Edge for Private Cloud v4.19.01
Die Firewall muss nicht nur für die virtuellen Hosts verwaltet werden. Sowohl die VM- als auch die physischen Host-Firewalls müssen Traffic für die Ports zulassen, die die Komponenten für die Kommunikation miteinander benötigen.
Anschlussdiagramme
Die folgenden Bilder zeigen die Portanforderungen für die Konfiguration eines einzelnen Rechenzentrums und mehrerer Rechenzentren:
Ein Rechenzentrum
Die folgende Abbildung zeigt die Portanforderungen für jede Edge-Komponente in einer einzelnen Rechenzentrumskonfiguration:
Hinweise zu diesem Diagramm:
- Die Ports mit dem Präfix „M“ werden zum Verwalten der Komponente verwendet und müssen für den Zugriff des Verwaltungsservers auf der Komponente geöffnet sein.
- Die Edge-Benutzeroberfläche benötigt Zugriff auf den Router an den Ports, die von API-Proxys zur Verfügung gestellt werden, um die Schaltfläche Senden im Trace-Tool zu unterstützen.
- Der Zugriff auf JMX-Ports kann so konfiguriert werden, dass ein Nutzername/Passwort erforderlich ist. Weitere Informationen finden Sie unter Monitoring.
- Optional können Sie den TLS/SSL-Zugriff für bestimmte Verbindungen konfigurieren, für die unterschiedliche Ports verwendet werden können. Weitere Informationen finden Sie unter TLS/SSL.
- Sie können den Verwaltungsserver und die Edge-Benutzeroberfläche so konfigurieren, dass E-Mails über einen externen SMTP-Server gesendet werden. In diesem Fall müssen Sie dafür sorgen, dass der Verwaltungsserver und die Benutzeroberfläche auf den erforderlichen Port auf dem SMTP-Server (nicht dargestellt) zugreifen können. Für Nicht-TLS-SMTP lautet die Portnummer normalerweise 25. Für TLS-fähiges SMTP ist dies häufig 465. Erkundigen Sie sich jedoch bei Ihrem SMTP-Anbieter.
Mehrere Rechenzentren
Wenn Sie eine geclusterte Konfiguration mit 12 Knoten mit zwei Rechenzentren installieren, müssen die Knoten in den beiden Rechenzentren über die folgenden Ports kommunizieren können:
Hinweis:
- Alle Verwaltungsserver müssen auf alle Cassandra-Knoten in allen anderen Rechenzentren zugreifen können.
- Alle Nachrichten-Prozessoren in allen Rechenzentren müssen über Port 4528 auf alle anderen zugreifen können.
- Der Verwaltungsserver muss über Port 8082 auf alle Nachrichten-Prozessoren zugreifen können.
- Alle Verwaltungsserver und alle Qpid-Knoten müssen auf Postgres in allen anderen Rechenzentren zugreifen können.
- Aus Sicherheitsgründen sollten, abgesehen von den oben gezeigten Ports und allen anderen, die für Ihre eigenen Netzwerkanforderungen erforderlich sind, keine anderen Ports zwischen Rechenzentren offen sein.
Standardmäßig ist die Kommunikation zwischen den Komponenten nicht verschlüsselt. Sie können die Verschlüsselung hinzufügen, indem Sie Apigee mTLS installieren. Weitere Informationen finden Sie unter Einführung in Apigee mTLS.
Port details
In der folgenden Tabelle werden die Ports beschrieben, die in Firewalls geöffnet werden müssen, nach Edge-Komponente:
| Komponente | Port | Beschreibung |
|---|---|---|
| Standard-HTTP-Ports | 80, 443 | HTTP und alle anderen Ports, die Sie für virtuelle Hosts verwenden |
| Cassandra | 7000, 9042, 9160 | Apache Cassandra-Ports für die Kommunikation zwischen Cassandra-Knoten und für den Zugriff durch andere Edge-Komponenten. |
| 7.199 | JMX-Port. Muss für den Zugriff durch den Verwaltungsserver geöffnet sein. | |
| LDAP | 10389 | OpenLDAP |
| Verwaltungsserver | 1099 | JMX-Port |
| 4526 | Port für verteilte Cache- und Verwaltungsanrufe. Dieser Anschluss ist konfigurierbar. | |
| 5636 | Port für Benachrichtigungen zu Monetarisierungscommits. | |
| 8080 | Port für Edge-Verwaltungs-API-Aufrufe. Für diese Komponenten ist Zugriff auf Port 8080 auf dem Management-Server erforderlich: Router, Message Processor, UI, Postgres und Qpid. | |
| Verwaltungsoberfläche | 9.000 | Port für den Browserzugriff auf die Verwaltungsoberfläche |
| Message Processor | 1101 | JMX-Port |
| 4528 | Für verteilte Cache- und Verwaltungsaufrufe zwischen Message Processors und für die Kommunikation zwischen dem Router und dem Verwaltungsserver.
Ein Nachrichtenprozessor muss Port 4528 als Verwaltungsport öffnen. Wenn Sie mehrere Message Processor haben, müssen alle über Port 4528 auf die anderen zugreifen können (im Diagramm oben durch den Loop-Pfeil für Port 4528 am Message Processor dargestellt). Wenn Sie mehrere Rechenzentren haben, muss der Port von allen Message Processors in allen Rechenzentren zugänglich sein. |
|
| 8082 |
Standard-Verwaltungs-Port für den Nachrichtenprozessor. Muss für den Zugriff des Verwaltungsservers auf der Komponente geöffnet sein. Wenn Sie TLS/SSL zwischen dem Router und dem Message Processor konfigurieren, wird es vom Router verwendet, um Systemdiagnosen des Message Processor durchzuführen. Port 8082 am Message Processor muss nur für den Zugriff durch den Router geöffnet sein, wenn Sie TLS/SSL zwischen dem Router und dem Message Processor konfigurieren. Wenn Sie TLS/SSL nicht zwischen dem Router und dem Nachrichtenprozessor konfigurieren, muss Port 8082 in der Standardkonfiguration weiterhin auf dem Nachrichtenprozessor geöffnet sein, um die Komponente zu verwalten. Der Router benötigt jedoch keinen Zugriff darauf. |
|
| 8443 | Wenn TLS zwischen dem Router und dem Message Processor aktiviert ist, müssen Sie Port 8443 auf dem Message Processor für den Zugriff durch den Router öffnen. | |
| 8998 | Message Processor-Port für die Kommunikation vom Router | |
| Postgres | 22 | Wenn Sie zwei Postgres-Knoten für die Verwendung der Master-Stand-by-Replikation konfigurieren, müssen Sie auf jedem Knoten Port 22 öffnen, um SSH-Zugriff zu erhalten. |
| 1103 | JMX-Port | |
| 4530 | Für verteilte Cache- und Verwaltungsaufrufe | |
| 5432 | Wird für die Kommunikation vom Qpid-/Verwaltungsserver zu Postgres verwendet | |
| 8084 | Standard-Verwaltungs-Port auf dem Postgres-Server; muss für den Zugriff des Verwaltungsservers auf der Komponente geöffnet sein. | |
| Qpid | 1102 | JMX-Port |
| 4529 | Für verteilte Cache- und Verwaltungsaufrufe | |
| 5672 |
|
|
| 8083 | Standardverwaltungsport auf dem Qpid-Server. Er muss für den Zugriff durch den Verwaltungsserver in der Komponente geöffnet sein. | |
| Router | 4.527 | Für verteilte Cache- und Verwaltungsaufrufe.
Ein Router muss Port 4527 als Verwaltungsport öffnen. Wenn Sie mehrere Router haben, müssen sie alle über Port 4527 auf die anderen zugreifen können (im Diagramm oben durch den Loop-Pfeil für Port 4527 auf dem Router dargestellt). Sie können Port 4527 auf dem Router für jeden Message Processor öffnen, obwohl dies nicht erforderlich ist. Andernfalls werden möglicherweise Fehlermeldungen in den Logdateien des Nachrichtenverarbeiters angezeigt. |
| 8081 | Standard-Verwaltungs-Port für Router. Muss für den Zugriff des Verwaltungsservers auf der Komponente geöffnet sein. | |
| 15.999 |
Port für die Systemdiagnose. Ein Load Balancer verwendet diesen Port, um festzustellen, ob der Router verfügbar ist. Um den Status eines Routers abzurufen, sendet der Load Balancer eine Anfrage an Port 15999 des Routers: curl -v http://routerIP:15999/v1/servers/self/reachable Wenn der Router erreichbar ist, wird für die Anfrage HTTP 200 zurückgegeben. |
|
| 59001 | Port, der zum Testen der Edge-Installation durch das Dienstprogramm apigee-validate verwendet wird.
Dieses Dienstprogramm benötigt Zugriff auf Port 59001 auf dem Router. Weitere Informationen zu Port 59001 finden Sie unter Installation testen. |
|
| SmartDocs | 59.002 | Der Port auf dem Edge-Router, an den SmartDocs-Seitenanfragen gesendet werden. |
| ZooKeeper | 2181 | Wird von anderen Komponenten wie Management Server, Router, Message Processor usw. verwendet |
| 2888, 3888 | Wird intern von ZooKeeper für die Kommunikation mit dem ZooKeeper-Cluster (ZooKeeper-Ensemble) verwendet |
In der folgenden Tabelle sind dieselben Ports nummerisch mit den Quell- und Zielkomponenten aufgeführt:
| Portnummer | Zweck | Quellkomponente | Zielkomponente |
|---|---|---|---|
| virtual_host_port | HTTP und alle anderen Ports, die Sie für den Traffic von API-Aufrufen des virtuellen Hosts verwenden. Die Ports 80 und 443 werden am häufigsten verwendet. Der Message Router kann TLS-/SSL-Verbindungen beenden. | Externer Client (oder Load-Balancer) | Listener auf Message Router |
| 1099 bis 1103 | JMX-Verwaltung | JMX-Client | Verwaltungsserver (1099) Nachrichtenprozessor (1101) Qpid-Server (1102) Postgres-Server (1103) |
| 2181 | Zookeeper-Clientkommunikation | Management-Server Router Nachrichten-Prozessor Qpid-Server Postgres-Server |
Zookeeper |
| 2888 und 3888 | Zookeeper-Internode-Verwaltung | Zookeeper | Zookeeper |
| 4526 | RPC-Verwaltungs-Port | Verwaltungsserver | Verwaltungsserver |
| 4527 | RPC-Verwaltungs-Port für verteilte Cache- und Verwaltungsaufrufe sowie für die Kommunikation zwischen Routern | Verwaltungsserver Router |
Router |
| 4528 | Für verteilte Cache-Aufrufe zwischen Message Processor und für die Kommunikation vom Router | Management-Server Router Message Processor |
Message Processor |
| 4529 | RPC-Verwaltungsport für verteilten Cache und Verwaltungsaufrufe | Verwaltungsserver | Qpid-Server |
| 4530 | RPC-Verwaltungs-Port für verteilte Cache- und Verwaltungsaufrufe | Verwaltungsserver | Postgres-Server |
| 5432 | Postgres-Client | Qpid-Server | Postgres |
| 5636 | Monetarisierung | Externe JMS-Komponente | Verwaltungsserver |
| 5672 |
|
Qpid-Server | Qpid-Server |
| 7000 | Cassandra-Knotenübergreifende Kommunikation | Cassandra | Anderer Cassandra-Knoten |
| 7199 | JMX-Verwaltung. Muss für den Zugriff auf den Cassandra-Knoten durch den Verwaltungsserver geöffnet sein. | JMX-Client | Cassandra |
| 8080 | Management API-Port | Management API-Clients | Verwaltungsserver |
| 8081 bis 8084 |
Komponenten-API-Ports, die zum Senden von API-Anfragen direkt an einzelne Komponenten verwendet werden. Jede Komponente öffnet einen anderen Port. Der verwendete Port hängt von der Konfiguration ab, muss aber für den Zugriff des Verwaltungsservers auf der Komponente geöffnet sein. |
Verwaltungs-API-Clients | Router (8081) Nachrichtenverarbeiter (8082) Qpid-Server (8083) Postgres-Server (8084) |
| 8443 | Kommunikation zwischen Router und Message Processor, wenn TLS aktiviert ist | Router | Message Processor |
| 8998 | Kommunikation zwischen Router und Message Processor | Router | Message Processor |
| 9000 | Standardport der Edge-Management-Benutzeroberfläche | Browser | Server der Verwaltungsoberfläche |
| 9042 | Nativer CQL-Transport | Router Nachrichtenverarbeiter Verwaltungsserver |
Cassandra |
| 9160 | Cassandra Thrift-Client | Router Nachrichtenverarbeiter Verwaltungsserver |
Cassandra |
| 10389 | LDAP-Port | Verwaltungsserver | OpenLDAP |
| 15999 | Port für Systemdiagnose Ein Load Balancer verwendet diesen Port, um festzustellen, ob der Router verfügbar ist. | Load-Balancer | Router |
| 59001 | Port, der vom Dienstprogramm apigee-validate zum Testen der Edge-Installation verwendet wird |
Apigee-Validieren | Router |
| 59002 | Der Routerport, an den SmartDocs-Seitenanfragen gesendet werden | SmartDocs | Router |
Ein Message Processor hält einen dedizierten Verbindungspool für Cassandra offen, der so konfiguriert ist, dass nie eine Zeitüberschreitung auftritt. Wenn sich zwischen einem Nachrichtenprozessor und einem Cassandra-Server eine Firewall befindet, kann die Firewall die Verbindung trennen. Der Message Processor ist jedoch nicht dafür ausgelegt, Verbindungen zu Cassandra wiederherzustellen.
Um dies zu verhindern, empfiehlt Apigee, dass sich der Cassandra-Server, der Nachrichtenprozessor und die Router im selben Subnetz befinden, damit bei der Bereitstellung dieser Komponenten keine Firewall erforderlich ist.
Wenn sich zwischen dem Router und den Nachrichten-Prozessoren eine Firewall befindet und eine TCP-Zeitüberschreitung für die Inaktivität festgelegt ist, empfehlen wir Folgendes:
- Legen Sie
net.ipv4.tcp_keepalive_time = 1800in den sysctl-Einstellungen des Linux-Betriebssystems fest. Dabei sollte 1800 kleiner als die TCP-Zeitüberschreitung der Firewall sein. Mit dieser Einstellung sollte die Verbindung in einem aktiven Zustand bleiben, damit die Firewall die Verbindung nicht trennt. - Bearbeiten Sie bei allen Nachrichten-Prozessoren
/opt/apigee/customer/application/message-processor.properties, um die folgende Property hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.conf_system_cassandra.maxconnecttimeinmillis=-1
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Bearbeiten Sie auf allen Routern
/opt/apigee/customer/application/router.properties, um die folgende Eigenschaft hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.conf_system_cassandra.maxconnecttimeinmillis=-1
- Router neu starten:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart