Nhu cầu quản lý tường lửa không chỉ dừng lại ở máy chủ ảo; cả tường lửa của máy chủ ảo và máy chủ thực tế đều phải cho phép lưu lượng truy cập qua các cổng mà các thành phần yêu cầu giao tiếp với nhau.
Sơ đồ cổng
Các hình ảnh sau đây cho thấy các yêu cầu về cổng đối với cả một trung tâm dữ liệu và nhiều cấu hình trung tâm dữ liệu:
Một trung tâm dữ liệu
Hình ảnh sau đây cho thấy các yêu cầu về cổng của từng thành phần Edge trong một cấu hình trung tâm dữ liệu:
Lưu ý trên sơ đồ này:
- Các cổng có tiền tố "M" là các cổng dùng để quản lý thành phần và phải được mở trên thành phần đó để Máy chủ quản lý truy cập.
- Giao diện người dùng Edge yêu cầu quyền truy cập vào Bộ định tuyến (trên các cổng do proxy API hiển thị) để hỗ trợ nút Send (Gửi) trong công cụ theo dõi.
- Quyền truy cập vào cổng JMX có thể được định cấu hình để yêu cầu tên người dùng/mật khẩu. Hãy xem phần Cách theo dõi để biết thêm thông tin.
- Bạn có thể tuỳ ý định cấu hình quyền truy cập TLS/SSL cho một số kết nối nhất định, những kết nối này có thể sử dụng các cổng khác nhau. Xem TLS/SSL để biết thêm thông tin.
- Bạn có thể định cấu hình Máy chủ quản lý và giao diện người dùng Edge để gửi email thông qua một máy chủ SMTP bên ngoài. Nếu làm vậy, bạn phải đảm bảo rằng Máy chủ quản lý và giao diện người dùng có thể truy cập cổng cần thiết trên máy chủ SMTP (không hiển thị). Đối với SMTP không phải TLS, số cổng thường là 25. Đối với SMTP có hỗ trợ TLS, mã này thường là 465, nhưng hãy kiểm tra với nhà cung cấp SMTP của bạn.
Nhiều trung tâm dữ liệu
Nếu bạn cài đặt cấu hình phân cụm 12 nút với 2 trung tâm dữ liệu, hãy đảm bảo rằng các nút trong 2 trung tâm dữ liệu có thể giao tiếp qua các cổng như sau:
Lưu ý:
- Tất cả Máy chủ quản lý đều phải có quyền truy cập vào tất cả các nút Cassandra trong tất cả các trung tâm dữ liệu khác.
- Tất cả Bộ xử lý thông báo trong tất cả các trung tâm dữ liệu đều phải có khả năng truy cập với nhau qua cổng 4528.
- Máy chủ quản lý phải có thể truy cập tất cả Bộ xử lý thư qua cổng 8082.
- Tất cả Máy chủ quản lý và tất cả các nút Qpid đều phải có thể truy cập vào Postgres trong tất cả các trung tâm dữ liệu khác.
- Vì lý do bảo mật, ngoài các cổng nêu trên và bất kỳ cổng nào khác theo yêu cầu về mạng của riêng bạn, bạn không được mở cổng nào giữa các trung tâm dữ liệu.
Theo mặc định, hoạt động giao tiếp giữa các thành phần không được mã hoá. Bạn có thể thêm lớp mã hoá bằng cách cài đặt Apigee mTLS. Để biết thêm thông tin, hãy xem bài viết Giới thiệu về Apigee mTLS.
Thông tin về cổng
Bảng dưới đây mô tả các cổng cần được mở trong tường lửa, theo thành phần Edge:
Thành phần | Cổng | Nội dung mô tả |
---|---|---|
Cổng HTTP tiêu chuẩn | 80, 443 | HTTP cùng với bất kỳ cổng nào khác mà bạn sử dụng cho máy chủ ảo |
Hoạt động đăng nhập một lần (SSO) của Apigee | 9099 | Các kết nối từ nhà cung cấp danh tính (IDP) bên ngoài, Máy chủ quản lý và các trình duyệt để xác thực. |
Cassandra | 7000, 9042, 9160 | Cổng Apache Cassandra để giao tiếp giữa các nút Cassandra và để các thành phần khác ở Edge truy cập. |
7.199 | Cổng JMX. Phải đang mở để Máy chủ quản lý truy cập. | |
LDAP | 10389 | OpenLDAP |
Máy chủ quản lý | 1099 | Cổng JMX |
4.526 | Cổng cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối. Cổng này có thể định cấu hình. | |
5636 | Cổng cho thông báo cam kết kiếm tiền. | |
8080 | Cổng cho lệnh gọi API Quản lý Edge. Các thành phần này yêu cầu quyền truy cập vào cổng 8080 trên Máy chủ quản lý: Bộ định tuyến, Bộ xử lý thư, Giao diện người dùng, Postgres, Apigee SSO (nếu được bật) và Qpid. | |
Giao diện người dùng quản lý | 9.000 | Cổng để trình duyệt truy cập vào giao diện người dùng quản lý |
Bộ xử lý thư | 1101 | Cổng JMX |
4.528 | Dành cho bộ nhớ đệm phân phối và lệnh gọi quản lý giữa Bộ xử lý thông báo cũng như cho hoạt động giao tiếp từ Bộ định tuyến và Máy chủ quản lý.
Bộ xử lý thư phải mở cổng 4528 làm cổng quản lý. Nếu bạn có nhiều Bộ xử lý thông báo, tất cả các Bộ xử lý thông báo đó phải có khả năng truy cập vào nhau qua cổng 4528 (được biểu thị bằng mũi tên vòng lặp trong sơ đồ ở trên đối với cổng 4528 trên Bộ xử lý thông báo). Nếu bạn có nhiều trung tâm dữ liệu, cổng phải truy cập được từ tất cả các Bộ xử lý thông báo trong mọi trung tâm dữ liệu. |
|
8082 |
Cổng quản lý mặc định của Trình xử lý thông báo và phải được mở trên thành phần để Máy chủ quản lý truy cập. Nếu bạn định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thư sẽ được Bộ định tuyến sử dụng để kiểm tra tình trạng trên Bộ xử lý thông báo. Chỉ cần mở Cổng 8082 trên Bộ định tuyến để Bộ định tuyến truy cập khi bạn định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thông báo. Nếu bạn không định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thông báo thì cấu hình mặc định, cổng 8082 vẫn phải được mở trên Bộ xử lý thông báo để quản lý thành phần, nhưng Bộ định tuyến không yêu cầu quyền truy cập vào thành phần đó. |
|
8443 | Khi TLS được bật giữa Bộ định tuyến và Bộ xử lý thông báo, bạn phải mở cổng 8443 trên Bộ xử lý thông báo để Bộ định tuyến truy cập. | |
8.998 | Cổng bộ xử lý thư để giao tiếp từ Bộ định tuyến | |
Postgres | 22 | Nếu định cấu hình 2 nút Postgres để sử dụng tính năng sao chép chính-dự phòng, bạn phải mở cổng 22 trên mỗi nút để truy cập SSH. |
1103 | Cổng JMX | |
4.530 | Dành cho bộ nhớ đệm được phân phối và các lệnh gọi quản lý | |
5.432 | Dùng để liên lạc từ Máy chủ Qpid/Management đến Postgres | |
8084 | Cổng quản lý mặc định trên máy chủ Postgres; phải được mở trên thành phần để Máy chủ quản lý truy cập. | |
Qpid | 1.102 | Cổng JMX |
4.529 | Dành cho bộ nhớ đệm được phân phối và các lệnh gọi quản lý | |
5672 |
Mã này cũng được dùng để giao tiếp giữa máy chủ Qpid và các thành phần của người môi giới trên cùng một nút. Trong các cấu trúc liên kết có nhiều nút Qpid, máy chủ phải kết nối được với tất cả trình môi giới trên cổng 5672. |
|
8083 | Cổng quản lý mặc định trên máy chủ Qpid và phải được mở trên thành phần để Máy chủ quản lý truy cập. | |
Bộ định tuyến | 4.527 | Dành cho bộ nhớ đệm phân phối và các lệnh gọi quản lý.
Bộ định tuyến phải mở cổng 4527 làm cổng quản lý. Nếu bạn có nhiều Bộ định tuyến, tất cả các Bộ định tuyến đó phải có khả năng truy cập vào nhau qua cổng 4527 (được biểu thị bằng mũi tên vòng lặp trong sơ đồ ở trên cho cổng 4527 trên Bộ định tuyến). Mặc dù không bắt buộc nhưng bạn có thể mở cổng 4527 trên Bộ định tuyến để mọi Bên xử lý thông báo truy cập. Nếu không, bạn có thể thấy thông báo lỗi trong tệp nhật ký của Trình xử lý thông báo. |
8081 | Cổng quản lý mặc định cho Bộ định tuyến và phải được mở trên thành phần để Máy chủ quản lý truy cập. | |
15.999 |
Cổng kiểm tra tình trạng. Trình cân bằng tải sử dụng cổng này để xác định xem Bộ định tuyến có hoạt động hay không. Để biết trạng thái của Bộ định tuyến, trình cân bằng tải sẽ gửi yêu cầu đến cổng 15999 trên Bộ định tuyến: curl -v http://routerIP:15999/v1/servers/self/reachable Nếu có thể truy cập được Bộ định tuyến, yêu cầu sẽ trả về HTTP 200. |
|
59.001 | Cổng được dùng để kiểm thử việc cài đặt Edge bằng tiện ích apigee-validate .
Tiện ích này yêu cầu quyền truy cập vào cổng 59001 trên Bộ định tuyến. Xem phần Kiểm thử bản cài đặt để biết thêm thông tin về cổng 59001. |
|
SmartDocs | 59.002 | Cổng trên bộ định tuyến Edge mà các yêu cầu trang SmartDocs được gửi. |
ZooKeeper | 2181 | Được sử dụng trong các thành phần khác như Máy chủ quản lý, Bộ định tuyến, Bộ xử lý thư, v.v. |
2888, 3888 | Được sử dụng nội bộ trong nội bộ để truyền cho cụm ZooKeeper (còn gọi là nhóm ZooKeeper) |
Bảng tiếp theo cho thấy các cổng tương tự, được liệt kê dưới dạng số, với các thành phần nguồn và đích:
Số cổng | Mục đích | Thành phần nguồn | Thành phần Đích đến |
---|---|---|---|
virtual_host_port | HTTP cùng với mọi cổng khác mà bạn sử dụng cho lưu lượng truy cập lệnh gọi API máy chủ ảo. Cổng 80 và 443 thường được sử dụng nhất; Bộ định tuyến thông báo có thể chấm dứt kết nối TLS/SSL. | Ứng dụng khách bên ngoài (hoặc trình cân bằng tải) | Trình nghe trên Bộ định tuyến thư |
1099 đến 1103 | Quản lý JMX | Ứng dụng JMX | Máy chủ quản lý (1099) Bộ xử lý thông báo (1101) Máy chủ Qpid (1102) Máy chủ Postgres (1103) |
2181 | Giao tiếp với khách hàng của người quản lý vườn thú | Máy chủ quản lý Bộ định tuyến Bộ xử lý thông báo Máy chủ Qpid Máy chủ Postgres |
Người trông coi động vật |
2888 và 3888 | Quản lý nút phát hiện người nuôi thú | Người trông coi động vật | Người trông coi động vật |
4526 | Cổng quản lý RPC | Máy chủ quản lý | Máy chủ quản lý |
4527 | Cổng quản lý RPC dành cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối, cũng như để giao tiếp giữa các Bộ định tuyến | Bộ định tuyến máy chủ quản lý |
Bộ định tuyến |
4528 | Đối với các lệnh gọi bộ nhớ đệm được phân phối giữa Bộ xử lý thông báo và để giao tiếp từ Bộ định tuyến | Máy chủ quản lý Bộ định tuyến Bộ xử lý thông báo |
Bộ xử lý thư |
4529 | Cổng quản lý RPC dành cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối | Máy chủ quản lý | Máy chủ Qpid |
4530 | Cổng quản lý RPC dành cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối | Máy chủ quản lý | Máy chủ Postgres |
5432 | Ứng dụng Postgres | Máy chủ Qpid | Postgres |
5636 | Kiếm tiền | Thành phần JMS bên ngoài | Máy chủ quản lý |
5672 |
Mã này cũng được dùng để giao tiếp giữa máy chủ Qpid và các thành phần của người môi giới trên cùng một nút. Trong các cấu trúc liên kết có nhiều nút Qpid, máy chủ phải kết nối được với tất cả trình môi giới trên cổng 5672. |
Máy chủ Qpid | Máy chủ Qpid |
7000 | Giao tiếp liên nút Cassandra | Cassandra | Nút Cassandra khác |
7199 | Quản lý JMX. Phải được mở để Máy chủ quản lý truy cập vào nút Cassandra. | ứng dụng JMX | Cassandra |
8080 | Cổng API quản lý | Ứng dụng API Quản lý | Máy chủ quản lý |
8081 đến 8084 |
Cổng API thành phần, dùng để trực tiếp gửi yêu cầu API cho từng thành phần. Mỗi thành phần mở một cổng khác nhau; cổng chính xác được sử dụng phụ thuộc vào cấu hình nhưng phải được mở trên thành phần để Máy chủ quản lý truy cập |
Ứng dụng API Quản lý | Bộ định tuyến (8081) Bộ xử lý thông báo (8082) Máy chủ Qpid (8083) Máy chủ Postgres (8084) |
8443 | Hoạt động giao tiếp giữa Bộ định tuyến và Bộ xử lý thư khi TLS được bật | Bộ định tuyến | Bộ xử lý thư |
8998 | Hoạt động giao tiếp giữa Bộ định tuyến và Trình xử lý thư | Bộ định tuyến | Bộ xử lý thư |
9000 | Cổng giao diện người dùng quản lý Edge mặc định | Trình duyệt | Quản lý máy chủ giao diện người dùng |
9042 | Truyền tải gốc CQL | Bộ định tuyến Bộ xử lý thư Máy chủ quản lý |
Cassandra |
9099 | Xác thực nhà cung cấp danh tính (IDP) bên ngoài | Nhà cung cấp danh tính (IDP), trình duyệt và Máy chủ quản lý | Hoạt động đăng nhập một lần (SSO) của Apigee |
9160 | Khách hàng tiết kiệm Cassandra | Bộ định tuyến Bộ xử lý thư Máy chủ quản lý |
Cassandra |
10389 | Cổng LDAP | Máy chủ quản lý | OpenLDAP |
15999 | Cổng kiểm tra tình trạng. Trình cân bằng tải sử dụng cổng này để xác định xem Bộ định tuyến có hoạt động hay không. | Trình cân bằng tải | Bộ định tuyến |
59001 | Cổng mà tiện ích apigee-validate sử dụng để kiểm thử việc cài đặt Edge |
apigee-validate | Bộ định tuyến |
59002 | Cổng bộ định tuyến nơi gửi yêu cầu trang SmartDocs | SmartDocs | Bộ định tuyến |
Bộ xử lý thông báo giữ cho một nhóm kết nối chuyên dụng luôn mở cho Cassandra và được định cấu hình là không bao giờ hết thời gian chờ. Khi tường lửa nằm giữa Bộ xử lý thông báo và máy chủ Cassandra, tường lửa có thể hết thời gian chờ kết nối. Tuy nhiên, Trình xử lý thông báo không được thiết kế để thiết lập lại các kết nối với Cassandra.
Để ngăn chặn tình huống này, Apigee khuyến nghị máy chủ Cassandra, Bộ xử lý thư và Bộ định tuyến phải ở trong cùng một mạng con để không có tường lửa tham gia vào việc triển khai các thành phần này.
Nếu tường lửa nằm giữa Bộ định tuyến và Bộ xử lý thư, đồng thời được đặt thời gian chờ TCP ở trạng thái rảnh, thì bạn nên làm như sau:
- Đặt
net.ipv4.tcp_keepalive_time = 1800
trong phần cài đặt sysctl trên hệ điều hành Linux, trong đó 1800 phải thấp hơn thời gian chờ tcp của tường lửa ở trạng thái rảnh. Chế độ cài đặt này sẽ giữ kết nối ở trạng thái đã thiết lập để tường lửa không ngắt kết nối. - Trên mọi Trình xử lý tin nhắn, hãy chỉnh sửa
/opt/apigee/customer/application/message-processor.properties
để thêm thuộc tính sau. Hãy tạo tệp nếu chưa có.conf_system_cassandra.maxconnecttimeinmillis=-1
- Khởi động lại bộ xử lý thư:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Trên tất cả Bộ định tuyến, hãy chỉnh sửa
/opt/apigee/customer/application/router.properties
để thêm thuộc tính sau. Hãy tạo tệp nếu chưa có.conf_system_cassandra.maxconnecttimeinmillis=-1
- Khởi động lại bộ định tuyến:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart