Edge untuk Private Cloud v4.18.05
Kebutuhan untuk mengelola firewall lebih dari sekadar host virtual; firewall host VM dan fisik harus mengizinkan traffic untuk port yang diperlukan oleh komponen agar dapat berkomunikasi satu sama lain.
Diagram porta
Gambar berikut menunjukkan persyaratan port untuk konfigurasi satu pusat data dan beberapa pusat data:
Pusat Data Tunggal
Gambar berikut menunjukkan persyaratan port untuk setiap komponen Edge dalam satu konfigurasi pusat data:
Catatan tentang diagram ini:
- Port yang diawali dengan "M" adalah port yang digunakan untuk mengelola komponen dan harus terbuka pada komponen agar dapat diakses oleh Server Pengelolaan.
- UI Edge memerlukan akses ke Router, pada port yang diekspos oleh proxy API, untuk mendukung tombol Kirim di alat rekaman aktivitas.
- Akses ke port JMX dapat dikonfigurasi untuk mewajibkan nama pengguna/sandi. Lihat Cara Memantau untuk informasi selengkapnya.
- Secara opsional, Anda dapat mengonfigurasi akses TLS/SSL untuk koneksi tertentu, yang dapat menggunakan port berbeda. Lihat TLS/SSL untuk mengetahui selengkapnya.
- Anda dapat mengonfigurasi Server Pengelolaan dan UI Edge untuk mengirim email melalui server SMTP eksternal. Jika melakukannya, Anda harus memastikan bahwa Server Pengelolaan dan UI dapat mengakses port yang diperlukan di server SMTP (tidak ditampilkan). Untuk SMTP non-TLS, nomor port biasanya 25. Untuk SMTP yang mendukung TLS, sering kali adalah 465, tetapi periksa dengan penyedia SMTP Anda.
Beberapa Pusat Data
Jika Anda menginstal konfigurasi cluster 12 node dengan dua pusat data, pastikan node di kedua pusat data tersebut dapat berkomunikasi melalui port yang ditampilkan di bawah ini:
Perhatikan bahwa:
- Semua Server Pengelolaan harus dapat mengakses semua node Cassandra di semua pusat data lainnya.
- Semua Pemroses Pesan di semua pusat data harus dapat saling mengakses melalui port 4528.
- Server Pengelolaan harus dapat mengakses semua Pemroses Pesan melalui port 8082.
- Semua Server Pengelolaan dan semua node Qpid harus dapat mengakses Postgres di semua pusat data lainnya.
- Untuk alasan keamanan, selain port yang ditampilkan di atas dan port lainnya yang diwajibkan oleh persyaratan jaringan Anda sendiri, tidak ada port lain yang harus dibuka di antara pusat data.
Detail port
Tabel di bawah menjelaskan port yang perlu dibuka di firewall, oleh komponen Edge:
Komponen | Port | Deskripsi |
---|---|---|
Port HTTP standar | 80.443 | HTTP ditambah porta lain yang Anda gunakan untuk {i>host<i} virtual |
Cassandra | 7000, 9042, 9160 | Port Apache Cassandra untuk komunikasi antara node Cassandra dan untuk akses oleh komponen Edge lainnya. |
7199 | Port JMX. Harus terbuka untuk diakses oleh Server Pengelolaan. | |
LDAP | 10389 | OpenLDAP |
Server Pengelolaan | 1099 | Port JMX |
4526 | Port untuk cache terdistribusi dan panggilan pengelolaan. Port ini dapat dikonfigurasi. | |
8080 | Port untuk panggilan API pengelolaan Edge. Komponen ini memerlukan akses ke port 8080 di Server Pengelolaan: Router, Prosesor Pesan, UI, Postgres, dan Qpid. | |
UI Pengelolaan | 9.000 | Port untuk akses browser ke UI pengelolaan |
Message Processor | 1101 | Port JMX |
4528 | Untuk cache terdistribusi dan panggilan pengelolaan antara Pemroses Pesan, dan untuk komunikasi dari Router dan Server Pengelolaan.
Pemroses Pesan harus membuka port 4528 sebagai port pengelolaannya. Jika Anda memiliki beberapa Pemroses Pesan, semuanya harus dapat mengakses satu sama lain melalui port 4528 (ditunjukkan dengan panah loop dalam diagram di atas untuk port 4528 pada Pemroses Pesan). Jika Anda memiliki beberapa pusat data, port harus dapat diakses dari semua Pemroses Pesan di semua pusat data. |
|
8082 |
Port pengelolaan default untuk Pemroses Pesan dan harus terbuka pada komponen agar dapat diakses oleh Server Pengelolaan. Jika Anda mengonfigurasi TLS/SSL antara Router dan Pemroses Pesan, yang digunakan oleh Router untuk melakukan health check pada Pemroses Pesan. Port 8082 pada Pemroses Pesan hanya harus terbuka untuk diakses oleh Router saat Anda mengonfigurasi TLS/SSL antara Router dan Pemroses Pesan. Jika Anda tidak mengonfigurasi TLS/SSL antara Router dan Pemroses Pesan, konfigurasi default, port 8082 tetap harus dibuka pada Pemroses Pesan untuk mengelola komponen, tetapi Router tidak memerlukan akses ke Pemroses Pesan. |
|
8443 | Jika TLS diaktifkan antara Router dan Pemroses Pesan, Anda harus membuka port 8443 di Pemroses Pesan agar dapat diakses oleh Router. | |
8998 | Port Prosesor Pesan untuk komunikasi dari Router | |
Postgres | 22 | Jika mengonfigurasi dua node Postgres untuk menggunakan replikasi master-standby, Anda harus membuka port 22 di setiap node untuk mendapatkan akses SSH. |
1103 | Port JMX | |
4530 | Untuk panggilan pengelolaan dan cache terdistribusi | |
5432 | Digunakan untuk komunikasi dari Qpid/Management Server ke Postgres | |
8084 | Port pengelolaan default di server Postgres dan harus terbuka pada komponen agar dapat diakses oleh Server Pengelolaan. | |
Qpid | 1102 | Port JMX |
4529 | Untuk panggilan pengelolaan dan cache terdistribusi | |
5672 |
|
|
8083 | Port pengelolaan default di server Qpid dan harus terbuka pada komponen agar dapat diakses oleh Server Pengelolaan. | |
Router | 4527 | Untuk panggilan pengelolaan dan cache terdistribusi.
{i>Router<i} harus membuka port 4527 sebagai port manajemennya. Jika Anda memiliki beberapa Router, semuanya harus dapat mengakses satu sama lain melalui port 4527 (ditunjukkan dengan panah loop dalam diagram di atas untuk port 4527 pada Router). Meskipun tidak diwajibkan, Anda dapat membuka port 4527 pada Router untuk diakses oleh Pemroses Pesan apa pun. Jika tidak, Anda mungkin akan melihat pesan error dalam file log Message Processor. |
8081 | Port pengelolaan default untuk Router dan harus terbuka pada komponen agar dapat diakses oleh Server Pengelolaan. | |
15999 |
Health check port. Load balancer menggunakan port ini untuk menentukan apakah Router tersedia. Untuk mendapatkan status Router, load balancer membuat permintaan ke port 15999 di Router: curl -v http://routerIP:15999/v1/servers/self/reachable Jika Router dapat dijangkau, permintaan akan menampilkan HTTP 200. |
|
59001 | Port yang digunakan untuk menguji penginstalan Edge oleh utilitas apigee-validate .
Utilitas ini memerlukan akses ke port 59001 pada Router. Lihat
Menguji penginstalan untuk mengetahui informasi selengkapnya tentang port 59001. |
|
SmartDocs | 59002 | Port di router Edge tempat permintaan halaman SmartDocs dikirim. |
ZooKeeper | 2181 | Digunakan oleh komponen lain seperti Server Pengelolaan, Router, Prosesor Pesan, dan sebagainya |
2888, 3888 | Digunakan secara internal oleh ZooKeeper untuk komunikasi cluster ZooKeeper (dikenal sebagai ansambel ZooKeeper) |
Tabel berikutnya menunjukkan port yang sama, yang dicantumkan secara numerik, dengan komponen sumber dan tujuan:
Nomor Port | Tujuan | Komponen Sumber | Komponen Tujuan |
---|---|---|---|
virtual_host_port | HTTP plus porta lainnya yang Anda gunakan untuk lalu lintas panggilan API host virtual. Port 80 dan 443 adalah yang paling umum digunakan; Router Pesan dapat menghentikan koneksi TLS/SSL. | Klien eksternal (atau memuat balancer) | Pemroses di Router Pesan |
1099 sampai 1103 | Pengelolaan JMX | Klien JMX | Server Pengelolaan (1099) Pemroses Pesan (1101) Server Qpid (1102) Server Postgres (1103) |
2181 | Komunikasi klien Zookeeper | Server Pengelolaan Router Pemroses Pesan Qpid Server Postgres Server |
Penjaga kebun binatang |
2888 dan 3888 | Pengelolaan internode Zookeeper | Penjaga kebun binatang | Penjaga kebun binatang |
4526 | Port Pengelolaan RPC | Server Pengelolaan | Server Pengelolaan |
4527 | Port Pengelolaan RPC untuk panggilan pengelolaan dan cache terdistribusi, serta untuk komunikasi antar-Router | Router Server Pengelolaan |
Router |
4528 | Untuk panggilan cache terdistribusi antara Pemroses Pesan, dan untuk komunikasi dari Router | Server Pengelolaan Router Pemroses Pesan |
Message Processor |
4529 | Port Pengelolaan RPC untuk panggilan pengelolaan dan cache terdistribusi | Server Pengelolaan | Server Qpid |
4530 | Port Pengelolaan RPC untuk panggilan pengelolaan dan cache terdistribusi | Server Pengelolaan | Server Postgres |
5432 | Klien Postgres | Server Qpid | Postgres |
5672 |
|
Server Qpid | Server Qpid |
7000 | Komunikasi antar-node Cassandra | Cassandra | Node Cassandra lainnya |
7199 | JMX. Harus dibuka untuk akses pada node Cassandra oleh Server Pengelolaan. | klien JMX | Cassandra |
8080 | Port Management API | Klien Management API | Server Pengelolaan |
8081 sampai 8084 |
Port API komponen, digunakan untuk mengeluarkan permintaan API secara langsung ke masing-masing komponen. Setiap komponen membuka port yang berbeda; port yang digunakan bergantung pada konfigurasi, tetapi harus terbuka pada komponen agar dapat diakses oleh Server Pengelolaan |
Klien Management API | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
8443 | Komunikasi antara Router dan Pemroses Pesan saat TLS diaktifkan | Router | Message Processor |
8998 | Komunikasi antara Router dan Pemroses Pesan | Router | Message Processor |
9.000 | Port UI pengelolaan Edge default | Browser | Server UI Pengelolaan |
9042 | Transportasi native CQL | Router Pemroses Pesan Server Pengelolaan |
Cassandra |
9160 | Klien barang bekas Cassandra | Router Pemroses Pesan Server Pengelolaan |
Cassandra |
10389 | Port LDAP | Server Pengelolaan | OpenLDAP |
15999 | Health check port. Load balancer menggunakan port ini untuk menentukan apakah Router tersedia. | Load balancer | Router |
59001 | Port yang digunakan oleh utilitas apigee-validate untuk menguji penginstalan Edge |
apigee-validate | Router |
59002 | Port router tempat permintaan halaman SmartDocs dikirim | SmartDocs | Router |
Pemroses Pesan membuat kumpulan koneksi khusus tetap terbuka untuk Cassandra, yang dikonfigurasi agar tidak pernah habis waktu tunggunya. Jika firewall berada di antara Message Processor dan server Cassandra, firewall dapat kehabisan waktu koneksi. Namun, Pemroses Pesan tidak dirancang untuk membuat kembali koneksi ke Cassandra.
Untuk mencegah situasi ini, Apigee merekomendasikan agar server Cassandra, Message Processor, dan Router berada di subnet yang sama, sehingga firewall tidak terlibat dalam deployment komponen tersebut.
Jika firewall berada di antara Router dan Prosesor Pesan, serta menetapkan waktu tunggu TCP tidak ada aktivitas, rekomendasi kami adalah melakukan hal berikut:
- Tetapkan
net.ipv4.tcp_keepalive_time = 1800
di setelan sysctl pada OS Linux, dengan 1800 harus lebih rendah dari waktu tunggu tcp nonaktif firewall. Setelan ini harus mempertahankan koneksi dalam status aktif sehingga firewall tidak memutuskan koneksi. - Pada semua Pemroses Pesan, edit
/opt/apigee/customer/application/message-processor.properties
untuk menambahkan properti berikut. Jika file tidak ada, buat file tersebut.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mulai ulang Pemroses Pesan:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Di semua Router, edit
/opt/apigee/customer/application/router.properties
untuk menambahkan properti berikut. Jika file tidak ada, buat file tersebut.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mulai ulang Router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart