Güvenlik duvarı yönetimi, yalnızca sanal ana makinelerle sınırlı değildir. hem sanal makine hem de fiziksel ana makine güvenlik duvarları, bileşenlerin her biri ile iletişim kurması için gereken bağlantı noktalarından trafiğe izin vermelidir. diğer.
Bağlantı noktası diyagramları
Aşağıdaki resimlerde, hem tek bir veri merkezi hem de birden fazla veri merkezi için bağlantı noktası gereksinimlerini veri merkezi yapılandırması:
Tek Veri Merkezi
Aşağıdaki resimde, tek bir verideki her Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir merkez yapılandırması:
Bu şemadaki notlar:
- Önünde "M" olan bağlantı noktaları bileşeni yönetmek için kullanılan bağlantı noktalarıdır ve bileşeninin kullanımını ele alacağız.
- Edge kullanıcı arayüzünün Gönder düğmesine basın.
- JMX bağlantı noktalarına erişim, kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Görüntüleyin Nasıl İzlenir? bölümünde daha fazla bilgi edinebilirsiniz.
- Belirli bağlantılar için TLS/SSL erişimini isteğe bağlı olarak yapılandırabilirsiniz. farklı bağlantı noktaları vardır. Şu güvenlik ayarları için TLS/SSL başlıklı makaleyi inceleyin: daha fazla.
- Yönetim Sunucusu'nu ve Uç kullanıcı arayüzünü, harici bir SMTP üzerinden e-posta gönderecek şekilde yapılandırabilirsiniz sunucu. Bunu yaparsanız Yönetim Sunucusu'nun ve kullanıcı arayüzünün gerekli dosyalara erişebildiğinden emin olun bağlantı noktası (gösterilmemiştir). TLS kullanılmayan SMTP için bağlantı noktası numarası genellikle 25'tir. Örneğin, TLS özellikli SMTP, genellikle 465'tir. Ancak SMTP sağlayıcınıza danışın.
Birden Çok Veri Merkezi
12 düğümlü iki veri merkezi olan kümelenmiş yapılandırma kullanıyorsanız iki veri merkezindeki düğümlerin aşağıda gösterilen bağlantı noktaları üzerinden iletişim kurabilir:
Unutmayın:
- Tüm Yönetim Sunucuları, diğer tüm verilerdeki tüm Cassandra düğümlerine erişebilmelidir. üretebiliriz.
- Tüm veri merkezlerindeki tüm Mesaj İşleyicilerin hepsi aşağıdaki bağlantı üzerinden birbirlerine bağlantı noktası 4528'dir.
- Yönetim Sunucusu, 8082 numaralı bağlantı noktası üzerinden tüm İleti İşleyicilere erişebilmelidir.
- Tüm Yönetim Sunucuları ve tüm Qpid düğümleri, veri merkezleridir.
- Güvenlik nedeniyle, yukarıda gösterilen bağlantı noktaları ve diğer bağlantı noktaları hariç ağ gereksinimleriniz uyarınca zorunlu olduğunda, veriler arasında açık bağlantı noktası olmamalıdır. üretebiliriz.
Varsayılan olarak, bileşenler arasındaki iletişim şifrelenmez. Şifrelemeyi ekleyebilirsiniz: Apigee mTLS'yi yüklüyor. Daha fazla bilgi için Apigee mTLS'ye Giriş başlıklı makaleye bakın.
Bağlantı noktası ayrıntıları
Aşağıdaki tabloda, Edge bileşenine göre güvenlik duvarlarında açılması gereken bağlantı noktaları açıklanmaktadır:
| Bileşen | Bağlantı noktası | Açıklama |
|---|---|---|
| Standart HTTP bağlantı noktaları | 80.443 | HTTP ve sanal ana makineler için kullandığınız diğer bağlantı noktaları |
| Apigee TOA | 9.099 | Harici IdP'lerden, Yönetim Sunucusu'ndan ve tarayıcılardan gelen bağlantılar kimlik doğrulama. |
| Cassandra | 7.000, 9042, 9160 | Cassandra düğümleri arasında iletişim için Apache Cassandra bağlantı noktalarının diğer Edge bileşenlerini de kullanabilirsiniz. |
| 7.199 | JMX bağlantı noktası. Yönetim sunucusu tarafından erişime açık olmalıdır. | |
| LDAP | 10.389 | OpenLDAP |
| Yönetim Sunucusu | 1.099 | JMX bağlantı noktası |
| 4.526 | Dağıtılmış önbellek ve yönetim çağrıları için bağlantı noktası. Bu bağlantı noktası yapılandırılabilir. | |
| 5.636 | Para kazanma kaydetme bildirimlerinin bulunduğu bağlantı noktası. | |
| 8.080 | Edge management API çağrıları için bağlantı noktası. Bu bileşenler, Yönetim Sunucusu: Yönlendirici, Mesaj İşlemci, Kullanıcı Arayüzü, Postgres, Apigee TOA (etkinse), ve Qpid'dir. | |
| Yönetim kullanıcı arayüzü | 9.000 | Yönetim kullanıcı arayüzüne tarayıcı erişimi için bağlantı noktası |
| Mesaj İşleyici | 1.101 | JMX bağlantı noktası |
| 4.528 | Mesaj İşleyenleri arasında dağıtılmış önbellek ve yönetim çağrıları ve
tüm yönlendirici bilgileri içerir.
Mesaj İşleyici, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla Mesaj İşleyicilerin hepsi birbirlerine 4528 numaralı bağlantı noktası üzerinden erişebilmelidir (belirtilen İleti İşleyicideki bağlantı noktası 4528 için yukarıdaki şemada yer alan döngü okuna dokunun. Mevcut bağlantı noktası, tüm verilerdeki Mesaj İşleyicilerin hepsinden erişilebilir olmalıdır. üretebiliriz. |
|
| 8.082 |
İleti İşleyen için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu tarafından erişilir. Yönlendirici ve İleti İşlemci arasında, Yönlendiricinin kullandığı TLS/SSL'yi yapılandırırsanız Mesaj İşleyici'de durum denetimleri yapmak için kullanılır. İleti İşleyicideki 8082 numaralı bağlantı noktasının yalnızca yönlendiricinin erişebilmesi için açık olması gerekir. Yönlendirici ve İleti İşlemci arasında TLS/SSL'yi yapılandırma. TLS/SSL'yi yapılandırmazsanız arasında bağlantı yoksa, varsayılan yapılandırma, bağlantı noktası 8082 bileşen yönetmek için Mesaj İşleyici'de açık olmalıdır, ancak Yönlendirici erişebilir. |
|
| 8.443 | Yönlendirici ve İleti İşlemci arasında TLS etkinleştirildiğinde, aşağıdaki bağlantı noktasında 8443’ü açmanız gerekir: İleti İşleyici’nin yönlendirici erişimine sahip olmasını sağlar. | |
| 8.998 | Yönlendiriciden iletişim için mesaj işlemcisi bağlantı noktası | |
| Postgres | 22 | İki Postgres düğümünü ana bekleme replikasını kullanacak şekilde yapılandırıyorsanız SSH erişimi için her düğümde bağlantı noktası 22'yi tıklayın. |
| 1.103 | JMX bağlantı noktası | |
| 4.530 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5432 | Qpid/Yönetim Sunucusu ile Postgres arasındaki iletişim için kullanılır | |
| 8.084 | Postgres sunucusundaki varsayılan yönetim bağlantı noktası; erişim için bileşende açık olmalıdır Yönetim Sunucusu tarafından oluşturulur. | |
| Qpid | 1.102 | JMX bağlantı noktası |
| 4.529 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5.672 |
Aynı zamanda Qpid sunucusu ile aracı bileşenleri arasındaki iletişim için de kullanılır. düğüm. Birden fazla Qpid düğümüne sahip topolojilerde sunucunun komisyoncuları olarak kullanabilirsiniz. |
|
| 8.083 | Qpid sunucusundaki varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu tarafından erişilir. | |
| Yönlendirici | 4.527 | Dağıtılmış önbellek ve yönetim çağrıları için.
Yönlendirici, yönetim bağlantı noktası olarak 4527 numaralı bağlantı noktasını açmalıdır. Birden fazla Yönlendiriciniz varsa tümü, bağlantı noktası 4527 üzerinden birbirine erişebilmelidir ( 4527 numaralı bağlantı noktasına ait yukarıdaki şemaya bakın). Gerekli olmasa da, herhangi bir cihaza erişmek için Yönlendirici üzerindeki 4527 numaralı bağlantı noktasını açabilirsiniz Mesaj İşleyici'yi seçin. Aksi takdirde Mesaj İşleyici'de hata mesajları görebilirsiniz. . |
| 8.081 | Yönlendirici için varsayılan yönetim bağlantı noktası ve erişim için bileşende açık olmalıdır Yönetim Sunucusu tarafından oluşturulur. | |
| 15.999 |
Durum denetimi bağlantı noktası. Yük dengeleyici, Yönlendiricinin yapılıp yapılmadığını belirlemek için kullanılabilir. Yük dengeleyici, bir Yönlendiricinin durumunu almak için, aynı yönlendiricideki bağlantı noktası 15999'a Yönlendirici: curl -v http://routerIP:15999/v1/servers/self/reachable Yönlendiriciye erişilebiliyorsa istek, HTTP 200 döndürür. |
|
| 59.001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası.
Bu yardımcı program, Yönlendirici üzerindeki bağlantı noktası 59001'e erişim gerektirir. Görüntüleyin
59001 bağlantı noktasında daha fazla bilgi için yüklemeyi test edin. |
|
| SmartDocs | 59.002 | SmartDokümanlar sayfa isteklerinin gönderildiği Edge yönlendiricisindeki bağlantı noktası. |
| ZooKeeper | 2181 | Yönetim Sunucusu, Yönlendirici, İleti İşlemci vb. bileşenler tarafından kullanılır |
| 2888, 3888 | ZooKeeper kümesi (ZooKeeper topluluğu olarak bilinir) için ZooKeeper tarafından dahili olarak kullanılır iletişim |
Sonraki tabloda aynı bağlantı noktaları, kaynak ve hedef ile birlikte sayısal olarak listelenmiş şekilde gösterilir bileşenler:
| Bağlantı Noktası Numarası | Amaç | Kaynak Bileşeni | Hedef Bileşeni |
|---|---|---|---|
| virtual_host_port | HTTP ve sanal ana makine API'si çağrı trafiği için kullandığınız diğer tüm bağlantı noktaları. 80 ve 443 numaralı bağlantı noktaları en yaygın şekilde kullanılır. İleti Yönlendiricisi, TLS/SSL bağlantılarını sonlandırabilir. | Harici istemci (veya yük dengeleyici) | Message Router'daki dinleyici |
| 1099 - 1103 | JMX Yönetimi | JMX İstemcisi | Yönetim Sunucusu (1099) Mesaj İşleyici (1101) Qpid Sunucusu (1102) Postgres Sunucusu (1103) |
| 2181 | Zookeeper istemci iletişimi | Yönetim Sunucusu Yönlendirici Mesaj İşleyici Qpid Sunucusu Postgres Sunucusu |
Zookeeper |
| 2888 ve 3888 | Zookeeper internode yönetimi | Zookeeper | Zookeeper |
| 4526 | RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Yönetim Sunucusu |
| 4527 | Dağıtılmış önbellek ve yönetim çağrıları ve iletişim için RPC Yönetimi bağlantı noktası Yönlendiriciler arasında | Yönetim Sunucusu Yönlendirici |
Yönlendirici |
| 4528 | Mesaj İşleyenleri arasında dağıtılmış önbellek çağrıları ve iletişim için Yönlendiriciden | Yönetim Sunucusu Yönlendirici Mesaj İşleyici |
Mesaj İşleyici |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Qpid Sunucusu |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Postgres Sunucusu |
| 5432 | Postgres müşterisi | Qpid Sunucusu | Postgres |
| 5636 | Para kazanma | Harici JMS bileşeni | Yönetim Sunucusu |
| 5672 |
Aynı zamanda Qpid sunucusu ile aracı bileşenleri arasındaki iletişim için de kullanılır. düğüm. Birden fazla Qpid düğümüne sahip topolojilerde sunucunun komisyoncuları olarak kullanabilirsiniz. |
Qpid Sunucusu | Qpid Sunucusu |
| 7000 | Cassandra düğümler arası iletişim | Cassandra | Diğer Cassandra düğümü |
| 7199 | JMX yönetimi. Yönetim tarafından Cassandra düğümüne erişim için açık olmalıdır Sunucu. | JMX istemcisi | Cassandra |
| 8080 | Management API bağlantı noktası | Management API istemcileri | Yönetim Sunucusu |
| 8081 - 8084 |
API isteklerini doğrudan bağımsız bileşenlere yayınlamak için kullanılan Bileşen API bağlantı noktaları. Her bileşen farklı bir bağlantı noktası açar; kullanılan tam bağlantı noktası, yapılandırmaya bağlıdır. ancak Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır |
Management API istemcileri | Yönlendirici (8081) Mesaj İşleyici (8082) Qpid Sunucusu (8083) Postgres Sunucusu (8084) |
| 8443 | TLS etkinleştirildiğinde Yönlendirici ve İleti İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 8998 | Yönlendirici ve Mesaj İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 9000 | Varsayılan Edge yönetimi kullanıcı arayüzü bağlantı noktası | Tarayıcı | Yönetim Kullanıcı Arayüzü Sunucusu |
| 9042 | CQL yerel taşıma | Yönlendirici Mesaj İşleyici Yönetim Sunucusu |
Cassandra |
| 9099 | Harici IDP kimlik doğrulaması | IDP, tarayıcı ve Yönetim Sunucusu | Apigee TOA |
| 9160 | Cassandra ikinci el müşteri | Yönlendirici Mesaj İşleyici Yönetim Sunucusu |
Cassandra |
| 10389 | LDAP bağlantı noktası | Yönetim Sunucusu | OpenLDAP |
| 15999 | Durum denetimi bağlantı noktası. Yük dengeleyici, Yönlendiricinin yapılıp yapılmadığını belirlemek için kullanılabilir. | Yük dengeleyici | Yönlendirici |
| 59001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası |
apigee-validate | Yönlendirici |
| 59002 | SmartDokümanlar sayfa isteklerinin gönderildiği yönlendirici bağlantı noktası | SmartDocs | Yönlendirici |
İleti İşleyici, Cassandra'ya özel bir bağlantı havuzunu açık tutar ve hiçbir zaman zaman aşımına uğramaması için İleti İşleyici ile Cassandra sunucusu arasında bir güvenlik duvarı olduğunda bağlantı zaman aşımına uğrayabilir. Ancak Mesaj İşleyici, bu mesaj Cassandra ile yeniden bağlantılar kurmak.
Apigee, bu durumu önlemek için Cassandra sunucusuna, Mesaj İşlemcisine ve Bu yönlendiricilerin dağıtımında bir güvenlik duvarının olmaması için yönlendiriciler aynı alt ağda olmalıdır bileşenlerine ayıralım.
Yönlendirici ile İleti İşlemcileri arasında bir güvenlik duvarı varsa ve boşta kalma TCP zaman aşımı ayarlıysa önerilerimiz aşağıdakileri yapmanızdır:
- Linux OS'teki sysctl ayarlarında
net.ipv4.tcp_keepalive_time = 1800ayarını yapın. 1800 değeri, güvenlik duvarı boşta kalma TCP zaman aşımından düşük olmalıdır. Bu ayar, bunu kabul etmiş olursunuz. - Tüm Mesaj İşleyicilerde:
/opt/apigee/customer/application/message-processor.properties. aşağıdaki özelliği ekleyin. Dosya yoksa, oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mesaj İşleyici'yi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
. - Tüm Yönlendiricilerde
/opt/apigee/customer/application/router.propertiesayarını düzenleyin aşağıdaki özelliği ekleyin. Dosya yoksa, oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
.