Edge for Private Cloud v4.18.05
Kebutuhan untuk mengelola firewall lebih dari sekadar host virtual; VM dan firewall host fisik harus mengizinkan traffic untuk port yang diperlukan oleh komponen agar dapat berkomunikasi satu sama lain.
Diagram port
Gambar berikut menunjukkan persyaratan port untuk satu pusat data dan beberapa konfigurasi pusat data:
Satu Pusat Data
Gambar berikut menunjukkan persyaratan port untuk setiap komponen Edge dalam satu konfigurasi pusat data:
Catatan pada diagram ini:
- Port yang diawali dengan "M" adalah port yang digunakan untuk mengelola komponen dan harus terbuka di komponen untuk diakses oleh Server Pengelolaan.
- UI Edge memerlukan akses ke Router, di port yang diekspos oleh proxy API, untuk mendukung tombol Kirim di alat rekaman aktivitas.
- Akses ke porta JMX dapat dikonfigurasi untuk mewajibkan nama pengguna/kata sandi. Lihat Cara Memantau untuk mengetahui informasi selengkapnya.
- Anda dapat secara opsional mengonfigurasi akses TLS/SSL untuk koneksi tertentu, yang dapat menggunakan port berbeda. Lihat TLS/SSL untuk informasi selengkapnya.
- Anda dapat mengonfigurasi UI Server Pengelolaan dan Edge untuk mengirim email melalui server SMTP eksternal. Jika melakukannya, Anda harus memastikan bahwa Server Pengelolaan dan UI dapat mengakses port yang diperlukan di server SMTP (tidak ditampilkan). Untuk SMTP non-TLS, nomor port biasanya 25. Untuk SMTP yang mendukung TLS, biasanya yang digunakan adalah 465, tetapi periksa dengan penyedia SMTP Anda.
Beberapa Pusat Data
Jika Anda menginstal konfigurasi yang dikelompokkan 12 node dengan dua pusat data, pastikan bahwa node di dua pusat data tersebut dapat berkomunikasi melalui port yang ditunjukkan di bawah ini:
Perhatikan bahwa:
- Semua Server Pengelolaan harus dapat mengakses semua node Cassandra di semua pusat data lainnya.
- Semua Pemroses Pesan di semua pusat data harus dapat saling mengakses melalui port 4528.
- Server Pengelolaan harus dapat mengakses semua Pemroses Pesan melalui port 8082.
- Semua Server Pengelolaan dan semua node Qpid harus dapat mengakses Postgres di semua pusat data lainnya.
- Untuk alasan keamanan, selain port yang ditampilkan di atas dan port lainnya yang diperlukan oleh persyaratan jaringan Anda sendiri, tidak ada port lain yang boleh terbuka antara pusat data.
Detail port
Tabel di bawah menjelaskan port yang perlu dibuka di firewall, oleh komponen Edge:
| Komponen | Port | Deskripsi |
|---|---|---|
| Port HTTP standar | 80, 443 | HTTP plus port lain yang Anda gunakan untuk host virtual |
| Cassandra | 7000, 9042, 9160 | Port Apache Cassandra untuk komunikasi antara node Cassandra dan untuk akses oleh komponen Edge lainnya. |
| 7199 | Port JMX. Harus terbuka untuk diakses oleh Server Pengelolaan. | |
| LDAP | 10389 | OpenLDAP |
| Server Pengelolaan | 1099 | Port JMX |
| 4526 | Port untuk cache terdistribusi dan panggilan pengelolaan. Port ini dapat dikonfigurasi. | |
| 8080 | Port untuk panggilan API pengelolaan Edge. Komponen ini memerlukan akses ke port 8080 di Server Pengelolaan: Router, Message Processor, UI, Postgres, dan Qpid. | |
| UI Pengelolaan | 9000 | Port untuk akses browser ke UI pengelolaan |
| Message Processor | 1101 | Port JMX |
| 4528 | Untuk cache terdistribusi dan panggilan pengelolaan antara Pemroses Pesan, serta untuk
komunikasi dari Router dan Server Pengelolaan.
Pemroses Pesan harus membuka port 4528 sebagai port pengelolaannya. Jika Anda memiliki beberapa Message Processor, semua Message Processor tersebut harus dapat saling mengakses melalui port 4528 (ditunjukkan oleh panah loop dalam diagram di atas untuk port 4528 di Message Processor). Jika Anda memiliki beberapa pusat data, port harus dapat diakses dari semua Pemroses Pesan di semua pusat data. |
|
| 8082 |
Port pengelolaan default untuk Message Processor dan harus terbuka di komponen untuk akses oleh Server Pengelolaan. Jika Anda mengonfigurasi TLS/SSL antara Router dan Pemroses Pesan, yang digunakan oleh Router untuk melakukan health check pada Pemroses Pesan. Port 8082 di Message Processor hanya harus terbuka untuk diakses oleh Router saat Anda mengonfigurasi TLS/SSL antara Router dan Message Processor. Jika Anda tidak mengonfigurasi TLS/SSL antara Router dan Message Processor, konfigurasi default, port 8082 masih harus terbuka di Message Processor untuk mengelola komponen, tetapi Router tidak memerlukan akses ke port tersebut. |
|
| 8443 | Jika TLS diaktifkan antara Router dan Message Processor, Anda harus membuka port 8443 di Message Processor untuk diakses oleh Router. | |
| 8998 | Port Pemroses Pesan untuk komunikasi dari Router | |
| Postgres | 22 | Jika mengonfigurasi dua node Postgres untuk menggunakan replikasi master-standby, Anda harus membuka port 22 di setiap node untuk akses SSH. |
| 1103 | Port JMX | |
| 4530 | Untuk panggilan pengelolaan dan cache terdistribusi | |
| 5432 | Digunakan untuk komunikasi dari Qpid/Management Server ke Postgres | |
| 8084 | Port pengelolaan default di server Postgres dan harus terbuka di komponen untuk akses oleh Server Pengelolaan. | |
| Qpid | 1102 | Port JMX |
| 4529 | Untuk cache terdistribusi dan panggilan pengelolaan | |
| 5672 |
|
|
| 8083 | Port pengelolaan default di server Qpid dan harus terbuka di komponen untuk akses oleh Server Pengelolaan. | |
| Router | 4527 | Untuk panggilan cache dan pengelolaan terdistribusi.
Router harus membuka port 4527 sebagai port pengelolaannya. Jika Anda memiliki beberapa Router, semua router tersebut harus dapat saling mengakses melalui port 4527 (ditunjukkan oleh panah loop dalam diagram di atas untuk port 4527 di Router). Meskipun tidak diperlukan, Anda dapat membuka port 4527 di Router untuk akses oleh Message Processor. Jika tidak, Anda mungkin melihat pesan error dalam file log Message Processor. |
| 8081 | Port pengelolaan default untuk Router dan harus dibuka pada komponen agar dapat diakses oleh Server Pengelolaan. | |
| 15999 |
Port health check. Load balancer menggunakan port ini untuk menentukan apakah Router tersedia. Untuk mendapatkan status Router, load balancer membuat permintaan ke port 15999 di Router: curl -v http://routerIP:15999/v1/servers/self/reachable Jika Router dapat dijangkau, permintaan akan menampilkan HTTP 200. |
|
| 59001 | Port yang digunakan untuk menguji penginstalan Edge oleh utilitas apigee-validate.
Utilitas ini memerlukan akses ke port 59001 di Router. Lihat
Menguji penginstalan untuk mengetahui informasi selengkapnya tentang port 59001. |
|
| SmartDocs | 59002 | Port di router Edge tempat permintaan halaman SmartDocs dikirim. |
| ZooKeeper | 2181 | Digunakan oleh komponen lain seperti Server Pengelolaan, Router, Pemroses Pesan, dan sebagainya |
| 2888, 3888 | Digunakan secara internal oleh ZooKeeper untuk komunikasi cluster ZooKeeper (dikenal sebagai ensemble ZooKeeper) |
Tabel berikutnya menampilkan port yang sama, yang tercantum secara numerik, dengan komponen sumber dan tujuan:
| Nomor Port | Tujuan | Komponen Sumber | Komponen Tujuan |
|---|---|---|---|
| virtual_host_port | HTTP plus port lain yang Anda gunakan untuk traffic panggilan API host virtual. Port 80 dan 443 paling sering digunakan; Message Router dapat menghentikan koneksi TLS/SSL. | Klien eksternal (atau load balancer) | Pemroses di Router Pesan |
| 1099 sampai 1103 | Pengelolaan JMX | Klien JMX | Server Pengelolaan (1099) Pemroses Pesan (1101) Server Qpid (1102) Server Postgres (1103) |
| 2181 | Komunikasi klien Zookeeper | Server Pengelolaan Router Pemroses Pesan Server Qpid Server Postgres |
Zookeeper |
| 2888 dan 3888 | Pengelolaan internode Zookeeper | Zookeeper | Zookeeper |
| 4526 | Port Pengelolaan RPC | Server Pengelolaan | Server Pengelolaan |
| 4527 | Port Pengelolaan RPC untuk cache terdistribusi dan panggilan pengelolaan, serta untuk komunikasi antar-Router | Router Server Pengelolaan |
Router |
| 4528 | Untuk panggilan cache terdistribusi di antara Message Processor, dan untuk komunikasi dari Router | Server Pengelolaan Router Message Processor |
Message Processor |
| 4529 | Port Pengelolaan RPC untuk panggilan pengelolaan dan cache terdistribusi | Server Pengelolaan | Server Qpid |
| 4530 | Port Pengelolaan RPC untuk panggilan pengelolaan dan cache terdistribusi | Server Pengelolaan | Server Postgres |
| 5432 | Klien Postgres | Server Qpid | Postgres |
| 5672 |
|
Server Qpid | Server Qpid |
| 7.000 | Komunikasi antar-node Cassandra | Cassandra | Node Cassandra lainnya |
| 7199 | Pengelolaan JMX. Harus terbuka untuk akses pada node Cassandra oleh Server Pengelolaan. | Klien JMX | Cassandra |
| 8080 | Port Management API | Klien Management API | Server Pengelolaan |
| 8081 hingga 8084 |
Port Component API, yang digunakan untuk mengeluarkan permintaan API langsung ke setiap komponen. Setiap komponen membuka port yang berbeda; port yang sama persis yang digunakan bergantung pada konfigurasi, tetapi harus terbuka di komponen untuk diakses oleh Server Pengelolaan |
Klien Management API | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8443 | Komunikasi antara Router dan Pemroses Pesan saat TLS diaktifkan | Router | Message Processor |
| 8998 | Komunikasi antara Router dan Message Processor | Router | Message Processor |
| 9000 | Port UI pengelolaan Edge default | Browser | Server UI Pengelolaan |
| 9042 | Transmisi native CQL | Router Message Processor Management Server |
Cassandra |
| 9160 | Klien thrift Cassandra | Router Message Processor Management Server |
Cassandra |
| 10389 | Port LDAP | Server Pengelolaan | OpenLDAP |
| 15999 | Port health check. Load balancer menggunakan port ini untuk menentukan apakah Router tersedia. | Load balancer | Router |
| 59001 | Port yang digunakan oleh utilitas apigee-validate untuk menguji penginstalan Edge |
apigee-validate | Router |
| 59002 | Port router tempat permintaan halaman SmartDocs dikirim | SmartDocs | Router |
Pemroses Pesan membuat kumpulan koneksi khusus tetap terbuka ke Cassandra, yang dikonfigurasi agar tidak pernah habis waktu tunggunya. Jika firewall berada di antara Message Processor dan server Cassandra, firewall dapat menghentikan koneksi. Namun, Pemroses Pesan tidak dirancang untuk membuat kembali koneksi ke Cassandra.
Untuk mencegah situasi ini, Apigee merekomendasikan agar server Cassandra, Message Processor, dan Router berada di subnet yang sama sehingga firewall tidak terlibat dalam deployment komponen ini.
Jika firewall berada di antara Router dan Message Processor, dan memiliki waktu tunggu TCP tidak ada aktivitas yang ditetapkan, sebaiknya lakukan hal berikut:
- Tetapkan
net.ipv4.tcp_keepalive_time = 1800di setelan sysctl pada OS Linux, dengan 1800 harus lebih rendah dari waktu tunggu tcp tidak ada aktivitas firewall. Setelan ini akan mempertahankan koneksi dalam status yang ditetapkan sehingga firewall tidak memutuskan koneksi. - Di semua Pemroses Pesan, edit
/opt/apigee/customer/application/message-processor.propertiesuntuk menambahkan properti berikut. Jika file tidak ada, buat file tersebut.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mulai ulang Message Processor:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Di semua Router, edit
/opt/apigee/customer/application/router.propertiesuntuk menambahkan properti berikut. Jika file tidak ada, buat file tersebut.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mulai Ulang Router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart