ولا تقتصر الحاجة إلى إدارة جدار الحماية على المضيفات الافتراضية فحسب، بل يجب أن يسمح كل من جدران الحماية للأجهزة الافتراضية والمضيف الفعلي بحركة مرور المنافذ التي تطلبها المكوّنات للاتصال بعضها ببعض.
المخططات البيانية للمنفذ
تعرض الصور التالية متطلبات المنفذ لكل من مركز بيانات واحد وإعدادات متعددة لمركز بيانات:
مركز البيانات الفردي
توضح الصورة التالية متطلبات المنفذ لكل مكون من مكونات Edge في إعداد واحد لمركز البيانات:
ملاحظات في هذا المخطّط البياني:
- المنافذ التي يسبقها الرمز "M" هي منافذ تُستخدَم لإدارة المكوِّن ويجب أن تكون مفتوحة على المكوِّن للوصول إليها من خلال "خادم الإدارة".
- تتطلّب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، من خلال المنافذ التي تكشفها الخوادم الوكيلة لواجهة برمجة التطبيقات، لإتاحة استخدام الزر إرسال في أداة التتبُّع.
- يمكن تهيئة الوصول إلى منافذ JMX بحيث يتطلب اسم مستخدم/كلمة مرور. اطّلِع على كيفية المراقبة للحصول على مزيد من المعلومات.
- يمكنك اختياريًا ضبط إمكانية الوصول إلى بروتوكول أمان طبقة النقل أو طبقة المقابس الآمنة لبعض الاتصالات التي يمكنها استخدام منافذ مختلفة. راجِع بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة لمعرفة المزيد.
- يمكنك ضبط خادم الإدارة وواجهة مستخدم Edge لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. في حال إجراء ذلك، يجب التأكد من إمكانية وصول خادم الإدارة وواجهة المستخدم إلى المنفذ اللازم على خادم SMTP (غير معروض). بالنسبة إلى بروتوكول SMTP الذي لا يستخدم بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول SMTP المزوّد ببروتوكول أمان طبقة النقل (TLS)، غالبًا ما يكون 465، ولكن يمكنك الرجوع إلى موفّر بروتوكول نقل البريد البسيط (SMTP).
مراكز بيانات متعددة
في حال تثبيت الإعداد المجمّع المكون من 12 عقدة مع مركزَي بيانات، تأكَّد من إمكانية اتصال العُقد في مركزَي البيانات عبر المنافذ الموضّحة أدناه:
ملاحظات:
- يجب أن تتمكن جميع خوادم الإدارة من الوصول إلى جميع عُقد Cassandra في جميع مراكز البيانات الأخرى.
- يجب أن تتمكن جميع معالِجات الرسائل في جميع مراكز البيانات من الوصول إلى بعضها البعض عبر المنفذ 4528.
- يجب أن يتمكن خادم الإدارة من الوصول إلى جميع معالجات الرسائل عبر المنفذ 8082.
- يجب أن تكون جميع خوادم الإدارة وجميع عُقد Qpid قادرة على الوصول إلى Postgres في جميع مراكز البيانات الأخرى.
- لأسباب تتعلق بالأمان، بخلاف المنافذ الموضحة أعلاه وأي منافذ أخرى تتطلبها متطلبات الشبكة الخاصة بك، يجب ألا تكون المنافذ الأخرى مفتوحة بين مراكز البيانات.
لا يتم تشفير الاتصالات بين المكوّنات تلقائيًا. يمكنك إضافة التشفير من خلال تثبيت Apigee mTLS. للمزيد من المعلومات، يُرجى الاطِّلاع على مقدمة حول Apigee mTLS.
تفاصيل النقل
يوضح الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، بواسطة مكوِّن Edge:
| المكوِّن | ميناء | الوصف |
|---|---|---|
| منافذ HTTP العادية | 80، 443 | HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفات الظاهرية |
| الدخول الموحّد (SSO) لخدمة Apigee | 9099 | اتصالات من موفِّري الهوية الخارجيين وخادم الإدارة والمتصفِّحات للمصادقة. |
| من الفئة العمرية 31-45 | 7000، 9042، 9160 | منافذ Apache Cassandra للاتصال بين عُقد Cassandra والوصول إلى مكونات Edge الأخرى. |
| 7199 | منفذ JMX. يجب أن يكون متاحًا للوصول إليه من خلال خادم الإدارة. | |
| LDAP | 10389 | OpenLDAP |
| خادم الإدارة | 1099 | منفذ JMX |
| 4526 | منفذ لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة. هذا المنفذ قابل للإعداد. | |
| 5636 | نقل إشعارات الالتزام بتحقيق الربح | |
| 8080 | منفذ طلبات واجهة برمجة التطبيقات لإدارة Edge تتطلّب هذه المكوّنات إذن الوصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه، ومعالج الرسائل، وواجهة المستخدم، وPostgres، وخدمة الدخول المُوحَّد (SSO) لخدمة Apigee (في حال تفعيلها)، وQpid. | |
| واجهة مستخدم الإدارة | 9,000 | منفذ لوصول المتصفح إلى واجهة مستخدم الإدارة |
| معالج الرسائل | 1101 | منفذ JMX |
| 4528 | لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة بين معالِجات الرسائل،
وللاتصالات من جهاز التوجيه وخادم الإدارة.
يجب أن يفتح "معالج الرسائل" المنفذ 4528 ليكون منفذ الإدارة الخاص به. إذا كانت لديك عدة معالجات رسائل، يجب أن تتمكن جميعها من الوصول إلى بعضها عبر المنفذ 4528 (ويشار إليه بسهم التكرار الحلقي في المخطط أعلاه للمنفذ 4528 في معالج الرسائل). وإذا كانت لديك مراكز بيانات متعددة، يجب أن تكون إمكانية الوصول إلى المنفذ من جميع معالِجات الرسائل في جميع مراكز البيانات. |
|
| 8082 |
منفذ الإدارة التلقائي لمعالج الرسائل ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة. في حال ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة بين جهاز التوجيه ومعالج الرسائل، يستخدمه جهاز التوجيه لإجراء عمليات التحقّق من سلامة "معالج الرسائل". يجب فتح المنفذ 8082 على "معالج الرسائل" للوصول إلى جهاز التوجيه فقط عند ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة بين جهاز التوجيه ومعالج الرسائل. في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة بين جهاز التوجيه ومعالج الرسائل، يجب أن تكون الإعدادات التلقائية للمنفذ 8082 مفتوحة على معالج الرسائل لإدارة المكوّن، إلا أنّ جهاز التوجيه لا يطلب الوصول إليه. |
|
| 8443 | عند تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يجب فتح المنفذ 8443 في معالج الرسائل للوصول إلى جهاز التوجيه. | |
| 8998 | منفذ معالج الرسائل للاتصالات من جهاز التوجيه | |
| بوستجريس | 22 | في حال ضبط عقدتَين من Postgres لاستخدام النسخ المماثل في وضع الاستعداد الرئيسي، يجب فتح المنفذ 22 في كل عقدة من أجل الوصول عبر بروتوكول النقل الآمن. |
| 1103 | منفذ JMX | |
| 4530 | لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة | |
| 5432 | يُستخدم للاتصال من Qpid/Management Server إلى Postgres | |
| 8084 | منفذ الإدارة التلقائي على خادم Postgres، ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة. | |
| معرّف Qpid | 1102 | منفذ JMX |
| 4529 | لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة | |
| 5672 |
وتُستخدَم أيضًا للاتصال بين خادم Qpid ومكوّن الوسيط على نفس العقدة. في التصاميم التي تحتوي على عُقد Qpid متعدّدة، يجب أن يكون الخادم قادرًا على الاتصال بجميع الوسطاء على المنفذ 5672. |
|
| 8083 | منفذ الإدارة التلقائي على خادم Qpid ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة. | |
| جهاز التوجيه | 4527 | لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة.
يجب أن يفتح جهاز التوجيه المنفذ 4527 ليكون منفذ الإدارة الخاص به. إذا كانت لديك عدة أجهزة توجيه، يجب أن يكون بمقدورها جميعًا الوصول إلى بعضها عبر المنفذ 4527 (يُشار إليه بسهم التكرار الحلقي في الرسم البياني أعلاه للمنفذ 4527 على جهاز التوجيه). يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إلى البيانات من خلال أي معالج رسائل، على الرغم من عدم الحاجة إليه. وإلا، قد تظهر لك رسائل خطأ في ملفات سجلّ "معالج الرسائل". |
| 8081 | منفذ الإدارة التلقائي لجهاز التوجيه ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة. | |
| 15999 |
منفذ التحقق من الصحة ويستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه متاحًا. لمعرفة حالة جهاز التوجيه، يُجري جهاز موازنة الحمل طلبًا بمنفذ 15999 على جهاز التوجيه: curl -v http://routerIP:15999/v1/servers/self/reachable وفي حال إمكانية الوصول إلى جهاز التوجيه، سيعرض الطلب HTTP 200. |
|
| 59001 | المنفذ المستخدَم لاختبار تثبيت Edge من خلال الأداة المساعدة apigee-validate.
تتطلب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. راجع
اختبار التثبيت لمعرفة المزيد عن المنفذ 59001. |
|
| SmartDocs | 59002 | المنفذ على جهاز توجيه Edge الذي يتم إرسال طلبات صفحة Smart Docs إليه. |
| ZooKeeper | 2181 | يستخدمها مكوّنات أخرى مثل خادم الإدارة، وجهاز التوجيه، ومعالج الرسائل، وغير ذلك |
| 2888، 3888 | يتم استخدامه داخليًا من قِبل ZooKeeper للاتصال بالمجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper) |
يعرض الجدول التالي المنافذ نفسها مدرَجة رقميًا مع مكوّنات المصدر والوجهة:
| رقم المنفذ | الغرض | المكوِّن المصدر | مكوِّن الوجهة |
|---|---|---|---|
| virtual_host_port | HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لعدد زيارات الاتصال عبر واجهة برمجة تطبيقات المضيف الظاهري. يتم استخدام المنفذين 80 و443 بشكل شائع، حيث يمكن لجهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة. | العميل الخارجي (أو موازن التحميل) | المستمع على جهاز توجيه الرسائل |
| من 1099 إلى 1103 | إدارة JMX | عميل JMX | خادم الإدارة (1099) معالج الرسائل (1101) خادم Qpid (1102) Postgres Server (1103) |
| 2181 | التواصل مع العميل في Zookeeper | خادم الإدارة جهاز التوجيه معالج الرسائل خادم Qpid خادم Postgres |
حارس حديقة الحيوان |
| 2888 و3888 | إدارة الأجهزة الداخلية في Zookeeper | حارس حديقة الحيوان | حارس حديقة الحيوان |
| 4526 | منفَذ إدارة RPC | خادم الإدارة | خادم الإدارة |
| 4527 | منفذ إدارة استدعاء إجراء عن بُعد (RPC) لاستدعاءات ذاكرة التخزين المؤقت والإدارة الموزعة، والاتصالات بين أجهزة التوجيه | جهاز توجيه خادم الإدارة |
جهاز التوجيه |
| 4528 | لاستدعاءات ذاكرة التخزين المؤقت الموزَّعة بين معالِجات الرسائل، وللاتصالات من جهاز التوجيه | خادم الإدارة جهاز التوجيه معالج الرسائل |
معالج الرسائل |
| 4529 | منفذ إدارة استدعاء إجراء عن بُعد (RPC) لمكالمات التخزين المؤقت ومكالمات الإدارة الموزعة | خادم الإدارة | خادم Qpid |
| 4530 | منفذ إدارة استدعاء إجراء عن بُعد (RPC) لمكالمات التخزين المؤقت ومكالمات الإدارة الموزعة | خادم الإدارة | خادم Postgres |
| 5432 | عميل Postgres | خادم Qpid | بوستجريس |
| 5636 | تحقيق الربح | مكوِّن JMS الخارجي | خادم الإدارة |
| 5672 |
وتُستخدَم أيضًا للاتصال بين خادم Qpid ومكوّن الوسيط على نفس العقدة. في التصاميم التي تحتوي على عُقد Qpid متعدّدة، يجب أن يكون الخادم قادرًا على الاتصال بجميع الوسطاء على المنفذ 5672. |
خادم Qpid | خادم Qpid |
| 7000 | اتصالات بين عقدة كاساندرا | من الفئة العمرية 31-45 | عقدة Cassandra أخرى |
| 7199 | إدارة JMX. يجب أن يفتح خادم الإدارة إمكانية الوصول إلى عقدة Cassandra. | عميل JMX | من الفئة العمرية 31-45 |
| 8080 | منفذ Management API | برامج Management API | خادم الإدارة |
| 8081 إلى 8084 |
منافذ واجهة برمجة التطبيقات للمكوّنات، تُستخدَم لإصدار طلبات البيانات من واجهة برمجة التطبيقات إلى المكوّنات الفردية مباشرةً. يفتح كل مكون منفذ مختلف، ويعتمد المنفذ الدقيق المستخدم على التهيئة ولكن يجب أن يكون مفتوحًا على المكون للوصول إليه من خلال خادم الإدارة |
برامج Management API | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8443 | الاتصال بين جهاز التوجيه ومعالج الرسائل عند تفعيل بروتوكول أمان طبقة النقل (TLS) | جهاز التوجيه | معالج الرسائل |
| 8998 | الاتصال بين جهاز التوجيه ومعالج الرسائل | جهاز التوجيه | معالج الرسائل |
| 9000 | المنفذ التلقائي لواجهة مستخدم إدارة Edge | المتصفح | خادم واجهة مستخدم الإدارة |
| 9042 | خدمة نقل أصلي من شركة CQL | جهاز التوجيه معالج الرسائل خادم الإدارة |
من الفئة العمرية 31-45 |
| 9099 | مصادقة موفِّر الهوية الخارجي | موفّر الهوية والمتصفح وخادم الإدارة | الدخول الموحّد (SSO) لخدمة Apigee |
| 9160 | عميل للتوفير في "كاساندرا" | جهاز التوجيه معالج الرسائل خادم الإدارة |
من الفئة العمرية 31-45 |
| 10389 | منفذ LDAP | خادم الإدارة | OpenLDAP |
| 15999 | منفذ التحقق من الصحة ويستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه متاحًا. | جهاز موازنة الحمل | جهاز التوجيه |
| 59001 | المنفذ الذي تستخدمه الأداة المساعدة apigee-validate لاختبار تثبيت Edge |
apigee-validate | جهاز التوجيه |
| 59002 | منفذ جهاز التوجيه الذي يتم من خلاله إرسال طلبات صفحة Smart Docs | SmartDocs | جهاز التوجيه |
يبقي معالج الرسائل مجموعة اتصالات مخصّصة مفتوحة لـ Cassandra، والتي يتم ضبطها على عدم انتهاء المهلة أبدًا. عندما يكون جدار الحماية بين "معالج الرسائل" وخادم Cassandra، يمكن لجدار الحماية إنهاء الاتصال. ومع ذلك، لم يتم تصميم معالج الرسائل لإعادة إنشاء الاتصالات بـ Cassandra.
للحيلولة دون حدوث هذا الموقف، تنصح Apigee بأن يكون خادم Cassandra ومعالج الرسائل وأجهزة التوجيه في الشبكة الفرعية نفسها كي لا يشارك جدار الحماية في نشر هذه المكونات.
إذا كان هناك جدار حماية بين جهاز التوجيه ومعالِجات الرسائل، وتم ضبط مهلة بروتوكول TCP (بروتوكول التحكم في الإرسال) غير نشطة لفترة قصيرة، نقترح عليك إجراء ما يلي:
- اضبط
net.ipv4.tcp_keepalive_time = 1800في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن يكون الرقم 1800 أقل من مهلة tcpئ لجدار الحماية. ويجب أن يؤدي هذا الإعداد إلى إبقاء الاتصال كما هو حتى لا يقطع الجدار الناري الاتصال. - في جميع معالِجات الرسائل، عدِّل
/opt/apigee/customer/application/message-processor.propertiesلإضافة السمة التالية. إذا لم يكن الملف موجودًا، فأنشئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- أعِد تشغيل معالج الرسائل:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- على جميع أجهزة التوجيه، عدِّل
/opt/apigee/customer/application/router.propertiesلإضافة السمة التالية. إذا لم يكن الملف موجودًا، فأنشئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- عليك إعادة تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart