الإصدار 4.19.01 من Edge for Private Cloud
لا تقتصر الحاجة إلى إدارة جدار الحماية على المضيفات الافتراضية فحسب، فكل من جدران الحماية للأجهزة الافتراضية والمضيفة الفعلية يجب أن تسمح بالزيارات إلى المنافذ التي تطلبها المكوّنات للتواصل مع بعضها.
الرسومات البيانية للمنافذ
توضِّح الصور التالية متطلبات المنافذ لكلّ من مركز بيانات واحد وإعدادات مراكز بيانات متعددة:
مركز بيانات واحد
تعرض الصورة التالية متطلبات المنفذ لكل مكوّن Edge في إعداد واحد لمركز البيانات:
ملاحظات حول هذا المخطّط البياني:
- المنافذ التي تبدأ بالبادئة "M" هي منافذ تُستخدَم لإدارة المكوّن ويجب أن تكون مفتوحة على المكوّن ليصل إليها "خادم الإدارة".
- تتطلّب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، على المنافذ التي تعرضها أدوات الربط بين واجهة برمجة التطبيقات، لتفعيل زر إرسال في أداة التتبّع.
- يمكن ضبط الوصول إلى منافذ JMX على طلب اسم مستخدم/كلمة مرور. يمكنك الاطّلاع على مقالة كيفية المراقبة للحصول على مزيد من المعلومات.
- يمكنك اختياريًا ضبط إمكانية الوصول إلى بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لاتصالات معيّنة، والتي يمكن أن تستخدم منافذ مختلفة. يمكنك الاطّلاع على طبقة النقل الآمنة (TLS)/طبقة المقابس الآمنة (SSL) لمعرفة المزيد.
- يمكنك ضبط "خادم الإدارة" و"واجهة مستخدم Edge" لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. في هذه الحالة، يجب التأكّد من أنّ خادم الإدارة وواجهة المستخدم يمكنهما الوصول إلى المنفذ اللازم على خادم SMTP (غير معروض). بالنسبة إلى بروتوكول نقل البريد البسيط (SMTP) الذي لا يستخدم بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول SMTP المفعَّل به بروتوكول أمان طبقة النقل (TLS)، يكون الرقم غالبًا 465، ولكن يُرجى التحقّق من موفِّر بروتوكول SMTP.
مراكز بيانات متعدّدة
في حال تثبيت الإعداد المُجمَّع المكوّن من 12 عقدة مع مركزَي بيانات، تأكَّد من أنّ العقد في مركزَي البيانات يمكنها التواصل عبر المنافذ الموضّحة أدناه:
ملاحظة:
- يجب أن تكون جميع "خوادم الإدارة" قادرة على الوصول إلى جميع عقد Cassandra في جميع قواعد بيانات البيانات الأخرى.
- يجب أن تتمكن جميع معالجات الرسائل في جميع مراكز البيانات من الوصول إلى بعضها البعض عبر المنفذ 4528.
- يجب أن يكون خادم الإدارة قادرًا على الوصول إلى جميع معالجات الرسائل عبر المنفذ 8082.
- يجب أن يتمكّن جميع خوادم الإدارة وجميع عقد Qpid من الوصول إلى Postgres في جميع مراكز البيانات الأخرى.
- لأسباب تتعلق بالأمان، يجب عدم فتح أي منافذ أخرى بين مراكز البيانات، باستثناء المنافذ الموضّحة أعلاه وأي منافذ أخرى مطلوبة لمتطلبات شبكتك.
لا يتم تشفير الاتصالات بين المكوّنات تلقائيًا. يمكنك إضافة التشفير من خلال تثبيت mTLS في Apigee. لمزيد من المعلومات، يُرجى الاطّلاع على مقدّمة عن mTLS في Apigee.
تفاصيل المنفذ
يصف الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، بواسطة مكون Edge:
| المكوّن | المنفذ | الوصف |
|---|---|---|
| منافذ HTTP العادية | 80, 443 | بروتوكول HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفين الظاهريين |
| كاساندرا | 7000، 9042، 9160 | منافذ Apache Cassandra للتواصل بين عقد Cassandra وللوصول إليها من خلال مكوّنات Edge الأخرى |
| 7199 | منفذ JMX يجب أن يكون الوصول إليها متاحًا من خلال خادم الإدارة. | |
| LDAP | 10389 | OpenLDAP |
| خادم الإدارة | 1099 | منفذ JMX |
| 4526 | منفذ لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة يمكن ضبط هذا المنفذ. | |
| 5636 | منفذ لإشعارات عمليات الربط بميزة تحقيق الربح | |
| 8080 | منفذ طلبات البيانات من واجهة برمجة التطبيقات لإدارة Edge تتطلّب هذه المكوّنات الوصول إلى المنفذ 8080 على "خادم الإدارة": جهاز التوجيه ومعالج الرسائل وواجهة المستخدم وPostgres وQpid. | |
| واجهة المستخدم لإدارة الحملة | 9000 | المنفذ الذي يمكن للمتصفّح من خلاله الوصول إلى واجهة المستخدم الخاصة بالإدارة |
| معالج الرسائل | 1101 | منفذ JMX |
| 4528 | للطلبات الموزّعة وطلبات الإدارة بين معالجات الرسائل، وللتواصل من جهاز التوجيه وخادم الإدارة
يجب أن يفتح معالج الرسائل المنفذ 4528 كمنفذ الإدارة الخاص به. إذا كان لديك عدة معالجات رسائل، يجب أن يتمكّن كلّ منها من الوصول إلى الآخر عبر المنفذ 4528 (يُشار إليه بسهم الحلقة في المخطّط البياني أعلاه للمنفذ 4528 على "معالج الرسائل"). إذا كانت لديك مراكز بيانات متعددة، يجب أن يكون بالإمكان الوصول إلى المنفذ من جميع معالجات الرسائل في جميع مراكز البيانات. |
|
| 8082 |
منفذ الإدارة التلقائي لمعالج الرسائل، ويجب أن يكون مفتوحًا في المكوّن لمنح "خادم الإدارة" إذن الوصول إليه. في حال ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، يستخدمهما جهاز التوجيه لإجراء عمليات تحقّق من الصحة في معالج الرسائل. يجب أن يكون المنفذ 8082 على "معالج الرسائل" مفتوحًا للوصول إليه من خلال "الموجّه" فقط عند ضبط بروتوكول أمان طبقة النقل (TLS) أو بروتوكول طبقة المقابس الآمنة (SSL) بين "الموجّه" و"معالج الرسائل". في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين "الراوتر" و"معالج الرسائل"، يجب أن يكون المنفذ 8082 مفتوحًا على "معالج الرسائل" لإدارة المكوّن، ولكن لا يتطلّب "الراوتر" الوصول إليه. |
|
| 8443 | عند تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يجب فتح المنفذ 8443 على معالج الرسائل للسماح لجهاز التوجيه بالوصول إليه. | |
| 8998 | منفذ "معالج الرسائل" للاتصالات الواردة من "جهاز التوجيه" | |
| Postgres | 22 | في حال ضبط عُقدتَين في Postgres لاستخدام النسخ المتماثل لمستوى الاستعداد الرئيسي، عليك فتح المنفذ 22 على كل عقدة للوصول إلى بروتوكول النقل الآمن. |
| 1103 | منفذ JMX | |
| 4530 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة | |
| 5432 | تُستخدَم للتواصل من Qpid/Management Server إلى Postgres | |
| 8084 | منفذ الإدارة التلقائي على خادم Postgres، يجب أن يكون مفتوحًا على المكوّن للوصول إليه من خلال "خادم الإدارة". | |
| Qpid | 1102 | منفذ JMX |
| 4529 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة | |
| 5672 |
|
|
| 8083 | منفذ الإدارة التلقائي على خادم Qpid، ويجب أن يكون مفتوحًا في المكوّن للسماح بخادم الإدارة بالوصول إليه. | |
| جهاز التوجيه | 4527 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة
يجب أن يفتح جهاز التوجيه المنفذ 4527 كمنفذ الإدارة الخاص به. إذا كان لديك عدة أجهزة توجيه، يجب أن يتمكّن كلّ جهاز من الوصول إلى الآخر عبر المنفذ 4527 (يُشار إليه بالسهم الدائري في المخطّط البياني أعلاه للمنفذ 4527 على جهاز التوجيه). يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إليه من خلال أيّ من برامج معالجة الرسائل، علمًا أنّ ذلك ليس مطلوبًا. بخلاف ذلك، قد تظهر لك رسائل خطأ في ملفات سجلّ "معالج الرسائل" . |
| 8081 | منفذ الإدارة التلقائي لجهاز التوجيه، ويجب أن يكون مفتوحًا على المكوّن للوصول إليه من خلال "خادم الإدارة". | |
| 15999 |
منفذ التحقّق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان الموجه متاحًا. للحصول على حالة جهاز التوجيه، يطلب جهاز موازنة الحمل إرسال طلب إلى المنفذ 15999 على جهاز التوجيه: curl -v http://routerIP:15999/v1/servers/self/reachable فإذا كان من الممكن الوصول إلى جهاز التوجيه، سيعرض الطلب HTTP 200. |
|
| 59001 | المنفذ المستخدَم لاختبار تثبيت Edge بواسطة الأداة apigee-validate
تتطلب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. راجِع مقالة
اختبار عملية التثبيت للحصول على مزيد من المعلومات عن المنفذ 59001. |
|
| SmartDocs | 59002 | المنفذ على جهاز توجيه Edge الذي يتم إرسال طلبات صفحات SmartDocs إليه. |
| ZooKeeper | 2181 | تُستخدَم من قِبل مكوّنات أخرى، مثل خادم الإدارة وجهاز التوجيه ومعالج الرسائل وما إلى ذلك. |
| 2888، 3888 | يُستخدَم هذا البروتوكول داخليًا من قِبل ZooKeeper لإنشاء مجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper) للتواصل. |
يعرض الجدول التالي المنافذ نفسها، مُدرَجة رقميًا، مع مكوّنات المصدر والوجهة:
| رقم المنفذ | الغرض | المكوّن المصدر | مكوِّن الوجهة |
|---|---|---|---|
| virtual_host_port | HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لعدد زيارات طلبات البيانات من واجهة برمجة التطبيقات للمضيف الظاهري. المنفذان 80 و443 هما الأكثر استخدامًا، ويمكن لجهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة. | العميل الخارجي (أو جهاز موازنة الحمل) | مستمع على "جهاز توجيه الرسائل" |
| 1099 حتى 1103 | إدارة JMX | برنامج JMX | خادم الإدارة (1099) معالِج الرسائل (1101) خادم Qpid (1102) خادم Postgres (1103) |
| 2181 | التواصل مع عملاء Zookeeper | خادم الإدارة جهاز التوجيه وحدة معالجة الرسائل خادم Qpid خادم Postgres |
حارس حديقة حيوانات |
| 2888 و3888 | إدارة الربط بين العقد في Zookeeper | حارس حديقة حيوانات | حارس حديقة الحيوان |
| 4526 | منفذ إدارة RPC | خادم الإدارة | خادم الإدارة |
| 4527 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة، والاتصالات بين أجهزة التوجيه | خادم الإدارة جهاز التوجيه |
جهاز التوجيه |
| 4528 | بالنسبة إلى اتصالات ذاكرة التخزين المؤقت الموزعة بين معالجات الرسائل، وللاتصال من جهاز التوجيه | خادم الإدارة جهاز التوجيه معالج الرسائل |
معالج الرسائل |
| 4529 | منفذ إدارة RPC للمكالمات المتعلقة بالذاكرة المؤقتة الموزّعة وإدارة المكالمات | خادم الإدارة | خادم Qpid |
| 4530 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة | خادم الإدارة | خادم Postgres |
| 5432 | عميل Postgres | خادم Qpid | بوستشرس |
| 5636 | تحقيق الربح | مكوّن JMS خارجي | خادم الإدارة |
| 5672 |
|
خادم Qpid | خادم Qpid |
| 7000 | اتصالات بين العُقد من "كاساندرا" | كاساندرا | عقدة Cassandra أخرى |
| 7199 | إدارة JMX يجب أن تكون مفتوحة للوصول على عقدة Cassandra من خلال خادم الإدارة. | برنامج JMX client | كاساندرا |
| 8080 | منفذ Management API | برامج واجهة برمجة التطبيقات Management API | خادم الإدارة |
| 8081 إلى 8084 |
منافذ واجهة برمجة التطبيقات للمكوّنات، المستخدَمة لإصدار طلبات واجهة برمجة التطبيقات مباشرةً إلى مكوّنات فردية يفتح كل مكوّن منفذًا مختلفًا، ويعتمد المنفذ الدقيق المستخدَم على عملية الإعداد ولكن يجب فتحه على المكوِّن حتى يتمكّن خادم الإدارة من الوصول إليه. |
برامج واجهة برمجة التطبيقات Management API | جهاز التوجيه (8081) وحدة معالجة الرسائل (8082) خادم Qpid (8083) خادم Postgres (8084) |
| 8443 | الاتصال بين جهاز التوجيه ومعالج الرسائل عند تفعيل بروتوكول أمان طبقة النقل (TLS) | جهاز التوجيه | معالج الرسائل |
| 8998 | التواصل بين جهاز التوجيه ومعالج الرسائل | جهاز التوجيه | معالج الرسائل |
| 9000 | منفذ واجهة مستخدم إدارة Edge التلقائي | المتصفح | خادم واجهة المستخدم الإدارية |
| 9042 | النقل الأصلي لـ CQL | الموجه معالِج الرسائل خادم الإدارة |
كاساندرا |
| 9160 | برنامج Cassandra thrift client | الموجه معالِج الرسائل خادم الإدارة |
كاساندرا |
| 10389 | منفذ LDAP | خادم الإدارة | OpenLDAP |
| 15999 | منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان الموجه متاحًا. | جهاز موازنة الحمل | جهاز التوجيه |
| 59001 | المنفذ الذي تستخدمه الأداة المساعدة "apigee-validate" لاختبار تثبيت Edge |
apigee-validate | جهاز التوجيه |
| 59002 | منفذ جهاز التوجيه الذي يتم إرسال طلبات صفحات SmartDocs إليه | SmartDocs | جهاز التوجيه |
يحافظ "معالج الرسائل" على مجموعة اتصالات مخصّصة مفتوحة مع Cassandra، ويتم ضبطها بحيث لا تنتهي مهلة الاتصال أبدًا. عندما يكون هناك جدار حماية بين "معالج الرسائل" وخادم Cassandra، يمكن لجدار الحماية أن يحدّد مهلة للاتصال. ومع ذلك، لم يتم تصميم "معالج الرسائل" لإعادة إنشاء الاتصالات بـ "كاساندرا".
لتجنُّب حدوث ذلك، تنصح Apigee بأن يكون خادم Cassandra ومعالج الرسائل و أجهزة التوجيه في الشبكة الفرعية نفسها حتى لا يتم استخدام جدار الحماية في نشر هذه المكوّنات.
إذا كان هناك جدار حماية بين جهاز التوجيه ومعالجات الرسائل، وتم ضبط مهلة TCP غير النشطة، ننصحك باتّباع الخطوات التالية:
- يمكنك ضبط
net.ipv4.tcp_keepalive_time = 1800في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن يكون القيمة 1800 أقل من مهلة tcp غير المستخدَمة لجدار الحماية. من المفترض أن يحافظ هذا الإعداد على الاتصال في حالة تأسيس حتى لا يقطع جدار الحماية الاتصال. - في جميع معالجات الرسائل، عدِّل
/opt/apigee/customer/application/message-processor.propertiesلإضافة السمة التالية. إذا لم يكن الملف متوفّرًا، أنشِئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- إعادة تشغيل "معالج الرسائل":
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- في جميع أجهزة التوجيه، عدِّل
/opt/apigee/customer/application/router.propertiesلإضافة السمة التالية. إذا لم يكن الملف متوفّرًا، أنشِئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- إعادة تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart