Edge for Private Cloud v4.18.05
La necessità di gestire il firewall non riguarda solo gli host virtuali; i firewall delle VM e degli host fisici devono consentire il traffico per le porte richieste dai componenti per comunicare tra loro.
Diagrammi delle porte
Le seguenti immagini mostrano i requisiti delle porte sia per un singolo data center sia per una configurazione con più data center:
Data center singolo
L'immagine seguente mostra i requisiti delle porte per ciascun componente Edge in un'unica configurazione del data center:
Note su questo diagramma:
- Le porte con prefisso "M" sono utilizzate per gestire il componente e devono essere aperte sul componente per consentire l'accesso da parte del server di gestione.
- La UI Edge richiede l'accesso al router, sulle porte esposte dai proxy API, per supportare il pulsante Invia nello strumento di traccia.
- L'accesso alle porte JMX può essere configurato in modo da richiedere un nome utente/una password. Per ulteriori informazioni, consulta Come monitorare.
- Se vuoi, puoi configurare l'accesso TLS/SSL per determinate connessioni, che possono utilizzare diverse porte. Per ulteriori informazioni, consulta TLS/SSL.
- Puoi configurare il server di gestione e l'interfaccia utente di Edge per inviare email tramite un server SMTP esterno. In questo caso, devi assicurarti che il server di gestione e l'interfaccia utente possano accedere alla porta necessaria sul server SMTP (non mostrata). Per SMTP non TLS, il numero di porta è in genere 25. Per SMTP con TLS abilitato, spesso è 465, ma rivolgiti al tuo provider SMTP.
Più data center
Se installi la configurazione in cluster a 12 nodi con due data center, assicurati che i nodi nei due data center possano comunicare tramite le porte mostrate di seguito:
Tieni presente che:
- Tutti i server di gestione devono essere in grado di accedere a tutti i nodi Cassandra in tutti gli altri data center.
- Tutti gli elaboratori di messaggi in tutti i data center devono essere in grado di accedere l'uno all'altro tramite la porta 4528.
- Il server di gestione deve essere in grado di accedere a tutti i processori di messaggi tramite la porta 8082.
- Tutti i server di gestione e tutti i nodi Qpid devono essere in grado di accedere a Postgres in tutti gli altri data center.
- Per motivi di sicurezza, oltre alle porte mostrate sopra e a quelle richieste dai tuoi requisiti di rete, non devono essere aperte altre porte tra i data center.
Dettagli porta
La tabella seguente descrive le porte che devono essere aperte nei firewall, per componente Edge:
| Componente | Porta | Descrizione |
|---|---|---|
| Porte HTTP standard | 80, 443 | HTTP e tutte le altre porte che utilizzi per gli host virtuali |
| Cassandra | 7000, 9042, 9160 | Porte di Apache Cassandra per la comunicazione tra i nodi Cassandra e per l'accesso da parte di altri componenti Edge. |
| 7199 | Porta JMX. Deve essere aperto per l'accesso da parte del server di gestione. | |
| LDAP | 10389 | OpenLDAP |
| Server di gestione | 1099 | Porta JMX |
| 4526 | Porta per le chiamate di gestione e della cache distribuita. Questa porta è configurabile. | |
| 8080 | Porta per le chiamate all'API di gestione di Edge. Questi componenti richiedono l'accesso alla porta 8080 sul server di gestione: router, Message Processor, UI, Postgres e Qpid. | |
| Interfaccia utente di gestione | 9000 | Porta per l'accesso del browser all'interfaccia utente di gestione |
| processore di messaggi | 1101 | Porta JMX |
| 4528 | Per chiamate di gestione e cache distribuite tra processori di messaggi e per le comunicazioni dal router e dal server di gestione.
Un Message Processor deve aprire la porta 4528 come porta di gestione. Se hai più processori di messaggi, tutti devono essere in grado di accedere l'uno all'altro tramite la porta 4528 (indicata dalla freccia del loop nel diagramma sopra per la porta 4528 sul processore di messaggi). Se disponi di più data center, la porta deve essere accessibile da tutti i processori di messaggi in tutti i data center. |
|
| 8082 |
La porta di gestione predefinita per il processore di messaggi e deve essere aperta sul componente per consentire l'accesso da parte del server di gestione. Se configuri TLS/SSL tra il router e il processore di messaggi, utilizzato dal router per effettuare i controlli di integrità sul processore di messaggi. La porta 8082 sul Message Processor deve essere aperta per l'accesso da parte del router solo quando configurerai TLS/SSL tra il router e il Message Processor. Se non configuri TLS/SSL tra il router e il Message Processor, la configurazione predefinita, la porta 8082 deve essere ancora aperta sul Message Processor per gestire il componente, ma il router non richiede accesso. |
|
| 8443 | Quando TLS è attivato tra il router e il Message Processor, devi aprire la porta 8443 sul Message Processor per consentire l'accesso da parte del router. | |
| 8998 | Porta del processore di messaggi per le comunicazioni dal router | |
| Postgres | 22 | Se configuri due nodi Postgres per l'utilizzo della replica in standby master, devi aprire la porta 22 su ciascun nodo per l'accesso SSH. |
| 1103 | Porta JMX | |
| 4530 | Per chiamate di gestione e cache distribuite | |
| 5432 | Utilizzato per le comunicazioni da Qpid/Management Server a Postgres | |
| 8084 | La porta di gestione predefinita sul server Postgres deve essere aperta sul componente per consentire l'accesso da parte del server di gestione. | |
| Qpid | 1102 | Porta JMX |
| 4529 | Per chiamate di gestione e cache distribuite | |
| 5672 |
|
|
| 8083 | Porta di gestione predefinita sul server Qpid e deve essere aperta sul componente per l'accesso da parte del server di gestione. | |
| Router | 4527 | Per chiamate di gestione e cache distribuite.
Un router deve aprire la porta 4527 come porta di gestione. Se hai più router, devono essere tutti in grado di accedere l'uno all'altro tramite la porta 4527 (indicata dalla freccia del loop nel diagramma sopra per la porta 4527 sul router). Sebbene non sia obbligatorio, puoi aprire la porta 4527 sul router per consentire l'accesso da parte di qualsiasi Message Processor. In caso contrario, potresti visualizzare messaggi di errore nei file log di Message Processor. |
| 8081 | La porta di gestione predefinita per il router deve essere aperta sul componente per consentire l'accesso da parte del server di gestione. | |
| 15999 |
Porta del controllo di integrità. Un bilanciatore del carico utilizza questa porta per determinare se il router è disponibile. Per ottenere lo stato di un router, il bilanciatore del carico invia una richiesta alla porta 15999 sul router: curl -v http://routerIP:15999/v1/servers/self/reachable Se il router è raggiungibile, la richiesta restituisce HTTP 200. |
|
| 59001 | Porta utilizzata per testare l'installazione di Edge dall'utilità apigee-validate.
Questa utility richiede l'accesso alla porta 59001 sul router. Consulta Test dell'installazione per ulteriori informazioni sulla porta 59001. |
|
| SmartDocs | 59002 | La porta sul router Edge a cui vengono inviate le richieste di pagine SmartDocs. |
| ZooKeeper | 2181 | Utilizzato da altri componenti come il server di gestione, il router, l'elaboratore di messaggi e così via |
| 2888, 3888 | Utilizzato internamente da ZooKeeper per la comunicazione del cluster ZooKeeper (noto come ensemble ZooKeeper) |
La tabella seguente mostra le stesse porte, elencate in ordine numerico, con i componenti di origine e di destinazione:
| Numero porta | Finalità | Componente di origine | Componente di destinazione |
|---|---|---|---|
| virtual_host_port | HTTP più eventuali altre porte utilizzate per il traffico di chiamate API dell'host virtuale. Le porte 80 e 443 sono le più utilizzate; il Message Router può terminare le connessioni TLS/SSL. | Client esterno (o bilanciatore del carico) | Listener sul router dei messaggi |
| 1099-1103 | Gestione JMX | JMX Client | Server di gestione (1099) Processore di messaggi (1101) Server Qpid (1102) Server Postgres (1103) |
| 2181 | Comunicazione del client Zookeeper | Server di gestione Router Processore di messaggi Server Qpid Server Postgres |
Zookeeper |
| 2888 e 3888 | Gestione degli internodi dello zoo | Zookeeper | Zookeeper |
| 4526 | Porta di gestione RPC | Server di gestione | Server di gestione |
| 4527 | Porta di gestione RPC per chiamate di gestione e cache distribuite e per le comunicazioni tra i router | Router del server di gestione |
Router |
| 4528 | Per chiamate cache distribuite tra processori di messaggi e per comunicazioni dal router | Server di gestione Router Processore di messaggi |
processore di messaggi |
| 4529 | Porta di gestione RPC per chiamate di gestione e cache distribuite | Server di gestione | Server Qpid |
| 4530 | Porta di gestione RPC per chiamate di gestione e cache distribuite | Server di gestione | Server Postgres |
| 5432 | Client Postgres | Qpid Server | Postgres |
| 5672 |
|
Qpid Server | Qpid Server |
| 7000 | Comunicazioni tra nodi Cassandra | Cassandra | Altro nodo Cassandra |
| 7199 | Gestione JMX. Deve essere aperto per l'accesso sul nodo Cassandra dal server di gestione. | Client JMX | Cassandra |
| 8080 | Porta dell'API di gestione | Client API di gestione | Server di gestione |
| Da 8081 a 8084 |
Porte API dei componenti, utilizzate per inviare richieste API direttamente ai singoli componenti. Ogni componente apre una porta diversa; la porta esatta utilizzata dipende dalla configurazione, ma deve essere aperta sul componente per l'accesso da parte del server di gestione |
Client API di gestione | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8443 | Comunicazione tra router e processore di messaggi quando TLS è abilitato | Router | processore di messaggi |
| 8998 | Comunicazione tra router e processore di messaggi | Router | processore di messaggi |
| 9000 | Porta UI di gestione perimetrale predefinita | Browser | Server dell'interfaccia utente di gestione |
| 9042 | Trasporto nativo CQL | Router Processore di messaggi Server di gestione |
Cassandra |
| 9160 | Client Cassandra Thrift | Router Processore di messaggi Server di gestione |
Cassandra |
| 10389 | Porta LDAP | Server di gestione | OpenLDAP |
| 15999 | Porta del controllo di integrità. Un bilanciatore del carico utilizza questa porta per determinare se il router è disponibile. | Bilanciatore del carico | Router |
| 59001 | Porta utilizzata dall'utilità apigee-validate per testare l'installazione di Edge |
apigee-validate | Router |
| 59002 | La porta del router a cui vengono inviate le richieste di pagine SmartDocs | SmartDocs | Router |
Un Message Processor mantiene aperto un pool di connessioni dedicato a Cassandra, che è configurato per non scadere mai. Quando un firewall si trova tra un Message Processor e il server Cassandra, il firewall può causare il timeout della connessione. Tuttavia, il Message Processor non è progettato per ristabilire le connessioni a Cassandra.
Per evitare questa situazione, Apigee consiglia che il server Cassandra, il processore di messaggi e i router si trovino nella stessa subnet, in modo che non sia coinvolto un firewall nel deployment di questi componenti.
Se tra il router e gli elaboratori di messaggi è presente un firewall con un timeout TCP inattivo impostato, ti consigliamo di procedere nel seguente modo:
- Imposta
net.ipv4.tcp_keepalive_time = 1800nelle impostazioni sysctl sul sistema operativo Linux, dove 1800 deve essere inferiore al timeout TCP inattivo del firewall. Questa impostazione dovrebbe mantenere la connessione in uno stato stabilito in modo che il firewall non la disconnetta. - In tutti gli elaboratori di messaggi, modifica
/opt/apigee/customer/application/message-processor.propertiesper aggiungere la seguente proprietà. Se il file non esiste, crealo.conf_system_cassandra.maxconnecttimeinmillis=-1
- Riavvia il Message Processor:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Su tutti i router, modifica
/opt/apigee/customer/application/router.propertiesper aggiungere la seguente proprietà. Se il file non esiste, creane uno.conf_system_cassandra.maxconnecttimeinmillis=-1
- Riavvia il router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart