Requisitos de porta

Edge para nuvem privada v4.18.05

A necessidade de gerenciar o firewall vai além dos hosts virtuais. VM e host físico os firewalls precisam permitir o tráfego nas portas necessárias para que os componentes se comuniquem entre si entre si.

Diagramas de portas

As imagens a seguir mostram os requisitos de porta para um único data center e vários configuração do data center:

Data center único

A imagem a seguir mostra os requisitos de porta para cada componente de borda em um único dado central:

Requisitos de porta para cada componente de borda em uma única configuração de data center

Observações sobre o diagrama:

  • Portas com o prefixo "M" são portas usadas para gerenciar o componente e devem estar abertas no para acesso pelo servidor de gerenciamento.
  • A interface do Edge exige acesso ao roteador, nas portas expostas por proxies de API, para oferecer suporte o botão Send na ferramenta de trace.
  • O acesso às portas JMX pode ser configurado para exigir um nome de usuário/senha. Consulte Como monitorar para mais informações.
  • Também é possível configurar o acesso TLS/SSL para determinadas conexões, que podem usar em portas diferentes. Consulte TLS/SSL para mais.
  • Você pode configurar o servidor de gerenciamento e a interface de usuário do Edge para enviar e-mails por um SMTP externo servidor. Nesse caso, você deve garantir que o servidor de gerenciamento e a interface possam acessar as porta no servidor SMTP (não exibida). Para SMTP não TLS, o número da porta normalmente é 25. Para SMTP com TLS ativado, geralmente é 465, mas verifique com seu provedor SMTP.

Vários data centers

Se você instalar a API 12-node em cluster com dois data centers, garantir que os nós nos dois podem se comunicar pelas portas mostradas abaixo:

Requisitos de porta para cada nó em uma configuração em cluster de 12 nós

Observações:

  • Todos os servidores de gerenciamento precisam ter acesso a todos os nós do Cassandra nos demais dados em data centers locais.
  • Todos os processadores de mensagens em todos os data centers precisam ser capazes de acessar uns aos outros na porta 4528.
  • O servidor de gerenciamento precisa ter acesso a todos os processadores de mensagens pela porta 8082.
  • Todos os servidores de gerenciamento e todos os nós do Qpid precisam acessar o Postgres em todos os outros data centers no local.
  • Por motivos de segurança, além das portas mostradas acima e quaisquer outras de acordo com seus requisitos de rede, nenhuma outra porta deve estar aberta entre os dados em data centers locais.

Detalhes da porta

A tabela abaixo descreve as portas que precisam ser abertas em firewalls por componente de borda:

Componente Porta Descrição
Portas HTTP padrão 80, 443 HTTP e outras portas usadas para hosts virtuais
Cassandra 7.000, 9042 e 9.160 Portas do Apache Cassandra para comunicação entre nós do Cassandra e acesso por e outros componentes do Edge.
7199 porta JMX. Precisa estar aberto para o acesso do servidor de gerenciamento.
LDAP 10389 OpenLDAP
Servidor de gerenciamento 1099 Porta JMX
4526 Porta para cache distribuído e chamadas de gerenciamento. É possível configurar essa porta.
8080 Porta para chamadas da API Edge Management. Esses componentes precisam ter acesso à porta 8080 do servidor de gerenciamento: Router, processador de mensagens, interface, Postgres e Qpid.
IU de gerenciamento 9000 Porta de acesso do navegador à interface de gerenciamento
processador de mensagens 1101 Porta JMX
4528 Para cache distribuído e chamadas de gerenciamento entre processadores de mensagens e para de rede do roteador e do servidor de gerenciamento.

Um processador de mensagens deve abrir a porta 4528 como sua porta de gerenciamento. Se você tem vários Processadores de mensagens, todos precisam ser capazes de acessar uns aos outros pela porta 4528 (indicado pelo a seta de loop no diagrama acima para a porta 4528 no processador de mensagens). Se você tiver vários data centers, a porta precisa ser acessível por todos os processadores de mensagens em data centers locais.

8082

Porta de gerenciamento padrão para o processador de mensagens e deve estar aberta no componente para gerenciado pelo servidor de gerenciamento.

Se você configurar TLS/SSL entre o roteador e o processador de mensagens, usado pelo roteador para verificar a integridade do processador de mensagens.

A porta 8082 do processador de mensagens só precisa estar aberta para acesso pelo roteador quando configurar TLS/SSL entre o roteador e o processador de mensagens. Se você não configurar TLS/SSL entre o roteador e o processador de mensagens, a configuração padrão, a porta 8082, ainda precisa aberto no Processador de Mensagens para gerenciar o componente, mas o Roteador não exige acesso a ele.

8443 Quando o TLS está ativado entre o roteador e o processador de mensagens, você deve abrir a porta 8443 no processador de mensagens para acesso pelo roteador.
8998 Porta do processador de mensagens para comunicações do roteador
Postgres 22 Ao configurar dois nós do Postgres para usar a replicação mestre-em espera, é preciso abrir na porta 22 em cada nó para acesso SSH.
1103 Porta JMX
4530 Chamadas de gerenciamento e cache distribuídos
5432 Usado para comunicação do Qpid/Management Server para o Postgres
8084 Porta de gerenciamento padrão no servidor Postgrese deve estar aberta no componente para acesso pelo servidor de gerenciamento.
Qpid 1102 Porta JMX
4529 Chamadas de gerenciamento e cache distribuídos
5672
  • Data center único: usado para enviar análises do roteador e do processador de mensagens ao Qpid.
  • Vários data centers: usados para comunicação entre nós Qpid em diferentes data centers.
8083 Porta de gerenciamento padrão no servidor Qpid e deve estar aberta no componente para gerenciado pelo servidor de gerenciamento.
Roteador 4527 Para chamadas de gerenciamento e cache distribuídos.

Um roteador precisa abrir a porta 4527 como porta de gerenciamento. Se você tiver vários roteadores, eles devem poder acessar uns aos outros pela porta 4527 (indicado pela seta de loop diagrama acima para a porta 4527 do roteador).

Embora não seja obrigatório, você pode abrir a porta 4527 no Roteador para acesso por qualquer Processador de mensagens Caso contrário, talvez você veja mensagens de erro no "Processador" arquivos de registro.

8081 Porta de gerenciamento padrão do roteador e precisa estar aberta no componente para acesso pelo servidor de gerenciamento.
15999

Porta de verificação de integridade. Um balanceador de carga usa essa porta para determinar se o roteador disponíveis.

Para saber o status de um roteador, o balanceador de carga faz uma solicitação para a porta 15999 no Roteador:

curl -v http://routerIP:15999/v1/servers/self/reachable

Se o roteador estiver acessível, a solicitação retornará HTTP 200.

59001 Porta usada para testar a instalação do Edge pelo utilitário apigee-validate. Esse utilitário requer acesso à porta 59001 no roteador. Consulte Teste a instalação para saber mais na porta 59001.
SmartDocs 59002 A porta no roteador de borda para onde as solicitações da página do SmartDocs são enviadas.
ZooKeeper 2181 Usado por outros componentes, como o servidor de gerenciamento, roteador, processador de mensagens etc.
2.888 a 3.888 Usado internamente pelo ZooKeeper para o cluster do ZooKeeper (conhecido como conjunto do ZooKeeper) comunicação

A próxima tabela mostra as mesmas portas, listadas numericamente, com a origem e o destino componentes:

Número da porta Finalidade Componente de origem Componente de destino
virtual_host_port o HTTP e todas as outras portas usadas para tráfego de chamadas de API do host virtual. portas 80 e 443 são os mais usados. o roteador de mensagens pode encerrar conexões TLS/SSL. Cliente externo (ou balanceador de carga) Listener no roteador de mensagens
1099 a 1103 Gerenciamento do JMX Cliente JMX Servidor de gerenciamento (1099)
Processador de mensagens (1101)
Servidor Qpid (1102)
Servidor Postgres (1103)
2181 Comunicação com o cliente do Zookeeper Servidor de gerenciamento
Roteador
Processador de mensagens
Servidor Qpid
Servidor Postgres
Zookeeper
2888 e 3888 Gerenciamento de internos do Zookeeper Zookeeper Zookeeper
4526 Porta de gerenciamento de RPC Servidor de gerenciamento Servidor de gerenciamento
4527 Porta de gerenciamento de RPC para cache e chamadas de gerenciamento distribuídos, e para comunicações entre roteadores Roteador do
servidor de gerenciamento
Roteador
4528 Para chamadas de cache distribuídas entre processadores de mensagens e para comunicação do roteador Servidor de gerenciamento
Roteador
Processador de mensagens
processador de mensagens
4529 Porta de gerenciamento de RPC para cache distribuído e chamadas de gerenciamento Servidor de gerenciamento Servidor Qpid
4530 Porta de gerenciamento de RPC para cache distribuído e chamadas de gerenciamento Servidor de gerenciamento Servidor Postgres
5432 Cliente Postgres Servidor Qpid Postgres
5672
  • Data center único: usado para enviar análises do roteador e do processador de mensagens ao Qpid.
  • Vários data centers: usados para comunicação entre nós Qpid em diferentes data centers.
Servidor Qpid Servidor Qpid
7.000 Comunicações entre nós do Cassandra Cassandra Outro nó do Cassandra
7199 Gerenciamento de JMX. Precisa estar aberto para acesso no nó do Cassandra pelo gerenciador Servidor. Cliente JMX Cassandra
8080 Porta da API de gerenciamento Clientes da API de gerenciamento Servidor de gerenciamento
8081 a 8084

Portas da API do componente, usadas para emitir solicitações de API diretamente para componentes individuais. Cada componente abre uma porta diferente. a porta exata usada depende da configuração mas deve estar aberto no componente para acesso pelo servidor de gerenciamento

Clientes da API de gerenciamento Roteador (8081)
Processador de mensagens (8082)
Servidor Qpid (8083)
Servidor Postgres (8084)
8443 Comunicação entre o roteador e o processador de mensagens quando o TLS está ativado Roteador processador de mensagens
8998 Comunicação entre o roteador e o processador de mensagens Roteador processador de mensagens
9000 Porta da interface do Gerenciamento de borda padrão Navegador Servidor da interface de gerenciamento
9042 Transporte nativo CQL Roteador
Processador de mensagens
Servidor de gerenciamento
Cassandra
9160 Cliente de luxo do Cassandra Roteador
Processador de mensagens
Servidor de gerenciamento
Cassandra
10389 Porta LDAP Servidor de gerenciamento OpenLDAP
15999 Porta de verificação de integridade. Um balanceador de carga usa essa porta para determinar se o roteador disponíveis. Balanceador de carga Roteador
59001 Porta usada pelo utilitário apigee-validate para testar a instalação do Edge apigee-validate Roteador
59002 A porta do roteador para onde as solicitações da página do SmartDocs são enviadas SmartDocs Roteador

Um processador de mensagens mantém um pool de conexão dedicado aberto para o Cassandra, que é configurado para nunca exceder o tempo limite. Quando um firewall está entre um processador de mensagens e o servidor do Cassandra, o o firewall da conexão poderá atingir o tempo limite. No entanto, o processador de mensagens não foi projetado para restabelecer as conexões com o Cassandra.

Para evitar essa situação, a Apigee recomenda que o servidor do Cassandra, o processador de mensagens e Os roteadores precisam estar na mesma sub-rede, sem o envolvimento de um firewall na implantação componentes de solução.

Se houver um firewall entre o roteador e os processadores de mensagens e tiver um tempo limite de TCP inativo definido, nossas recomendações é fazer o seguinte:

  1. Defina net.ipv4.tcp_keepalive_time = 1800 nas configurações de sysctl no SO Linux, em que 1800 deve ser menor que o tempo limite de TCP do firewall inativo. Essa configuração deve manter em um estado estabelecido para que o firewall não a desconecte.
  2. Em todos os processadores de mensagens, editar /opt/apigee/customer/application/message-processor.properties para adicionar a seguinte propriedade. Crie o arquivo se ele não existir.
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. Reinicie o processador de mensagens:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. Em todos os roteadores, edite /opt/apigee/customer/application/router.properties para adicionar a seguinte propriedade. Crie o arquivo se ele não existir.
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. Reinicie o roteador:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart