Edge for Private Cloud 4.19.01 sürümü
Güvenlik duvarını yönetme ihtiyacı yalnızca sanal ana makinelerin ötesine geçer. Hem sanal makine hem de fiziksel ana makine güvenlik duvarları, bileşenlerin birbirleriyle iletişim kurması için gereken bağlantı noktalarına trafik izni vermelidir.
Bağlantı noktası şemaları
Aşağıdaki resimlerde hem tek bir veri merkezi hem de birden fazla veri merkezi yapılandırması için bağlantı noktası gereksinimleri gösterilmektedir:
Tek Veri Merkezi
Aşağıdaki resimde, tek bir veri merkezi yapılandırmasında her Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir:
Bu şemadaki notlar:
- "M" ön ekiyle başlayan bağlantı noktaları, bileşeni yönetmek için kullanılan bağlantı noktalarıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır.
- Edge kullanıcı arayüzü, izleme aracındaki Gönder düğmesini desteklemek için API proxy'leri tarafından sunulan bağlantı noktalarında Yönlendirici'ye erişim gerektirir.
- JMX bağlantı noktalarına erişim, kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Daha fazla bilgi için Nasıl İzlenir? başlıklı makaleyi inceleyin.
- Dilerseniz farklı bağlantı noktaları kullanabilen belirli bağlantılar için TLS/SSL erişimini yapılandırabilirsiniz. Daha fazla bilgi için TLS/SSL bölümünü inceleyin.
- Yönetim sunucusunu ve Edge kullanıcı arayüzünü, e-postaları harici bir SMTP sunucusu üzerinden gönderecek şekilde yapılandırabilirsiniz. Bu durumda, Yönetim Sunucusu ve kullanıcı arayüzünün SMTP sunucusunda (gösterilmemiştir) gerekli bağlantı noktasına erişebildiğinden emin olmanız gerekir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için bu genellikle 465'tir. Ancak SMTP sağlayıcınıza danışın.
Birden çok veri merkezi
İki veri merkeziyle 12 düğümlü küme yapılandırmasını kurarsanız iki veri merkezindeki düğümlerin aşağıda gösterilen bağlantı noktaları üzerinden iletişim kurabileceğinden emin olun:
Not:
- Tüm yönetim sunucuları, diğer tüm veri merkezlerindeki tüm Cassandra düğümlerine erişebilmelidir.
- Tüm veri merkezlerindeki tüm İleti İşleyenlerin 4528 numaralı bağlantı noktası üzerinden birbirine erişebilmesi gerekir.
- Yönetim sunucusu, 8082 numaralı bağlantı noktası üzerinden tüm ileti işleyicilere erişebilmelidir.
- Tüm yönetim sunucuları ve tüm Qpid düğümleri, diğer tüm veri merkezlerindeki Postgres'e erişebilmelidir.
- Güvenlik nedeniyle, yukarıda gösterilen bağlantı noktaları ve kendi ağ gereksinimleriniz doğrultusunda gerekenler dışında veri merkezleri arasında başka bağlantı noktası açık olmamalıdır.
Varsayılan olarak, bileşenler arasındaki iletişim şifrelenmez. Apigee mTLS'yi yükleyerek şifreleme ekleyebilirsiniz. Daha fazla bilgi için Apigee mTLS'ye giriş başlıklı makaleyi inceleyin.
Bağlantı noktası ayrıntıları
Aşağıdaki tabloda, Edge bileşenine göre güvenlik duvarlarında açılması gereken bağlantı noktaları açıklanmaktadır:
| Bileşen | Bağlantı noktası | Açıklama |
|---|---|---|
| Standart HTTP bağlantı noktaları | 80, 443 | HTTP ve sanal ana makineler için kullandığınız diğer tüm bağlantı noktaları |
| Cassandra | 7.000, 9042, 9160 | Cassandra düğümleri arasında iletişim ve diğer Edge bileşenlerinin erişimi için Apache Cassandra bağlantı noktaları. |
| 7199 | JMX bağlantı noktası. Yönetim sunucusu tarafından erişime açık olmalıdır. | |
| LDAP | 10389 | OpenLDAP |
| Yönetim Sunucusu | 1.099 | JMX bağlantı noktası |
| 4.526 | Dağıtılmış önbellek ve yönetim çağrıları için bağlantı noktası. Bu bağlantı noktası yapılandırılabilir. | |
| 5.636 | Para kazanma işlemiyle ilgili commit bildirimleri için bağlantı noktası. | |
| 8080 | Edge yönetim API çağrıları için bağlantı noktası. Yönlendirici, İleti İşleyen, Kullanıcı Arayüzü, Postgres ve Qpid gibi bileşenler için Yönetim Sunucusu'ndaki 8080 numaralı bağlantı noktasına erişim gerekir. | |
| Yönetim arayüzü | 9000 | Tarayıcının yönetim kullanıcı arayüzüne erişmesi için bağlantı noktası |
| Mesaj İşleyici | 1101 | JMX bağlantı noktası |
| 4528 | Mesaj İşleyicileri arasında dağıtılmış önbellek ve yönetim çağrılarının yanı sıra Yönlendirici ve Yönetim Sunucusu'ndan gelen iletişim için kullanılır.
Mesaj İşleyici, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla Mesaj İşleyiciniz varsa hepsinin birbirine 4528 numaralı bağlantı noktası üzerinden erişebilmesi gerekir (Mesaj İşleyen'deki bağlantı noktası 4528 için yukarıdaki şemada döngü oku ile gösterilir). Birden fazla veri merkeziniz varsa bağlantı noktasına tüm veri merkezlerindeki tüm Mesaj İşleyicileri üzerinden erişilebilmelidir. |
|
| 8082 |
Mesaj İşleyen için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. Yönlendirici ile Mesaj İşleyen arasında TLS/SSL yapılandırırsanız Yönlendirici tarafından Mesaj İşleyen'de durum kontrolleri yapmak için kullanılır. İleti İşleyen'deki 8082 numaralı bağlantı noktasının yalnızca Yönlendirici ile İleti İşleyen arasında TLS/SSL yapılandırdığınızda Yönlendirici tarafından erişilebilir olması gerekir. Yönlendirici ile Mesaj İşleyen arasında TLS/SSL yapılandırmadıysanız bileşeni yönetmek için Mesaj İşleyen'de varsayılan yapılandırma (8082 bağlantı noktası) açık olmalıdır ancak Yönlendirici'nin bu bağlantı noktasına erişmesi gerekmez. |
|
| 8443 | Yönlendirici ve İleti İşlemci arasında TLS etkinleştirildiğinde, Yönlendirici'nin erişebilmesi için Mesaj İşleyici'de 8443 numaralı bağlantı noktasını açmanız gerekir. | |
| 8998 | Yönlendiriciden gelen iletişimler için Mesaj İşleyici bağlantı noktası | |
| Postgres | 22 | İki Postgres düğümünü ana-bekleme çoğaltma kullanacak şekilde yapılandırıyorsanız SSH erişimi için her düğümde 22 numaralı bağlantı noktasını açmanız gerekir. |
| 1.103 | JMX bağlantı noktası | |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5432 | Qpid/Yönetim Sunucusu ile Postgres arasında iletişim için kullanılır. | |
| 8084 | Postgres sunucusunda varsayılan yönetim bağlantı noktası; Yönetim Sunucusu tarafından erişilebilmesi için bileşende açık olmalıdır. | |
| Qpid | 1102 | JMX bağlantı noktası |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5.672 |
|
|
| 8083 | Qpid sunucusunda varsayılan yönetim bağlantı noktasıdır ve yönetim sunucusunun erişebilmesi için bileşende açık olmalıdır. | |
| Yönlendirici | 4.527 | Dağıtılmış önbellek ve yönetim çağrıları için.
Yönlendirici, yönetim bağlantı noktası olarak 4527 numaralı bağlantı noktasını açmalıdır. Birden fazla Yönlendiriciniz varsa tümünün birbirlerine 4527 numaralı bağlantı noktası üzerinden erişebilmeleri gerekir (Yönlendirici üzerindeki 4527 numaralı bağlantı noktası için yukarıdaki şemada döngü okuyla gösterilir). Zorunlu olmasa da herhangi bir Mesaj İşleyen tarafından erişilebilmesi için yönlendiricide 4527 numaralı bağlantı noktasını açabilirsiniz. Aksi takdirde, Mesaj İşleyen günlük dosyalarında hata mesajları görebilirsiniz. |
| 8081 | Yönlendirici için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. | |
| 15.999 |
Durum denetimi bağlantı noktası. Yük dengeleyici, yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. Yük dengeleyici, bir yönlendiricinin durumunu almak için yönlendiricideki 15999 numaralı porta istek gönderir: curl -v http://routerIP:15999/v1/servers/self/reachable Yönlendiriciye erişilebiliyorsa istek, HTTP 200 döndürür. |
|
| 59.001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası.
Bu yardımcı program için yönlendiricideki 59001 numaralı bağlantı noktasına erişim gerekir. 59001 bağlantı noktası hakkında daha fazla bilgi için Yüklemeyi test etme başlıklı makaleyi inceleyin. |
|
| SmartDocs | 59002 | Edge yönlendiricide SmartDocs sayfa isteklerinin gönderildiği bağlantı noktası. |
| ZooKeeper | 2181 | Yönetim sunucusu, yönlendirici, ileti işleyici vb. gibi diğer bileşenler tarafından kullanılır. |
| 2888, 3888 | ZooKeeper kümesi (ZooKeeper topluluğu olarak bilinir) için ZooKeeper tarafından dahili olarak kullanılır |
Aşağıdaki tabloda, kaynak ve hedef bileşenleriyle birlikte sayısal olarak listelenen aynı bağlantı noktaları gösterilmektedir:
| Bağlantı Noktası Numarası | Amaç | Kaynak Bileşeni | Hedef Bileşeni |
|---|---|---|---|
| virtual_host_port | HTTP ve sanal ana makine API'si çağrı trafiği için kullandığınız diğer tüm bağlantı noktaları. En yaygın olarak 80 ve 443 bağlantı noktaları kullanılır. İleti Yönlendirici, TLS/SSL bağlantılarını sonlandırabilir. | Harici istemci (veya yük dengeleyici) | Message Router'da dinleyici |
| 1099 - 1103 | JMX Yönetimi | JMX İstemcisi | Yönetim sunucusu (1099) Mesaj İşlemcisi (1101) Qpid Sunucusu (1102) Postgres Sunucusu (1103) |
| 2181 | Zookeeper istemci iletişimi | Yönetim sunucusu Yönlendirici Mesaj İşleyen Qpid sunucusu Postgres sunucusu |
Zookeeper |
| 2888 ve 3888 | Zookeeper düğümler arası yönetimi | Zookeeper | Zookeeper |
| 4526 | RPC Yönetimi bağlantı noktası | Yönetim sunucusu | Yönetim sunucusu |
| 4527 | Dağıtılmış önbellek ve yönetim çağrıları ile yönlendiriciler arasındaki iletişim için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu Yönlendirici |
Yönlendirici |
| 4528 | Mesaj işleyiciler arasında dağıtılmış önbelleğe alma çağrıları ve yönlendiriciden gelen iletişim için | Yönetim Sunucusu Yönlendirici Mesaj İşleyici |
Mesaj İşleyici |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetim bağlantı noktası | Yönetim sunucusu | Qpid sunucusu |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetim bağlantı noktası | Yönetim Sunucusu | Postgres Sunucusu |
| 5432 | Postgres istemcisi | Qpid sunucusu | Postgres |
| 5636 | Para kazanma | Harici JMS bileşeni | Yönetim sunucusu |
| 5672 |
|
Qpid sunucusu | Qpid sunucusu |
| 7000 | Cassandra düğümler arası iletişimi | Cassandra | Diğer Cassandra düğümü |
| 7199 | JMX yönetimi. Yönetim sunucusu tarafından Cassandra düğümünde erişime açık olmalıdır. | JMX istemcisi | Cassandra |
| 8080 | Management API bağlantı noktası | Management API istemcileri | Yönetim sunucusu |
| 8081 ila 8084 |
Doğrudan bileşenlere API isteği göndermek için kullanılan bileşen API bağlantı noktaları. Her bileşen farklı bir bağlantı noktası açar. Kullanılan bağlantı noktası, yapılandırmaya bağlıdır ancak yönetim sunucusunun erişebilmesi için bileşende açık olmalıdır. |
Management API istemcileri | Yönlendirici (8081) Mesaj İşleyen (8082) Qpid Sunucusu (8083) Postgres Sunucusu (8084) |
| 8443 | TLS etkinleştirildiğinde Yönlendirici ile Mesaj İşleyen arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 8998 | Yönlendirici ile Mesaj İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 9000 | Varsayılan Edge yönetim kullanıcı arayüzü bağlantı noktası | Tarayıcı | Yönetim Kullanıcı Arayüzü Sunucusu |
| 9042 | CQL doğal aktarımı | Yönlendirici Mesaj İşlemci Yönetim Sunucusu |
Cassandra |
| 9160 | Cassandra thrift istemcisi | Yönlendirici Mesaj İşleyici Yönetim sunucusu |
Cassandra |
| 10389 | LDAP bağlantı noktası | Yönetim Sunucusu | OpenLDAP |
| 15999 | Durum denetimi bağlantı noktası. Yük dengeleyici, yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. | Yük dengeleyici | Yönlendirici |
| 59001 | Edge kurulumunu test etmek için apigee-validate yardımcı programı tarafından kullanılan bağlantı noktası |
apigee-validate | Yönlendirici |
| 59002 | SmartDocs sayfa isteklerinin gönderildiği yönlendirici bağlantı noktası | SmartDocs | Yönlendirici |
Mesaj işleyici, Cassandra'ya özel bir bağlantı havuzunu açık tutar. Bu havuz, zaman aşımı süresi hiç olmayacak şekilde yapılandırılır. İleti İşleyen ile Cassandra sunucusu arasında bir güvenlik duvarı olduğunda güvenlik duvarı bağlantının zaman aşımına uğramasına neden olabilir. Ancak Mesaj İşleyici, Cassandra ile bağlantıları yeniden kurmak için tasarlanmamıştır.
Bu durumu önlemek için Apigee, Cassandra sunucusunun, ileti işleyicinin ve yönlendiricilerin aynı alt ağda olmasını önerir. Böylece bu bileşenlerin dağıtımında güvenlik duvarı kullanılmaz.
Yönlendirici ile ileti işleyiciler arasında bir güvenlik duvarı varsa ve boşta TCP zaman aşımı ayarlanmışsa aşağıdakileri yapmanızı öneririz:
- Linux OS'teki sysctl ayarlarında
net.ipv4.tcp_keepalive_time = 1800değerini ayarlayın (burada 1800 değeri, güvenlik duvarı boşta kalma TCP zaman aşımından daha düşük olmalıdır). Bu ayar, güvenlik duvarının bağlantıyı kesmemesi için bağlantıyı kurulan durumda tutar. - Tüm ileti işleyicilerde, aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/message-processor.propertiesdosyasını düzenleyin. Dosya mevcut değilse dosyayı oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mesaj İşlemciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Tüm Yönlendiricilerde aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/router.propertiesöğesini düzenleyin. Dosya mevcut değilse dosyayı oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart