Güvenlik duvarını yönetme ihtiyacı, sanal ana makinelerin ötesine geçer. Hem sanal makine hem de fiziksel ana makine güvenlik duvarları, bileşenlerin birbiriyle iletişim kurması için gereken bağlantı noktaları için trafiğe izin vermelidir.
Bağlantı noktası diyagramları
Aşağıdaki resimlerde hem tek bir veri merkezi hem de birden çok veri merkezi yapılandırması için bağlantı noktası gereksinimleri gösterilmektedir:
Tek Veri Merkezi
Aşağıdaki resimde, tek bir veri merkezi yapılandırmasındaki her bir Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir:
Bu diyagramla ilgili notlar:
- Önlerinde "M" olan bağlantı noktaları, bileşeni yönetmek için kullanılan bağlantı noktalarıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır.
- Edge kullanıcı arayüzü, izleme aracındaki Gönder düğmesini desteklemek için, API proxy'lerinin açtığı bağlantı noktalarında Yönlendirici'ye erişim gerektirir.
- JMX bağlantı noktalarına erişim bir kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Daha fazla bilgi için Nasıl İzlenir? bölümüne bakın.
- İsteğe bağlı olarak, farklı bağlantı noktaları kullanabilen belirli bağlantılar için TLS/SSL erişimini yapılandırabilirsiniz. Daha fazla bilgi için TLS/SSL sayfasına göz atın.
- Yönetim Sunucusu'nu ve Uç Kullanıcı Arayüzünü, harici bir SMTP sunucusu üzerinden e-posta gönderecek şekilde yapılandırabilirsiniz. Bu durumda, Yönetim Sunucusu'nun ve kullanıcı arayüzünün, SMTP sunucusundaki (gösterilmemiş olan) gerekli bağlantı noktasına erişebildiğinden emin olmanız gerekir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için bu değer genellikle 465'tir ancak SMTP sağlayıcınıza danışın.
Birden Çok Veri Merkezi
İki veri merkezine sahip 12 düğümlü yapılandırmayı kurarsanız iki veri merkezindeki düğümlerin aşağıda gösterilen bağlantı noktaları üzerinden iletişim kurabildiğinden emin olun:
Unutmayın:
- Tüm Yönetim Sunucuları, diğer tüm veri merkezlerindeki tüm Cassandra düğümlerine erişebilmelidir.
- Tüm veri merkezlerindeki mesaj işleyicilerin tümü, 4528 numaralı bağlantı noktası üzerinden birbirine erişebilmelidir.
- Yönetim Sunucusu, 8082 numaralı bağlantı noktası üzerinden tüm İleti İşleyicilere erişebilmelidir.
- Tüm Yönetim Sunucuları ve tüm Qpid düğümleri, diğer tüm veri merkezlerinde Postgres'e erişebilmelidir.
- Güvenlik nedeniyle, yukarıda gösterilen bağlantı noktaları ve kendi ağ gereksinimlerinizin gerektirdiği diğer bağlantı noktaları dışında veri merkezleri arasında başka bağlantı noktaları açık olmamalıdır.
Varsayılan olarak, bileşenler arasındaki iletişimler şifrelenmez. Apigee mTLS'yi yükleyerek şifreleme ekleyebilirsiniz. Daha fazla bilgi için Apigee mTLS'ye giriş bölümünü inceleyin.
