Edge per Private Cloud v4.19.01
La necessità di gestire il firewall non riguarda solo gli host virtuali; i firewall delle VM e degli host fisici devono consentire il traffico per le porte richieste dai componenti per comunicare tra loro.
Schemi delle porte
Le seguenti immagini mostrano i requisiti delle porte sia per un singolo data center sia per una configurazione con più data center:
Data center singolo
L'immagine seguente mostra i requisiti delle porte per ciascun componente Edge in una singola configurazione del data center:
Note su questo diagramma:
- Le porte precedute dal prefisso "M" sono porte utilizzate per gestire il componente e devono essere aperte sul componente per consentire l'accesso da parte del server di gestione.
- La UI Edge richiede l'accesso al router, sulle porte esposte dai proxy API, per supportare il pulsante Invia nello strumento di traccia.
- L'accesso alle porte JMX può essere configurato in modo da richiedere un nome utente/una password. Per ulteriori informazioni, consulta Come monitorare.
- Facoltativamente, puoi configurare l'accesso TLS/SSL per determinate connessioni, che possono utilizzare porte diverse. Per ulteriori informazioni, consulta TLS/SSL.
- Puoi configurare il server di gestione e l'interfaccia utente di Edge per inviare email tramite un server SMTP esterno. In questo caso, devi assicurarti che il server di gestione e l'interfaccia utente possano accedere alla porta necessaria sul server SMTP (non mostrata). Per SMTP non TLS, il numero di porta è in genere 25. Per SMTP con TLS abilitato, spesso è 465, ma rivolgiti al tuo provider SMTP.
Più data center
Se installi la configurazione in cluster di 12 nodi con due data center, assicurati che i nodi dei due data center possano comunicare tramite le porte mostrate di seguito:
Tieni presente che:
- Tutti i server di gestione devono essere in grado di accedere a tutti i nodi Cassandra in tutti gli altri data center.
- Tutti gli elaboratori di messaggi in tutti i data center devono essere in grado di accedere l'uno all'altro tramite la porta 4528.
- Il server di gestione deve essere in grado di accedere a tutti i processori di messaggi tramite la porta 8082.
- Tutti i server di gestione e tutti i nodi Qpid devono essere in grado di accedere a Postgres in tutti gli altri data center.
- Per motivi di sicurezza, ad eccezione di quelle mostrate sopra e di quelle richieste dai tuoi requisiti di rete, nessun'altra porta deve essere aperta tra i data center.
Per impostazione predefinita, le comunicazioni tra i componenti non sono criptate. Puoi aggiungere la crittografia installando Apigee mTLS. Per ulteriori informazioni, vedi Introduzione ad Apigee mTLS.
Dettagli porta
La tabella seguente descrive le porte che devono essere aperte nei firewall, in base al componente Edge:
| Componente | Porta | Descrizione |
|---|---|---|
| Porte HTTP standard | 80, 443 | HTTP e tutte le altre porte che utilizzi per gli host virtuali |
| Cassandra | 7000, 9042, 9160 | Porte Apache Cassandra per la comunicazione tra i nodi Cassandra e per l'accesso da parte di altri componenti Edge. |
| 7199 | Porta JMX. Deve essere disponibile per l'accesso da parte del server di gestione. | |
| LDAP | 10389 | OpenLDAP |
| Server di gestione | 1099 | Porta JMX |
| 4526 | Porta per le chiamate di gestione e della cache distribuita. Questa porta è configurabile. | |
| 5636 | Porta per le notifiche relative all'applicazione della monetizzazione. | |
| 8080 | Porta per le chiamate all'API di gestione di Edge. Questi componenti richiedono l'accesso alla porta 8080 sul server di gestione: router, Message Processor, UI, Postgres e Qpid. | |
| Interfaccia utente di gestione | 9000 | Porta per l'accesso del browser all'interfaccia utente di gestione |
| processore di messaggi | 1101 | Porta JMX |
| 4528 | Per la cache distribuita e le chiamate di gestione tra i Message Processor e per la comunicazione dal router e dal server di gestione.
Un processore di messaggi deve aprire la porta 4528 come porta di gestione. Se disponi di più processori di messaggi, devono essere tutti in grado di accedere l'uno all'altro sulla porta 4528 (indicata dalla freccia di loop nel diagramma in alto per la porta 4528 sul processore di messaggi). Se hai più data center, la porta deve essere accessibile da tutti i Message Processor in tutti i data center. |
|
| 8082 |
Porta di gestione predefinita per il Message Processor e deve essere aperta sul componente per consentire l'accesso da parte del Management Server. Se configuri TLS/SSL tra il router e il Message Processor, il router lo utilizza per eseguire controlli di integrità sul Message Processor. La porta 8082 sul Message Processor deve essere aperta per l'accesso da parte del router solo quando configurerai TLS/SSL tra il router e il Message Processor. Se non configuri TLS/SSL tra il router e il processore di messaggi, la configurazione predefinita, la porta 8082, deve essere comunque aperta sul processore di messaggi per gestire il componente, ma il router non richiede l'accesso. |
|
| 8443 | Quando TLS è attivato tra il router e il Message Processor, devi aprire la porta 8443 sul Message Processor per consentire l'accesso da parte del router. | |
| 8998 | Porta del processore di messaggi per le comunicazioni dal router | |
| Postgres | 22 | Se configuri due nodi Postgres per utilizzare la replica master-standby, devi aprire la porta 22 su ciascun nodo per l'accesso SSH. |
| 1103 | Porta JMX | |
| 4530 | Per chiamate di gestione e cache distribuite | |
| 5432 | Utilizzato per la comunicazione da Qpid/Management Server a Postgres | |
| 8084 | Porta di gestione predefinita sul server Postgres; deve essere aperta sul componente per consentire l'accesso da parte del server di gestione. | |
| Qpid | 1102 | Porta JMX |
| 4529 | Per chiamate di gestione e cache distribuite | |
| 5672 |
|
|
| 8083 | La porta di gestione predefinita sul server Qpid deve essere aperta sul componente per l'accesso da parte del server di gestione. | |
| Router | 4527 | Per le chiamate di gestione e della cache distribuita.
Un router deve aprire la porta 4527 come porta di gestione. Se hai più router, devono essere tutti in grado di accedere l'uno all'altro tramite la porta 4527 (indicata dalla freccia del loop nel diagramma sopra per la porta 4527 sul router). Sebbene non sia obbligatorio, puoi aprire la porta 4527 sul router per consentire l'accesso da parte di qualsiasi Message Processor. In caso contrario, potresti visualizzare messaggi di errore nei file log di Message Processor. |
| 8081 | Porta di gestione predefinita per il router e deve essere aperta sul componente per l'accesso da parte del server di gestione. | |
| 15999 |
Porta del controllo di integrità. Un bilanciatore del carico utilizza questa porta per determinare se il router è disponibile. Per ottenere lo stato di un router, il bilanciatore del carico invia una richiesta alla porta 15999 sul router: curl -v http://routerIP:15999/v1/servers/self/reachable Se il router è raggiungibile, la richiesta restituisce HTTP 200. |
|
| 59001 | Porta utilizzata per testare l'installazione di Edge dall'utilità apigee-validate.
Questa utility richiede l'accesso alla porta 59001 sul router. Per saperne di più sulla porta 59001, consulta
Testa l'installazione. |
|
| SmartDocs | 59002 | La porta sul router Edge a cui vengono inviate le richieste di pagine SmartDocs. |
| ZooKeeper | 2181 | Utilizzato da altri componenti come il server di gestione, il router, l'elaboratore di messaggi e così via |
| 2888, 3888 | Utilizzato internamente da ZooKeeper per la comunicazione del cluster ZooKeeper (noto come ensemble ZooKeeper) |
La tabella seguente mostra le stesse porte, elencate in ordine numerico, con i componenti di origine e di destinazione:
| Numero porta | Finalità | Componente di origine | Componente di destinazione |
|---|---|---|---|
| virtual_host_port | HTTP e tutte le altre porte che utilizzi per il traffico delle chiamate API dell'host virtuale. Le porte 80 e 443 sono le più utilizzate; il Message Router può terminare le connessioni TLS/SSL. | Client esterno (o bilanciatore del carico) | Listener sul router dei messaggi |
| Da 1099 a 1103 | Gestione JMX | JMX Client | Server di gestione (1099) Processore di messaggi (1101) Server Qpid (1102) Server Postgres (1103) |
| 2181 | Comunicazione del client Zookeeper | Server di gestione Router Processore di messaggi Server Qpid Server Postgres |
Zookeeper |
| 2888 e 3888 | Gestione degli internode Zookeeper | Zookeeper | Zookeeper |
| 4526 | Porta di gestione RPC | Server di gestione | Server di gestione |
| 4527 | Porta di gestione RPC per la cache distribuita e le chiamate di gestione e per le comunicazioni tra i router | Router server di gestione |
Router |
| 4528 | Per le chiamate alla cache distribuita tra i processori di messaggi e per la comunicazione dal router | Server di gestione Router Processore di messaggi |
processore di messaggi |
| 4529 | Porta di gestione RPC per chiamate di gestione e cache distribuite | Server di gestione | Server Qpid |
| 4530 | Porta di gestione RPC per chiamate di gestione e cache distribuite | Server di gestione | Server Postgres |
| 5432 | Client Postgres | Qpid Server | Postgres |
| 5636 | Monetizzazione | Componente JMS esterno | Server di gestione |
| 5672 |
|
Qpid Server | Qpid Server |
| 7000 | Comunicazioni tra nodi Cassandra | Cassandra | Altro nodo Cassandra |
| 7199 | Gestione JMX. Deve essere aperto per l'accesso sul nodo Cassandra dal server di gestione. | Client JMX | Cassandra |
| 8080 | Porta dell'API di gestione | Client API di gestione | Server di gestione |
| Da 8081 a 8084 |
Porte API dei componenti, utilizzate per inviare richieste API direttamente ai singoli componenti. Ogni componente apre una porta diversa. L'esatta porta utilizzata dipende dalla configurazione, ma deve essere aperta sul componente per l'accesso da parte del server di gestione |
Client API di gestione | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8443 | Comunicazione tra il router e il Message Processor quando TLS è attivato | Router | processore di messaggi |
| 8998 | Comunicazione tra router e processore di messaggi | Router | processore di messaggi |
| 9000 | Porta predefinita dell'interfaccia utente di gestione di Edge | Browser | Server dell'interfaccia utente di gestione |
| 9042 | Trasporto nativo CQL | Router Processore di messaggi Server di gestione |
Cassandra |
| 9160 | Client Cassandra Thrift | Router Processore di messaggi Server di gestione |
Cassandra |
| 10389 | Porta LDAP | Server di gestione | OpenLDAP |
| 15999 | Porta del controllo di integrità. Un bilanciatore del carico utilizza questa porta per determinare se il router è disponibile. | Bilanciatore del carico | Router |
| 59001 | Porta utilizzata dall'utilità apigee-validate per testare l'installazione di Edge |
apigee-convalida | Router |
| 59002 | La porta del router a cui vengono inviate le richieste di pagine SmartDocs | SmartDocs | Router |
Un Message Processor mantiene aperto un pool di connessioni dedicato a Cassandra, che è configurato per non scadere mai. Quando un firewall si trova tra un Message Processor e il server Cassandra, il firewall può causare il timeout della connessione. Tuttavia, il processore di messaggi non è progettato per ristabilire le connessioni a Cassandra.
Per evitare questa situazione, Apigee consiglia di posizionare il server Cassandra, il Message Processor e i router nella stessa subnet in modo che un firewall non sia coinvolto nel deployment di questi componenti.
Se tra il router e gli elaboratori di messaggi è presente un firewall con un timeout TCP inattivo impostato, ti consigliamo di procedere nel seguente modo:
- Imposta
net.ipv4.tcp_keepalive_time = 1800nelle impostazioni sysctl sul sistema operativo Linux, dove 1800 deve essere inferiore al timeout TCP inattivo del firewall. Questa impostazione dovrebbe mantenere la connessione in uno stato stabilito in modo che il firewall non la disconnetta. - In tutti gli elaboratori di messaggi, modifica
/opt/apigee/customer/application/message-processor.propertiesper aggiungere la seguente proprietà. Se il file non esiste, creane uno.conf_system_cassandra.maxconnecttimeinmillis=-1
- Riavvia il Message Processor:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Su tutti i router, modifica
/opt/apigee/customer/application/router.propertiesper aggiungere la seguente proprietà. Se il file non esiste, creane uno.conf_system_cassandra.maxconnecttimeinmillis=-1
- Riavvia il router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart