Edge for Private Cloud 4.18.01 sürümü
Donanım Gereksinimleri
Üretim düzeyinde bir ortamda yüksek düzeyde kullanılabilir bir altyapı için aşağıdaki minimum donanım gereksinimlerini karşılamanız gerekir. Yükleme Topolojileri'nde açıklanan tüm yükleme senaryoları için aşağıdaki tablolarda kurulum bileşenleri için minimum donanım gereksinimleri listelenmiştir.
Bu tablolarda sabit disk gereksinimleri, işletim sisteminin gerektirdiği sabit disk alanına ek olarak belirtilmiştir. Uygulamalarınıza ve ağ trafiğinize bağlı olarak yüklemeniz için aşağıda listelenenlerden daha fazla veya daha az kaynak gerekebilir.
Kurulum Bileşeni | RAM | CPU | Minimum sabit disk |
---|---|---|---|
Cassandra | 16 GB | 8 Çekirdek | SSD ile 250 GB yerel depolama veya 2.000 IOPS'yi destekleyen hızlı HDD |
Aynı makinedeki İleti İşleyici/Yönlendirici | 16 GB | 8 Çekirdek | 100GB |
Analytics - Aynı sunucuda Postgres/Qpid (üretim için önerilmez) | 16GB* | 8 çekirdekli* | 500 GB - 1 TB** ağ depolama alanı*** (tercihen SSD arka ucuyla), 1.000 IOPS veya üzerini destekler* |
Analytics - Postgres bağımsız | 16GB* | 8 Çekirdek* | 500 GB - 1 TB** ağ depolama alanı*** (tercihen SSD arka ucuyla), 1.000 IOPS veya üzerini destekler* |
Analytics - Qpid bağımsız | 8 GB | 4 Çekirdek | SSD veya hızlı HDD ile 30 GB - 50 GB yerel depolama alanı
250 TPS'nin üzerindeki yüklemeler için yerel depolama alanı 1.000 IOPS'yi destekleyen HDD önerilir. Varsayılan Qpid sıra boyutu 20 GB'tır. Daha fazla kapasite eklemeniz gerekiyorsa ilave Qpid düğümleri ekleyin. |
Diğer (OpenLDAP, Kullanıcı Arayüzü, Yönetim Sunucusu) | 4 GB | 2 Çekirdek | 60 GB |
* Postgres sistem gereksinimlerini işleme hızına göre ayarlayın:
- 250 TPS'den düşük: 8 GB ve 4 çekirdekli, yönetilen ağ depolama alanı*** ve 1.000 IOPS veya daha yüksek
- 250 TPS'den yüksek: 16 GB, 8 çekirdekli, yönetilen ağ depolama alanı*** 1.000 IOPS veya üzerini destekleyen
- 1.000 TPS'den yüksek: 16 GB, 8 çekirdekli, yönetilen ağ depolama alanı*** 2.000 IOPS veya üzerini destekleyen
- 2.000 TPS'den yüksek: 32 GB, 16 çekirdekli, yönetilen ağ depolama alanı*** ve 2.000 IOPS veya üstü destekleyen
- 4.000 TPS'den fazla: 64 GB, 32 çekirdekli, yönetilen ağ depolama alanı*** ve 4.000 IOPS veya üstü destekleyen
** Postgres sabit disk değeri, Edge tarafından yakalanan kullanıma hazır analizlere dayanır. Analiz verilerine özel değerler eklerseniz bu değerler de uygun şekilde artırılmalıdır. Gereken depolama alanını tahmin etmek için aşağıdaki formülü kullanın:
bytes of storage needed =
(# bytes of analytics data/request) *
(requests/second) *
(seconds/hour) *
(hours of peak usage/day) *
(days/month) *
(months of data retention)
Örneğin:
(2K bytes) * (100 req/sec) * (3600 secs/hr) * (18 peak hours/day) * (30 days/month) * (3 months retention)
= 1,194,393,600,000 bytes or 1194.4 GB
*** Postgresql veritabanı için Network Storage'ın kullanılması önerilir çünkü:
- Gerektiğinde ve gerektiğinde depolama alanı boyutunu dinamik olarak artırma olanağı sunar.
- Ağ IOPS'si, günümüzün ortam/Depolama/Ağ alt sistemlerinin çoğunda anında ayarlanabilir.
- Depolama düzeyinde anlık görüntüler, yedekleme ve kurtarma çözümlerinin bir parçası olarak etkinleştirilebilir.
Ayrıca Para Kazanma Hizmetleri'ni yüklemek istiyorsanız donanım gereksinimleri aşağıda listelenmiştir:
Para kazanma ile ilgili bileşen | RAM | CPU | Sabit disk |
---|---|---|---|
Yönetim Sunucusu (Para Kazanma Hizmetleri ile birlikte) | 8 GB | 4 çekirdekli | 60 GB |
Analytics - Aynı sunucuda Postgres/Qpid | 16 GB | 8 Çekirdek | 500 GB - 1 TB ağ depolama alanı (tercihen SSD arka ucuyla, 1.000 veya daha yüksek IOPS'yi destekleyen) ya da yukarıdaki tablodaki kuralı kullanın. |
Analytics - Postgres bağımsız | 16 GB | 8 Çekirdek | 500 GB - 1 TB ağ depolama alanı (tercihen SSD arka ucuyla, 1.000 veya daha yüksek IOPS'yi destekleyen) ya da yukarıdaki tablodaki kuralı kullanın. |
Analytics - Qpid bağımsız | 8 GB | 4 Çekirdek | SSD veya hızlı HDD ile 40 GB - 500 GB yerel depolama alanı
250 TPS'nin üzerindeki yüklemeler için yerel depolama alanı 1.000 IOPS'yi destekleyen HDD önerilir. |
API BaaS'ı yüklemek istiyorsanız donanım gereksinimleri aşağıda listelenmiştir:
API BaaS Bileşeni | RAM | CPU | Sabit disk |
---|---|---|---|
Elastik Arama* | 8 GB | 4 çekirdekli | 60-80GB |
API BaaS Yığını* | 8 GB | 4 Çekirdek | 60-80GB |
API BaaS Portalı | 1 GB | 2 Çekirdek | 20GB |
Cassandra** | 16 GB | 8 Çekirdek | SSD ile 250 GB yerel depolama veya 2.000 IOPS'yi destekleyen hızlı HDD |
* Elastik Arama ve API BaaS Yığını'nı aynı düğüme yükleyebilirsiniz. Bu olanaktan yararlanıyorsanız Elastik Arama'yı 4 GB bellek (varsayılan) kullanacak şekilde yapılandırın. Elastik Search kendi düğümünde yüklüyse 6 GB bellek kullanacak şekilde yapılandırın.
** İsteğe bağlıdır. Genellikle hem Edge hem de API BaaS Hizmetleri için aynı Cassandra kümesini kullanırsınız.
İşletim sistemi ve üçüncü taraf yazılım gereksinimleri
Bu yükleme talimatları ve birlikte verilen yükleme dosyaları, Desteklenen yazılımlar ve desteklenen sürümler başlıklı makalede listelenen üçüncü taraf yazılımları ve işletim sistemlerinde test edilmiştir.
Apigee kullanıcısı oluşturma
Yükleme prosedürü, 'Apigee' adında bir Unix sistem kullanıcısı oluşturur. Edge dizinlerinin ve dosyalarının sahibi, Edge işlemlerinde olduğu gibi 'Apigee'dir. Bu, Edge bileşenlerinin "Apigee" kullanıcısı olarak çalıştığı anlamına gelir. Gerekirse bileşenleri farklı bir kullanıcı olarak çalıştırabilirsiniz.
Yükleme dizini
Yükleyici varsayılan olarak tüm dosyaları /opt/apigee
dizinine yazar. Bu dizin konumunu değiştiremezsiniz. Bu dizini değiştiremezsiniz ancak aşağıda açıklandığı gibi /opt/apigee
konumunu başka bir konumla eşlemek için sembolik bir bağlantı oluşturabilirsiniz.
Bu kılavuzdaki talimatlarda, yükleme dizini /opt/apigee
olarak belirtilmiştir.
/opt/Apigee adresinden sembolik bağlantı oluşturma
Sembolik bağlantıyı oluşturmadan önce, ilk olarak "Apigee" adında bir kullanıcı ve grup oluşturmanız gerekir. Bu, Edge yükleyicisi tarafından oluşturulan grup ve kullanıcıdır.
Sembolik bağlantıyı oluşturmak için bootstrap_4.18.01.sh dosyasını indirmeden önce bu adımları uygulayın. Bu adımların tümünü kök olarak gerçekleştirmeniz gerekir:
- "Apigee" kullanıcısı ve grubunu oluşturun:
groupadd -r apigee > useradd -r -g apigee -d /opt/apigee -s /sbin/nologin -c "Apigee platform user" apigee
/opt/apigee
ile istediğiniz yükleme kökü arasında sembolik bir bağlantı oluşturun:ln -Ts /srv/myInstallDir /opt/apigee
Burada /srv/myInstallDir, Edge dosyalarının istenen konumudur.
- Yükleme kökü ve sembolik bağlantının sahipliğini "Apigee" kullanıcısıyla değiştirin:
chown -h apigee:apigee /srv/myInstallDir /opt/apigee
Java
Yükleme öncesinde her makineye desteklenen bir Java 1.8 sürümü yüklemeniz gerekir. Desteklenen JDK'lar, Desteklenen yazılımlar ve desteklenen sürümler başlıklı makalede listelenmiştir.
JAVA_HOME
değerinin, yüklemeyi gerçekleştiren kullanıcı için JDK'nın kök dizinine işaret ettiğinden emin olun.
SELinux
SELinux ayarlarınıza bağlı olarak Edge, Edge bileşenlerini yükleme ve başlatmayla ilgili sorunlarla karşılaşabilir. Gerekirse SELinux'u devre dışı bırakabilir veya yükleme sırasında serbest moda ayarlayıp kurulumdan sonra yeniden etkinleştirebilirsiniz. Daha fazla bilgi için Edge Apigee-setup yardımcı programını yükleme konusuna bakın.
Ağ Ayarı
Yükleme işleminden önce ağ ayarını kontrol etmeniz önerilir. Yükleyici, tüm makinelerin sabit IP adreslerine sahip olmasını bekler. Ayarı doğrulamak için aşağıdaki komutları kullanın:
hostname
, makinenin adını döndürürhostname -i
, diğer makinelerden yönlendirilebilen ana makine adının IP adresini döndürür.
İşletim sisteminizin türüne ve sürümünüze bağlı olarak, ana makine adı doğru ayarlanmadıysa /etc/hosts
ve /etc/sysconfig/network
öğelerini düzenlemeniz gerekebilir. Daha fazla bilgi edinmek için ilgili işletim sisteminizle ilgili dokümanlara bakın.
Bir sunucuda birden fazla arayüz kartı varsa "Hostname -i" komutu, IP adreslerinin boşlukla ayrılmış listesini döndürür. Varsayılan olarak, Edge yükleyici döndürülen ilk IP adresini kullanır. Bu adres her durumda doğru olmayabilir. Alternatif olarak, yükleme yapılandırma dosyasında aşağıdaki özelliği ayarlayabilirsiniz:
ENABLE_DYNAMIC_HOSTIP=y
Bu özellik "y" değerine ayarlandığında yükleyici, yükleme işleminin bir parçası olarak kullanılacak IP adresini seçmenizi ister. Varsayılan değer "n"dir. Daha fazla bilgi için Edge Yapılandırma Dosyası Referansı bölümüne bakın.
TCP Sarmalayıcılar
TCP Sarmalayıcılar bazı bağlantı noktalarının iletişimini engelleyebilir ve OpenLDAP, Postgres ve Cassandra yüklemesini etkileyebilir. Bu düğümlerde; gerekli OpenLDAP, Postgres ve Cassandra bağlantı noktalarında bağlantı noktası kısıtlaması olmadığından emin olmak için /etc/hosts.allow
ve /etc/hosts.deny
öğelerini kontrol edin.
Iptables
Gerekli Edge bağlantı noktalarındaki düğümler arasında bağlantıyı engelleyen iptables politikaları olmadığını doğrulayın. Gerekirse yükleme sırasında iptables'ı şu komutu kullanarak durdurabilirsiniz:
sudo/etc/init.d/iptables stop
CentOS 7.x sürümünde:
systemctl stop firewalld
Edge Yönlendirici'nin /etc/rc.d/init.d/functions öğesine erişebildiğinden emin olun
Edge Yönlendirici ve BaaS Portalı düğümleri, Nginx yönlendiricisini kullanır ve /etc/rc.d/init.d/functions
öğesine okuma erişimi gerektirir.
Güvenlik süreciniz /etc/rc.d/init.d/functions
cihazında izinleri ayarlamanızı gerektiriyorsa bunları 700 olarak ayarlamayın. Aksi takdirde yönlendirici başlatılamaz. İzinler, /etc/rc.d/init.d/functions
ürününe okuma erişimi sağlamak için 744 olarak ayarlanabilir.
Cassandra
Tüm Cassandra düğümleri bir halkaya bağlı olmalıdır. Cassandra, güvenilirlik ve hatadan etkilenmemek için veri replikalarını birden fazla düğümde depolar. Her bir Edge anahtar alanının çoğaltma stratejisi, replikaların yerleştirildiği Cassandra düğümlerini belirler. Daha fazla bilgi için Cassandra Çoğaltma Faktörü ve Tutarlılık Düzeyi hakkında başlıklı makaleyi inceleyin.
Cassandra, Java yığın boyutunu kullanılabilir belleğe göre otomatik olarak ayarlar. Daha fazla bilgi için Java kaynaklarını ayarlama bölümüne bakın. Performansta düşüş olması veya bellek tüketiminin yüksek olması.
Edge for Private Cloud'u yükledikten sonra /opt/apigee/apigee-cassandra/conf/cassandra.yaml
dosyasını inceleyerek Cassandra'nın doğru şekilde yapılandırılıp yapılandırılmadığını kontrol edebilirsiniz. Örneğin, Edge for Private Cloud yükleme komut dosyasının aşağıdaki özellikleri ayarladığından emin olun:
cluster_name
initial_token
partitioner
seeds
listen_address
rpc_address
snitch
PostgreSQL veritabanı
Edge'i yükledikten sonra sisteminizdeki kullanılabilir RAM miktarına göre aşağıdaki PostgreSQL veritabanı ayarlarını düzenleyebilirsiniz:
conf_postgresql_shared_buffers = 35% of RAM # min 128kB conf_postgresql_effective_cache_size = 45% of RAM conf_postgresql_work_mem = 512MB # min 64kB
Bu değerleri ayarlamak için:
- postgresql.properties dosyasını düzenleyin:
vi /opt/apigee/customer/application/postgresql.properties
Dosya yoksa oluşturun.
- Yukarıda listelenen özellikleri ayarlayın.
- Yaptığınız düzenlemeleri kaydedin.
- PostgreSQL veritabanını yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
Sistem sınırları
Cassandra ve Mesaj İşleyici düğümlerinde aşağıdaki sistem sınırlarını ayarladığınızdan emin olun:
- Cassandra düğümlerinde,
/etc/security/limits.d/90-apigee-edge-limits.conf
bölgesinde yükleme kullanıcısı için yumuşak ve sert memlock, nofile ve adres alanı (as) sınırlarını aşağıda gösterildiği gibi ayarlayın:apigee soft memlock unlimited apigee hard memlock unlimited apigee soft nofile 32768 apigee hard nofile 65536 apigee soft as unlimited apigee hard as unlimited
- Mesaj İşleyici düğümlerinde,
/etc/security/limits.d/90-apigee-edge-limits.conf
bölgesinde maksimum açık dosya tanımlayıcı sayısını aşağıda gösterildiği gibi 64K olarak ayarlayın:apigee soft nofile 32768 apigee hard nofile 65536
Gerekirse sınırı yükseltebilirsiniz. Örneğin, aynı anda çok sayıda geçici dosyanız açık olabilir.
jsvc
"jsvc", API BaaS'yi kullanmanın ön koşuludur. API BaaS'yi yüklediğinizde 1.0.15-dev sürümü yüklenir.
Ağ Güvenliği Hizmetleri (NSS)
Ağ Güvenliği Hizmetleri (NSS), güvenliğin etkin olduğu istemci ve sunucu uygulamalarının geliştirilmesini destekleyen bir kitaplık grubudur. NSS v3.19 veya sonraki bir sürümü yüklediğinizden emin olun.
Mevcut sürümünüzü kontrol etmek için:
yum info nss
NSS'yi güncellemek için:
yum update nss
Daha fazla bilgi için RedHat'in bu makalesine bakın.
NSCD (Ad Hizmeti Önbelleği Arka Plan Programı) kullanırken IPv6'da DNS aramasını devre dışı bırak
NSCD'yi (Ad Hizmeti Önbelleği Arka Plan Programı) yükleyip etkinleştirdiyseniz Mesaj İşleyicileri, biri IPv4 ve diğeri IPv6 için olmak üzere iki DNS araması yapar. NSCD kullanırken IPv6'da DNS aramasını devre dışı bırakmalısınız.
IPv6'da DNS aramasını devre dışı bırakmak için:
- Her Mesaj İşleyici düğümünde
/etc/nscd.conf
öğesini düzenleyin - Şu özelliği ayarlayın:
enable-cache hosts no
RedHat/CentOS 7 için Google Cloud Platform'da IPv6'yı devre dışı bırakma
Edge'i Google Cloud Platform'da RedHat 7 veya CentOS 7'ye yüklüyorsanız tüm Qpid düğümlerinde IPv6'yı devre dışı bırakmanız gerekir.
IPv6'yı devre dışı bırakma talimatları için ilgili işletim sistemi sürümünüzle ilgili RedHat veya CentOS dokümanlarına bakın. Örneğin, şunları yapabilirsiniz:
/etc/hosts
dosyasını bir düzenleyicide aç.- Yorum yapmak için aşağıdaki satırlardan birine "#" karakteri ekleyin:
#::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
- Dosyayı kaydedin.
AWS AMI
Edge'i Red Hat Enterprise Linux 7.x için bir AWS Amazon Machine Image'a (AMI) yüklüyorsanız önce şu komutu çalıştırmanız gerekir:
yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
Araçlar
Yükleyici, EL5 veya EL6 tarafından sağlanan standart sürümde aşağıdaki UNIX araçlarını kullanır.
awk |
expr |
libxlsx |
devir/dk. |
unzip |
basename |
grep |
Lua-socket |
rpm2cpio |
kullanıcı ekleme |
bash |
hostname |
ls |
sed |
wc |
bc |
id |
net-tools |
sudo |
wget |
curl |
Libaio |
perl (procps'den) |
katranlı |
Xerces-c |
Cyrus-Sasl | libdb4 | pgrep (procps'den) | tr | leziz |
date (tarih) |
libdb-cxx |
ps |
uuid |
chkconfig |
dirname | libibverbler | pwd | uname | |
echo | librdmacm | python |
ntpdate
Sunucuların zamanlarının senkronize edilmesi önerilir. Önceden yapılandırılmamışsa ntpdate
yardımcı programı bu amaca hizmet edebilir ve sunucuların zaman senkronize olup olmadığını doğrular. Yardımcı programı yüklemek için yum install ntp
uygulamasını kullanabilirsiniz. Bu, özellikle OpenLDAP kurulumlarının çoğaltılması için yararlıdır. Sunucu saat dilimini UTC olarak ayarladığınızdan emin olun.
Openldap 2.4
Şirket içi yükleme için OpenLDAP 2.4 gerekir. Sunucunuzun internet bağlantısı varsa Edge yükleme komut dosyası, OpenLDAP'yi indirir ve yükler. Sunucunuzun internet bağlantısı yoksa Edge yükleme komut dosyasını çalıştırmadan önce OpenLDAP'nin zaten yüklü olduğundan emin olmanız gerekir. RHEL/CentOS'te, OpenLDAP'yi yüklemek için yum install openldap-clients openldap-servers
komutunu çalıştırabilirsiniz.
13 ana makineli yüklemeler ve iki Veri Merkezi bulunan 12 ana makineli yüklemeler için OpenLDAP çoğaltması gerekir. Bunun nedeni, OpenLDAP'yi barındıran birden fazla düğüm olmasıdır.
Güvenlik Duvarları ve Sanal Ana Makineler
virtual
terimi genellikle BT alanında aşırı yüklüdür. Bu nedenle, Private Cloud dağıtımı için Apigee Edge ve sanal ana makineler ile kullanılmaktadır. Daha net bir ifadeyle, virtual
teriminin başlıca iki kullanım alanı vardır:
- Sanal makineler (VM): Zorunlu değildir ancak bazı dağıtımlar Apigee bileşenleri için izole sunucular oluşturmak üzere sanal makine teknolojisini kullanır. Fiziksel ana makinelerde olduğu gibi sanal makine ana makinelerinin de ağ arayüzleri ve güvenlik duvarları olabilir.
- Sanal ana makineler: Apache sanal ana makinesine benzer web uç noktaları.
Bir sanal makinedeki yönlendirici, birden fazla sanal ana makineyi açığa çıkarabilir (ana makine takma adında veya arayüz bağlantı noktasında birbirinden farklı olduğu sürece).
Adlandırma örneğinde olduğu gibi, tek bir fiziksel sunucu (A
) "VM1" ve "VM2" adlı iki sanal makine çalıştırıyor olabilir. "VM1 "in, sanal makine içinde"eth0" olarak adlandırılan ve sanallaştırma makinesi veya ağ DHCP sunucusu tarafından 111.111.111.111
IP adresine atanan bir sanal Ethernet arayüzünü açığa çıkardığını varsayalım. Sonra da VM2'nin "eth0" adlı bir sanal Ethernet arayüzü açtığını ve bu arayüze 111.111.111.222
IP adresi atandığını varsayalım.
İki sanal makinenin her birinde birer Apigee yönlendirici çalışıyor olabilir. Yönlendiriciler, aşağıdaki varsayımsal örnekte olduğu gibi sanal ana makine uç noktalarını gösterir:
VM1'deki Apigee yönlendiricisi, eth0 arayüzünde (belirli bir IP adresine sahip olan) api.mycompany.com:80
, api.mycompany.com:443
ve test.mycompany.com:80
olmak üzere üç sanal ana makine gösterir.
VM2'deki yönlendirici, api.mycompany.com:80
değerini açığa çıkarır (VM1'in gösterdiği ad ve bağlantı noktası ile aynı ad ve bağlantı noktası).
Fiziksel ana makinenin işletim sisteminde ağ güvenlik duvarı olabilir. Bu durumda bu güvenlik duvarı, sanallaştırılmış arayüzlerde (111.111.111.111:{80, 443}
ve 111.111.111.222:80
) gösterilen bağlantı noktaları için TCP trafiğini geçecek şekilde yapılandırılmalıdır. Ayrıca, her sanal makinenin işletim sistemi eth0 arayüzünde kendi güvenlik duvarını sağlayabilir ve bunlar da 80 ve 443 numaralı bağlantı noktalarının bağlanmasına izin vermelidir.
Basepath, API çağrılarını dağıtmış olabileceğiniz farklı API proxy'lerine yönlendirmede yer alan üçüncü bileşendir. API proxy paketleri, farklı temel yolları varsa bir uç noktayı paylaşabilir. Örneğin, bir temel yol http://api.mycompany.com:80/
ve başka bir temel yol http://api.mycompany.com:80/salesdemo
olarak tanımlanabilir.
Bu durumda, http://api.sirketim.com:80/ trafiği iki IP adresi arasında bölen bir yük dengeleyici veya trafik yöneticisine ihtiyacınız vardır (VM1'de 111.111.111.111
ve VM2'de 111.111.111.222
). Bu işlev, kurulumunuza özeldir ve yerel ağ grubunuz tarafından yapılandırılır.
Basepath, API dağıttığınızda ayarlanır. Yukarıdaki örnekten, mycompany-org
kuruluşu için ana makine takma adı api.mycompany.com
, bağlantı noktası ise 80
olarak ayarlanmış iki API (mycompany
ve testmycompany
) dağıtabilirsiniz. Dağıtımda bir temel yol bildirmezseniz yönlendirici, gelen istekleri hangi API'ye göndereceğini bilemez.
Ancak testmycompany
API'sini /salesdemo
temel URL'siyle dağıtırsanız kullanıcılar bu API'ye http://api.mycompany.com:80/salesdemo
kullanarak erişir. sirketim API'nizi /
temel URL'siyle dağıtırsanız kullanıcılarınız API'ye http://api.mycompany.com:80/
URL'si ile erişir.
Uç bağlantı noktası gereksinimleri
Güvenlik duvarını yönetme ihtiyacı, sanal ana makinelerin ötesine geçer. Hem sanal makine hem de fiziksel ana makine güvenlik duvarları, bileşenlerin birbiriyle iletişim kurması için gereken bağlantı noktaları için trafiğe izin vermelidir.
Aşağıdaki resimde, her bir Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir:
Bu diyagramla ilgili notlar:
- * Yalnızca Yönlendirici ve Mesaj İşleyici arasında TLS/SSL yapılandırdığınızda, Mesaj İşleyici'deki 8082 numaralı bağlantı noktasının Yönlendirici tarafından erişim için açık olması gerekir. Yönlendirici ve Mesaj İşleyici arasında TLS/SSL'yi yapılandırmazsanız bileşeni yönetmek için Mesaj İşleyici'de varsayılan yapılandırma olan 8082 bağlantı noktasının hâlâ açık olması gerekir ancak Yönlendirici, buna erişim gerektirmez.
- Önlerinde "M" olan bağlantı noktaları, bileşeni yönetmek için kullanılan bağlantı noktalarıdır. Bileşen üzerinde açık ve Yönetim Sunucusu'nun erişimine açık olması gerekir.
- Şu bileşenler, Yönetim Sunucusu'nda 8080 numaralı bağlantı noktasına erişim gerektirir: Yönlendirici, Mesaj İşleyici, UI, Postgres ve Qpid.
- Bir Mesaj İşleyici, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla Mesaj İşleyiciniz varsa tümünün birbirine 4528 numaralı bağlantı noktası üzerinden erişebilmesi gerekir (Mesaj İşleyici'deki bağlantı noktası 4528 için yukarıdaki şemada döngü okuyla gösterilir). Birden fazla Veri Merkeziniz varsa tüm Veri Merkezlerindeki tüm Mesaj İşleyicilerden bağlantı noktasına erişilebilmelidir.
- Gerekli olmamakla birlikte, herhangi bir Mesaj İşleyici'nin erişebilmesi için Yönlendiricide 4527 numaralı bağlantı noktasını açabilirsiniz. Aksi takdirde, Message Processor günlük dosyalarında hata mesajları görebilirsiniz.
- Bir Yönlendirici, yönetim bağlantı noktası olarak 4527 numaralı bağlantı noktasını açmalıdır. Birden fazla Yönlendiriciniz varsa bunların hepsi birbirlerine 4527 numaralı bağlantı noktası (Yönlendiricideki 4527 numaralı bağlantı noktası için yukarıdaki şemada döngü okuyla gösterilir) üzerinden erişebilmelidir.
- Edge kullanıcı arayüzü, izleme aracındaki Gönder düğmesini desteklemek için, API proxy'lerinin açtığı bağlantı noktalarında Yönlendirici'ye erişim gerektirir.
- Yönetim Sunucusu, Cassandra düğümlerindeki JMX bağlantı noktasına erişim gerektirir.
- JMX bağlantı noktalarına erişim bir kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Daha fazla bilgi için Nasıl İzlenir? bölümüne bakın.
- İsteğe bağlı olarak, farklı bağlantı noktaları kullanabilen belirli bağlantılar için TLS/SSL erişimini yapılandırabilirsiniz. Daha fazla bilgi için TLS/SSL sayfasına göz atın.
- İki Postgres düğümünü ana bekleme modunda çoğaltmayı kullanacak şekilde yapılandırıyorsanız ssh erişimi için her düğümde 22 numaralı bağlantı noktasını açmanız gerekir. Ssh erişimine izin vermek için isteğe bağlı olarak bağımsız düğümlerdeki bağlantı noktalarını açabilirsiniz.
- Yönetim Sunucusu'nu ve Uç Kullanıcı Arayüzünü, harici bir SMTP sunucusu üzerinden e-posta gönderecek şekilde yapılandırabilirsiniz. Bunu yaparsanız Yönetim Sunucusu ve kullanıcı arayüzünün SMTP sunucusundaki gerekli bağlantı noktasına erişebildiğinden emin olmanız gerekir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için bu değer genellikle 465'tir ancak SMTP sağlayıcınıza danışın.
Aşağıdaki tabloda, güvenlik duvarlarında Edge bileşeni tarafından açılması gereken bağlantı noktaları gösterilmektedir:
Bileşen | Bağlantı noktası | Açıklama |
---|---|---|
Standart HTTP bağlantı noktaları | 80, 443 | HTTP ve sanal ana makineler için kullandığınız diğer bağlantı noktaları |
Yönetim Sunucusu | 8080 | Edge Management API çağrıları için bağlantı noktası. Şu bileşenlerin Yönetim Sunucusu'nda 8080 numaralı bağlantı noktasına erişmesi gerekir: Yönlendirici, Mesaj İşleyici, UI, Postgres ve Qpid. |
1099 | JMX bağlantı noktası | |
4526 | Dağıtılmış önbellek ve yönetim çağrıları için | |
Yönetim Kullanıcı Arayüzü | 9000 | Yönetim kullanıcı arayüzüne tarayıcı erişimi için bağlantı noktası |
Mesaj İşleyici | 8998 | Yönlendiriciden gelen iletişimler için Mesaj İşleyici bağlantı noktası |
8082 |
Mesaj İşleyici için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu tarafından erişilebilmesi için bileşende açık olmalıdır. Yönlendirici ve Mesaj İşleyici arasında TLS/SSL'yi yapılandırırsanız Yönlendirici tarafından Mesaj İşleyici'de durum denetimleri yapmak için kullanılır. |
|
1101 | JMX bağlantı noktası | |
4528 | Mesaj İşleyicileri arasında dağıtılmış önbellek ve yönetim çağrıları ve Yönlendirici ile Yönetim Sunucusu'ndan iletişim için | |
Yönlendirici | 8081 | Yönlendirici için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. |
4527 | Dağıtılmış önbellek ve yönetim çağrıları için | |
15999 |
Durum denetimi bağlantı noktası. Yük dengeleyici, Yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. Yük dengeleyici, bir Yönlendiricinin durumunu öğrenmek için Yönlendiricide 15999 numaralı bağlantı noktasına istek gönderir: curl -v http://routerIP:15999/v1/servers/self/reachable Yönlendirici erişilebilir durumdaysa istek HTTP 200'ü döndürür. |
|
59001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası.
Bu yardımcı program, Yönlendirici üzerindeki 59001 numaralı bağlantı noktasına erişim gerektirir. 59001 bağlantı noktası hakkında daha fazla bilgi için Yüklemeyi test etme bölümüne bakın. |
|
ZooKeeper | 2181 | Yönetim Sunucusu, Yönlendirici, İleti İşleyici vb. gibi diğer bileşenler tarafından kullanılır |
2.888, 3.888 | ZooKeeper kümesi (ZooKeeper ensemble olarak bilinir) iletişimi için ZooKeeper tarafından dahili olarak kullanılır | |
Cassandra | 7000, 9042, 9160 | Cassandra düğümleri arasındaki iletişim ve diğer Edge bileşenlerinin erişimi için kullanılan Apache Cassandra bağlantı noktaları. |
7199 | JMX bağlantı noktası. Yönetim Sunucusu tarafından erişim için açık olmalıdır. | |
Qpid | 5672 | Yönlendirici ve Mesaj İşleyiciden Qpid sunucusuna olan iletişimler için kullanılır |
8083 | Qpid sunucusundaki varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu tarafından erişilebilmesi için bileşende açık olmalıdır. | |
1102 | JMX bağlantı noktası | |
4529 | Dağıtılmış önbellek ve yönetim çağrıları için | |
Postgres | 5432 | Qpid/Management Server'dan Postgres'e iletişim için kullanılır |
8084 | Postgres sunucusundaki varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu tarafından erişilebilmesi için bileşende açık olmalıdır. | |
1103 | JMX bağlantı noktası | |
4530 | Dağıtılmış önbellek ve yönetim çağrıları için | |
22 | İki Postgres düğümünü ana bekleme modunda çoğaltmayı kullanacak şekilde yapılandırıyorsanız ssh erişimi için her düğümde 22 numaralı bağlantı noktasını açmanız gerekir. | |
LDAP | 10389 | OpenLDAP |
SmartDocs | 59002 | Edge yönlendiricisinde, SmartDokümanlar sayfa isteklerinin gönderildiği bağlantı noktası. |
Bir sonraki tabloda aynı bağlantı noktaları, kaynak ve hedef bileşenleriyle birlikte sayısal olarak listelenmiş şekilde gösterilmektedir:
Bağlantı Noktası Numarası | Amaç | Kaynak Bileşeni | Hedef Bileşeni |
---|---|---|---|
virtual_host_port | HTTP ve sanal ana makine API çağrısı trafiği için kullandığınız diğer bağlantı noktaları. En yaygın olarak 80 ve 443 numaralı bağlantı noktaları kullanılır. İleti Yönlendirici, TLS/SSL bağlantılarını sonlandırabilir. | Harici istemci (veya yük dengeleyici) | Mesaj Yönlendiricideki dinleyici |
1099 - 1103 | JMX Yönetimi | JMX İstemcisi | Management Server (1099) İleti İşleyici (1101) Qpid Server (1102) Postgres Server (1103) |
2181 | Zookeeper müşteri iletişimi | Yönetim Sunucusu Yönlendirici Mesaj İşlemci Qpid Sunucusu Postgres Sunucusu |
Zookeeper |
2888 ve 3888 | Hayvanat bahçesi bakıcı ara düğüm yönetimi | Zookeeper | Zookeeper |
4526 | RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Yönetim Sunucusu |
4527 | Dağıtılmış önbellek ve yönetim çağrıları ile Yönlendiriciler arasındaki iletişimler için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu Yönlendirici |
Yönlendirici |
4528 | Mesaj İşleyicileri arasında dağıtılmış önbellek çağrıları ve Yönlendiriciden gelen iletişim için | Yönetim Sunucusu Yönlendirici Mesaj İşleyici |
Mesaj İşleyici |
4529 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Qpid Sunucusu |
4530 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Postgres Sunucusu |
5432 | Postgres istemcisi | Qpid Sunucusu | Postgres |
5672 |
Yönlendirici ve Mesaj İşleyici'den Qpid'e analiz göndermek için kullanılır |
Yönlendirici Mesaj İşleyici |
Qpid Sunucusu |
7000 | Cassandra düğümler arası iletişim | Cassandra | Diğer Cassandra düğümü |
7199 | JMX yönetimi. Yönetim Sunucusu tarafından Cassandra düğümüne erişim için açık olmalıdır. | JMX istemcisi | Cassandra |
8080 | Management API bağlantı noktası | Management API istemcileri | Yönetim Sunucusu |
8081 ile 8084 arası |
Doğrudan bağımsız bileşenlere API istekleri göndermek için kullanılan Bileşen API bağlantı noktaları. Her bileşen farklı bir bağlantı noktasını açar. Kullanılan bağlantı noktası, yapılandırmaya bağlıdır ancak Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır |
Management API istemcileri | Yönlendirici (8081) Mesaj İşlemci (8082) Qpid Sunucusu (8083) Postgres Sunucusu (8084) |
8998 | Yönlendirici ve Mesaj İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
9000 | Varsayılan Edge yönetimi kullanıcı arayüzü bağlantı noktası | Tarayıcı | Yönetim Kullanıcı Arayüzü Sunucusu |
9042 | CQL yerel aktarımı | Yönlendirici Mesaj İşlemci Yönetim Sunucusu |
Cassandra |
9160 | Cassandra ikinci el müşterisi | Yönlendirici Mesaj İşlemci Yönetim Sunucusu |
Cassandra |
10389 | LDAP bağlantı noktası | Yönetim Sunucusu | OpenLDAP |
15999 | Durum denetimi bağlantı noktası. Yük dengeleyici, Yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. | Yük dengeleyici | Yönlendirici |
59001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası |
apigee-validate | Yönlendirici |
59002 | SmartDokümanlar sayfa isteklerinin gönderildiği yönlendirici bağlantı noktası | SmartDocs | Yönlendirici |
Mesaj işlemcisi, hiçbir zaman zaman aşımına uğramayacak şekilde yapılandırılmış olan Cassandra'ya özel bağlantı havuzunu açık tutar. Güvenlik duvarı, mesaj işlemcisi ile Cassandra sunucusu arasında olduğunda, güvenlik duvarı bağlantıyı zaman aşımına uğratabilir. Ancak mesaj işlemcisi, Cassandra ile yeniden bağlantı kurmak için tasarlanmamıştır.
Apigee, bu durumu önlemek için Cassandra sunucusunun, mesaj işlemcisinin ve yönlendiricilerin aynı alt ağda olmasını önerir. Böylece bu bileşenlerin dağıtımında güvenlik duvarı bulunmaz.
Bir güvenlik duvarı, yönlendirici ile mesaj işlemcileri arasında bulunuyorsa ve boşta kalma TCP zaman aşımı ayarlanmışsa aşağıdaki önerileri öneririz:
- Linux OS'te sysctl ayarlarında
net.ipv4.tcp_keepalive_time = 1800
değerini ayarlayın. Buradaki 1800, güvenlik duvarı boşta kalma TCP zaman aşımından daha düşük olmalıdır. Bu ayar, güvenlik duvarının bağlantıyı kesmemesi için bağlantıyı kurulu durumda tutmalıdır. - Tüm Mesaj İşleyicilerinde aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/message-processor.properties
öğesini düzenleyin. Dosya yoksa oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mesaj İşleyici'yi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Tüm Yönlendiricilerde
/opt/apigee/customer/application/router.properties
öğesini düzenleyerek aşağıdaki özelliği ekleyin. Dosya yoksa oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
İki Veri Merkezine sahip 12 ana makine kümelenmiş yapılandırmasını yüklerseniz iki Veri Merkezindeki düğümlerin aşağıda gösterilen bağlantı noktaları üzerinden iletişim kurabildiğinden emin olun:
API BaaS bağlantı noktası gereksinimleri
API BaaS'yi yüklemeyi tercih ederseniz API BaaS Yığını ve API BaaS Portal bileşenlerini eklersiniz. Bu bileşenler, aşağıdaki şekilde gösterilen bağlantı noktalarını kullanır:
Bu diyagramla ilgili notlar:
- API BaaS Portalı hiçbir zaman doğrudan bir BaaS Yığını düğümüne istek göndermez. Bir geliştirici, Portal'a giriş yaptığında Portal uygulaması tarayıcıya indirilir. Ardından tarayıcıda çalışan Portal uygulaması, BaaS Yığın düğümlerine istek gönderir.
- API BaaS üretim kurulumunda, API BaaS Portal düğümü ile API BaaS Yığın düğümleri arasında bir yük dengeleyici kullanılır. Portal'ı yapılandırırken ve BaaS API çağrıları yaparken Yığın düğümlerinin değil, yük dengeleyicinin IP adresini veya DNS adını belirtirsiniz.
- Tüm Yığın düğümleri, diğer tüm Yığın düğümlerinden erişim için 2551 numaralı bağlantı noktasını açmalıdır (Yığın düğümlerinde bağlantı noktası 2551 için yukarıdaki şemada döngü okuyla gösterilmiştir). Birden fazla Veri Merkeziniz varsa bağlantı noktasına tüm Veri Merkezlerindeki tüm Yığın düğümlerinden erişilebilmelidir.
- E-postaları harici bir SMTP sunucusu üzerinden göndermek için tüm Baas Yığın düğümlerini yapılandırmanız gerekir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için bu değer genellikle 465'tir ancak SMTP sağlayıcınıza danışın.
- Cassandra düğümleri API BaaS'a ayrılabilir veya Edge ile paylaşılabilir.
Aşağıdaki tabloda, güvenlik duvarlarında açılması gereken varsayılan bağlantı noktaları bileşene göre gösterilmektedir:
Bileşen | Bağlantı noktası | Açıklama |
---|---|---|
API BaaS Portalı | 9000 | API BaaS kullanıcı arayüzü için bağlantı noktası |
API BaaS Yığını | 8080 | API isteğinin alındığı bağlantı noktası |
2551 |
Tüm Yığın düğümleri arasındaki iletişim için bağlantı noktası. Veri kümesindeki diğer tüm Yığın düğümleri tarafından erişilebilir olmalıdır. Birden fazla veri merkeziniz varsa bağlantı noktasına tüm Veri Merkezlerindeki tüm Yığın düğümlerinden erişilebilmelidir. |
|
ElasticSearch | 9.200 - 9.400 | API BaaS Stack ile ve Elastik Search düğümleri arasında iletişim kurmak için kullanılır |
Lisanslama
Edge'in her kurulumu için Apigee'den edindiğiniz benzersiz bir lisans dosyası gerekir. Yönetim sunucusunu yüklerken lisans dosyasının yolunu belirtmeniz gerekir (ör. /tmp/Lic.txt).
Yükleyici, lisans dosyasını /opt/apigee/customer/conf/license.txt
hedefine kopyalar.
Lisans dosyası geçerliyse yönetim sunucusu süre sonunu ve izin verilen Mesaj İşleyici (MP) sayısını doğrular. Lisans ayarlarından herhangi birinin süresi dolduysa günlükleri şu konumda bulabilirsiniz: /opt/apigee/var/log/edge-management-server/logs
.
Bu durumda, taşıma ayrıntıları için Apigee Edge Destek Ekibi ile iletişime geçebilirsiniz.
Henüz lisansınız yoksa Apigee Satış Ekibi ile iletişime geçin.