Edge for Private Cloud v4.19.01
फ़ायरवॉल को मैनेज करने की ज़रूरत सिर्फ़ वर्चुअल होस्ट तक सीमित नहीं है. वीएम और फ़िज़िकल होस्ट, दोनों के फ़ायरवॉल को उन पोर्ट के लिए ट्रैफ़िक की अनुमति देनी चाहिए जिनकी ज़रूरत कॉम्पोनेंट को एक-दूसरे से बातचीत करने के लिए होती है.
पोर्ट डायग्राम
यहां दी गई इमेज में, एक डेटा सेंटर और एक से ज़्यादा डेटा सेंटर कॉन्फ़िगरेशन, दोनों के लिए पोर्ट की ज़रूरी शर्तें दिखाई गई हैं:
एक डेटा सेंटर
यहां दी गई इमेज में, एक ही डेटा सेंटर कॉन्फ़िगरेशन में हर Edge कॉम्पोनेंट के लिए पोर्ट की ज़रूरी शर्तें दिखाई गई हैं:
इस डायग्राम के बारे में जानकारी:
- जिन पोर्ट के आगे "M" लगा होता है, वे पोर्ट होते हैं. इनका इस्तेमाल कॉम्पोनेंट को मैनेज करने के लिए किया जाता है. साथ ही, इन्हें कॉम्पोनेंट पर खोला जाना चाहिए, ताकि मैनेजमेंट सर्वर इन्हें ऐक्सेस कर सके.
- एज यूज़र इंटरफ़ेस (यूआई) को राउटर का ऐक्सेस चाहिए, ताकि ट्रैक टूल में भेजें बटन काम कर सके. यह ऐक्सेस, एपीआई प्रॉक्सी के ज़रिए एक्सपोज़ किए गए पोर्ट पर होना चाहिए.
- JMX पोर्ट को ऐक्सेस करने के लिए, उपयोगकर्ता नाम/पासवर्ड की ज़रूरत होती है. ज़्यादा जानकारी के लिए, कैसे मॉनिटर करें देखें.
- आपके पास कुछ कनेक्शन के लिए, TLS/SSL ऐक्सेस को कॉन्फ़िगर करने का विकल्प होता है. ये कनेक्शन, अलग-अलग पोर्ट का इस्तेमाल कर सकते हैं. ज़्यादा जानकारी के लिए, टीएलएस/एसएसएल देखें.
- किसी बाहरी एसएमटीपी सर्वर के ज़रिए ईमेल भेजने के लिए, मैनेजमेंट सर्वर और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर किया जा सकता है. ऐसा करने पर, आपको यह पक्का करना होगा कि मैनेजमेंट सर्वर और यूज़र इंटरफ़ेस (यूआई), एसएमटीपी सर्वर (दिखाया नहीं गया है) पर ज़रूरी पोर्ट को ऐक्सेस कर सके. आम तौर पर, नॉन-टीएलएस एसएमटीपी के लिए पोर्ट नंबर 25 होता है. TLS की सुविधा वाले एसएमटीपी के लिए, आम तौर पर यह 465 होता है, लेकिन एसएमटीपी की सेवा देने वाली कंपनी से संपर्क करें.
एक से ज़्यादा डेटा सेंटर
अगर दो डेटा सेंटर के साथ 12-नोड वाला क्लस्टर कॉन्फ़िगरेशन इंस्टॉल किया जाता है, तो पक्का करें कि दोनों डेटा सेंटर के नोड, यहां दिए गए पोर्ट के ज़रिए कम्यूनिकेट कर सकें:
ध्यान दें:
- सभी मैनेजमेंट सर्वर, दूसरे सभी डेटा सेंटर में मौजूद सभी Cassandra नोड को ऐक्सेस कर सकते हैं.
- सभी डेटा सेंटर में मौजूद सभी मैसेज प्रोसेसर, एक-दूसरे को पोर्ट 4528 पर ऐक्सेस कर पाएं.
- मैनेजमेंट सर्वर, पोर्ट 8082 पर सभी मैसेज प्रोसेसर को ऐक्सेस कर सकता है.
- सभी मैनेजमेंट सर्वर और सभी Qpid नोड के लिए ज़रूरी है कि वे दूसरे सभी डेटा सेंटर के Postgres को ऐक्सेस कर सकें.
- सुरक्षा के लिहाज़ से, डेटा सेंटर के बीच ऊपर दिखाए गए पोर्ट के अलावा, कोई और पोर्ट नहीं खुला होना चाहिए. हालांकि, अगर आपके नेटवर्क की ज़रूरतों के हिसाब से कोई और पोर्ट ज़रूरी है, तो उसे खोला जा सकता है.
डिफ़ॉल्ट रूप से, कॉम्पोनेंट के बीच होने वाली बातचीत को एन्क्रिप्ट नहीं किया जाता. एन्क्रिप्शन जोड़ने के लिए, Apigee mTLS इंस्टॉल करें. ज़्यादा जानकारी के लिए, Apigee mTLS के बारे में जानकारी देखें.
पोर्ट की जानकारी
नीचे दी गई टेबल में, Edge कॉम्पोनेंट के हिसाब से फ़ायरवॉल में खोलने के लिए ज़रूरी पोर्ट के बारे में बताया गया है:
| कॉम्पोनेंट | पोर्ट | ब्यौरा |
|---|---|---|
| स्टैंडर्ड एचटीटीपी पोर्ट | 80, 443 | एचटीटीपी के साथ-साथ, वर्चुअल होस्ट के लिए इस्तेमाल किए जाने वाले अन्य पोर्ट |
| कassandra | 7,000, 9042, 9160 | Cassandra नोड के बीच कम्यूनिकेशन के लिए और दूसरे Edge कॉम्पोनेंट के ऐक्सेस के लिए, Apache Cassandra पोर्ट. |
| 7199 | JMX पोर्ट. यह ज़रूरी है कि मैनेजमेंट सर्वर इसे ऐक्सेस कर सके. | |
| LDAP | 10,389 | OpenLDAP |
| मैनेजमेंट सर्वर | 1099 | JMX पोर्ट |
| 4526 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए पोर्ट. इस पोर्ट को कॉन्फ़िगर किया जा सकता है. | |
| 5636 | कमाई करने की सुविधा से जुड़ी सूचनाओं के लिए पोर्ट. | |
| 8080 | Edge मैनेजमेंट एपीआई कॉल के लिए पोर्ट. इन कॉम्पोनेंट को मैनेजमेंट सर्वर पर पोर्ट 8080 के ऐक्सेस की ज़रूरत होती है: राऊटर, मैसेज प्रोसेसर, यूज़र इंटरफ़ेस (यूआई), Postgres, और Qpid. | |
| मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) | 9000 | ब्राउज़र ऐक्सेस को मैनेज करने के यूज़र इंटरफ़ेस (यूआई) के लिए पोर्ट |
| मैसेज प्रोसेसर | 1101 | JMX पोर्ट |
| 4528 | मैसेज प्रोसेसर के बीच डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए. साथ ही, राऊटर और मैनेजमेंट सर्वर से कम्यूनिकेशन के लिए.
मैसेज प्रोसेसर को अपने मैनेजमेंट पोर्ट के तौर पर, पोर्ट 4528 को खोलना होगा. अगर आपके पास एक से ज़्यादा मैसेज प्रोसेसर हैं, तो वे सभी पोर्ट 4528 पर एक-दूसरे को ऐक्सेस कर पाएंगे. मैसेज प्रोसेसर पर पोर्ट 4528 के लिए, ऊपर दिए गए डायग्राम में लूप ऐरो से इसका पता चलता है. अगर आपके पास एक से ज़्यादा डेटा सेंटर हैं, तो यह ज़रूरी है कि पोर्ट को सभी डेटा सेंटर में मौजूद मैसेज प्रोसेसर से ऐक्सेस किया जा सके. |
|
| 8082 |
मैसेज प्रोसेसर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट. यह पोर्ट, मैनेजमेंट सर्वर के ऐक्सेस के लिए, कॉम्पोनेंट पर खुला होना चाहिए. अगर आपने राउटर और मैसेज प्रोसेसर के बीच टीएलएस/एसएसएल कॉन्फ़िगर किया है, तो राउटर इसका इस्तेमाल मैसेज प्रोसेसर की परफ़ॉर्मेंस की जांच करने के लिए करता है. मैसेज प्रोसेसर पर मौजूद पोर्ट 8082 को सिर्फ़ तब राउटर के लिए ऐक्सेस किया जाना चाहिए, जब आपने राउटर और मैसेज प्रोसेसर के बीच टीएलएस/एसएसएल कॉन्फ़िगर किया हो. अगर राऊटर और मैसेज प्रोसेसर के बीच TLS/एसएसएल को कॉन्फ़िगर नहीं किया जाता है, तो डिफ़ॉल्ट कॉन्फ़िगरेशन और कॉम्पोनेंट को मैनेज करने के लिए, मैसेज प्रोसेसर पर पोर्ट 8082 खुला होना चाहिए. हालांकि, राऊटर को ऐक्सेस करने की ज़रूरत नहीं होती. |
|
| 8443 | जब राऊटर और मैसेज प्रोसेसर के बीच TLS की सुविधा चालू हो, तब आपको राऊटर से ऐक्सेस करने के लिए मैसेज प्रोसेसर पर पोर्ट 8443 खोलना होगा. | |
| 8998 | राऊटर से कम्यूनिकेशन के लिए मैसेज प्रोसेसर पोर्ट | |
| पोस्टग्रेस | 22 | अगर मास्टर-स्टैंडबाय रिप्लिकेशन का इस्तेमाल करने के लिए दो Postgres नोड कॉन्फ़िगर किए जा रहे हैं, तो आपको एसएसएच ऐक्सेस के लिए हर नोड पर पोर्ट 22 खोलना होगा. |
| 1,103 | JMX पोर्ट | |
| 4530 | डिस्ट्रिब्यूट किए गए कैश मेमोरी और मैनेजमेंट कॉल के लिए | |
| 5432 | इसका इस्तेमाल, Qpid/मैनेजमेंट सर्वर से Postgres के बीच कम्यूनिकेशन के लिए किया जाता है | |
| 8084 | Postgres सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट; मैनेजमेंट सर्वर के ऐक्सेस के लिए, कॉम्पोनेंट पर खुला होना चाहिए. | |
| Qpid | 1102 | JMX पोर्ट |
| 4529 | डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए | |
| 5672 |
|
|
| 8083 | Qpid सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट. साथ ही, मैनेजमेंट सर्वर के ऐक्सेस के लिए, यह कॉम्पोनेंट पर खुला होना चाहिए. | |
| राऊटर | 4527 | डिस्ट्रिब्यूट किए गए कैश मेमोरी और मैनेजमेंट कॉल के लिए.
राऊटर को पोर्ट 4527 को अपने मैनेजमेंट पोर्ट के तौर पर खोलना होगा. अगर आपके पास एक से ज़्यादा राऊटर हैं, तो वे सभी पोर्ट 4527 पर एक-दूसरे को ऐक्सेस कर पाने चाहिए. इसे राऊटर पर पोर्ट 4527 के लिए ऊपर दिए गए डायग्राम में लूप वाले तीर के निशान से दिखाया गया है. हालांकि, ऐसा करना ज़रूरी नहीं है, लेकिन किसी भी मैसेज प्रोसेसर के ऐक्सेस के लिए, राऊटर पर पोर्ट 4527 खोला जा सकता है. ऐसा न करने पर, आपको मैसेज प्रोसेसर की लॉग फ़ाइलों में गड़बड़ी के मैसेज दिख सकते हैं. |
| 8081 | राऊटर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट. यह ज़रूरी है कि मैनेजमेंट सर्वर के ऐक्सेस के लिए, कॉम्पोनेंट पर यह पोर्ट खुला हो. | |
| 15999 |
हेल्थ चेक पोर्ट. लोड बैलेंसर इस पोर्ट का इस्तेमाल करके यह पता लगाता है कि राऊटर उपलब्ध है या नहीं. किसी राऊटर का स्टेटस पाने के लिए, लोड बैलेंसर, राऊटर पर पोर्ट 15999 पर अनुरोध करता है: curl -v http://routerIP:15999/v1/servers/self/reachable अगर राऊटर को ऐक्सेस किया जा सकता है, तो अनुरोध पर एचटीटीपी 200 का कोड दिखेगा. |
|
| 59,001 | apigee-validate यूटिलिटी की मदद से, Edge इंस्टॉलेशन की जांच करने के लिए इस्तेमाल किया जाने वाला पोर्ट.
इस यूटिलिटी के लिए राऊटर पर पोर्ट 59001 का ऐक्सेस होना ज़रूरी है. पोर्ट 59001 के बारे में ज़्यादा जानने के लिए,
इंस्टॉल की जांच करें लेख पढ़ें. |
|
| SmartDocs | 59002 | Edge राउटर पर मौजूद वह पोर्ट जहां SmartDocs पेज के अनुरोध भेजे जाते हैं. |
| ZooKeeper | 2181 | इसका इस्तेमाल मैनेजमेंट सर्वर, राऊटर, मैसेज प्रोसेसर वगैरह जैसे दूसरे कॉम्पोनेंट करते हैं |
| 2888, 3888 | ZooKeeper क्लस्टर (जिसे ZooKeeper एन्सेम्बल कहा जाता है) के लिए, ZooKeeper के अंदर इस्तेमाल किया जाता है कम्यूनिकेशन |
अगली टेबल में, सोर्स और डेस्टिनेशन कॉम्पोनेंट के साथ, संख्या के हिसाब से सूची में शामिल वही पोर्ट दिखाए गए हैं:
| पोर्ट नंबर | मकसद | सोर्स कॉम्पोनेंट | डेस्टिनेशन कॉम्पोनेंट |
|---|---|---|---|
| virtual_host_port | एचटीटीपी के साथ-साथ ऐसे अन्य पोर्ट जिनका इस्तेमाल वर्चुअल होस्ट एपीआई कॉल ट्रैफ़िक के लिए किया जाता है. 80 और 443 पोर्ट का इस्तेमाल सबसे ज़्यादा किया जाता है. मैसेज राउटर, टीएलएस/एसएसएल कनेक्शन को बंद कर सकता है. | बाहरी क्लाइंट (या लोड बैलेंसर) | Message Router पर मौजूद Listener |
| 1099 से 1103 | JMX मैनेजमेंट | JMX क्लाइंट | मैनेजमेंट सर्वर (1099) मैसेज प्रोसेसर (1101) Qpid सर्वर (1102) Postgres सर्वर (1103) |
| 2181 | Zookeeper क्लाइंट से जुड़ी जानकारी | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर Qpid सर्वर Postgres सर्वर |
चिड़ियाघर का रखरखाव करने वाला व्यक्ति |
| 2888 और 3888 | Zookeeper इंटरनोड मैनेजमेंट | चिड़ियाघर का रखरखाव करने वाला व्यक्ति | चिड़ियाघर का रखरखाव करने वाला व्यक्ति |
| 4526 | आरपीसी मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | मैनेजमेंट सर्वर |
| 4527 | डिस्ट्रिब्यूट किए गए कैश और मैनेज करने के लिए उपलब्ध कॉल और राऊटर के बीच कम्यूनिकेशन के लिए, RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर रूटर |
राऊटर |
| 4528 | मैसेज प्रोसेसर के बीच डिस्ट्रिब्यूट किए गए कैश कॉल के लिए और राउटर से कम्यूनिकेशन के लिए | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर |
मैसेज प्रोसेसर |
| 4529 | डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए, RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Qpid सर्वर |
| 4530 | डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए, RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Postgres सर्वर |
| 5432 | Postgres क्लाइंट | Qpid सर्वर | Postgres |
| 5636 | कमाई करना | बाहरी JMS कॉम्पोनेंट | मैनेजमेंट सर्वर |
| 5672 |
|
Qpid सर्वर | Qpid सर्वर |
| 7000 | कैसंड्रा इंटर-नोड कम्यूनिकेशन्स | कास्सांद्रा | अन्य Cassandra नोड |
| 7199 | जेएमएक्स मैनेजमेंट. मैनेजमेंट सर्वर के ज़रिए, Cassandra नोड पर ऐक्सेस के लिए खुला होना चाहिए. | JMX क्लाइंट | कassandra |
| 8080 | Management API पोर्ट | Management API क्लाइंट | मैनेजमेंट सर्वर |
| 8081 से 8084 |
कॉम्पोनेंट एपीआई पोर्ट, जिनका इस्तेमाल सीधे अलग-अलग कॉम्पोनेंट को एपीआई अनुरोध जारी करने के लिए किया जाता है. हर कॉम्पोनेंट एक अलग पोर्ट खोलता है. इस्तेमाल किया जाने वाला पोर्ट, कॉन्फ़िगरेशन पर निर्भर करता है. हालांकि, मैनेजमेंट सर्वर के ऐक्सेस के लिए, कॉम्पोनेंट पर पोर्ट खुला होना चाहिए |
Management API क्लाइंट | राउटर (8081) मैसेज प्रोसेसर (8082) Qpid सर्वर (8083) Postgres सर्वर (8084) |
| 8443 | TLS चालू होने पर, राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
| 8998 | राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
| 9000 | डिफ़ॉल्ट Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) पोर्ट | ब्राउज़र | मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) सर्वर |
| 9042 | सीक्यूएल नेटिव ट्रांसपोर्ट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
कassandra |
| 9160 | कैसंड्रा थ्रिफ़्ट क्लाइंट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
कassandra |
| 10389 | एलडीएपी पोर्ट | मैनेजमेंट सर्वर | OpenLDAP |
| 15999 | हेल्थ चेक पोर्ट. लोड बैलेंसर इस पोर्ट का इस्तेमाल करके यह तय करता है कि राऊटर उपलब्ध है या नहीं. | लोड बैलेंसर | राऊटर |
| 59001 | Edge इंस्टॉलेशन की जांच करने के लिए, apigee-validate यूटिलिटी पोर्ट का इस्तेमाल |
apigee-validate | राऊटर |
| 59002 | वह राउटर पोर्ट जहां SmartDocs पेज के अनुरोध भेजे जाते हैं | SmartDocs | राऊटर |
मैसेज प्रोसेसर, Cassandra के लिए एक खास कनेक्शन पूल को खुला रखता है. इसे कभी टाइम आउट न होने के लिए कॉन्फ़िगर किया जाता है. जब फ़ायरवॉल, मैसेज प्रोसेसर और कैसंड्रा सर्वर के बीच में होता है, तो फ़ायरवॉल कनेक्शन का समय खत्म कर सकता है. हालांकि, मैसेज प्रोसेसर को Cassandra से फिर से कनेक्ट करने के लिए डिज़ाइन नहीं किया गया है.
इस स्थिति से बचने के लिए, Apigee का सुझाव है कि कैसंड्रा सर्वर, मैसेज प्रोसेसर, और राऊटर को एक ही सबनेट में रखा जाए, ताकि इन कॉम्पोनेंट के डिप्लॉयमेंट में फ़ायरवॉल शामिल न हो.
अगर राऊटर और मैसेज प्रोसेसर के बीच फ़ायरवॉल है और उसमें आइडल टीसीपी टाइम आउट सेट है, तो हमारा सुझाव है कि आप ये काम करें:
net.ipv4.tcp_keepalive_time = 1800को Linux OS पर sysctl की सेटिंग में सेट करें. यहां 1800, फ़ायरवॉल से इस्तेमाल न किए जाने वाले tcp टाइम आउट से कम होना चाहिए. इस सेटिंग से, कनेक्शन को चालू रखा जाना चाहिए, ताकि फ़ायरवॉल उसे डिसकनेक्ट न कर दे.- यह प्रॉपर्टी जोड़ने के लिए, सभी मैसेज प्रोसेसर पर
/opt/apigee/customer/application/message-processor.propertiesमें बदलाव करें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- मैसेज प्रोसेसर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- यह प्रॉपर्टी जोड़ने के लिए, सभी राऊटर पर
/opt/apigee/customer/application/router.propertiesमें बदलाव करें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- राऊटर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart