة hostname اسم الجهاز.
  • تعرض hostname -i عنوان IP لاسم المضيف الذي يمكن معالجته من أجهزة أخرى.

استنادًا إلى نوع نظام التشغيل وإصداره، قد تحتاج إلى تعديل /etc/hosts و/etc/sysconfig/network إذا لم يكن اسم المضيف بشكل صحيح. للحصول على مزيد من المعلومات، يمكنك مراجعة وثائق نظام التشغيل المحدد.

فإذا كان الخادم يحتوي على عدة بطاقات واجهة، فإن "اسم المضيف -i" ينتج عنها أمر مفصول بمسافة قائمة بعناوين IP. بشكل تلقائي، تستخدم أداة تثبيت Edge أول عنوان IP تم عرضه، وهو قد لا يكون صحيحًا في جميع المواقف. كخيار بديل، يمكنك ضبط السمة التالية في ملف تهيئة التثبيت:

ENABLE_DYNAMIC_HOSTIP=y

عند ضبط هذه الخاصية على "y"، تطلب منك أداة التثبيت اختيار عنوان IP لاستخدامه في عملية التثبيت. القيمة التلقائية هي "n". عرض مرجع ملف تهيئة الحافة للحصول على مزيد من المعلومات.

أغلفة TCP

ويمكن أن تحظر برامج أغلفة TCP الاتصال ببعض المنافذ وقد تؤثر في بروتوكول OpenLDAP وPostgres تركيب "كاساندرا". وفي هذه العُقد، تحقَّق من /etc/hosts.allow و /etc/hosts.deny للتأكد من عدم وجود قيود على المنافذ على البيانات المطلوبة منافذ OpenLDAP وPostgres وCassandra.

أجهزة iptables

تحقَّق من عدم توفّر سياسات iptables تمنع الاتصال بين العُقد في منافذ Edge المطلوبة. إذا لزم الأمر، يمكنك إيقاف iptables أثناء التثبيت باستخدام :

sudo/etc/init.d/iptables stop

على الإصدار 7.x من نظام التشغيل CentOS:

systemctl stop firewalld

التأكد من قدرة جهاز توجيه الحافة الوصول إلى /etc/rc.d/init.d/functions

تستخدم عُقد شبكة Edge Router وBaaS Portal جهاز توجيه Nginx، وتتطلب إذنًا بالقراءة. إلى /etc/rc.d/init.d/functions.

إذا تطلّبت عملية الأمان منك ضبط الأذونات على /etc/rc.d/init.d/functions، لا تضبطها على 700 وإلّا سيتعذّر على جهاز التوجيه البدء. يمكن ضبط الأذونات على 744 للسماح بالقراءة في /etc/rc.d/init.d/functions

كاساندرا

يجب توصيل جميع عُقد Cassandra بحلقة. تقوم "كاساندرا" بتخزين النسخ المتماثلة للبيانات على عدة عُقد لضمان الموثوقية والتسامح مع الأخطاء. تعمل استراتيجية النسخ المتماثل لكل يحدد مفتاح المسافة على Edge عُقد Cassandra حيث يتم وضع النسخ المتماثلة. لمزيد من المعلومات، يُرجى مراجعة لمحة عن "كاساندرا" عامل النسخ ومستوى الاتساق.

تضبط "كاساندرا" حجم كومة الذاكرة المؤقتة في Java تلقائيًا استنادًا إلى الذاكرة المتاحة. لمزيد من المعلومات، راجع الضبط موارد Java عند انخفاض الأداء أو استهلاك الذاكرة بشكل كبير

بعد تثبيت Edge for Private Cloud، يمكنك التحقّق من ضبط إعدادات Cassandra. بشكل صحيح من خلال فحص /opt/apigee/apigee-cassandra/conf/cassandra.yaml الملف. على سبيل المثال، تأكَّد من أنّ النص البرمجي للتثبيت Edge for Private Cloud يضبط ما يلي المواقع:

  • cluster_name
  • initial_token
  • partitioner
  • seeds
  • listen_address
  • rpc_address
  • snitch

قاعدة بيانات PostgreSQL

بعد تثبيت Edge، يمكنك ضبط إعدادات قاعدة بيانات PostgreSQL التالية بناءً على مقدار ذاكرة الوصول العشوائي المتاحة على نظامك:

conf_postgresql_shared_buffers = 35% of RAM      # min 128kB
conf_postgresql_effective_cache_size = 45% of RAM
conf_postgresql_work_mem = 512MB       # min 64kB

لضبط هذه القيم:

  1. تعديل ملف postgresql.properties: 
    vi /opt/apigee/customer/application/postgresql.properties

    إذا لم يكن الملف متوفّرًا، أنشئه.

  2. اضبط الخصائص المدرَجة أعلاه.
  3. احفظ تعديلاتك.
  4. أعِد تشغيل قاعدة بيانات PostgreSQL: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

حدود النظام

تأكد من تعيين حدود النظام التالية على Cassandra ومعالج الرسائل العُقد:

  • في عقد Cassandra، عيّن حدودًا ثابتة وصعبة لفتح القفل، ومساحة العنوان (as) لـ مستخدم التثبيت (الإعداد التلقائي هو "apigee") في /etc/security/limits.d/90-apigee-edge-limits.conf كما هو موضح أدناه: 
    apigee soft memlock unlimited
apigee hard memlock unlimited
apigee soft nofile 32768
apigee hard nofile 65536
apigee soft as unlimited
apigee hard as unlimited
  • في عُقد معالج الرسائل، اضبط الحد الأقصى لعدد أدوات وصف الملفات المفتوحة على 64 كيلوبايت في /etc/security/limits.d/90-apigee-edge-limits.conf باسم كما هو موضح أدناه: 
    apigee soft nofile 32768
apigee hard nofile 65536

    يمكنك رفع هذا الحدّ إذا لزم الأمر. فعلى سبيل المثال، إذا كان لديك عدد كبير من الزيارات الملفات في أي وقت.

jsvc

"jsvc" هو شرط أساسي لاستخدام واجهة برمجة التطبيقات BaaS. يتم تثبيت الإصدار 1.0.15-dev عند التثبيت وتقديم خدمة BaaS لواجهة برمجة التطبيقات.

خدمات أمان الشبكات (NSS)

خدمات أمان الشبكات (NSS) هي مجموعة من المكتبات التي تدعم تطوير تطبيقات العميل والخادم المزودين بالأمان. يجب التأكّد من تثبيت NSS. أو الإصدار 3.19 أو إصدار أحدث.

للتحقق من الإصدار الحالي:

yum info nss

لتحديث NSS:

yum update nss

اطّلِع على هذه المقالة. من RedHat للحصول على مزيد من المعلومات.

إيقاف بحث نظام أسماء النطاقات على IPv6 عند استخدام البرنامج الخفي لذاكرة التخزين المؤقت (NSCD)

إذا قمت بتثبيت برنامج NSCD (البرنامج الخفي لذاكرة التخزين المؤقت لخدمة الاسم) وتمكينه، فإن معالِجات الرسائل إجراء عمليتي بحث لنظام أسماء النطاقات: إحداهما لبروتوكول IPv4 والأخرى لبروتوكول IPv6. يجب إيقاف بحث نظام أسماء النطاقات على IPv6 عند استخدام NSCD.

لإيقاف بحث نظام أسماء النطاقات على IPv6:

  1. في كل عقدة معالج الرسائل، عدِّل /etc/nscd.conf
  2. اضبط السمة التالية: 
    enable-cache hosts no

إيقاف IPv6 على Google Cloud منصة RedHat/CentOS 7

في حال تثبيت Edge على RedHat 7 أو CentOS 7 على Google Cloud Platform، يجب يجب إيقاف IPv6 على جميع عُقد Qpid.

للحصول على تعليمات حول إصدار نظام التشغيل المستخدَم على جهازك، يمكنك الاطّلاع على وثائق RedHat أو CentOS وتعطيل IPv6. يمكنك مثلاً:

  1. افتح "/etc/hosts" في محرِّر.
  2. إدراج "#" حرف في العمود الأول من السطر التالي للتعليق عليه: 
    #::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
  3. احفظ الملف.

AWS AMI

في حال تثبيت Edge على صورة جهاز AWS Amazon Machine (AMI) لنظام التشغيل Red Hat Enterprise Linux 7.x، يجب أولاً تشغيل الأمر التالي:

yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

الأدوات

أداة التثبيت تستخدم أدوات UNIX التالية في الإصدار العادي على النحو المقدَّم من EL5 أو المشروع EL6.

awk

تجربة

libxslt

دورة في الدقيقة

فك الضغط

الاسم الأساسي

Grep

lua-socket

rpm2cpio

إضافة مستخدم

تحطيم

 اسم المضيف

الأمر ls الدليل

درهم إماراتي

wc

bc

id

أدوات الشبكة

sudo

wget

curl

ليبايو

Perl (من Procps)

القطران

xerces-c
سايروس ساسل libdb4 pgrep (من Procps) tr لذيذ

التاريخ

 libdb-cxx

ps

رقم uuid

chkconfig
اسم dirname أفعال ليبيب pwd uname  
echo librdmacm python    

ntpdate

يوصى بتخزين بيانات مرة واحدة. إذا لم يتم إعداده بالفعل، يمكن لأداة "ntpdate" استخدام هذا الغرض، والتي تتحقق من ما إذا كانت الخوادم متزامنة للوقت. يمكنك استخدام yum install ntp لتثبيت الأخرى. ويعد هذا مفيدًا بشكل خاص لتكرار إعدادات OpenLDAP. لاحظ أنه يتم إعداد الخادم المنطقة الزمنية بالتوقيت العالمي المنسق (UTC).

الإصدار 2.4 من بروتوكول Openldap

يتطلب التثبيت داخل المؤسسة الإصدار OpenLDAP 2.4. في حال حذف أن خادمك متصل بالإنترنت، عندئذٍ يتم تنزيل وتثبيت Edge البرمجي على خادمك OpenLDAP. إذا لم يكن خادمك متصلاً بالإنترنت، ينبغي لك التأكد من أن OpenLDAP "مثبت" بالفعل قبل تشغيل النص البرمجي لتثبيت Edge. على RHEL/CentOS، يمكنك تشغيل yum install openldap-clients openldap-servers لتثبيت OpenLDAP.

بالنسبة إلى عمليات التثبيت التي تتضمّن 13 مضيفًا وعمليات التثبيت التي تتضمّن 12 مضيفًا مع مركزَي بيانات، يجب توفير ما يلي: النسخ المتماثل لـ OpenLDAP نظرًا لوجود عُقد متعددة تستضيف OpenLDAP.

جدران الحماية والمضيفات الافتراضية

عادةً ما يتم تحميل مصطلح virtual بشكل زائد في مجال تقنية المعلومات، وبالتالي فهو نشر Apigee Edge for Private Cloud والمضيفين الافتراضيين للتوضيح، هناك نوعان أساسيان استخدامات للمصطلح virtual:

  • الأجهزة الافتراضية (VM): غير مطلوب، ولكن تستخدم بعض عمليات النشر تكنولوجيا الأجهزة الافتراضية. لإنشاء خوادم معزولة لمكونات Apigee. يمكن لمضيفي الأجهزة الافتراضية، مثل المضيفين المادي، وواجهات الشبكات والجدران النارية.
  • المضيفات الافتراضية: نقاط نهاية الويب، مماثلة لمضيف Apache الافتراضي.

يمكن أن يكشف الموجه في جهاز افتراضي عن مضيفين افتراضيين متعددين (طالما يختلفون عن بعضهم البعض في الاسم المستعار لمضيفه أو في منفذ الواجهة).

وكمثال على التسمية، قد يُشغِّل خادم مادي واحد A جهازَين افتراضيَين، باسم "VM1" و"VM2". لنفترض أن "VM1" تعرض واجهة إيثرنت افتراضية، تتم تسميتها "eth0" داخل الجهاز الافتراضي، والذي يتم تخصيص عنوان IP له 111.111.111.111 من خلال آلات المحاكاة الافتراضية أو خادم بروتوكول التهيئة الآلية للمضيفين (DHCP) للشبكة؛ ثم نفترض أن VM2 تكشف عن واجهة إيثرنت تُسمّى أيضًا "eth0" ويتم تعيين عنوان IP له 111.111.111.222

قد يكون لدينا جهاز توجيه Apigee يعمل في كل من الجهازين الافتراضيين. أجهزة التوجيه تكشف عن المضيف الظاهري نقاط النهاية كما في هذا المثال الافتراضي:

يعرض جهاز توجيه Apigee في VM1 ثلاثة مضيفات افتراضية على واجهة eth0 (التي تحتوي على بعض عنوان IP محدد) وapi.mycompany.com:80 وapi.mycompany.com:443 test.mycompany.com:80

يعرض جهاز التوجيه في الجهاز الافتراضي (VM2) api.mycompany.com:80 (الاسم والمنفذ نفسيهما). الكشف عنها بواسطة VM1).

قد يحتوي نظام تشغيل المضيف الفعلي على جدار حماية للشبكة. فإن جدار الحماية هذا لتمرير حركة بيانات TCP المرتبطة بالمنافذ التي يتم الكشف عنها على الأجهزة الافتراضية الواجهات (111.111.111.111:{80, 443} و111.111.111.222:80). بالإضافة إلى ذلك، يمكن أن يوفّر نظام تشغيل الأجهزة الافتراضية جدار الحماية الخاص به على واجهة eth0، ويجب أن توفّر هذه الأجهزة أيضًا جدار حماية. للسماح بربط حركة مرور المنفذين 80 و443.

المسار الأساسي هو المكوّن الثالث المُستخدَم في توجيه طلبات البيانات من واجهة برمجة التطبيقات إلى خوادم وكيلة مختلفة لواجهة برمجة التطبيقات. التي ربما تكون قد نشرتها يمكن لحِزم الخادم الوكيل لواجهة برمجة التطبيقات مشاركة نقطة نهاية إذا كان لها والمسارات الأساسية. على سبيل المثال، يمكن تحديد مسار أساسي واحد على أنّه http://api.mycompany.com:80/. وتعريف آخر على أنه http://api.mycompany.com:80/salesdemo.

وفي هذه الحالة، ستحتاج إلى جهاز موازنة الحمل أو مدير حركة بيانات من نوع ما يقسم http://api.mycompany.com:80/ عدد الزيارات بين عنواني IP (111.111.111.111 على الجهاز الافتراضي (VM1) و111.111.111.222 على الجهاز الافتراضي (VM2) هذه الدالة هي الخاصة بتثبيتك، وتهيئها مجموعة الشبكات المحلية.

ويتم ضبط المسار الأساسي عند نشر واجهة برمجة تطبيقات. من المثال أعلاه، يمكنك نشر اثنين من واجهات برمجة التطبيقات، mycompany وtestmycompany للمؤسسة mycompany-org بالمضيف الظاهري الذي يضم الاسم المستعار للمضيف api.mycompany.com والمنفذ مضبوطَين على 80. في حال عدم الإفصاح عن Basepath في عملية النشر، لن يعرف الموجه واجهة برمجة التطبيقات التي يجب إرسال الطلبات الواردة بها إليه.

ولكن في حال نشر واجهة برمجة التطبيقات testmycompany باستخدام عنوان URL الأساسي /salesdemo، يمكن للمستخدمين الوصول إلى واجهة برمجة التطبيقات هذه باستخدام http://api.mycompany.com:80/salesdemo في حال نشر واجهة برمجة التطبيقات mycompany باستخدام عنوان URL الأساسي لـ /، ثم سيدخل المستخدمون إلى واجهة برمجة التطبيقات من خلال عنوان URL http://api.mycompany.com:80/

متطلبات منفذ Edge

الحاجة إلى إدارة جدار الحماية لا تقتصر على المضيفات الظاهرية فحسب؛ كل من الجهاز الافتراضي والمضيف الفعلي أن تسمح جدران الحماية بحركة مرور المنافذ التي تحتاجها المكونات للتواصل مع كل آخر.

توضح الصورة التالية متطلبات المنافذ لكل مكون من مكونات Edge:

ملاحظات على هذا المخطّط البياني:

  • * يجب عدم فتح المنفذ 8082 في معالج الرسائل إلا بواسطة جهاز التوجيه عند قم بتهيئة TLS/SSL بين جهاز التوجيه ومعالج الرسائل. في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، أيهما الإعداد التلقائي، لا يزال المنفذ 8082 مطلوبًا مفتوحة في معالج الرسائل لإدارة المكوِّن، غير أن جهاز التوجيه لا يتطلب الوصول إليها.
  • المنافذ التي تبدأ بـ "M" هي منافذ تُستخدم لإدارة المكوِّن ويجب فتحها على ويجب فتحه على المكوِّن حتى يتمكن خادم الإدارة من الوصول إليه.
  • تتطلب المكونات التالية الوصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه، معالج الرسائل، وواجهة المستخدم، وPostgres، وQpid.
  • يجب أن يفتح معالج الرسائل المنفذ 4528 كمنفذ الإدارة الخاص به. إذا كان لديك عدة ينبغي أن تكون جميعها قادرة على الوصول إلى بعضها البعض عبر المنفذ 4528 (يُشار إليه باسم سهم حلقة في الرسم التخطيطي أعلاه للمنفذ 4528 في معالج الرسائل). إذا كان لديك عدة لمراكز البيانات، يجب أن تكون إمكانية الوصول إلى المنفذ متاحة من قِبل جميع معالِجات الرسائل في جميع مراكز البيانات.
  • يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إلى أي رسالة على الرغم من أنّه غير مطلوب. المعالج. أو قد تظهر لك رسائل خطأ في ملفات سجلّ معالج الرسائل.
  • يجب أن يفتح جهاز التوجيه المنفذ 4527 كمنفذ الإدارة الخاص به. إذا كانت لديك أجهزة توجيه متعددة، أن تكون جميعها قادرة على الوصول إلى بعضها البعض عبر المنفذ 4527 (يشار إليه بواسطة سهم التكرار في أعلاه للمنفذ 4527 على جهاز التوجيه).
  • تتطلب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، على المنافذ التي تعرضها الخوادم الوكيلة لواجهة برمجة التطبيقات، لدعم زر إرسال في أداة التتبُّع.
  • يتطلب خادم الإدارة الوصول إلى منفذ JMX على كاساندرا العُقد.
  • يمكن ضبط الوصول إلى منافذ JMX على طلب اسم مستخدم/كلمة مرور. عرض كيفية المراقبة لمزيد من المعلومات
  • يمكنك اختياريًا ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لاتصالات معيّنة يمكنها استخدام منافذ مختلفة. يمكنك الاطّلاع على TLS/SSL للحصول على أخرى.
  • في حال ضبط عقدتَين من قِبل Postgres لاستخدام النسخ المتماثل لوضع الاستعداد الرئيسي، يجب فتح المنفذ 22. على كل عقدة للوصول إلى ssh. يمكنك اختياريًا فتح المنافذ على العُقد الفردية للسماح وSSH.
  • يمكنك ضبط واجهة مستخدم خادم الإدارة وEdge لإرسال الرسائل الإلكترونية من خلال بروتوكول SMTP خارجي. الخادم. وإذا فعلت ذلك، فيجب عليك التأكد من أنه يمكن لخادم الإدارة وواجهة المستخدم الوصول إلى على خادم SMTP. بالنسبة إلى بروتوكول نقل البريد البسيط (SMTP) الذي لا يستخدم بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى تفعيل بروتوكول أمان طبقة النقل (TLS) SMTP، غالبًا ما يكون 465، لكن تحقق مع موفر SMTP.

يوضح الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، بواسطة مكون Edge:

المكوّن المنفذ الوصف
منافذ HTTP العادية 80، 443 HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفات الافتراضية
خادم الإدارة 8080 منفذ طلبات البيانات من واجهة برمجة التطبيقات لإدارة Edge تتطلب هذه المكونات الوصول إلى المنفذ 8080 على خادم الإدارة: Router، ومعالج الرسائل، وUI وPostgres، وQpid.
1099 منفذ JMX
4526 لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة
واجهة مستخدم الإدارة 9000 منفذ وصول المتصفّح إلى واجهة مستخدم الإدارة
معالج الرسائل 8998 منفذ معالج الرسائل للاتصالات من جهاز التوجيه
8082

منفذ الإدارة الافتراضي لمعالج الرسائل ويجب فتحه على المكوِّن الوصول إليها من خلال خادم الإدارة.

إذا ضبطت بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، اللذين يستخدمهما جهاز التوجيه لإجراء الفحوصات الصحية على معالج الرسائل.
1101 منفذ JMX
4528 لذاكرة التخزين المؤقت واستدعاءات الإدارة الموزعة بين معالجات الرسائل، رسالة من خادم التوجيه وخادم الإدارة
جهاز التوجيه 8081 منفذ الإدارة التلقائي لجهاز التوجيه ويجب فتحه على المكوِّن للوصول إليه بواسطة خادم الإدارة.
4527 لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة
15999

منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه المتوفرة.

للحصول على حالة جهاز التوجيه، يرسل جهاز موازنة الحمل طلبًا إلى المنفذ 15999 على الموجه:

curl -v http://routerIP:15999/v1/servers/self/reachable

فإذا كان من الممكن الوصول إلى جهاز التوجيه، سيعرض الطلب HTTP 200.
59001 المنفذ المستخدم لاختبار تثبيت Edge من خلال الأداة المساعدة apigee-validate. تتطلب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. عرض اختبار التثبيت لمعرفة المزيد على المنفذ 59001.
ZooKeeper 2181 تستخدمه مكونات أخرى مثل خادم الإدارة وجهاز التوجيه ومعالج الرسائل وما إلى ذلك
2888، 3888 يتم استخدامه داخليًا من قِبل ZooKeeper لمجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper) التواصل
كاساندرا 7000، 9042، 9160 منافذ Apache Cassandra للاتصال بين عُقد Cassandra وللوصول عن طريق مكونات Edge الأخرى.
7199 منفذ JMX يجب أن يكون الوصول إليها متاحًا من خلال خادم الإدارة.
Qpid 5672 يُستخدم للاتصالات من جهاز التوجيه ومعالج الرسائل إلى خادم Qpid.
8083 منفذ الإدارة التلقائي على خادم Qpid ويجب فتحه على المكوِّن الوصول إليها من خلال خادم الإدارة.
1102 منفذ JMX
4529 لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة
Postgres 5432 يستخدم للاتصال من Qpid/Management Server إلى Postgres
8084 منفذ الإدارة التلقائي على خادم Postgres ويجب فتحه على المكوِّن للوصول بواسطة خادم الإدارة.
1103 منفذ JMX
4530 لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة
22 في حالة تهيئة عُقدتين في Postgres لاستخدام النسخ الاحتياطي في وضع الاستعداد الرئيسي، يجب فتح المنفذ 22 في كل عقدة للوصول إلى SSH.
LDAP 10389 OpenLDAP
SmartDocs 59002 المنفذ في جهاز توجيه Edge الذي يتم إرسال طلبات صفحة Smart Docs إليه.

يعرض الجدول التالي المنافذ نفسها، مدرَجة رقميًا مع المصدر والوجهة. المكونات:

رقم المنفذ الغرض مكوِّن المصدر مكوِّن الوجهة
virtual_host_port HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لعدد زيارات طلبات البيانات من واجهة برمجة التطبيقات للمضيف الظاهري. المنفذان 80 و443 الأكثر استخدامًا؛ بإمكان جهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة. العميل الخارجي (أو موازن التحميل) أداة استماع على جهاز توجيه الرسائل
1099 إلى 1103 إدارة JMX برنامج JMX خادم الإدارة (1099)
معالج الرسائل (1101)
خادم Qpid (1102)
Postgres Server (1103)
2181 التواصل مع عميل Zookeeper خادم الإدارة
جهاز التوجيه
معالج الرسائل
خادم Qpid
خادم Postgres 		حارس حديقة حيوان
2888 و3888 إدارة عمليات داخلية في Zookeeper حارس حديقة حيوان حارس حديقة حيوان
4526 منفذ إدارة استدعاء إجراء عن بُعد (RPC) خادم الإدارة خادم الإدارة
4527 منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة، والاتصالات بين أجهزة التوجيه جهاز التوجيه
خادم الإدارة		 جهاز التوجيه
4528 لاستدعاءات ذاكرة التخزين المؤقت الموزعة بين معالجات الرسائل، وللتواصل مِنْ جِهَازِ التَّوْجِيهِ الْمَوْجُودْ خادم الإدارة
جهاز التوجيه
معالج الرسائل 		معالج الرسائل
4529 منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة خادم الإدارة خادم Qpid
4530 منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة خادم الإدارة خادم Postgres
5432 عميل Postgres خادم Qpid Postgres
5672

يتم استخدامه لإرسال الإحصاءات من جهاز التوجيه ومعالج الرسائل إلى Qpid.

 جهاز التوجيه
معالج الرسائل 		خادم Qpid
7000 اتصالات بين العُقد من "كاساندرا" كاساندرا عقدة كاساندرا أخرى
7199 إدارة JMX. يجب أن تكون مفتوحة للوصول على عقدة Cassandra من خلال "الإدارة". الخادم. عميل JMX كاساندرا
8080 منفذ Management API برامج Management API خادم الإدارة
من 8081 إلى 8084

منافذ مكونات واجهة برمجة التطبيقات، يتم استخدامها لإصدار طلبات واجهة برمجة التطبيقات مباشرة إلى المكونات الفردية. يفتح كل مكون منفذًا مختلفًا؛ يعتمد المنفذ الدقيق المستخدم على الإعدادات ولكن يجب فتحها على المكوِّن حتى يمكن الوصول إليه من خلال خادم الإدارة

 برامج Management API جهاز التوجيه (8081)
معالج الرسائل (8082)
خادم Qpid (8083)
Postgres Server (8084)
8998 الاتصال بين جهاز التوجيه ومعالج الرسائل جهاز التوجيه معالج الرسائل
9000 منفذ واجهة المستخدم التلقائي لإدارة Edge المتصفح خادم واجهة مستخدم الإدارة
9042 النقل الأصلي لـ CQL جهاز التوجيه
معالج الرسائل
خادم الإدارة 		كاساندرا
9160 عميل التوفير "كاساندرا" جهاز التوجيه
معالج الرسائل
خادم الإدارة 		كاساندرا
10389 منفذ LDAP خادم الإدارة OpenLDAP
15999 منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه المتوفرة. جهاز موازنة الحمل جهاز التوجيه
59001 المنفذ الذي تستخدمه الأداة المساعدة "apigee-validate" لاختبار تثبيت Edge apigee-validate جهاز التوجيه
59002 منفذ جهاز التوجيه الذي يتم من خلاله إرسال طلبات صفحة Smart Docs SmartDocs جهاز التوجيه

يعمل معالج الرسائل على إبقاء مجموعة اتصال مخصصة مفتوحة لـ "كاساندرا"، والتي يتم ضبطها على عدم انتهاء المهلة أبدًا. عندما يكون جدار حماية بين معالج الرسائل وخادم Cassandra، أن يؤدي جدار الحماية إلى إنهاء الاتصال. ومع ذلك، فإن معالج الرسائل غير مصمم إعادة إنشاء اتصالات مع "كاساندرا".

لمنع هذا الموقف، تنصح Apigee بأن يتم ضبط خادم Cassandra ومعالج الرسائل والموجهات في الشبكة الفرعية نفسها بحيث لا يشارك جدار حماية في نشر هذه والمكونات.

إذا كان جدار الحماية يقع بين جهاز التوجيه ومعالِجات الرسائل، وتم ضبط مهلة Tcp على عدم نشاطه، توصياتنا هي:

  1. يمكنك ضبط net.ipv4.tcp_keepalive_time = 1800 في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن يكون الرقم 1800 أقل من مهلة tcp غير النشطة لجدار الحماية. ينبغي أن يبقي هذا الإعداد اتصال في حالة قائمة، بحيث لا يقطع جدار الحماية الاتصال.
  2. تعديل جميع معالِجات الرسائل /opt/apigee/customer/application/message-processor.properties لإضافة الخاصية التالية. إذا لم يكن الملف متوفّرًا، أنشئه. 
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. إعادة تشغيل معالج الرسائل: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. تعديل /opt/apigee/customer/application/router.properties على جميع أجهزة التوجيه لإضافة الخاصية التالية. إذا لم يكن الملف متوفّرًا، أنشئه. 
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. أعِد تشغيل جهاز التوجيه: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart

في حال تثبيت التهيئة المجمّعة حسب 12 مضيفًا مع مركزي بيانات، تأكد من يمكن للعُقد في مركزي البيانات الاتصال عبر المنافذ الموضحة أدناه:

متطلبات منفذ BaaS لواجهة برمجة التطبيقات

إذا اختَرت تثبيت BaaS لواجهة برمجة التطبيقات، يمكنك إضافة مكوّنات بوابة BaaS لواجهة برمجة التطبيقات وبوابة BaaS لواجهة برمجة التطبيقات. تستخدم هذه المكوّنات المنافذ الموضحة في الشكل أدناه:

ملاحظات على هذا المخطّط البياني:

  • لا تُجري بوابة BaaS API الطلبات مباشرةً إلى عقدة حزمة BaaS. عندما يختار مطور البرامج تسجيل الدخول إلى "البوابة"، يتم تنزيل تطبيق "البوابة" على المتصفح. يتم تشغيل تطبيق "بوابة" في يقوم المتصفح بعد ذلك بإجراء طلبات إلى عُقد حزمة BaaS.
  • إنّ تثبيت إصدار BaaS لواجهة برمجة التطبيقات يستخدم جهاز موازنة الحمل بين عقدة بوابة BaaS الخاصة بواجهة برمجة التطبيقات. وعُقد واجهة برمجة التطبيقات BaaS Stack. عند إعداد "البوابة" وعند إجراء طلبات بيانات من واجهة برمجة التطبيقات BaaS، عليك حدد عنوان IP أو اسم نظام أسماء النطاقات لجهاز موازنة الحمل، وليس لعُقد الحزمة.
  • يجب أن تفتح جميع عُقد حزمة التكديس المنفذ 2551 للوصول من جميع عقد الحزمة الأخرى (يُشار إليها بواسطة سهم تكرار حلقي في الرسم التخطيطي أعلاه للمنفذ 2551 على عُقد الحزمة). إذا كانت لديك بيانات متعددة بالنسبة إلى المنفذ، يجب أن تتوفّر إمكانية الوصول إلى المنفذ من جميع عُقد الحزم في جميع مراكز البيانات.
  • يجب إعداد جميع عُقد حزمة Baas Stack لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. بالنسبة SMTP بدون بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول نقل البريد البسيط (SMTP) الذي تم تفعيل بروتوكول أمان طبقة النقل (TLS)، يكون غالبًا 465، ولكن يُرجى التحقق مع مزوّد SMTP.
  • يمكن تخصيص عُقد Cassandra لنظام BaaS لواجهة برمجة التطبيقات، أو يمكن مشاركتها مع Edge.

يوضح الجدول أدناه المنافذ التلقائية التي يجب فتحها في جدران الحماية، حسب المكوّن:

المكوّن المنفذ الوصف
بوابة BaaS لواجهة برمجة التطبيقات 9000 منفذ لواجهة مستخدم BaaS لواجهة برمجة التطبيقات
حزمة BaaS لواجهة برمجة التطبيقات 8080 المنفذ الذي يتم استلام طلب البيانات من خلاله
2551

منفذ للاتصال بين جميع عُقد المكدس. يجب أن تكون متاحة من خلال جميع الحزم الأخرى العُقد في مستودع البيانات.

إذا كان لديك عدة مراكز بيانات، يجب أن تتوفّر إمكانية الوصول إلى المنفذ من جميع عُقد تكديس في جميع مراكز البيانات.
ElasticSearch من 9200 إلى 9400 للتواصل مع واجهة برمجة التطبيقات BaaS Stack وللتواصل بين ElasticSearch العُقد

الترخيص

يتطلب كل عملية تثبيت Edge ملف ترخيص فريدًا تحصل عليه من Apigee. وسوف تحتاج إلى توفير المسار إلى ملف الترخيص عند تثبيت خادم الإدارة، على سبيل المثال /tmp/license.txt.

تنسخ أداة التثبيت ملف الترخيص إليه /opt/apigee/customer/conf/license.txt

إذا كان ملف الترخيص صالحًا، يتحقّق خادم الإدارة من تاريخ انتهاء الصلاحية ويسمح لتطبيق "الرسائل" عدد المعالجات (MP). في حال انتهاء صلاحية أي من إعدادات الترخيص، يمكنك العثور على السجلّات في الموقع التالي: /opt/apigee/var/log/edge-management-server/logs. في هذه الحالة، يمكنك التواصل مع فريق دعم Apigee Edge للحصول على تفاصيل نقل البيانات.

إذا لم يكن لديك ترخيص بعد، يُرجى التواصل مع Apigee Sales.