Bağlantı noktası ayrıntıları
Aşağıdaki tabloda, güvenlik duvarlarında Edge bileşeni tarafından açılması gereken bağlantı noktaları açıklanmaktadır:
| Bileşen | Bağlantı noktası | Açıklama |
|---|---|---|
| Standart HTTP bağlantı noktaları | 80, 443 | HTTP ve sanal ana makineler için kullandığınız diğer bağlantı noktaları |
| Apigee TOA | 9.099 | Kimlik doğrulama için harici IdP'ler, Yönetim Sunucusu ve tarayıcılardan gelen bağlantılar. |
| Cassandra | 7.000, 9042, 9.160 | Cassandra düğümleri arasındaki iletişim ve diğer Edge bileşenlerinin erişimi için kullanılan Apache Cassandra bağlantı noktaları. |
| 7.199 | JMX bağlantı noktası. Yönetim Sunucusu tarafından erişim için açık olmalıdır. | |
| LDAP | 10389 | OpenLDAP |
| Yönetim Sunucusu | 1.099 | JMX bağlantı noktası |
| 4.526 | Dağıtılmış önbellek ve yönetim çağrıları için bağlantı noktası. Bu bağlantı noktası yapılandırılabilir. | |
| 5636 | Para kazanma taahhüt bildirimleri için bağlantı noktası. | |
| 8080 | Edge Management API çağrıları için bağlantı noktası. Bu bileşenlerin Yönetim Sunucusu'nda 8080 numaralı bağlantı noktasına erişmesi gerekir: Yönlendirici, Mesaj İşleyici, UI, Postgres, Apigee TOA (etkinse) ve Qpid. | |
| Yönetim Kullanıcı Arayüzü | 9.000 | Yönetim kullanıcı arayüzüne tarayıcı erişimi için bağlantı noktası |
| Mesaj İşleyici | 1.101 | JMX bağlantı noktası |
| 4.528 | Mesaj İşleyicileri arasında dağıtılmış önbellek ve yönetim çağrıları ve Yönlendirici ile Yönetim Sunucusu'ndan iletişim için kullanılır.
Bir Mesaj İşleyici, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla Mesaj İşleyiciniz varsa tümünün birbirine 4528 numaralı bağlantı noktası üzerinden erişebilmesi gerekir (Mesaj İşleyici'deki bağlantı noktası 4528 için yukarıdaki şemada döngü okuyla gösterilir). Birden fazla veri merkeziniz varsa tüm veri merkezlerindeki Mesaj İşleyicilerden bağlantı noktasına erişilebilmelidir. |
|
| 8082 |
Mesaj İşleyici için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu tarafından erişilebilmesi için bileşende açık olmalıdır. Yönlendirici ve Mesaj İşleyici arasında TLS/SSL'yi yapılandırırsanız Yönlendirici tarafından Mesaj İşleyici'de durum denetimleri yapmak için kullanılır. Yalnızca Yönlendirici ve Mesaj İşleyici arasında TLS/SSL yapılandırdığınızda, Mesaj İşleyici'deki 8082 numaralı bağlantı noktasının Yönlendirici tarafından erişim için açık olması gerekir. Yönlendirici ve Mesaj İşleyici arasında TLS/SSL'yi yapılandırmazsanız bileşeni yönetmek için Mesaj İşleyici'de varsayılan yapılandırma olan 8082 bağlantı noktasının hâlâ açık olması gerekir ancak Yönlendirici, buna erişim gerektirmez. |
|
| 8443 | Yönlendirici ve Mesaj İşleyici arasında TLS etkinleştirildiğinde, Yönlendiricinin erişim sağlaması için Mesaj İşleyici'de 8443 numaralı bağlantı noktasını açmanız gerekir. | |
| 8.998 | Yönlendiriciden gelen iletişimler için Mesaj İşleyici bağlantı noktası | |
| Postgres | 22 | İki Postgres düğümünü ana bekleme modunda çoğaltmayı kullanacak şekilde yapılandırıyorsanız SSH erişimi için her düğümde 22 numaralı bağlantı noktasını açmanız gerekir. |
| 1.103 | JMX bağlantı noktası | |
| 4.530 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5432 | Qpid/Management Server'dan Postgres'e iletişim için kullanılır | |
| 8084 | Postgres sunucusundaki varsayılan yönetim bağlantı noktası; Yönetim Sunucusu tarafından erişilebilmesi için bileşende açık olmalıdır. | |
| Qpid | 1.102 | JMX bağlantı noktası |
| 4.529 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5.672 |
Aynı düğümdeki Qpid sunucusu ile aracı bileşenleri arasındaki iletişim için de kullanılır. Birden çok Qpid düğümü olan topolojilerde, sunucunun 5672 numaralı bağlantı noktası üzerinden tüm aracılara bağlanabilmesi gerekir. |
|
| 8083 | Qpid sunucusundaki varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu tarafından erişilebilmesi için bileşende açık olmalıdır. | |
| Yönlendirici | 4.527 | Dağıtılmış önbellek ve yönetim çağrıları için.
Bir Yönlendirici, yönetim bağlantı noktası olarak 4527 numaralı bağlantı noktasını açmalıdır. Birden fazla Yönlendiriciniz varsa bunların hepsi birbirlerine 4527 numaralı bağlantı noktası (Yönlendiricideki 4527 numaralı bağlantı noktası için yukarıdaki şemada döngü okuyla gösterilir) üzerinden erişebilmelidir. Zorunlu olmamakla birlikte, herhangi bir Mesaj İşleyici tarafından erişilmesi için Yönlendiricide 4527 numaralı bağlantı noktasını açabilirsiniz. Aksi takdirde, Message Processor günlük dosyalarında hata mesajları görebilirsiniz. |
| 8081 | Yönlendirici için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. | |
| 15.999 |
Durum denetimi bağlantı noktası. Yük dengeleyici, Yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. Yük dengeleyici, bir Yönlendiricinin durumunu öğrenmek için Yönlendiricide 15999 numaralı bağlantı noktasına istek gönderir: curl -v http://routerIP:15999/v1/servers/self/reachable Yönlendirici erişilebilir durumdaysa istek HTTP 200'ü döndürür. |
|
| 59.001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası.
Bu yardımcı program, Yönlendirici üzerindeki 59001 numaralı bağlantı noktasına erişim gerektirir. 59001 bağlantı noktası hakkında daha fazla bilgi için Yüklemeyi test etme bölümüne bakın. |
|
| SmartDocs | 59.002 | Edge yönlendiricisinde, SmartDokümanlar sayfa isteklerinin gönderildiği bağlantı noktası. |
| ZooKeeper | 2.181 | Yönetim Sunucusu, Yönlendirici, İleti İşleyici vb. gibi diğer bileşenler tarafından kullanılır |
| 2.888, 3.888 | ZooKeeper kümesi (ZooKeeper ensemble olarak bilinir) iletişimi için ZooKeeper tarafından dahili olarak kullanılır |
Bir sonraki tabloda aynı bağlantı noktaları, kaynak ve hedef bileşenleriyle birlikte sayısal olarak listelenmiş şekilde gösterilmektedir:
| Bağlantı Noktası Numarası | Amaç | Kaynak Bileşeni | Hedef Bileşeni |
|---|---|---|---|
| virtual_host_port | HTTP ve sanal ana makine API çağrısı trafiği için kullandığınız diğer bağlantı noktaları. En yaygın olarak 80 ve 443 numaralı bağlantı noktaları kullanılır. İleti Yönlendirici, TLS/SSL bağlantılarını sonlandırabilir. | Harici istemci (veya yük dengeleyici) | Mesaj Yönlendiricideki dinleyici |
| 1099 - 1103 | JMX Yönetimi | JMX İstemcisi | Management Server (1099) İleti İşleyici (1101) Qpid Server (1102) Postgres Server (1103) |
| 2181 | Zookeeper müşteri iletişimi | Yönetim Sunucusu Yönlendirici Mesaj İşlemci Qpid Sunucusu Postgres Sunucusu |
Zookeeper |
| 2888 ve 3888 | Hayvanat bahçesi bakıcı ara düğüm yönetimi | Zookeeper | Zookeeper |
| 4526 | RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Yönetim Sunucusu |
| 4527 | Dağıtılmış önbellek ve yönetim çağrıları ile Yönlendiriciler arasındaki iletişimler için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu Yönlendirici |
Yönlendirici |
| 4528 | Mesaj İşleyicileri arasında dağıtılmış önbellek çağrıları ve Yönlendiriciden gelen iletişim için | Yönetim Sunucusu Yönlendirici Mesaj İşleyici |
Mesaj İşleyici |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Qpid Sunucusu |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Postgres Sunucusu |
| 5432 | Postgres istemcisi | Qpid Sunucusu | Postgres |
| 5636 | Para kazanma | Harici JMS bileşeni | Yönetim Sunucusu |
| 5672 |
Aynı düğümdeki Qpid sunucusu ile aracı bileşenleri arasındaki iletişim için de kullanılır. Birden çok Qpid düğümü olan topolojilerde, sunucunun 5672 numaralı bağlantı noktası üzerinden tüm aracılara bağlanabilmesi gerekir. |
Qpid Sunucusu | Qpid Sunucusu |
| 7000 | Cassandra düğümler arası iletişim | Cassandra | Diğer Cassandra düğümü |
| 7199 | JMX yönetimi. Yönetim Sunucusu tarafından Cassandra düğümüne erişim için açık olmalıdır. | JMX istemcisi | Cassandra |
| 8080 | Management API bağlantı noktası | Management API istemcileri | Yönetim Sunucusu |
| 8081 ile 8084 arası |
Doğrudan bağımsız bileşenlere API istekleri göndermek için kullanılan Bileşen API bağlantı noktaları. Her bileşen farklı bir bağlantı noktasını açar. Kullanılan bağlantı noktası, yapılandırmaya bağlıdır ancak Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır |
Management API istemcileri | Yönlendirici (8081) Mesaj İşlemci (8082) Qpid Sunucusu (8083) Postgres Sunucusu (8084) |
| 8443 | TLS etkinleştirildiğinde Yönlendirici ve Mesaj İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 8998 | Yönlendirici ve Mesaj İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 9000 | Varsayılan Edge yönetimi kullanıcı arayüzü bağlantı noktası | Tarayıcı | Yönetim Kullanıcı Arayüzü Sunucusu |
| 9042 | CQL yerel aktarımı | Yönlendirici Mesaj İşlemci Yönetim Sunucusu |
Cassandra |
| 9099 | Harici IDP kimlik doğrulaması | IDP, tarayıcı ve Yönetim Sunucusu | Apigee TOA |
| 9160 | Cassandra ikinci el müşterisi | Yönlendirici Mesaj İşlemci Yönetim Sunucusu |
Cassandra |
| 10389 | LDAP bağlantı noktası | Yönetim Sunucusu | OpenLDAP |
| 15999 | Durum denetimi bağlantı noktası. Yük dengeleyici, Yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. | Yük dengeleyici | Yönlendirici |
| 59001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası |
apigee-validate | Yönlendirici |
| 59002 | SmartDokümanlar sayfa isteklerinin gönderildiği yönlendirici bağlantı noktası | SmartDocs | Yönlendirici |
Mesaj İşleyici, hiçbir zaman zaman aşımına uğramayacak şekilde yapılandırılan özel bir bağlantı havuzunu Cassandra'ya açık tutar. Mesaj İşleyici ile Cassandra sunucusu arasında bulunan güvenlik duvarı, bağlantıyı zaman aşımına uğratabilir. Ancak Mesaj İşleyici, Cassandra ile yeniden bağlantı kurmak için tasarlanmamıştır.
Apigee, bu durumu önlemek için Cassandra sunucusunun, Mesaj İşleyicisinin ve Yönlendiricilerin aynı alt ağda olmasını önerir. Böylece bu bileşenlerin dağıtımında güvenlik duvarı bulunmaz.
Bir güvenlik duvarı, Yönlendirici ile Mesaj İşlemcileri arasında yer alıyorsa ve boşta kalma TCP zaman aşımı ayarlanmışsa aşağıdaki adımları uygulamanızı öneririz:
- Linux OS'te sysctl ayarlarında
net.ipv4.tcp_keepalive_time = 1800değerini ayarlayın. Buradaki 1800, güvenlik duvarı boşta kalma TCP zaman aşımından daha düşük olmalıdır. Bu ayar, güvenlik duvarının bağlantıyı kesmemesi için bağlantıyı kurulu durumda tutmalıdır. - Tüm Mesaj İşleyicilerinde aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/message-processor.propertiesöğesini düzenleyin. Dosya yoksa oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mesaj İşleyici'yi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Tüm Yönlendiricilerde
/opt/apigee/customer/application/router.propertiesöğesini düzenleyerek aşağıdaki özelliği ekleyin. Dosya yoksa oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart