ポートの要件

Edge for Private Cloud v4.18.05

ファイアウォールを管理する必要性は仮想ホストだけにとどまりません。VM と物理ホストの両方のファイアウォールで、コンポーネント間の通信に必要なポートのトラフィックを許可する必要があります。

ポート図

次の図は、単一データセンター構成と複数データセンター構成の両方のポート要件を示しています。

単一のデータセンター

次の図は、単一データセンター構成における各 Edge コンポーネントのポート要件を示しています。

単一のデータセンター構成における各 Edge コンポーネントのポート要件

この図の注意事項:

  • 接頭辞が「M」のポートは、コンポーネントの管理に使用されるポートです。Management Server からアクセスするには、そのコンポーネントで開いている必要があります。
  • Edge UI で Trace ツールの [Send] ボタンをサポートするには、API プロキシによって公開されるポートで Router にアクセスする必要があります。
  • JMX ポートへのアクセスを構成して、ユーザー名とパスワードを要求させることができます。詳細については、モニタリング方法をご覧ください。
  • 必要に応じて、特定の接続に対して TLS / SSL アクセスを構成できます。TLS / SSL アクセスには異なるポートが使われることがあります。詳細については、TLS/SSL をご覧ください。
  • 外部 SMTP サーバー経由でメールを送信するように、Management Server と Edge UI を構成できます。その場合、Management Server と UI が SMTP サーバー上の必要なポート(図示せず)にアクセスできることを確認する必要があります。TLS 以外の SMTP の場合、ポート番号は通常 25 です。TLS 対応の SMTP では多くの場合、465 ですが、SMTP プロバイダに確認してください。

複数のデータセンター

2 つのデータセンターを持つ 12 ノードのクラスタ構成をインストールする場合、2 つのデータセンターのノードが次のポートで通信できることを確認します。

12 ノードクラスタ構成の各ノードのポート要件

次のことに注意してください。

  • すべての Management Server が、他のすべてのデータセンターのすべての Cassandra ノードにアクセスできる必要があります。
  • すべてのデータセンターのすべての Message Processor が、ポート 4528 で互いにアクセスできる必要があります。
  • Management Server は、ポート 8082 を介してすべての Message Processor にアクセスできる必要があります。
  • すべての Management Server とすべての Qpid ノードが、他のすべてのデータセンターの Postgres にアクセスできる必要があります。
  • セキュリティ上の理由から、上記のポートと、ネットワーク要件で必要なポートを除き、他のポートをデータセンター間で開かないようにしてください。

移行の詳細

次の表に、ファイアウォールで Edge コンポーネントごとに開く必要があるポートを示します。

コンポーネント ポート 説明
標準 HTTP ポート 80、443 HTTP と仮想ホストに使用するその他のポート
Cassandra 7000、9042、9160 Cassandra ノード間の通信や、他の Edge コンポーネントからのアクセスに使用する Apache Cassandra ポート。
7199 JMX ポート。Management Server からアクセスできるようにする必要があります。
LDAP 10389 OpenLDAP
管理サーバー 1099 JMX ポート
4526 分散キャッシュと管理呼び出し用のポート。このポートは構成可能です。
8080 Edge Management API 呼び出し用のポート。これらのコンポーネントは、Management Server、Router、Message Processor、UI、Postgres、Qpid のポート 8080 にアクセスする必要があります。
管理 UI 9000 管理 UI へのブラウザ アクセス用ポート
Message Processor 1101 JMX ポート
4528 Message Processor 間の分散キャッシュと管理呼び出し用、Router と Management Server からの通信用。

Message Processor では、管理ポートとしてポート 4528 を開く必要があります。複数の Message Processor がある場合は、ポート 4528 を介して相互にアクセスできる必要があります(Message Processor のポート 4528 については、上の図のループ矢印で示されます)。複数のデータセンターがある場合は、すべてのデータセンターのすべての Message Processor からポートにアクセスできる必要があります。

8082

Message Processor のデフォルト管理ポートです。Management Server からアクセスするにはコンポーネント上で開いている必要があります。

Router と Message Processor の間に TLS/SSL を構成すると、Router は Message Processor でヘルスチェックを行います。

Router と Message Processor 間の TLS/SSL を構成する場合にのみ、Router がアクセスできるように Message Processor のポート 8082 を開く必要があります。Router と Message Processor 間の TLS/SSL を構成しない場合、コンポーネントを管理するために、デフォルトの構成でポート 8082 を Message Processor で開く必要がありますが、Router はコンポーネントへのアクセスを要求しません。

8443 Router と Message Processor の間で TLS が有効になっている場合は、Router がアクセスできるように、Message Processor のポート 8443 を開く必要があります。
8998 Router からの通信に使用する Message Processor ポート
Postgres 22 マスター / スタンバイ レプリケーションを使用するように 2 つの Postgres ノードを構成する場合は、SSH アクセス用に各ノードでポート 22 を開く必要があります。
1103 JMX ポート
4530 分散キャッシュと管理呼び出しの場合
5432 Qpid/Management Server から Postgres への通信に使用される
8084 Postgres Server のデフォルト管理ポートであり、Management Server からアクセスするにはコンポーネントで開いている必要があります。
QPD 1102 JMX ポート
4529 分散キャッシュと管理呼び出しの場合
5672
  • 単一のデータセンター: Router と Message Processor から Qpid に分析を送信するために使用されます。
  • 複数のデータセンター: 異なるデータセンターの Qpid ノード間の通信に使用されます。
8083 Qpid サーバーのデフォルトの管理ポートであり、Management Server によるアクセスのためにコンポーネント上で開いている必要があります。
ルーター 4527 分散キャッシュと管理呼び出しの場合。

Router では管理ポートとしてポート 4527 を開く必要があります。複数の Router がある場合は、ポート 4527 を介して相互にアクセスできる必要があります(Router のポート 4527 については、上の図のループ矢印で示されています)。

必須ではありませんが、Router でポート 4527 を開いて、任意の Message Processor からアクセスできるようにします。そうしないと、Message Processor のログファイルにエラー メッセージが表示されることがあります。

8081 Router のデフォルト管理ポートであり、Management Server からアクセスするにはコンポーネント上で開いている必要があります。
15999

ヘルスチェック ポート。ロードバランサはこのポートを使用して Router が使用可能かどうかを判断します。

Router のステータスを取得するために、ロードバランサは Router のポート 15999 にリクエストを行います。

curl -v http://routerIP:15999/v1/servers/self/reachable

Router が到達可能である場合、リクエストは HTTP 200 を返します。

59001 apigee-validate ユーティリティによる Edge インストールのテストに使用されるポート。このユーティリティは、Router のポート 59001 にアクセスする必要があります。ポート 59001 の詳細については、インストールのテストをご覧ください。
SmartDocs 59002 SmartDocs ページリクエストが送信される Edge ルーターのポート。
ZooKeeper 2181 Management Server、Router、Message Processor など他のコンポーネントでも使用
2,888、3,888 ZooKeeper クラスタ通信(ZooKeeper アンサンブルとも呼ばれる)のために ZooKeeper が内部的に使用

次の表に、送信元と宛先のコンポーネントを含む同じ番号(番号付き)を示します。

ポート番号 目的 ソース コンポーネント 宛先コンポーネント
virtual_host_port HTTP と仮想ホスト API 呼び出しトラフィックに使用するその他のポート。通常、ポート 80 と 443 が使用されます。Message Router は TLS/SSL 接続を終端できます。 外部クライアント(またはロードバランサ) メッセージ ルーターのリスナー
1099 ~ 1103 JMX 管理 JMX クライアント Management Server(1099)
Message Processor(1101)
Qpid Server(1102)
Postgres Server(1103)
2181 Zookeeper のクライアントとのコミュニケーション Management Server
Router
Message Processor
Qpid Server
Postgres Server
Zookeeper
2888、3888 Zookeeper のノード間管理 Zookeeper Zookeeper
4526 RPC 管理ポート 管理サーバー 管理サーバー
4527 分散キャッシュと管理呼び出しや、Router 間の通信用の RPC Management ポート Management Server
ルーター
ルーター
4528 Message Processor 間の分散キャッシュ呼び出し、Router からの通信の場合 Management Server
Router
Message Processor
Message Processor
4529 分散キャッシュと管理呼び出し用の RPC Management ポート 管理サーバー Qpid Server
4530 分散キャッシュと管理呼び出し用の RPC Management ポート 管理サーバー Postgres Server
5432 Postgres クライアント Qpid Server Postgres
5672
  • 単一のデータセンター: Router と Message Processor から Qpid に分析を送信するために使用されます。
  • 複数のデータセンター: 異なるデータセンターの Qpid ノード間の通信に使用されます。
Qpid Server Qpid Server
7,000 Cassandra ノード間通信 Cassandra その他の Cassandra ノード
7199 JMX の管理。Management Server が Cassandra ノードからアクセスできるように開いている必要があります。 JMX クライアント Cassandra
8080 Management API ポート Management API クライアント 管理サーバー
8081 ~ 8084

コンポーネント API ポート。個々のコンポーネントに直接 API リクエストを発行するために使用します。コンポーネントはそれぞれ異なるポートを開きます。使用される正確なポートは構成によって異なりますが、Management Server からアクセスするにはコンポーネント上で開いている必要があります。

Management API クライアント Router(8081)
Message Processor(8082)
Qpid Server(8083)
Postgres Server(8084)
8443 TLS が有効な場合の Router と Message Processor 間の通信 ルーター Message Processor
8998 Router と Message Processor 間の通信 ルーター Message Processor
9000 デフォルトの Edge 管理 UI ポート ブラウザ 管理 UI サーバー
9042 CQL ネイティブ Router
Message Processor
Management Server
Cassandra
9160 Cassandra Thrift クライアント Router
Message Processor
Management Server
Cassandra
10389 LDAP ポート 管理サーバー OpenLDAP
15999 ヘルスチェック ポート。ロードバランサはこのポートを使用して Router が使用可能かどうかを判断します。 ロードバランサ ルーター
59001 apigee-validate ユーティリティで Edge インストールをテストするためのポート apigee-validate ルーター
59002 SmartDocs ページ リクエストが送信されるルーターポート SmartDocs ルーター

Message Processor は、タイムアウトしないように構成されている Cassandra に対して専用の接続プールを保持します。Message Processor と Cassandra サーバーの間にファイアウォールがある場合、ファイアウォールが接続をタイムアウトする可能性があります。ただし、Message Processor は Cassandra への接続を再確立するようには設計されていません。

このような状況を回避するため、Cassandra サーバー、Message Processor、Router を同じサブネットに配置して、これらのコンポーネントのデプロイにファイアウォールが関与しないようにすることをおすすめします。

Router と Message Processor の間にファイアウォールがあり、アイドル TCP タイムアウトが設定されている場合は、次のことをおすすめします。

  1. Linux OS の sysctl 設定で net.ipv4.tcp_keepalive_time = 1800 を設定します。1, 800 はファイアウォールのアイドル TCP タイムアウトよりも小さい値にする必要があります。この設定により、ファイアウォールが接続を切断しないように、接続が確立された状態を維持する必要があります。
  2. すべての Message Processor で、/opt/apigee/customer/application/message-processor.properties を編集して次のプロパティを追加します。ファイルが存在しない場合は作成します。
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. Message Processor を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. すべての Router で、/opt/apigee/customer/application/router.properties を編集して次のプロパティを追加します。ファイルが存在しない場合は作成します。
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. Router を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart