Edge for Private Cloud v4.19.01
ファイアウォールを管理する必要性は仮想ホストだけにとどまりません。VM と物理ホストの両方のファイアウォールで、コンポーネント間の通信に必要なポートのトラフィックを許可する必要があります。
ポート図
次の図は、単一データセンター構成と複数データセンター構成の両方のポート要件を示しています。
単一のデータセンター
次の図は、単一データセンター構成における各 Edge コンポーネントのポート要件を示しています。
この図の注意事項:
- 接頭辞が「M」のポートは、コンポーネントの管理に使用されるポートです。Management Server からアクセスするには、そのコンポーネントで開いている必要があります。
- Edge UI で Trace ツールの [Send] ボタンをサポートするには、API プロキシによって公開されるポートで Router にアクセスする必要があります。
- JMX ポートへのアクセスを構成して、ユーザー名とパスワードを要求させることができます。詳細については、モニタリング方法をご覧ください。
- 必要に応じて、特定の接続に対して TLS / SSL アクセスを構成できます。TLS / SSL アクセスには異なるポートが使われることがあります。詳細については、TLS/SSL をご覧ください。
- 外部 SMTP サーバー経由でメールを送信するように、Management Server と Edge UI を構成できます。その場合、Management Server と UI が SMTP サーバー上の必要なポート(図示せず)にアクセスできることを確認する必要があります。TLS 以外の SMTP の場合、ポート番号は通常 25 です。TLS 対応の SMTP では多くの場合、465 ですが、SMTP プロバイダに確認してください。
複数のデータセンター
2 つのデータセンターを持つ 12 ノードのクラスタ構成をインストールする場合、2 つのデータセンターのノードが次のポートで通信できることを確認します。
次のことに注意してください。
- すべての Management Server が、他のすべてのデータセンターのすべての Cassandra ノードにアクセスできる必要があります。
- すべてのデータセンターのすべての Message Processor が、ポート 4528 で互いにアクセスできる必要があります。
- Management Server は、ポート 8082 を介してすべての Message Processor にアクセスできる必要があります。
- すべての Management Server とすべての Qpid ノードが、他のすべてのデータセンターの Postgres にアクセスできる必要があります。
- セキュリティ上の理由から、上記のポートと、ネットワーク要件で必要なポートを除き、他のポートをデータセンター間で開かないようにしてください。
デフォルトでは、コンポーネント間の通信は暗号化されません。Apigee mTLS をインストールすると、暗号化を追加できます。詳細については、Apigee mTLS の概要をご覧ください。
移行の詳細
次の表に、ファイアウォールで Edge コンポーネントごとに開く必要があるポートを示します。
| コンポーネント | ポート | 説明 |
|---|---|---|
| 標準 HTTP ポート | 80、443 | HTTP と仮想ホストに使用するその他のポート |
| Cassandra | 7000、9042、9160 | Cassandra ノード間の通信や、他の Edge コンポーネントからのアクセスに使用する Apache Cassandra ポート。 |
| 7,199 | JMX ポート。Management Server からアクセスできるようにする必要があります。 | |
| LDAP | 10,389 | OpenLDAP |
| 管理サーバー | 1,099 | JMX ポート |
| 4,526 | 分散キャッシュと管理呼び出し用のポート。このポートは構成可能です。 | |
| 5,636 | 収益化のコミット通知用のポート。 | |
| 8,080 | Edge Management API 呼び出し用のポート。これらのコンポーネントは、Management Server、Router、Message Processor、UI、Postgres、Qpid のポート 8080 にアクセスする必要があります。 | |
| 管理 UI | 9,000 | 管理 UI へのブラウザ アクセス用ポート |
| Message Processor | 1,101 | JMX ポート |
| 4,528 | Message Processor 間の分散キャッシュと管理呼び出し用、Router と Management Server からの通信用。 Message Processor では、管理ポートとしてポート 4528 を開く必要があります。複数の Message Processor がある場合は、ポート 4528 を介して相互にアクセスできる必要があります(Message Processor のポート 4528 については、上の図のループ矢印で示されます)。複数のデータセンターがある場合は、すべてのデータセンターのすべての Message Processor からポートにアクセスできる必要があります。 |
|
| 8,082 |
Message Processor のデフォルト管理ポートです。Management Server からアクセスするにはコンポーネント上で開いている必要があります。 Router と Message Processor の間に TLS/SSL を構成すると、Router は Message Processor でヘルスチェックを行います。 Router と Message Processor 間の TLS/SSL を構成する場合にのみ、Router がアクセスできるように Message Processor のポート 8082 を開く必要があります。Router と Message Processor 間の TLS/SSL を構成しない場合、コンポーネントを管理するために、デフォルトの構成でポート 8082 を Message Processor で開く必要がありますが、Router はコンポーネントへのアクセスを要求しません。 |
|
| 8,443 | Router と Message Processor の間で TLS が有効になっている場合は、Router がアクセスできるように、Message Processor のポート 8443 を開く必要があります。 | |
| 8,998 | Router からの通信に使用する Message Processor ポート | |
| Postgres | 22 | マスター / スタンバイ レプリケーションを使用するように 2 つの Postgres ノードを構成する場合は、SSH アクセス用に各ノードでポート 22 を開く必要があります。 |
| 1,103 | JMX ポート | |
| 4,530 | 分散キャッシュと管理呼び出しの場合 | |
| 5,432 | Qpid/Management Server から Postgres への通信に使用される | |
| 8,084 | Postgres Server のデフォルトの管理ポート。Management Server からアクセスするには、コンポーネントで開いている必要があります。 | |
| QPD | 1,102 | JMX ポート |
| 4,529 | 分散キャッシュと管理呼び出しの場合 | |
| 5,672 |
|
|
| 8,083 | Qpid サーバーのデフォルトの管理ポートであり、Management Server によるアクセスのためにコンポーネント上で開いている必要があります。 | |
| ルーター | 4,527 | 分散キャッシュと管理呼び出しの場合。 Router では管理ポートとしてポート 4527 を開く必要があります。複数の Router がある場合は、ポート 4527 を介して相互にアクセスできる必要があります(Router のポート 4527 については、上の図のループ矢印で示されています)。 必須ではありませんが、Router でポート 4527 を開いて、任意の Message Processor からアクセスできるようにします。そうしないと、Message Processor のログファイルにエラー メッセージが表示されることがあります。 |
| 8,081 | Router のデフォルト管理ポートであり、Management Server からアクセスするにはコンポーネント上で開いている必要があります。 | |
| 15,999 |
ヘルスチェック ポート。ロードバランサはこのポートを使用して Router が使用可能かどうかを判断します。 Router のステータスを取得するために、ロードバランサは Router のポート 15999 にリクエストを行います。 curl -v http://routerIP:15999/v1/servers/self/reachable Router が到達可能である場合、リクエストは HTTP 200 を返します。 |
|
| 59,001 | apigee-validate ユーティリティによる Edge インストールのテストに使用されるポート。このユーティリティは、Router のポート 59001 にアクセスする必要があります。ポート 59001 の詳細については、インストールのテストをご覧ください。 |
|
| SmartDocs | 59,002 | SmartDocs ページリクエストが送信される Edge ルーターのポート。 |
| ZooKeeper | 2,181 | Management Server、Router、Message Processor など他のコンポーネントでも使用 |
| 2,888、3,888 | ZooKeeper クラスタ通信(ZooKeeper アンサンブルとも呼ばれる)のために ZooKeeper が内部的に使用 |
次の表に、送信元と宛先のコンポーネントを含む同じ番号(番号付き)を示します。
| ポート番号 | 目的 | ソース コンポーネント | 宛先コンポーネント |
|---|---|---|---|
| virtual_host_port | HTTP と仮想ホスト API 呼び出しトラフィックに使用するその他のポート。通常、ポート 80 と 443 が使用されます。Message Router は TLS/SSL 接続を終端できます。 | 外部クライアント(またはロードバランサ) | メッセージ ルーターのリスナー |
| 1099 ~ 1103 | JMX 管理 | JMX クライアント | Management Server(1099) Message Processor(1101) Qpid Server(1102) Postgres Server(1103) |
| 2181 | Zookeeper のクライアントとのコミュニケーション | Management Server Router Message Processor Qpid Server Postgres Server |
Zookeeper |
| 2888、3888 | Zookeeper のノード間管理 | Zookeeper | Zookeeper |
| 4526 | RPC 管理ポート | 管理サーバー | 管理サーバー |
| 4527 | 分散キャッシュと管理呼び出しや、Router 間の通信用の RPC Management ポート | Management Server ルーター |
ルーター |
| 4528 | Message Processor 間の分散キャッシュ呼び出し、Router からの通信の場合 | Management Server Router Message Processor |
Message Processor |
| 4529 | 分散キャッシュと管理呼び出し用の RPC Management ポート | 管理サーバー | Qpid Server |
| 4530 | 分散キャッシュと管理呼び出し用の RPC Management ポート | 管理サーバー | Postgres Server |
| 5432 | Postgres クライアント | Qpid Server | Postgres |
| 5636 | 収益化 | 外部 JMS コンポーネント | 管理サーバー |
| 5672 |
|
Qpid Server | Qpid Server |
| 7,000 | Cassandra ノード間通信 | Cassandra | その他の Cassandra ノード |
| 7199 | JMX の管理。Management Server が Cassandra ノードからアクセスできるように開いている必要があります。 | JMX クライアント | Cassandra |
| 8080 | Management API ポート | Management API クライアント | 管理サーバー |
| 8081 ~ 8084 |
コンポーネント API ポート。個々のコンポーネントに直接 API リクエストを発行するために使用します。コンポーネントはそれぞれ異なるポートを開きます。使用される正確なポートは構成によって異なりますが、Management Server からアクセスするにはコンポーネント上で開いている必要があります。 |
Management API クライアント | Router(8081) Message Processor(8082) Qpid Server(8083) Postgres Server(8084) |
| 8443 | TLS が有効な場合の Router と Message Processor 間の通信 | ルーター | Message Processor |
| 8998 | Router と Message Processor 間の通信 | ルーター | Message Processor |
| 9000 | デフォルトの Edge 管理 UI ポート | ブラウザ | 管理 UI サーバー |
| 9042 | CQL ネイティブ | Router Message Processor Management Server |
Cassandra |
| 9160 | Cassandra Thrift クライアント | Router Message Processor Management Server |
Cassandra |
| 10389 | LDAP ポート | 管理サーバー | OpenLDAP |
| 15999 | ヘルスチェック ポート。ロードバランサはこのポートを使用して Router が使用可能かどうかを判断します。 | ロードバランサ | ルーター |
| 59001 | apigee-validate ユーティリティで Edge インストールをテストするためのポート |
apigee-validate | ルーター |
| 59002 | SmartDocs ページ リクエストが送信されるルーターポート | SmartDocs | ルーター |
Message Processor は、タイムアウトしないように構成されている Cassandra に対して専用の接続プールを保持します。Message Processor と Cassandra サーバーの間にファイアウォールがある場合、ファイアウォールが接続をタイムアウトする可能性があります。ただし、Message Processor は Cassandra への接続を再確立するようには設計されていません。
このような状況を回避するため、Cassandra サーバー、Message Processor、Router を同じサブネットに配置して、これらのコンポーネントのデプロイにファイアウォールが関与しないようにすることをおすすめします。
Router と Message Processor の間にファイアウォールがあり、アイドル TCP タイムアウトが設定されている場合は、次のことをおすすめします。
- Linux OS の sysctl 設定で
net.ipv4.tcp_keepalive_time = 1800を設定します。1, 800 はファイアウォールのアイドル TCP タイムアウトよりも小さい値にする必要があります。この設定により、ファイアウォールが接続を切断しないように、接続が確立された状態を維持する必要があります。 - すべての Message Processor で、
/opt/apigee/customer/application/message-processor.propertiesを編集して次のプロパティを追加します。ファイルが存在しない場合は作成します。conf_system_cassandra.maxconnecttimeinmillis=-1
- Message Processor を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- すべての Router で、
/opt/apigee/customer/application/router.propertiesを編集して次のプロパティを追加します。ファイルが存在しない場合は作成します。conf_system_cassandra.maxconnecttimeinmillis=-1
- Router を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-router restart