फ़ायरवॉल को मैनेज करने की ज़रूरत सिर्फ़ वर्चुअल होस्ट तक सीमित नहीं होती है. वीएम और फ़िज़िकल होस्ट फ़ायरवॉल, उन पोर्ट के लिए ट्रैफ़िक की अनुमति देते हैं जो कॉम्पोनेंट के लिए ज़रूरी होते हैं, ताकि कॉम्पोनेंट एक-दूसरे से कनेक्ट किए जा सकें.
पोर्ट डायग्राम
नीचे दी गई इमेज में, एक डेटा सेंटर और एक से ज़्यादा डेटा सेंटर के कॉन्फ़िगरेशन, दोनों के लिए पोर्ट की ज़रूरी शर्तें दिखाई गई हैं:
सिंगल डेटा सेंटर
नीचे दी गई इमेज में दिखाया गया है कि एक ही डेटा सेंटर के कॉन्फ़िगरेशन में, हर Edge कॉम्पोनेंट के लिए पोर्ट करने की ज़रूरी शर्तें बताई गई हैं या नहीं:
इस डायग्राम पर दी गई जानकारी:
- "M" से शुरू होने वाले पोर्ट, कॉम्पोनेंट को मैनेज करने के लिए इस्तेमाल किए जाते हैं. साथ ही, इन्हें कॉम्पोनेंट पर खुला होना चाहिए, ताकि मैनेजमेंट सर्वर इन्हें ऐक्सेस कर सके.
- ट्रेस टूल में भेजें बटन की सुविधा काम कर सके, इसके लिए Edge यूज़र इंटरफ़ेस (यूआई) के लिए राऊटर का ऐक्सेस ज़रूरी है. यह ऐक्सेस उन पोर्ट पर होता है जो एपीआई प्रॉक्सी से सार्वजनिक किए गए हैं.
- JMX पोर्ट को ऐक्सेस करने के लिए, उपयोगकर्ता नाम/पासवर्ड की ज़रूरत के हिसाब से उसे कॉन्फ़िगर किया जा सकता है. ज़्यादा जानकारी के लिए, निगरानी करने का तरीका देखें.
- वैकल्पिक रूप से, कुछ कनेक्शन के लिए TLS/एसएसएल के ऐक्सेस को कॉन्फ़िगर किया जा सकता है. इनमें अलग-अलग पोर्ट का इस्तेमाल किया जा सकता है. ज़्यादा जानकारी के लिए, TLS/एसएसएल देखें.
- किसी बाहरी एसएमटीपी सर्वर से ईमेल भेजने के लिए, मैनेजमेंट सर्वर और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर किया जा सकता है. अगर ऐसा किया जाता है, तो आपको यह पक्का करना होगा कि मैनेजमेंट सर्वर और यूज़र इंटरफ़ेस (यूआई), एसएमटीपी सर्वर पर ज़रूरी पोर्ट को ऐक्सेस कर सकते हों (यह जानकारी नहीं दिखाई जाती). बिना TLS वाले एसएमटीपी के लिए, पोर्ट नंबर आम तौर पर 25 होता है. TLS की सुविधा वाले एसएमटीपी के लिए, यह अक्सर 465 कोड होती है. हालांकि, एसएमटीपी की सेवा देने वाली कंपनी से संपर्क करें.
एक से ज़्यादा डेटा सेंटर
अगर आपने दो डेटा सेंटर के साथ क्लस्टर किए गए 12-नोड कॉन्फ़िगरेशन को इंस्टॉल किया है, तो पक्का करें कि दोनों डेटा सेंटर के नोड, नीचे दिए गए पोर्ट पर कम्यूनिकेट कर सकें:
ध्यान दें:
- यह ज़रूरी है कि सभी मैनेजमेंट सर्वर, दूसरे सभी डेटा सेंटर में सभी कैसांड्रा नोड ऐक्सेस कर सकें.
- सभी डेटा सेंटर के सभी मैसेज प्रोसेसर के पास, पोर्ट 4528 की मदद से एक-दूसरे को ऐक्सेस करने की सुविधा होनी चाहिए.
- मैनेजमेंट सर्वर, पोर्ट 8082 से ज़्यादा मैसेज प्रोसेसर को ऐक्सेस कर सकता हो.
- यह ज़रूरी है कि सभी मैनेजमेंट सर्वर और सभी Qpid नोड दूसरे सभी डेटा सेंटर में Postgres को ऐक्सेस कर पाएं.
- सुरक्षा वजहों से, ऊपर दिखाए गए पोर्ट और आपके अपने नेटवर्क की ज़रूरी शर्तों के मुताबिक दूसरे पोर्ट के लिए, डेटा सेंटर के बीच कोई भी दूसरा पोर्ट नहीं खोला जाना चाहिए.
डिफ़ॉल्ट रूप से, कॉम्पोनेंट के बीच हुई बातचीत को एन्क्रिप्ट (सुरक्षित) नहीं किया जाता है. Apigee mTLS इंस्टॉल करके, एन्क्रिप्ट (सुरक्षित) करने की सुविधा जोड़ी जा सकती है. ज़्यादा जानकारी के लिए, Apigee mTLS के बारे में जानकारी देखें.
पोर्ट की जानकारी
नीचे दी गई टेबल में उन पोर्ट के बारे में बताया गया है जिन्हें एज कॉम्पोनेंट के ज़रिए फ़ायरवॉल में खोला जाना चाहिए:
| कॉम्पोनेंट | पोर्ट | ब्यौरा |
|---|---|---|
| स्टैंडर्ड एचटीटीपी पोर्ट | 80, 443 | एचटीटीपी और अन्य पोर्ट, जिनका इस्तेमाल आप वर्चुअल होस्ट के लिए करते हैं |
| Apigee एसएसओ (SSO) | 9099 | पुष्टि करने के लिए बाहरी आईडीपी, मैनेजमेंट सर्वर, और ब्राउज़र से कनेक्शन. |
| कसांद्रा | 7,000, 9042, 9,160 | Cassandra नोड के बीच कम्यूनिकेशन करने और Edge के दूसरे कॉम्पोनेंट से ऐक्सेस करने के लिए, Apache Cassandra पोर्ट का इस्तेमाल किया जाएगा. |
| 7,199 | JMX पोर्ट. यह ज़रूरी है कि मैनेजमेंट सर्वर ऐक्सेस कर सके. | |
| LDAP | 10389 | OpenLDAP |
| मैनेजमेंट सर्वर | 1,099 | JMX पोर्ट |
| 4526 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए पोर्ट करना. इस पोर्ट को कॉन्फ़िगर किया जा सकता है. | |
| 5636 | कमाई करने से जुड़ी सूचनाओं के लिए पोर्ट करना. | |
| 8080 | Edge मैनेजमेंट एपीआई कॉल के लिए पोर्ट करें. इन कॉम्पोनेंट को मैनेजमेंट सर्वर पर पोर्ट 8080 के ऐक्सेस की ज़रूरत होती है: राऊटर, मैसेज प्रोसेसर, यूज़र इंटरफ़ेस (यूआई), Postgres, Apigee एसएसओ (SSO), और Qpid. | |
| मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) | 9,000 | मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) तक ब्राउज़र ऐक्सेस के लिए पोर्ट करें |
| मैसेज प्रोसेसर | 1101 | JMX पोर्ट |
| 4528 | Message प्रोसेसर के बीच डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए और राऊटर और मैनेजमेंट सर्वर से संपर्क करने के लिए.
मैसेज प्रोसेसर को पोर्ट 4528 को अपने मैनेजमेंट पोर्ट के तौर पर खोलना होगा. अगर आपके पास एक से ज़्यादा मैसेज प्रोसेसर हैं, तो यह ज़रूरी है कि वे सभी एक-दूसरे को पोर्ट 4528 पर ऐक्सेस कर सकें. इसे मैसेज प्रोसेसर पर पोर्ट 4528 के लिए ऊपर दिए गए डायग्राम में लूप ऐरो से दिखाया गया है. अगर आपके पास एक से ज़्यादा डेटा सेंटर हैं, तो यह ज़रूरी है कि पोर्ट को सभी डेटा सेंटर में मौजूद मैसेज प्रोसेसर से ऐक्सेस किया जा सके. |
|
| 8082 |
मैसेज प्रोसेसर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट. इसे कॉम्पोनेंट पर खुला होना चाहिए, ताकि मैनेजमेंट सर्वर इसे ऐक्सेस कर सके. अगर राऊटर और मैसेज प्रोसेसर के बीच TLS/एसएसएल को कॉन्फ़िगर किया जाता है, तो मैसेज प्रोसेसर की जांच करने के लिए राऊटर इसका इस्तेमाल करता है. जब आप राऊटर और मैसेज प्रोसेसर के बीच TLS/एसएसएल कॉन्फ़िगर करते हैं, तब मैसेज प्रोसेसर के पोर्ट 8082 को सिर्फ़ राऊटर के ऐक्सेस के लिए खोलना चाहिए. अगर आप राऊटर और मैसेज प्रोसेसर के बीच TLS/एसएसएल कॉन्फ़िगर नहीं करते, तो भी कॉम्पोनेंट को मैनेज करने के लिए मैसेज प्रोसेसर पर डिफ़ॉल्ट कॉन्फ़िगरेशन, पोर्ट 8082, खुला रहना चाहिए. हालांकि, राऊटर को इसके ऐक्सेस की ज़रूरत नहीं होती. |
|
| 8443 | जब राऊटर और मैसेज प्रोसेसर के बीच TLS चालू होता है, तो आपको मैसेज प्रोसेसर पर पोर्ट 8443 खोलना होगा, ताकि इसे राऊटर ऐक्सेस कर सके. | |
| 8,998 | राऊटर से संपर्क करने के लिए मैसेज प्रोसेसर पोर्ट | |
| पोस्टग्रेस | 22 | अगर मास्टर-स्टैंडबाय प्रतिरूप का इस्तेमाल करने के लिए दो Postgres नोड कॉन्फ़िगर करते हैं, तो आपको एसएसएच ऐक्सेस के लिए हर नोड पर पोर्ट 22 को खोलना होगा. |
| 1103 | JMX पोर्ट | |
| 4530 | डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट कॉल के लिए | |
| 5432 | Qpid/Management Server से Postgres तक कम्यूनिकेशन के लिए इस्तेमाल किया जाता है | |
| 8084 | Postgres सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट; इसे कॉम्पोनेंट पर खुला होना चाहिए, ताकि मैनेजमेंट सर्वर इसे ऐक्सेस कर सके. | |
| क्यूपीआईडी | 1102 | JMX पोर्ट |
| 4529 | डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट कॉल के लिए | |
| 5672 |
इसका इस्तेमाल एक ही नोड में, Qpid सर्वर और ब्रोकर कॉम्पोनेंट के बीच कम्यूनिकेशन के लिए भी किया जाता है. एक से ज़्यादा Qpid नोड वाली टोपोलॉजी में, सर्वर के लिए यह ज़रूरी है कि वह पोर्ट 5672 पर मौजूद सभी ब्रोकर से कनेक्ट कर सके. |
|
| 8083 | Qpid सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट. इसे कॉम्पोनेंट पर खुला होना चाहिए, ताकि मैनेजमेंट सर्वर इन्हें ऐक्सेस कर सके. | |
| राऊटर | 4527 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए.
राऊटर को पोर्ट 4527 को अपने मैनेजमेंट पोर्ट के तौर पर खोलना होगा. अगर आपके पास एक से ज़्यादा राऊटर हैं, तो यह ज़रूरी है कि वे सभी, पोर्ट 4527 पर एक-दूसरे को ऐक्सेस कर सकें. इसे राऊटर पर पोर्ट 4527 के लिए ऊपर दिए गए डायग्राम में लूप ऐरो से दिखाया गया है. हालांकि, यह ज़रूरी नहीं है, लेकिन किसी भी मैसेज प्रोसेसर से ऐक्सेस करने के लिए, राऊटर पर पोर्ट 4527 को खोला जा सकता है. ऐसा न होने पर, आपको मैसेज प्रोसेसर की लॉग फ़ाइलों में गड़बड़ी के मैसेज दिख सकते हैं. |
| 8081 | राऊटर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट और उसे कॉम्पोनेंट पर खुला होना चाहिए, ताकि मैनेजमेंट सर्वर इसे ऐक्सेस कर सके. | |
| 15,999 |
स्वास्थ्य जांच पोर्ट. लोड बैलेंसर, इस पोर्ट का इस्तेमाल यह पता करने के लिए करता है कि राऊटर उपलब्ध है या नहीं. लोड बैलेंसर, राऊटर की स्थिति जानने के लिए, पोर्ट 15999 को राऊटर पर अनुरोध करता है: curl -v http://routerIP:15999/v1/servers/self/reachable अगर राऊटर ऐक्सेस किया जा सकता है, तो अनुरोध एचटीटीपी 200 दिखाता है. |
|
| 59,001 | apigee-validate यूटिलिटी की मदद से Edge इंस्टॉलेशन की जांच करने के लिए इस्तेमाल किया गया पोर्ट.
इस सुविधा को राऊटर पर पोर्ट 59001 का ऐक्सेस चाहिए. पोर्ट 59001 पर ज़्यादा जानकारी के लिए,
इंस्टॉल की जांच करें देखें. |
|
| SmartDocs | 59,002 | Edge राऊटर पर वह पोर्ट जहां SmartDocs की मदद से पेज ऐक्सेस करने के अनुरोध भेजे जाते हैं. |
| ZooKeeper | 2181 | इसका इस्तेमाल मैनेजमेंट सर्वर, राऊटर, मैसेज प्रोसेसर वगैरह जैसे दूसरे कॉम्पोनेंट में किया जाता है |
| 2888, 3888 | ज़ूकीपर क्लस्टर (जिसे ज़ूकेपर ग्रुप के नाम से जाना जाता है) के लिए, ज़ूकीपर अंदरूनी तौर पर इसे इस्तेमाल करता है कम्यूनिकेशन |
अगली टेबल में, सोर्स और डेस्टिनेशन के कॉम्पोनेंट के हिसाब से पोर्ट को संख्या के हिसाब से दिखाया जाता है:
| पोर्ट नंबर | मकसद | सोर्स कॉम्पोनेंट | डेस्टिनेशन कॉम्पोनेंट |
|---|---|---|---|
| virtual_host_port | एचटीटीपी और ऐसे अन्य पोर्ट जिनका इस्तेमाल वर्चुअल होस्ट एपीआई कॉल ट्रैफ़िक के लिए किया जाता है. आम तौर पर, पोर्ट 80 और 443 का इस्तेमाल किया जाता है. मैसेज राऊटर, TLS/एसएसएल कनेक्शन को खत्म कर सकता है. | बाहरी क्लाइंट (या लोड बैलेंसर) | मैसेज राऊटर पर लिसनर |
| 1099 से 1103 तक | जेएमएक्स मैनेजमेंट | JMX क्लाइंट | मैनेजमेंट सर्वर (1099) मैसेज प्रोसेसर (1101) Qpid सर्वर (1102) Postgres Server (1103) |
| 2181 | ज़ूकीपर क्लाइंट से बातचीत | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर Qpid सर्वर Postgres सर्वर |
चिड़ियाघर का रखरखाव करने वाला जानवर |
| 2888 और 3888 | ज़ूकीपर इंटरनोड मैनेजमेंट | चिड़ियाघर का रखरखाव करने वाला जानवर | चिड़ियाघर का रखरखाव करने वाला जानवर |
| 4526 | RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | मैनेजमेंट सर्वर |
| 4527 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल और राऊटर के बीच बातचीत के लिए RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर रूटीन |
राऊटर |
| 4528 | Message प्रोसेसर के बीच डिस्ट्रिब्यूटेड कैश कॉल और राऊटर से संपर्क करने के लिए | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर |
मैसेज प्रोसेसर |
| 4529 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Qpid सर्वर |
| 4530 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Postgres सर्वर |
| 5432 | Postgres क्लाइंट | Qpid सर्वर | पोस्टग्रेस |
| 5636 | कमाई करना | बाहरी जेएमएस कॉम्पोनेंट | मैनेजमेंट सर्वर |
| 5672 |
इसका इस्तेमाल एक ही नोड में, Qpid सर्वर और ब्रोकर कॉम्पोनेंट के बीच कम्यूनिकेशन के लिए भी किया जाता है. एक से ज़्यादा Qpid नोड वाली टोपोलॉजी में, सर्वर के लिए यह ज़रूरी है कि वह पोर्ट 5672 पर मौजूद सभी ब्रोकर से कनेक्ट कर सके. |
Qpid सर्वर | Qpid सर्वर |
| 7000 | कैसेंड्रा इंटर-नोड कम्यूनिकेशन | कसांद्रा | अन्य कैसंड्रा नोड |
| 7199 | JMX मैनेजमेंट. यह ज़रूरी है कि मैनेजमेंट सर्वर से Cassandra नोड पर ऐक्सेस किया जा सके. | JMX क्लाइंट | कसांद्रा |
| 8080 | मैनेजमेंट एपीआई पोर्ट | मैनेजमेंट एपीआई क्लाइंट | मैनेजमेंट सर्वर |
| 8081 से 8084 |
कॉम्पोनेंट एपीआई पोर्ट, जिनका इस्तेमाल अलग-अलग कॉम्पोनेंट पर सीधे एपीआई अनुरोध जारी करने के लिए किया जाता है. हर कॉम्पोनेंट एक अलग पोर्ट खोलता है. इस्तेमाल किया जाने वाला सटीक पोर्ट, कॉन्फ़िगरेशन पर निर्भर करता है. हालांकि, उसे कॉम्पोनेंट पर खुला होना चाहिए, ताकि मैनेजमेंट सर्वर उसे ऐक्सेस कर सके |
मैनेजमेंट एपीआई क्लाइंट | राऊटर (8081) मैसेज प्रोसेसर (8082) Qpid सर्वर (8083) Postgres Server (8084) |
| 8443 | TLS के चालू होने पर, राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
| 8998 | राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
| 9000 | डिफ़ॉल्ट Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) पोर्ट | ब्राउज़र | मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) सर्वर |
| 9042 | सीक्यूएल नेटिव ट्रांसपोर्ट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
कसांद्रा |
| 9099 | बाहरी आईडीपी (IdP) की पुष्टि करना | IDP, ब्राउज़र, और मैनेजमेंट सर्वर | Apigee एसएसओ (SSO) |
| 9160 | Cassandra थ्रिफ़्ट क्लाइंट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
कसांद्रा |
| 10389 | LDAP पोर्ट | मैनेजमेंट सर्वर | OpenLDAP |
| 15999 | स्वास्थ्य जांच पोर्ट. लोड बैलेंसर, इस पोर्ट का इस्तेमाल यह पता करने के लिए करता है कि राऊटर उपलब्ध है या नहीं. | लोड बैलेंसर | राऊटर |
| 59001 | Edge इंस्टॉलेशन की जांच करने के लिए, apigee-validate यूटिलिटी के ज़रिए इस्तेमाल किया गया पोर्ट |
apigee-validate | राऊटर |
| 59002 | वह राऊटर पोर्ट जहां SmartDocs की मदद से पेज ऐक्सेस करने के अनुरोध भेजे जाते हैं | SmartDocs | राऊटर |
मैसेज प्रोसेसर की मदद से, Cassandra के लिए एक खास कनेक्शन पूल खुला रखा जाता है. इसे कभी भी टाइम आउट नहीं होने के लिए कॉन्फ़िगर किया जाता है. जब Message प्रोसेसर और Cassandra सर्वर के बीच फ़ायरवॉल होता है, तो फ़ायरवॉल कनेक्शन का समय खत्म कर सकता है. हालांकि, मैसेज प्रोसेसर को कैसंड्रा से फिर से कनेक्ट करने के लिए नहीं बनाया गया है.
ऐसी स्थिति से बचने के लिए, Apigee का सुझाव है कि कैसेंद्रा सर्वर, मैसेज प्रोसेसर, और राऊटर को एक ही सबनेट में रखें, ताकि इन कॉम्पोनेंट को डिप्लॉय करते समय किसी फ़ायरवॉल की वजह न हो.
अगर राऊटर और मैसेज प्रोसेसर के बीच फ़ायरवॉल मौजूद है और उसका इस्तेमाल न होने पर टीसीपी टाइम आउट सेट है, तो हमारे सुझाव ये हैं:
- Linux OS पर sysctl सेटिंग में
net.ipv4.tcp_keepalive_time = 1800को सेट करें, जहां 1800, फ़ायरवॉल के इस्तेमाल में न होने वाले टीसीपी टाइम आउट से कम होना चाहिए. इस सेटिंग के ज़रिए, कनेक्शन को मौजूदा स्थिति में बनाए रखना चाहिए, ताकि फ़ायरवॉल कनेक्शन को डिसकनेक्ट न करे. - सभी मैसेज प्रोसेसर पर, नीचे दी गई प्रॉपर्टी जोड़ने के लिए
/opt/apigee/customer/application/message-processor.propertiesमें बदलाव करें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- मैसेज प्रोसेसर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- सभी राऊटर पर, इस प्रॉपर्टी को जोड़ने के लिए,
/opt/apigee/customer/application/router.propertiesमें बदलाव करें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- राऊटर रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart