Die Notwendigkeit, die Firewall zu verwalten, geht über die virtuellen Hosts hinaus. Sowohl VM- als auch physische Host-Firewalls müssen Traffic für die Ports zulassen, die von den Komponenten zur Kommunikation untereinander benötigt werden.
Portdiagramme
Die folgenden Abbildungen zeigen die Portanforderungen für die Konfiguration eines einzelnen Rechenzentrums und mehrerer Rechenzentren:
Einzelnes Rechenzentrum
Die folgende Abbildung zeigt die Portanforderungen für jede Edge-Komponente in einer Konfiguration mit einem einzelnen Rechenzentrum:
Hinweise zu diesem Diagramm:
- Die Ports mit dem Präfix „M“ sind Ports, die zur Verwaltung der Komponente verwendet werden und müssen in der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein.
- Die Edge-Benutzeroberfläche benötigt Zugriff auf den Router auf den von API-Proxys freigegebenen Ports, um die Schaltfläche Senden im Trace-Tool zu unterstützen.
- Der Zugriff auf JMX-Ports kann so konfiguriert werden, dass ein Nutzername und ein Passwort erforderlich sind. Weitere Informationen finden Sie unter Monitoring.
- Sie können optional den TLS/SSL-Zugriff für bestimmte Verbindungen konfigurieren, die unterschiedliche Ports verwenden können. Weitere Informationen finden Sie unter TLS/SSL.
- Sie können den Management Server und die Edge-UI so konfigurieren, dass E-Mails über einen externen SMTP-Server gesendet werden. Achten Sie dabei darauf, dass der Verwaltungsserver und die UI auf den erforderlichen Port des SMTP-Servers zugreifen können (nicht abgebildet). Für Nicht-TLS-SMTP lautet die Portnummer normalerweise 25. Bei TLS-fähigem SMTP ist dies oft 465. Wenden Sie sich an Ihren SMTP-Anbieter.
Mehrere Rechenzentren
Wenn Sie die geclusterte Konfiguration mit 12 Knoten mit zwei Rechenzentren installieren, müssen die Knoten in den beiden Rechenzentren über die unten dargestellten Ports kommunizieren können:
Hinweis:
- Alle Verwaltungsserver müssen auf alle Cassandra-Knoten in allen anderen Rechenzentren zugreifen können.
- Alle Nachrichtenprozessoren in allen Rechenzentren müssen über Port 4528 aufeinander zugreifen können.
- Der Verwaltungsserver muss über Port 8082 auf alle Nachrichtenprozessoren zugreifen können.
- Alle Verwaltungsserver und alle Qpid-Knoten müssen auf Postgres in allen anderen Rechenzentren zugreifen können.
- Aus Sicherheitsgründen dürfen keine anderen Ports zwischen Rechenzentren geöffnet sein. Hiervon ausgenommen sind die oben gezeigten und alle anderen Ports, die für Ihre Netzwerkanforderungen erforderlich sind.
Standardmäßig ist die Kommunikation zwischen den Komponenten nicht verschlüsselt. Sie können die Verschlüsselung hinzufügen, indem Sie Apigee mTLS installieren. Weitere Informationen finden Sie unter Einführung in Apigee mTLS.
Details zur Rufnummernmitnahme
In der folgenden Tabelle werden die Ports beschrieben, die in Firewalls von der Edge-Komponente geöffnet werden müssen:
Komponente | Port | Beschreibung |
---|---|---|
Standard-HTTP-Ports | 80.443 | HTTP sowie alle anderen Ports, die Sie für virtuelle Hosts verwenden |
Apigee-SSO | 9.099 | Verbindungen von externen IdPs, dem Verwaltungsserver und Browsern für die Authentifizierung. |
Cassandra | 7.000, 9.042, 9.160 | Apache Cassandra-Ports für die Kommunikation zwischen Cassandra-Knoten und für den Zugriff durch andere Edge-Komponenten. |
7.199 | JMX-Port. Muss für den Verwaltungsserver für den Zugriff geöffnet sein. | |
LDAP | 10.389 | OpenLDAP |
Verwaltungsserver | 1.099 | JMX-Port |
4.526 | Port für verteilte Cache- und Verwaltungsaufrufe. Dieser Port ist konfigurierbar. | |
5.636 | Port für Benachrichtigungen zur Commit-Monetarisierung. | |
8.080 | Port für Edge-Management-API-Aufrufe. Diese Komponenten benötigen Zugriff auf Port 8080 auf dem Management Server: Router, Message Processor, UI, Postgres, Apigee SSO (falls aktiviert) und Qpid. | |
Verwaltungs-UI | 9.000 | Port für den Browserzugriff auf die Verwaltungsoberfläche |
Message Processor | 1.101 | JMX-Port |
4.528 | Für verteilten Cache und Verwaltungsaufrufe zwischen Nachrichtenprozessoren und für die Kommunikation vom Router und vom Verwaltungsserver.
Ein Message Processor muss Port 4528 als Verwaltungsport öffnen. Wenn Sie mehrere Message Processor haben, müssen alle über Port 4528 aufeinander zugreifen können (wird in der obigen Abbildung durch den Schleifenpfeil für Port 4528 auf dem Message Processor angegeben). Wenn Sie mehrere Rechenzentren haben, muss der Port von allen Message Processorn in allen Rechenzentren zugänglich sein. |
|
8.082 |
Standardverwaltungsport für den Message Processor. Er muss für den Zugriff durch den Verwaltungsserver in der Komponente geöffnet sein. Wenn Sie TLS/SSL zwischen dem Router und dem Message Processor konfigurieren, das vom Router für Systemdiagnosen des Message Processor verwendet wird. Port 8082 auf dem Message Processor muss nur für den Zugriff durch den Router offen sein, wenn Sie TLS/SSL zwischen dem Router und dem Message Processor konfigurieren. Wenn Sie TLS/SSL nicht zwischen dem Router und dem Message Processor konfigurieren, muss Port 8082 zur Verwaltung der Komponente weiterhin auf dem Message Processor als Standardkonfiguration geöffnet sein, der Router benötigt jedoch keinen Zugriff darauf. |
|
8.443 | Wenn TLS zwischen dem Router und dem Message Processor aktiviert ist, müssen Sie Port 8443 auf dem Message Processor für den Zugriff durch den Router öffnen. | |
8.998 | Port des Message Processor für die Kommunikation vom Router | |
Postgres | 22 | Wenn Sie zwei Postgres-Knoten für die Verwendung der Master-Standby-Replikation konfigurieren, müssen Sie Port 22 auf jedem Knoten für den SSH-Zugriff öffnen. |
1.103 | JMX-Port | |
4.530 | Für verteilten Cache und Verwaltungsaufrufe | |
5.432 | Wird für die Kommunikation vom Qpid/Management Server zu Postgres verwendet | |
8084 | Standardverwaltungsport auf dem Postgres-Server; muss für den Zugriff durch den Verwaltungsserver in der Komponente geöffnet sein. | |
QPID | 1.102 | JMX-Port |
4.529 | Für verteilten Cache und Verwaltungsaufrufe | |
5.672 |
Wird auch für die Kommunikation zwischen dem Qpid-Server und Broker-Komponenten auf demselben Knoten verwendet. In Topologien mit mehreren Qpid-Knoten muss der Server eine Verbindung zu allen Brokern über Port 5672 herstellen können. |
|
8083 | Standardverwaltungsport auf dem Qpid-Server. Er muss für den Zugriff durch den Verwaltungsserver in der Komponente geöffnet sein. | |
Router | 4.527 | Für verteilten Cache und Verwaltungsaufrufe.
Ein Router muss Port 4527 als Verwaltungsport öffnen. Wenn Sie mehrere Router haben, müssen alle über Port 4527 aufeinander zugreifen können. In der obigen Abbildung ist dies durch den Schleifenpfeil für Port 4527 auf dem Router gekennzeichnet. Sie können Port 4527 auf dem Router für den Zugriff durch jeden Message Processor öffnen, obwohl dies nicht erforderlich ist. Andernfalls sehen Sie möglicherweise Fehlermeldungen in den Protokolldateien des Message Processor. |
8081 | Standardverwaltungsport für den Router. Er muss für den Zugriff durch den Verwaltungsserver in der Komponente geöffnet sein. | |
15.999 |
Port für Systemdiagnose. Ein Load-Balancer verwendet diesen Port, um festzustellen, ob der Router verfügbar ist. Um den Status eines Routers abzurufen, sendet der Load-Balancer eine Anfrage an Port 15999 des Routers: curl -v http://routerIP:15999/v1/servers/self/reachable Wenn der Router erreichbar ist, gibt die Anfrage HTTP 200 zurück. |
|
59.001 | Port zum Testen der Edge-Installation durch das Dienstprogramm apigee-validate .
Dieses Dienstprogramm benötigt Zugriff auf Port 59001 auf dem Router. Weitere Informationen zu Port 59001 finden Sie unter Installation testen. |
|
SmartDocs | 59.002 | Der Port im Edge-Router, an den SmartDocs-Seitenanfragen gesendet werden. |
ZooKeeper | 2.181 | Wird von anderen Komponenten wie Verwaltungsserver, Router, Nachrichtenprozessor usw. verwendet |
2.888, 3.888 | Wird intern von ZooKeeper für die ZooKeeper-Clusterkommunikation (bekannt als ZooKeeper-Ensemble) verwendet |
Die nächste Tabelle enthält dieselben Ports, numerisch aufgelistet mit den Quell- und Zielkomponenten:
Portnummer | Zweck | Quellkomponente | Zielkomponente |
---|---|---|---|
virtual_host_port | HTTP sowie alle anderen Ports, die Sie für den Aufruftraffic der virtuellen Host-API verwenden. Die Ports 80 und 443 werden am häufigsten verwendet. Der Message Router kann TLS/SSL-Verbindungen beenden. | Externer Client (oder Load-Balancer) | Listener auf Message Router |
1099 bis 1103 | JMX-Verwaltung | JMX-Client | Management Server (1099) Message Processor (1101) Qpid Server (1102) Postgres Server (1103) |
2181 | Zookeeper-Clientkommunikation | Management Server Router Message Processor Qpid-Server Postgres-Server |
Zookeeper |
2.888 und 3.888 | Internode-Verwaltung für Zookeeper | Zookeeper | Zookeeper |
4526 | RPC-Verwaltungsport | Verwaltungsserver | Verwaltungsserver |
4527 | RPC-Verwaltungsport für verteilte Cache- und Verwaltungsaufrufe sowie für die Kommunikation zwischen Routern | Verwaltungsserver- Router |
Router |
4528 | Für verteilte Cache-Aufrufe zwischen Nachrichtenprozessoren und für die Kommunikation vom Router | Management Server Router Message Processor |
Message Processor |
4529 | RPC-Verwaltungsport für verteilten Cache und Verwaltungsaufrufe | Verwaltungsserver | Qpid-Server |
4530 | RPC-Verwaltungsport für verteilten Cache und Verwaltungsaufrufe | Verwaltungsserver | Postgres-Server |
5432 | Postgres-Client | Qpid-Server | Postgres |
5636 | Monetarisierung | Externe JMS-Komponente | Verwaltungsserver |
5672 |
Wird auch für die Kommunikation zwischen dem Qpid-Server und Broker-Komponenten auf demselben Knoten verwendet. In Topologien mit mehreren Qpid-Knoten muss der Server eine Verbindung zu allen Brokern über Port 5672 herstellen können. |
Qpid-Server | Qpid-Server |
7000 | Knotenübergreifende Cassandra-Kommunikation | Cassandra | Anderer Cassandra-Knoten |
7199 | JMX-Verwaltung. Muss vom Verwaltungsserver für den Zugriff auf dem Cassandra-Knoten geöffnet sein. | JMX-Client | Cassandra |
8080 | Verwaltungs-API-Port | Management API-Clients | Verwaltungsserver |
8081 bis 8084 |
Component API-Ports, mit denen API-Anfragen direkt an einzelne Komponenten gesendet werden Jede Komponente öffnet einen anderen Port. Der genaue Port, der verwendet wird, hängt von der Konfiguration ab, muss aber auf der Komponente für den Zugriff durch den Verwaltungsserver offen sein |
Management API-Clients | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
8443 | Kommunikation zwischen Router und Message Processor, wenn TLS aktiviert ist | Router | Message Processor |
8998 | Kommunikation zwischen Router und Message Processor | Router | Message Processor |
9000 | Standardmäßiger Port der Edge-Management-Benutzeroberfläche | Browser | Management-UI-Server |
9042 | Nativer CQL-Transport | Router Message Processor Management Server |
Cassandra |
9099 | Externe IdP-Authentifizierung | IdP, Browser und Verwaltungsserver | Apigee-SSO |
9160 | Cassandra-Secondhand-Client | Router Message Processor Management Server |
Cassandra |
10389 | LDAP-Port | Verwaltungsserver | OpenLDAP |
15999 | Port für Systemdiagnose. Ein Load-Balancer verwendet diesen Port, um festzustellen, ob der Router verfügbar ist. | Load-Balancer | Router |
59001 | Port, der vom Dienstprogramm apigee-validate zum Testen der Edge-Installation verwendet wird |
apigee-validate | Router |
59002 | Routerport, an den SmartDocs-Seitenanfragen gesendet werden | SmartDocs | Router |
Ein Message Processor hält einen dedizierten Verbindungspool für Cassandra offen, die so konfiguriert ist, dass keine Zeitüberschreitung auftritt. Wenn sich eine Firewall zwischen einem Message Processor und einem Cassandra-Server befindet, kann es zu einer Zeitüberschreitung bei der Verbindung kommen. Der Message Processor ist jedoch nicht dafür ausgelegt, Verbindungen zu Cassandra wiederherzustellen.
Um diese Situation zu verhindern, empfiehlt Apigee, dass sich der Cassandra-Server, der Message Processor und die Router im selben Subnetz befinden, damit keine Firewall an der Bereitstellung dieser Komponenten beteiligt ist.
Wenn sich eine Firewall zwischen dem Router und den Message Processorn befindet und ein TCP-Zeitlimit bei Inaktivität festgelegt ist, empfehlen wir Folgendes:
- Legen Sie unter Linux in den sysctl-Einstellungen
net.ipv4.tcp_keepalive_time = 1800
fest, wobei 1.800 niedriger als das TCP-Zeitlimit bei Inaktivität der Firewall sein sollte. Mit dieser Einstellung sollte die Verbindung in einem bestehenden Zustand beibehalten werden, damit die Firewall sie nicht unterbricht. - Bearbeiten Sie
/opt/apigee/customer/application/message-processor.properties
auf allen Message Processorn, um die folgende Property hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.conf_system_cassandra.maxconnecttimeinmillis=-1
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Bearbeiten Sie
/opt/apigee/customer/application/router.properties
bei allen Routern und fügen Sie das folgende Attribut hinzu. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.conf_system_cassandra.maxconnecttimeinmillis=-1
- Starten Sie den Router neu:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart