ফায়ারওয়াল পরিচালনা করার প্রয়োজন শুধু ভার্চুয়াল হোস্টের বাইরে চলে যায়; VM এবং ভৌত হোস্ট ফায়ারওয়াল উভয়ই উপাদানগুলির দ্বারা একে অপরের সাথে যোগাযোগের জন্য প্রয়োজনীয় পোর্টগুলির জন্য ট্র্যাফিকের অনুমতি দিতে হবে।
পোর্ট ডায়াগ্রাম
নিম্নলিখিত চিত্রগুলি একটি একক ডেটা সেন্টার এবং একাধিক ডেটা সেন্টার কনফিগারেশন উভয়ের জন্য পোর্টের প্রয়োজনীয়তা দেখায়:
একক ডেটা সেন্টার
নিম্নলিখিত চিত্রটি একটি একক ডেটা সেন্টার কনফিগারেশনে প্রতিটি এজ উপাদানের জন্য পোর্টের প্রয়োজনীয়তা দেখায়:
এই ডায়াগ্রামে নোট:
- "M" দ্বারা উপসর্গযুক্ত পোর্টগুলি উপাদান পরিচালনা করতে ব্যবহৃত পোর্ট এবং ম্যানেজমেন্ট সার্ভার দ্বারা অ্যাক্সেসের জন্য উপাদানটিতে অবশ্যই খোলা থাকতে হবে।
- এজ UI-এর রাউটারে অ্যাক্সেস প্রয়োজন, API প্রক্সি দ্বারা উন্মুক্ত পোর্টগুলিতে, ট্রেস টুলে পাঠান বোতামটিকে সমর্থন করতে।
- JMX পোর্টগুলিতে অ্যাক্সেস একটি ব্যবহারকারীর নাম/পাসওয়ার্ডের প্রয়োজনের জন্য কনফিগার করা যেতে পারে। আরও তথ্যের জন্য কীভাবে মনিটর করবেন তা দেখুন।
- আপনি ঐচ্ছিকভাবে নির্দিষ্ট সংযোগের জন্য TLS/SSL অ্যাক্সেস কনফিগার করতে পারেন, যা বিভিন্ন পোর্ট ব্যবহার করতে পারে। আরও জানতে TLS/SSL দেখুন।
- আপনি একটি বহিরাগত SMTP সার্ভারের মাধ্যমে ইমেল পাঠাতে ম্যানেজমেন্ট সার্ভার এবং এজ UI কনফিগার করতে পারেন। যদি আপনি তা করেন তবে আপনাকে অবশ্যই নিশ্চিত করতে হবে যে ম্যানেজমেন্ট সার্ভার এবং UI SMTP সার্ভারে প্রয়োজনীয় পোর্ট অ্যাক্সেস করতে পারে (দেখানো হয়নি)। নন-টিএলএস এসএমটিপির জন্য, পোর্ট নম্বরটি সাধারণত 25 হয়। টিএলএস-সক্ষম SMTP-এর জন্য, এটি প্রায়শই 465 হয়, তবে আপনার SMTP প্রদানকারীর সাথে যোগাযোগ করুন।
একাধিক ডেটা সেন্টার
আপনি যদি দুটি ডেটা সেন্টারের সাথে 12-নোড ক্লাস্টারড কনফিগারেশন ইনস্টল করেন, তবে নিশ্চিত করুন যে দুটি ডেটা সেন্টারের নোডগুলি নীচে দেখানো পোর্টগুলির সাথে যোগাযোগ করতে পারে:
উল্লেখ্য যে:
- সমস্ত ম্যানেজমেন্ট সার্ভার অবশ্যই অন্যান্য সমস্ত ডেটা সেন্টারে সমস্ত ক্যাসান্দ্রা নোড অ্যাক্সেস করতে সক্ষম হবে।
- সমস্ত ডেটা সেন্টারের সমস্ত মেসেজ প্রসেসর অবশ্যই পোর্ট 4528 এর মাধ্যমে একে অপরকে অ্যাক্সেস করতে সক্ষম হবে।
- ম্যানেজমেন্ট সার্ভার অবশ্যই পোর্ট 8082 এর মাধ্যমে সমস্ত বার্তা প্রসেসর অ্যাক্সেস করতে সক্ষম হবে।
- সমস্ত ম্যানেজমেন্ট সার্ভার এবং সমস্ত Qpid নোড অবশ্যই অন্যান্য সমস্ত ডেটা সেন্টারে পোস্টগ্রেস অ্যাক্সেস করতে সক্ষম হবে।
- নিরাপত্তার কারণে , উপরে দেখানো পোর্টগুলি এবং আপনার নিজস্ব নেটওয়ার্ক প্রয়োজনীয়তাগুলির জন্য প্রয়োজনীয় অন্য কোনও পোর্ট ছাড়া, ডেটা সেন্টারগুলির মধ্যে অন্য কোনও পোর্ট খোলা থাকা উচিত নয়৷
ডিফল্টরূপে, উপাদানগুলির মধ্যে যোগাযোগ এনক্রিপ্ট করা হয় না। আপনি Apigee mTLS ইনস্টল করে এনক্রিপশন যোগ করতে পারেন। আরও তথ্যের জন্য, Apigee mTLS এর ভূমিকা দেখুন।
পোর্টের বিবরণ
নীচের সারণীটি এজ উপাদান দ্বারা ফায়ারওয়ালে যে পোর্টগুলি খুলতে হবে তা বর্ণনা করে:
কম্পোনেন্ট | বন্দর | বর্ণনা |
---|---|---|
স্ট্যান্ডার্ড HTTP পোর্ট | 80, 443 | HTTP এবং ভার্চুয়াল হোস্টের জন্য আপনি ব্যবহার করেন এমন অন্য কোনো পোর্ট |
Apigee SSO | 9099 | বহিরাগত IDP, ম্যানেজমেন্ট সার্ভার এবং প্রমাণীকরণের জন্য ব্রাউজার থেকে সংযোগ। |
ক্যাসান্ড্রা | 7000, 9042, 9160 | ক্যাসান্ড্রা নোডের মধ্যে যোগাযোগের জন্য এবং অন্যান্য এজ উপাদানগুলির অ্যাক্সেসের জন্য অ্যাপাচি ক্যাসান্দ্রা পোর্ট। |
7199 | JMX পোর্ট। ম্যানেজমেন্ট সার্ভার দ্বারা অ্যাক্সেসের জন্য উন্মুক্ত হতে হবে। | |
এলডিএপি | 10389 | ওপেনএলডিএপি |
ম্যানেজমেন্ট সার্ভার | 1099 | JMX পোর্ট |
4526 | বিতরণ করা ক্যাশে এবং পরিচালনা কলের জন্য পোর্ট। এই পোর্ট কনফিগারযোগ্য. | |
5636 | নগদীকরণ কমিট বিজ্ঞপ্তি জন্য পোর্ট. | |
8080 | এজ ম্যানেজমেন্ট এপিআই কলের জন্য পোর্ট। এই উপাদানগুলির জন্য ম্যানেজমেন্ট সার্ভারে পোর্ট 8080 অ্যাক্সেসের প্রয়োজন: রাউটার, মেসেজ প্রসেসর, UI, পোস্টগ্রেস, Apigee SSO (যদি সক্রিয় থাকে), এবং Qpid। | |
ব্যবস্থাপনা UI | 9000 | ম্যানেজমেন্ট UI এ ব্রাউজার অ্যাক্সেসের জন্য পোর্ট |
বার্তা প্রসেসর | 1101 | JMX পোর্ট |
4528 | মেসেজ প্রসেসরের মধ্যে বিতরণকৃত ক্যাশে এবং ম্যানেজমেন্ট কলের জন্য এবং রাউটার এবং ম্যানেজমেন্ট সার্ভার থেকে যোগাযোগের জন্য। একটি মেসেজ প্রসেসরকে অবশ্যই পোর্ট 4528 তার ব্যবস্থাপনা পোর্ট হিসাবে খুলতে হবে। আপনার যদি একাধিক মেসেজ প্রসেসর থাকে, তবে তারা অবশ্যই পোর্ট 4528 এর মাধ্যমে একে অপরকে অ্যাক্সেস করতে সক্ষম হবে (মেসেজ প্রসেসরে পোর্ট 4528 এর জন্য উপরের চিত্রে লুপ তীর দ্বারা নির্দেশিত)। আপনার একাধিক ডেটা সেন্টার থাকলে, পোর্টটি অবশ্যই সমস্ত ডেটা সেন্টারের সমস্ত মেসেজ প্রসেসর থেকে অ্যাক্সেসযোগ্য হতে হবে। | |
8082 | বার্তা প্রসেসরের জন্য ডিফল্ট ব্যবস্থাপনা পোর্ট এবং ম্যানেজমেন্ট সার্ভার দ্বারা অ্যাক্সেসের জন্য উপাদানটিতে অবশ্যই খোলা থাকতে হবে। আপনি যদি রাউটার এবং মেসেজ প্রসেসরের মধ্যে TLS/SSL কনফিগার করেন, যা রাউটার দ্বারা মেসেজ প্রসেসরে স্বাস্থ্য পরীক্ষা করতে ব্যবহৃত হয়। আপনি যখন রাউটার এবং মেসেজ প্রসেসরের মধ্যে TLS/SSL কনফিগার করেন তখন মেসেজ প্রসেসরে পোর্ট 8082 শুধুমাত্র রাউটার দ্বারা অ্যাক্সেসের জন্য খোলা থাকতে হবে। আপনি যদি রাউটার এবং মেসেজ প্রসেসরের মধ্যে TLS/SSL কনফিগার না করেন, ডিফল্ট কনফিগারেশন, পোর্ট 8082 এখনও মেসেজ প্রসেসরে কম্পোনেন্ট পরিচালনা করার জন্য খোলা থাকতে হবে, কিন্তু রাউটারের এটিতে অ্যাক্সেসের প্রয়োজন নেই। | |
8443 | যখন রাউটার এবং মেসেজ প্রসেসরের মধ্যে TLS সক্রিয় থাকে, তখন আপনাকে অবশ্যই রাউটার দ্বারা অ্যাক্সেসের জন্য মেসেজ প্রসেসরে পোর্ট 8443 খুলতে হবে। | |
৮৯৯৮ | রাউটার থেকে যোগাযোগের জন্য মেসেজ প্রসেসর পোর্ট | |
পোস্টগ্রেস | 22 | মাস্টার-স্ট্যান্ডবাই রেপ্লিকেশন ব্যবহার করার জন্য দুটি পোস্টগ্রেস নোড কনফিগার করলে, আপনাকে SSH অ্যাক্সেসের জন্য প্রতিটি নোডে পোর্ট 22 খুলতে হবে। |
1103 | JMX পোর্ট | |
4530 | বিতরণ করা ক্যাশে এবং পরিচালনা কলের জন্য | |
5432 | Qpid/Management Server থেকে Postgres-এ যোগাযোগের জন্য ব্যবহৃত হয় | |
8084 | Postgres সার্ভারে ডিফল্ট ব্যবস্থাপনা পোর্ট; ম্যানেজমেন্ট সার্ভার দ্বারা অ্যাক্সেসের জন্য উপাদানটিতে অবশ্যই খোলা থাকতে হবে। | |
Qpid | 1102 | JMX পোর্ট |
4529 | বিতরণ করা ক্যাশে এবং পরিচালনা কলের জন্য | |
5672 |
একই নোডে Qpid সার্ভার এবং ব্রোকার উপাদানগুলির মধ্যে যোগাযোগের জন্যও ব্যবহৃত হয়। একাধিক Qpid নোড সহ টপোলজিতে, সার্ভারটি অবশ্যই পোর্ট 5672-এ সমস্ত ব্রোকারের সাথে সংযোগ করতে সক্ষম হবে। | |
8083 | Qpid সার্ভারে ডিফল্ট ম্যানেজমেন্ট পোর্ট এবং ম্যানেজমেন্ট সার্ভার দ্বারা অ্যাক্সেসের জন্য উপাদানটিতে অবশ্যই খোলা থাকতে হবে। | |
রাউটার | 4527 | বিতরণ করা ক্যাশে এবং পরিচালনা কলের জন্য। একটি রাউটারকে তার ব্যবস্থাপনা পোর্ট হিসাবে পোর্ট 4527 খুলতে হবে। আপনার যদি একাধিক রাউটার থাকে, তবে তারা অবশ্যই পোর্ট 4527 এর মাধ্যমে একে অপরকে অ্যাক্সেস করতে সক্ষম হবে (রাউটারের পোর্ট 4527 এর জন্য উপরের চিত্রে লুপ তীর দ্বারা নির্দেশিত)। যদিও এটির প্রয়োজন নেই, আপনি যেকোনো বার্তা প্রসেসর দ্বারা অ্যাক্সেসের জন্য রাউটারে 4527 পোর্ট খুলতে পারেন। অন্যথায়, আপনি বার্তা প্রসেসর লগ ফাইলগুলিতে ত্রুটি বার্তা দেখতে পারেন। |
8081 | রাউটারের জন্য ডিফল্ট ম্যানেজমেন্ট পোর্ট এবং ম্যানেজমেন্ট সার্ভার দ্বারা অ্যাক্সেসের জন্য উপাদানটিতে অবশ্যই খোলা থাকতে হবে। | |
15999 | স্বাস্থ্য পরীক্ষা পোর্ট। রাউটার উপলব্ধ কিনা তা নির্ধারণ করতে একটি লোড ব্যালেন্সার এই পোর্ট ব্যবহার করে। রাউটারের স্থিতি পেতে, লোড ব্যালেন্সার রাউটারে 15999 পোর্ট করার অনুরোধ করে: curl -v http://routerIP:15999/v1/servers/self/reachable যদি রাউটার পৌঁছানো যায়, অনুরোধটি HTTP 200 প্রদান করে। | |
59001 | apigee-validate ইউটিলিটি দ্বারা এজ ইনস্টলেশন পরীক্ষা করার জন্য পোর্ট ব্যবহার করা হয়। এই ইউটিলিটির জন্য রাউটারে 59001 পোর্টে অ্যাক্সেস প্রয়োজন। পোর্ট 59001-এ আরও জানতে ইনস্টল পরীক্ষা করুন। | |
SmartDocs | 59002 | এজ রাউটারের পোর্ট যেখানে SmartDocs পৃষ্ঠার অনুরোধ পাঠানো হয়। |
চিড়িয়াখানার রক্ষক | 2181 | ম্যানেজমেন্ট সার্ভার, রাউটার, বার্তা প্রসেসর এবং তাই অন্যান্য উপাদান দ্বারা ব্যবহৃত |
2888, 3888 | ZooKeeper ক্লাস্টার (ZooKeeper ensemble নামে পরিচিত) যোগাযোগের জন্য ZooKeeper দ্বারা অভ্যন্তরীণভাবে ব্যবহৃত হয় |
পরবর্তী টেবিল একই পোর্ট দেখায়, উৎস এবং গন্তব্য উপাদান সহ সংখ্যাগতভাবে তালিকাভুক্ত:
পোর্ট নম্বর | উদ্দেশ্য | উৎস উপাদান | গন্তব্য উপাদান |
---|---|---|---|
virtual_host_port | ভার্চুয়াল হোস্ট API কল ট্র্যাফিকের জন্য HTTP প্লাস অন্য কোনো পোর্ট ব্যবহার করুন। পোর্ট 80 এবং 443 সবচেয়ে বেশি ব্যবহৃত হয়; বার্তা রাউটার TLS/SSL সংযোগ বন্ধ করতে পারে। | বাহ্যিক ক্লায়েন্ট (বা লোড ব্যালেন্সার) | বার্তা রাউটারে শ্রোতা |
1099 থেকে 1103 পর্যন্ত | জেএমএক্স ব্যবস্থাপনা | JMX ক্লায়েন্ট | ম্যানেজমেন্ট সার্ভার (1099) বার্তা প্রসেসর (1101) Qpid সার্ভার (1102) পোস্টগ্রেস সার্ভার (1103) |
2181 | চিড়িয়াখানার ক্লায়েন্ট যোগাযোগ | ম্যানেজমেন্ট সার্ভার রাউটার বার্তা প্রসেসর Qpid সার্ভার পোস্টগ্রেস সার্ভার | চিড়িয়াখানা |
2888 এবং 3888 | চিড়িয়াখানার ইন্টারনোড ব্যবস্থাপনা | চিড়িয়াখানা | চিড়িয়াখানা |
4526 | আরপিসি ম্যানেজমেন্ট পোর্ট | ম্যানেজমেন্ট সার্ভার | ম্যানেজমেন্ট সার্ভার |
4527 | বিতরণ করা ক্যাশে এবং ম্যানেজমেন্ট কলের জন্য এবং রাউটারের মধ্যে যোগাযোগের জন্য RPC ম্যানেজমেন্ট পোর্ট | ম্যানেজমেন্ট সার্ভার রাউটার | রাউটার |
4528 | বার্তা প্রসেসরের মধ্যে বিতরণকৃত ক্যাশে কলের জন্য এবং রাউটার থেকে যোগাযোগের জন্য | ম্যানেজমেন্ট সার্ভার রাউটার বার্তা প্রসেসর | বার্তা প্রসেসর |
4529 | বিতরণকৃত ক্যাশে এবং ম্যানেজমেন্ট কলের জন্য RPC ম্যানেজমেন্ট পোর্ট | ম্যানেজমেন্ট সার্ভার | Qpid সার্ভার |
4530 | বিতরণকৃত ক্যাশে এবং ম্যানেজমেন্ট কলের জন্য RPC ম্যানেজমেন্ট পোর্ট | ম্যানেজমেন্ট সার্ভার | পোস্টগ্রেস সার্ভার |
5432 | পোস্টগ্রেস ক্লায়েন্ট | Qpid সার্ভার | পোস্টগ্রেস |
5636 | নগদীকরণ | বাহ্যিক JMS উপাদান | ম্যানেজমেন্ট সার্ভার |
5672 |
একই নোডে Qpid সার্ভার এবং ব্রোকার উপাদানগুলির মধ্যে যোগাযোগের জন্যও ব্যবহৃত হয়। একাধিক Qpid নোড সহ টপোলজিতে, সার্ভারটি অবশ্যই পোর্ট 5672-এ সমস্ত ব্রোকারের সাথে সংযোগ করতে সক্ষম হবে। | Qpid সার্ভার | Qpid সার্ভার |
7000 | ক্যাসান্দ্রা ইন্টার-নোড যোগাযোগ | ক্যাসান্ড্রা | অন্যান্য ক্যাসান্দ্রা নোড |
7199 | জেএমএক্স ব্যবস্থাপনা। ম্যানেজমেন্ট সার্ভার দ্বারা ক্যাসান্দ্রা নোডে অ্যাক্সেসের জন্য অবশ্যই খোলা থাকতে হবে। | JMX ক্লায়েন্ট | ক্যাসান্ড্রা |
8080 | ব্যবস্থাপনা API পোর্ট | ব্যবস্থাপনা API ক্লায়েন্ট | ম্যানেজমেন্ট সার্ভার |
8081 থেকে 8084 পর্যন্ত | কম্পোনেন্ট API পোর্ট, সরাসরি পৃথক উপাদানগুলিতে API অনুরোধ জারি করার জন্য ব্যবহৃত হয়। প্রতিটি উপাদান একটি ভিন্ন পোর্ট খোলে; ব্যবহৃত সঠিক পোর্টটি কনফিগারেশনের উপর নির্ভর করে তবে ম্যানেজমেন্ট সার্ভার দ্বারা অ্যাক্সেসের জন্য উপাদানটিতে অবশ্যই খোলা থাকতে হবে | ব্যবস্থাপনা API ক্লায়েন্ট | রাউটার (8081) বার্তা প্রসেসর (8082) Qpid সার্ভার (8083) পোস্টগ্রেস সার্ভার (8084) |
8443 | TLS সক্রিয় থাকা অবস্থায় রাউটার এবং মেসেজ প্রসেসরের মধ্যে যোগাযোগ | রাউটার | বার্তা প্রসেসর |
৮৯৯৮ | রাউটার এবং মেসেজ প্রসেসরের মধ্যে যোগাযোগ | রাউটার | বার্তা প্রসেসর |
9000 | ডিফল্ট এজ ম্যানেজমেন্ট UI পোর্ট | ব্রাউজার | ম্যানেজমেন্ট UI সার্ভার |
9042 | CQL নেটিভ ট্রান্সপোর্ট | রাউটার বার্তা প্রসেসর ম্যানেজমেন্ট সার্ভার | ক্যাসান্ড্রা |
9099 | বহিরাগত IDP প্রমাণীকরণ | IDP, ব্রাউজার এবং ম্যানেজমেন্ট সার্ভার | Apigee SSO |
9160 | ক্যাসান্ড্রা থ্রিফ্ট ক্লায়েন্ট | রাউটার বার্তা প্রসেসর ম্যানেজমেন্ট সার্ভার | ক্যাসান্ড্রা |
10389 | LDAP পোর্ট | ম্যানেজমেন্ট সার্ভার | ওপেনএলডিএপি |
15999 | স্বাস্থ্য পরীক্ষা পোর্ট। রাউটার উপলব্ধ কিনা তা নির্ধারণ করতে একটি লোড ব্যালেন্সার এই পোর্ট ব্যবহার করে। | লোড ব্যালেন্সার | রাউটার |
59001 | এজ ইনস্টলেশন পরীক্ষা করার জন্য apigee-validate ইউটিলিটি দ্বারা ব্যবহৃত পোর্ট | apigee- বৈধতা | রাউটার |
59002 | রাউটার পোর্ট যেখানে SmartDocs পৃষ্ঠার অনুরোধ পাঠানো হয় | SmartDocs | রাউটার |
একটি বার্তা প্রসেসর ক্যাসান্দ্রার জন্য একটি উত্সর্গীকৃত সংযোগ পুল খোলা রাখে, যা কখনই সময় শেষ না হওয়ার জন্য কনফিগার করা হয়। যখন একটি ফায়ারওয়াল একটি মেসেজ প্রসেসর এবং ক্যাসান্ড্রা সার্ভারের মধ্যে থাকে, তখন ফায়ারওয়াল সংযোগের সময় শেষ করতে পারে। যাইহোক, মেসেজ প্রসেসর ক্যাসান্দ্রার সাথে সংযোগ পুনঃস্থাপন করার জন্য ডিজাইন করা হয়নি।
এই পরিস্থিতি প্রতিরোধ করার জন্য, Apigee সুপারিশ করে যে ক্যাসান্ড্রা সার্ভার, বার্তা প্রসেসর এবং রাউটারগুলি একই সাবনেটে থাকে যাতে এই উপাদানগুলির স্থাপনার সাথে একটি ফায়ারওয়াল জড়িত না হয়।
যদি একটি ফায়ারওয়াল রাউটার এবং মেসেজ প্রসেসরের মধ্যে থাকে, এবং একটি নিষ্ক্রিয় TCP টাইমআউট সেট থাকে, আমাদের সুপারিশগুলি হল নিম্নলিখিতগুলি করা:
- Linux OS-এ sysctl সেটিংসে
net.ipv4.tcp_keepalive_time = 1800
সেট করুন, যেখানে 1800 ফায়ারওয়াল নিষ্ক্রিয় tcp টাইমআউটের চেয়ে কম হওয়া উচিত। এই সেটিংটি একটি প্রতিষ্ঠিত অবস্থায় সংযোগ রাখা উচিত যাতে ফায়ারওয়াল সংযোগটি বিচ্ছিন্ন না করে। - সমস্ত মেসেজ প্রসেসরে, নিম্নলিখিত বৈশিষ্ট্য যোগ করতে
/opt/apigee/customer/application/message-processor.properties
সম্পাদনা করুন। যদি ফাইলটি বিদ্যমান না থাকে তবে এটি তৈরি করুন।conf_system_cassandra.maxconnecttimeinmillis=-1
- বার্তা প্রসেসর পুনরায় চালু করুন:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- সমস্ত রাউটারে, নিম্নলিখিত বৈশিষ্ট্য যোগ করতে
/opt/apigee/customer/application/router.properties
সম্পাদনা করুন। যদি ফাইলটি বিদ্যমান না থাকে তবে এটি তৈরি করুন।conf_system_cassandra.maxconnecttimeinmillis=-1
- রাউটার পুনরায় চালু করুন:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart