Yêu cầu về cổng

Nhu cầu quản lý tường lửa không chỉ dừng lại ở máy chủ ảo; cả tường lửa của máy chủ ảo và máy chủ thực tế đều phải cho phép lưu lượng truy cập qua các cổng mà các thành phần yêu cầu giao tiếp với nhau.

Sơ đồ cổng

Các hình ảnh sau đây cho thấy các yêu cầu về cổng đối với cả một trung tâm dữ liệu và nhiều cấu hình trung tâm dữ liệu:

Một trung tâm dữ liệu

Hình ảnh sau đây cho thấy các yêu cầu về cổng của từng thành phần Edge trong một cấu hình trung tâm dữ liệu:

Yêu cầu về cổng cho từng thành phần Edge trong một cấu hình trung tâm dữ liệu

Lưu ý trên sơ đồ này:

  • Các cổng có tiền tố "M" là các cổng dùng để quản lý thành phần và phải được mở trên thành phần đó để Máy chủ quản lý truy cập.
  • Giao diện người dùng Edge yêu cầu quyền truy cập vào Bộ định tuyến (trên các cổng do proxy API hiển thị) để hỗ trợ nút Send (Gửi) trong công cụ theo dõi.
  • Quyền truy cập vào cổng JMX có thể được định cấu hình để yêu cầu tên người dùng/mật khẩu. Hãy xem phần Cách theo dõi để biết thêm thông tin.
  • Bạn có thể tuỳ ý định cấu hình quyền truy cập TLS/SSL cho một số kết nối nhất định, những kết nối này có thể sử dụng các cổng khác nhau. Xem TLS/SSL để biết thêm thông tin.
  • Bạn có thể định cấu hình Máy chủ quản lý và giao diện người dùng Edge để gửi email thông qua một máy chủ SMTP bên ngoài. Nếu làm vậy, bạn phải đảm bảo rằng Máy chủ quản lý và giao diện người dùng có thể truy cập cổng cần thiết trên máy chủ SMTP (không hiển thị). Đối với SMTP không phải TLS, số cổng thường là 25. Đối với SMTP có hỗ trợ TLS, mã này thường là 465, nhưng hãy kiểm tra với nhà cung cấp SMTP của bạn.

Nhiều trung tâm dữ liệu

Nếu bạn cài đặt cấu hình phân cụm 12 nút với 2 trung tâm dữ liệu, hãy đảm bảo rằng các nút trong 2 trung tâm dữ liệu có thể giao tiếp qua các cổng như sau:

Yêu cầu về cổng cho mỗi nút trong cấu hình được phân cụm 12 nút

Lưu ý:

  • Tất cả Máy chủ quản lý đều phải có quyền truy cập vào tất cả các nút Cassandra trong tất cả các trung tâm dữ liệu khác.
  • Tất cả Bộ xử lý thông báo trong tất cả các trung tâm dữ liệu đều phải có khả năng truy cập với nhau qua cổng 4528.
  • Máy chủ quản lý phải có thể truy cập tất cả Bộ xử lý thư qua cổng 8082.
  • Tất cả Máy chủ quản lý và tất cả các nút Qpid đều phải có thể truy cập vào Postgres trong tất cả các trung tâm dữ liệu khác.
  • Vì lý do bảo mật, ngoài các cổng nêu trên và bất kỳ cổng nào khác theo yêu cầu về mạng của riêng bạn, bạn không được mở cổng nào giữa các trung tâm dữ liệu.

Theo mặc định, hoạt động giao tiếp giữa các thành phần không được mã hoá. Bạn có thể thêm lớp mã hoá bằng cách cài đặt Apigee mTLS. Để biết thêm thông tin, hãy xem bài viết Giới thiệu về Apigee mTLS.

Thông tin về cổng

Bảng dưới đây mô tả các cổng cần được mở trong tường lửa, theo thành phần Edge:

Thành phần Cổng Nội dung mô tả
Cổng HTTP tiêu chuẩn 80, 443 HTTP cùng với bất kỳ cổng nào khác mà bạn sử dụng cho máy chủ ảo
Hoạt động đăng nhập một lần (SSO) của Apigee 9099 Các kết nối từ nhà cung cấp danh tính (IDP) bên ngoài, Máy chủ quản lý và các trình duyệt để xác thực.
Cassandra 7000, 9042, 9160 Cổng Apache Cassandra để giao tiếp giữa các nút Cassandra và để các thành phần khác ở Edge truy cập.
7.199 Cổng JMX. Phải đang mở để Máy chủ quản lý truy cập.
LDAP 10389 OpenLDAP
Máy chủ quản lý 1099 Cổng JMX
4.526 Cổng cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối. Cổng này có thể định cấu hình.
5636 Cổng cho thông báo cam kết kiếm tiền.
8080 Cổng cho lệnh gọi API Quản lý Edge. Các thành phần này yêu cầu quyền truy cập vào cổng 8080 trên Máy chủ quản lý: Bộ định tuyến, Bộ xử lý thư, Giao diện người dùng, Postgres, Apigee SSO (nếu được bật) và Qpid.
Giao diện người dùng quản lý 9.000 Cổng để trình duyệt truy cập vào giao diện người dùng quản lý
Bộ xử lý thư 1101 Cổng JMX
4.528 Dành cho bộ nhớ đệm phân phối và lệnh gọi quản lý giữa Bộ xử lý thông báo cũng như cho hoạt động giao tiếp từ Bộ định tuyến và Máy chủ quản lý.

Bộ xử lý thư phải mở cổng 4528 làm cổng quản lý. Nếu bạn có nhiều Bộ xử lý thông báo, tất cả các Bộ xử lý thông báo đó phải có khả năng truy cập vào nhau qua cổng 4528 (được biểu thị bằng mũi tên vòng lặp trong sơ đồ ở trên đối với cổng 4528 trên Bộ xử lý thông báo). Nếu bạn có nhiều trung tâm dữ liệu, cổng phải truy cập được từ tất cả các Bộ xử lý thông báo trong mọi trung tâm dữ liệu.
8082

Cổng quản lý mặc định của Trình xử lý thông báo và phải được mở trên thành phần để Máy chủ quản lý truy cập.

Nếu bạn định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thư sẽ được Bộ định tuyến sử dụng để kiểm tra tình trạng trên Bộ xử lý thông báo.

Chỉ cần mở Cổng 8082 trên Bộ định tuyến để Bộ định tuyến truy cập khi bạn định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thông báo. Nếu bạn không định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thông báo thì cấu hình mặc định, cổng 8082 vẫn phải được mở trên Bộ xử lý thông báo để quản lý thành phần, nhưng Bộ định tuyến không yêu cầu quyền truy cập vào thành phần đó.
8443 Khi TLS được bật giữa Bộ định tuyến và Bộ xử lý thông báo, bạn phải mở cổng 8443 trên Bộ xử lý thông báo để Bộ định tuyến truy cập.
8.998 Cổng bộ xử lý thư để giao tiếp từ Bộ định tuyến
Postgres 22 Nếu định cấu hình 2 nút Postgres để sử dụng tính năng sao chép chính-dự phòng, bạn phải mở cổng 22 trên mỗi nút để truy cập SSH.
1103 Cổng JMX
4.530 Dành cho bộ nhớ đệm được phân phối và các lệnh gọi quản lý
5.432 Dùng để liên lạc từ Máy chủ Qpid/Management đến Postgres
8084 Cổng quản lý mặc định trên máy chủ Postgres; phải được mở trên thành phần để Máy chủ quản lý truy cập.
Qpid 1.102 Cổng JMX
4.529 Dành cho bộ nhớ đệm được phân phối và các lệnh gọi quản lý
5672
  • Trung tâm dữ liệu duy nhất: Dùng để gửi số liệu phân tích từ Bộ định tuyến và Bộ xử lý thông báo đến Qpid.
  • Nhiều trung tâm dữ liệu: Dùng để liên lạc giữa các nút Qpid trong các trung tâm dữ liệu khác nhau.

Mã này cũng được dùng để giao tiếp giữa máy chủ Qpid và các thành phần của người môi giới trên cùng một nút. Trong các cấu trúc liên kết có nhiều nút Qpid, máy chủ phải kết nối được với tất cả trình môi giới trên cổng 5672.
8083 Cổng quản lý mặc định trên máy chủ Qpid và phải được mở trên thành phần để Máy chủ quản lý truy cập.
Bộ định tuyến 4.527 Dành cho bộ nhớ đệm phân phối và các lệnh gọi quản lý.

Bộ định tuyến phải mở cổng 4527 làm cổng quản lý. Nếu bạn có nhiều Bộ định tuyến, tất cả các Bộ định tuyến đó phải có khả năng truy cập vào nhau qua cổng 4527 (được biểu thị bằng mũi tên vòng lặp trong sơ đồ ở trên cho cổng 4527 trên Bộ định tuyến).

Mặc dù không bắt buộc nhưng bạn có thể mở cổng 4527 trên Bộ định tuyến để mọi Bên xử lý thông báo truy cập. Nếu không, bạn có thể thấy thông báo lỗi trong tệp nhật ký của Trình xử lý thông báo.
8081 Cổng quản lý mặc định cho Bộ định tuyến và phải được mở trên thành phần để Máy chủ quản lý truy cập.
15.999

Cổng kiểm tra tình trạng. Trình cân bằng tải sử dụng cổng này để xác định xem Bộ định tuyến có hoạt động hay không.

Để biết trạng thái của Bộ định tuyến, trình cân bằng tải sẽ gửi yêu cầu đến cổng 15999 trên Bộ định tuyến:

curl -v http://routerIP:15999/v1/servers/self/reachable

Nếu có thể truy cập được Bộ định tuyến, yêu cầu sẽ trả về HTTP 200.
59.001 Cổng được dùng để kiểm thử việc cài đặt Edge bằng tiện ích apigee-validate. Tiện ích này yêu cầu quyền truy cập vào cổng 59001 trên Bộ định tuyến. Xem phần Kiểm thử bản cài đặt để biết thêm thông tin về cổng 59001.
SmartDocs 59.002 Cổng trên bộ định tuyến Edge mà các yêu cầu trang SmartDocs được gửi.
ZooKeeper 2181 Được sử dụng trong các thành phần khác như Máy chủ quản lý, Bộ định tuyến, Bộ xử lý thư, v.v.
2888, 3888 Được sử dụng nội bộ trong nội bộ để truyền cho cụm ZooKeeper (còn gọi là nhóm ZooKeeper)

Bảng tiếp theo cho thấy các cổng tương tự, được liệt kê dưới dạng số, với các thành phần nguồn và đích:

Số cổng Mục đích Thành phần nguồn Thành phần Đích đến
virtual_host_port HTTP cùng với mọi cổng khác mà bạn sử dụng cho lưu lượng truy cập lệnh gọi API máy chủ ảo. Cổng 80 và 443 thường được sử dụng nhất; Bộ định tuyến thông báo có thể chấm dứt kết nối TLS/SSL. Ứng dụng khách bên ngoài (hoặc trình cân bằng tải) Trình nghe trên Bộ định tuyến thư
1099 đến 1103 Quản lý JMX Ứng dụng JMX Máy chủ quản lý (1099)
Bộ xử lý thông báo (1101)
Máy chủ Qpid (1102)
Máy chủ Postgres (1103)
2181 Giao tiếp với khách hàng của người quản lý vườn thú Máy chủ quản lý
Bộ định tuyến
Bộ xử lý thông báo
Máy chủ Qpid
Máy chủ Postgres 		Người trông coi động vật
2888 và 3888 Quản lý nút phát hiện người nuôi thú Người trông coi động vật Người trông coi động vật
4526 Cổng quản lý RPC Máy chủ quản lý Máy chủ quản lý
4527 Cổng quản lý RPC dành cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối, cũng như để giao tiếp giữa các Bộ định tuyến Bộ định tuyến
máy chủ quản lý		 Bộ định tuyến
4528 Đối với các lệnh gọi bộ nhớ đệm được phân phối giữa Bộ xử lý thông báo và để giao tiếp từ Bộ định tuyến Máy chủ quản lý
Bộ định tuyến
Bộ xử lý thông báo 		Bộ xử lý thư
4529 Cổng quản lý RPC dành cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối Máy chủ quản lý Máy chủ Qpid
4530 Cổng quản lý RPC dành cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối Máy chủ quản lý Máy chủ Postgres
5432 Ứng dụng Postgres Máy chủ Qpid Postgres
5636 Kiếm tiền Thành phần JMS bên ngoài Máy chủ quản lý
5672
  • Trung tâm dữ liệu duy nhất: Dùng để gửi số liệu phân tích từ Bộ định tuyến và Bộ xử lý thông báo đến Qpid.
  • Nhiều trung tâm dữ liệu: Dùng để liên lạc giữa các nút Qpid trong các trung tâm dữ liệu khác nhau.

Mã này cũng được dùng để giao tiếp giữa máy chủ Qpid và các thành phần của người môi giới trên cùng một nút. Trong các cấu trúc liên kết có nhiều nút Qpid, máy chủ phải kết nối được với tất cả trình môi giới trên cổng 5672.

 Máy chủ Qpid Máy chủ Qpid
7000 Giao tiếp liên nút Cassandra Cassandra Nút Cassandra khác
7199 Quản lý JMX. Phải được mở để Máy chủ quản lý truy cập vào nút Cassandra. ứng dụng JMX Cassandra
8080 Cổng API quản lý Ứng dụng API Quản lý Máy chủ quản lý
8081 đến 8084

Cổng API thành phần, dùng để trực tiếp gửi yêu cầu API cho từng thành phần. Mỗi thành phần mở một cổng khác nhau; cổng chính xác được sử dụng phụ thuộc vào cấu hình nhưng phải được mở trên thành phần để Máy chủ quản lý truy cập

 Ứng dụng API Quản lý Bộ định tuyến (8081)
Bộ xử lý thông báo (8082)
Máy chủ Qpid (8083)
Máy chủ Postgres (8084)
8443 Hoạt động giao tiếp giữa Bộ định tuyến và Bộ xử lý thư khi TLS được bật Bộ định tuyến Bộ xử lý thư
8998 Hoạt động giao tiếp giữa Bộ định tuyến và Trình xử lý thư Bộ định tuyến Bộ xử lý thư
9000 Cổng giao diện người dùng quản lý Edge mặc định Trình duyệt Quản lý máy chủ giao diện người dùng
9042 Truyền tải gốc CQL Bộ định tuyến
Bộ xử lý thư
Máy chủ quản lý 		Cassandra
9099 Xác thực nhà cung cấp danh tính (IDP) bên ngoài Nhà cung cấp danh tính (IDP), trình duyệt và Máy chủ quản lý Hoạt động đăng nhập một lần (SSO) của Apigee
9160 Khách hàng tiết kiệm Cassandra Bộ định tuyến
Bộ xử lý thư
Máy chủ quản lý 		Cassandra
10389 Cổng LDAP Máy chủ quản lý OpenLDAP
15999 Cổng kiểm tra tình trạng. Trình cân bằng tải sử dụng cổng này để xác định xem Bộ định tuyến có hoạt động hay không. Trình cân bằng tải Bộ định tuyến
59001 Cổng mà tiện ích apigee-validate sử dụng để kiểm thử việc cài đặt Edge apigee-validate Bộ định tuyến
59002 Cổng bộ định tuyến nơi gửi yêu cầu trang SmartDocs SmartDocs Bộ định tuyến

Bộ xử lý thông báo giữ cho một nhóm kết nối chuyên dụng luôn mở cho Cassandra và được định cấu hình là không bao giờ hết thời gian chờ. Khi tường lửa nằm giữa Bộ xử lý thông báo và máy chủ Cassandra, tường lửa có thể hết thời gian chờ kết nối. Tuy nhiên, Trình xử lý thông báo không được thiết kế để thiết lập lại các kết nối với Cassandra.

Để ngăn chặn tình huống này, Apigee khuyến nghị máy chủ Cassandra, Bộ xử lý thư và Bộ định tuyến phải ở trong cùng một mạng con để không có tường lửa tham gia vào việc triển khai các thành phần này.

Nếu tường lửa nằm giữa Bộ định tuyến và Bộ xử lý thư, đồng thời được đặt thời gian chờ TCP ở trạng thái rảnh, thì bạn nên làm như sau:

  1. Đặt net.ipv4.tcp_keepalive_time = 1800 trong phần cài đặt sysctl trên hệ điều hành Linux, trong đó 1800 phải thấp hơn thời gian chờ tcp của tường lửa ở trạng thái rảnh. Chế độ cài đặt này sẽ giữ kết nối ở trạng thái đã thiết lập để tường lửa không ngắt kết nối.
  2. Trên mọi Trình xử lý tin nhắn, hãy chỉnh sửa /opt/apigee/customer/application/message-processor.properties để thêm thuộc tính sau. Hãy tạo tệp nếu chưa có. 
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. Khởi động lại bộ xử lý thư: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. Trên tất cả Bộ định tuyến, hãy chỉnh sửa /opt/apigee/customer/application/router.properties để thêm thuộc tính sau. Hãy tạo tệp nếu chưa có. 
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. Khởi động lại bộ định tuyến: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart