Requisitos de porta

Edge para nuvem privada v4.19.01

A necessidade de gerenciar o firewall vai além dos hosts virtuais. Os firewalls de VM e de host físico precisam permitir o tráfego para as portas exigidas pelos componentes para se comunicarem entre si.

Diagramas de portas

As imagens a seguir mostram os requisitos de porta para a configuração de um único data center e de vários data centers:

Data center único

A imagem a seguir mostra os requisitos de porta para cada componente do Edge em uma única configuração de data center:

Requisitos de porta para cada componente do Edge em uma única configuração de data center

Observações neste diagrama:

  • As portas com o prefixo "M" são usadas para gerenciar o componente e precisam estar abertas no componente para acesso pelo Servidor de Gerenciamento.
  • A interface do Edge requer acesso ao roteador, nas portas expostas por proxies de API, para oferecer suporte ao botão Enviar na ferramenta de trace.
  • O acesso às portas JMX pode ser configurado para exigir nome de usuário e senha. Consulte Como monitorar para ver mais informações.
  • Também é possível configurar o acesso TLS/SSL para determinadas conexões, que podem usar portas diferentes. Consulte TLS/SSL para mais informações.
  • É possível configurar o Servidor de gerenciamento e a IU de borda para enviar e-mails por meio de um servidor SMTP externo. Se fizer isso, você precisará garantir que o Servidor de gerenciamento e a IU possam acessar a porta necessária no servidor SMTP (não mostrado). Para SMTP sem TLS, o número da porta geralmente é 25. Para o SMTP com TLS ativado, ele geralmente é 465, mas verifique com o provedor SMTP.

Vários data centers

Se você instalar a configuração em cluster de 12 nós com dois data centers, verifique se os nós nos dois data centers podem se comunicar pelas portas mostradas abaixo:

Requisitos de porta para cada nó em uma configuração em cluster de 12 nós

Observações:

  • Todos os servidores de gerenciamento precisam acessar todos os nós do Cassandra em todos os outros data centers.
  • É preciso que todos os processadores de mensagens em todos os data centers possam acessar uns aos outros pela porta 4528.
  • O servidor de gerenciamento precisa ser capaz de acessar todos os processadores de mensagens pela porta 8082.
  • Todos os servidores de gerenciamento e todos os nós do Qpid precisam acessar o Postgres em todos os outros data centers.
  • Por motivos de segurança, além das portas mostradas acima e outras exigidas pelos seus requisitos de rede, nenhuma outra porta deve ser aberta entre os data centers.

Por padrão, as comunicações entre os componentes não são criptografadas. Para adicionar criptografia, instale o mTLS da Apigee. Para mais informações, consulte Introdução ao mTLS da Apigee.

Detalhes da porta

A tabela abaixo descreve as portas que precisam ser abertas em firewalls por componente do Edge:

Componente Porta Descrição
Portas HTTP padrão 80.443 HTTP mais quaisquer outras portas que você usar para hosts virtuais
Cassandra 7.000, 9.042 e 9.160 Portas do Apache Cassandra para comunicação entre os nós do Cassandra e acesso por outros componentes do Edge.
7.199 Porta JMX. Precisa estar aberto para acesso pelo servidor de gerenciamento.
LDAP 10.389 OpenLDAP
Servidor de gerenciamento 1.099 Porta JMX
4.526 Porta para chamadas de gerenciamento e cache distribuídos. É possível configurar essa porta.
5.636 Porta para notificações de confirmação de monetização.
8080 Porta para chamadas da API de gerenciamento de borda. Esses componentes exigem acesso à porta 8080 no servidor de gerenciamento: Router, Message Processor, UI, Postgres e Qpid.
IU de gerenciamento 9.000 Porta de acesso do navegador à interface de gerenciamento
processador de mensagens 1101 Porta JMX
4.528 Para chamadas de gerenciamento e cache distribuídos entre processadores de mensagens e para comunicação do roteador e do servidor de gerenciamento.

Um processador de mensagens precisa abrir a porta 4528 como a porta de gerenciamento. Se você tiver vários processadores de mensagens, todos poderão acessar uns aos outros pela porta 4528 (indicado pela seta de loop no diagrama acima na porta 4528 do processador de mensagens). Se você tiver vários data centers, a porta precisa ser acessível de todos os processadores de mensagens de todos eles.

8082

Porta de gerenciamento padrão do processador de mensagens e precisa estar aberta no componente para acesso pelo servidor de gerenciamento.

Se você configurar o TLS/SSL entre o roteador e o processador de mensagens, usado pelo roteador para fazer verificações de integridade no processador de mensagens.

A porta 8082 no processador de mensagens só precisa estar aberta para acesso pelo roteador quando você configurar o TLS/SSL entre ele e o processador de mensagens. Se você não configurar o TLS/SSL entre o roteador e o processador de mensagens, a porta 8082 da configuração padrão ainda precisará estar aberta no processador de mensagens para gerenciar o componente, mas o roteador não exigirá acesso a ele.

8.443 Quando o TLS está ativado entre o roteador e o processador de mensagens, você precisa abrir a porta 8443 no processador de mensagens para ter acesso ao roteador.
8.998 Porta do processador de mensagens para comunicações do roteador
Postgres 22 Se você estiver configurando dois nós do Postgres para usar a replicação mestre em espera, abra a porta 22 em cada nó para acesso SSH.
1.103 Porta JMX
4.530 Para chamadas de gerenciamento e cache distribuídos
5.432 Usado para comunicação do Qpid/Management Server para o Postgres
8084 Porta de gerenciamento padrão no servidor Postgres: precisa estar aberta no componente para acesso pelo servidor de gerenciamento.
Qpid 1.102 Porta JMX
4.529 Para chamadas de gerenciamento e cache distribuídos
5.672
  • Data center único: usado para enviar análises do roteador e do processador de mensagens ao Qpid.
  • Vários data centers: usados para a comunicação entre nós Qpid em diferentes data centers.
8083 Porta de gerenciamento padrão no servidor Qpid e precisa estar aberta no componente para acesso pelo servidor de gerenciamento.
Roteador 4.527 Para chamadas de gerenciamento e cache distribuídos.

Um roteador precisa abrir a porta 4527 como a porta de gerenciamento. Se você tiver vários roteadores, todos eles precisarão acessar uns aos outros pela porta 4527 (indicada pela seta de loop no diagrama acima para a porta 4527 do roteador).

Embora não seja obrigatório, você pode abrir a porta 4527 no roteador para acesso por qualquer processador de mensagens. Caso contrário, você talvez receba mensagens de erro nos arquivos de registro do processador de mensagens.

8081 Porta de gerenciamento padrão do roteador e precisa estar aberta no componente para acesso pelo servidor de gerenciamento.
15.999

Porta de verificação de integridade. Um balanceador de carga usa essa porta para determinar se o roteador está disponível.

Para saber o status de um roteador, o balanceador de carga faz uma solicitação para a porta 15999 nele:

curl -v http://routerIP:15999/v1/servers/self/reachable

Se o roteador estiver acessível, a solicitação retornará HTTP 200.

59.001 Porta usada para testar a instalação do Edge pelo utilitário apigee-validate. Esse utilitário requer acesso à porta 59001 no roteador. Consulte Testar a instalação para saber mais sobre a porta 59001.
SmartDocs 59.002 A porta no roteador de borda para onde as solicitações de página do SmartDocs são enviadas.
ZooKeeper 2.181 Usado por outros componentes, como servidor de gerenciamento, roteador, processador de mensagens, entre outros
2.888 e 3.888 Usado internamente pelo ZooKeeper para a comunicação do cluster ZooKeeper (conhecido como conjunto do ZooKeeper)

A tabela a seguir mostra as mesmas portas, listadas numericamente, com os componentes de origem e destino:

Número da porta Finalidade Componente de origem Componente de destino
virtual_host_port HTTP mais todas as outras portas que você usa para o tráfego de chamadas da API do host virtual. As portas 80 e 443 são as mais usadas. O roteador de mensagens pode encerrar conexões TLS/SSL. Cliente externo (ou balanceador de carga) Listener no roteador de mensagens
De 1099 a 1103 Gerenciamento do JMX Cliente JMX Management Server (1099)
Processador de mensagens (1101)
Servidor Qpid (1102)
Servidor Postgres (1103)
2181 Comunicação com o cliente do Zookeeper Servidor de gerenciamento
Roteador
Processador de mensagens
Servidor Qpid
Servidor Postgres
Zookeeper
2888 e 3888 Gerenciamento de tráfego interno do Zookeeper Zookeeper Zookeeper
4526 Porta de gerenciamento de RPC Servidor de gerenciamento Servidor de gerenciamento
4527 Porta de gerenciamento de RPC para chamadas de gerenciamento e cache distribuídos e para comunicações entre roteadores Roteador
do servidor de gerenciamento
Roteador
4528 Para chamadas de cache distribuídas entre processadores de mensagens e para comunicação do roteador Servidor de gerenciamento
Roteador
Processador de mensagens
processador de mensagens
4529 Porta de gerenciamento de RPC para chamadas de gerenciamento e cache distribuído Servidor de gerenciamento Servidor Qpid
4530 Porta de gerenciamento de RPC para chamadas de gerenciamento e cache distribuído Servidor de gerenciamento Servidor Postgres
5432 Cliente Postgres Servidor Qpid Postgres
5636 Monetização Componente externo do JMS Servidor de gerenciamento
5672
  • Data center único: usado para enviar análises do roteador e do processador de mensagens ao Qpid.
  • Vários data centers: usados para a comunicação entre nós Qpid em diferentes data centers.
Servidor Qpid Servidor Qpid
7000 Comunicações entre nós do Cassandra Cassandra Outro nó do Cassandra
7199 Gerenciamento do JMX. Precisa estar aberto para acesso ao nó do Cassandra pelo servidor de gerenciamento. Cliente JMX Cassandra
8080 Porta da API Management Clientes da API Management Servidor de gerenciamento
De 8081 a 8084

Portas da API do componente, usadas para emitir solicitações de API diretamente para componentes individuais. Cada componente abre uma porta diferente. A porta exata usada depende da configuração, mas precisa estar aberta no componente para acesso pelo servidor de gerenciamento

Clientes da API Management Roteador (8081)
Processador de mensagens (8082)
Servidor Qpid (8083)
Servidor Postgres (8084)
8443 Comunicação entre o roteador e o processador de mensagens quando o TLS está ativado Roteador processador de mensagens
8998 Comunicação entre o roteador e o processador de mensagens Roteador processador de mensagens
9000 Porta da interface padrão do gerenciamento de borda Navegador Servidor de interface de gerenciamento
9042 Transporte nativo CQL Roteador
Processador de mensagens
Servidor de gerenciamento
Cassandra
9160 Cassandra thrift client Roteador
Processador de mensagens
Servidor de gerenciamento
Cassandra
10389 Porta LDAP Servidor de gerenciamento OpenLDAP
15999 Porta de verificação de integridade. Um balanceador de carga usa essa porta para determinar se o roteador está disponível. Balanceador de carga Roteador
59001 Porta usada pelo utilitário apigee-validate para testar a instalação do Edge apigee-validate Roteador
59002 A porta do roteador para onde as solicitações da página do SmartDocs são enviadas SmartDocs Roteador

Um processador de mensagens mantém um pool de conexão dedicado aberto para o Cassandra, que é configurado para nunca atingir o tempo limite. Quando um firewall está entre um processador de mensagens e um servidor do Cassandra, ele pode expirar a conexão. No entanto, o processador de mensagens não foi projetado para restabelecer as conexões com o Cassandra.

Para evitar essa situação, a Apigee recomenda que o servidor, o processador de mensagens e os roteadores do Cassandra estejam na mesma sub-rede para que não haja um firewall envolvido na implantação desses componentes.

Se um firewall estiver entre o roteador e os processadores de mensagens e tiver um tempo limite de TCP inativo definido, nossas recomendações são:

  1. Defina net.ipv4.tcp_keepalive_time = 1800 nas configurações de sysctl no SO Linux, em que 1800 precisa ser menor que o tempo limite de tcp inativo do firewall. Essa configuração precisa manter a conexão em um estado estabelecido para que o firewall não a desconecte.
  2. Em todos os processadores de mensagens, edite /opt/apigee/customer/application/message-processor.properties para adicionar a propriedade a seguir. Se o arquivo não existir, crie-o.
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. Reinicie o processador de mensagens:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. Em todos os roteadores, edite /opt/apigee/customer/application/router.properties para adicionar a propriedade a seguir. Se o arquivo não existir, crie-o.
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. Reinicie o roteador:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart