Nhu cầu quản lý tường lửa không chỉ dừng lại ở máy chủ ảo; cả máy ảo và máy chủ thực tường lửa phải cho phép lưu lượng truy cập đối với các cổng do thành phần yêu cầu để giao tiếp với từng cổng khác.
Sơ đồ cổng
Các hình ảnh sau đây trình bày các yêu cầu về cổng đối với cả một trung tâm dữ liệu và nhiều trung tâm dữ liệu cấu hình trung tâm dữ liệu:
Trung tâm dữ liệu đơn lẻ
Hình ảnh sau đây cho thấy các yêu cầu về cổng đối với từng thành phần của Edge trong một dữ liệu cấu hình trung tâm:
Lưu ý trên sơ đồ này:
- Các cổng có tiền tố "M" là các cổng dùng để quản lý thành phần và phải được mở trên để máy chủ quản lý truy cập.
- Giao diện người dùng Edge yêu cầu quyền truy cập vào Bộ định tuyến, trên các cổng được proxy API hiển thị để hỗ trợ nút Send (Gửi) trong công cụ theo dõi.
- Quyền truy cập vào cổng JMX có thể được định cấu hình để yêu cầu tên người dùng/mật khẩu. Xem Cách giám sát để biết thêm thông tin.
- Bạn có thể tuỳ ý định cấu hình quyền truy cập TLS/SSL cho một số kết nối nhất định. Chế độ này có thể sử dụng cổng khác nhau. Xem TLS/SSL cho khác.
- Bạn có thể định cấu hình Management Server và Edge UI để gửi email thông qua một SMTP bên ngoài máy chủ. Nếu làm như vậy, bạn phải đảm bảo rằng Máy chủ quản lý và giao diện người dùng có thể truy cập vào các thông tin cần thiết cổng trên máy chủ SMTP (không được hiển thị). Đối với SMTP không phải TLS, số cổng thường là 25. Cho SMTP có bật TLS. Giao thức này thường là 465, nhưng hãy kiểm tra với nhà cung cấp SMTP của bạn.
Nhiều trung tâm dữ liệu
Nếu bạn cài đặt 12 nút cấu hình phân cụm với 2 trung tâm dữ liệu, hãy đảm bảo rằng các nút trong 2 trung tâm dữ liệu có thể giao tiếp qua các cổng được hiển thị dưới đây:
Lưu ý:
- Tất cả Máy chủ quản lý phải có thể truy cập vào tất cả các nút Cassandra trong mọi dữ liệu khác trung tâm.
- Tất cả Trình xử lý thông báo trong tất cả các trung tâm dữ liệu phải có thể truy cập lẫn nhau qua cổng 4528.
- Máy chủ quản lý phải có thể truy cập vào tất cả Bộ xử lý thư qua cổng 8082.
- Tất cả Máy chủ quản lý và tất cả các nút Qpid phải có thể truy cập Postgres trong tất cả các nút khác trung tâm dữ liệu.
- Vì lý do bảo mật, ngoài các cổng nêu trên và bất kỳ cổng nào khác theo yêu cầu mạng của riêng bạn, không nên mở cổng nào khác giữa các dữ liệu trung tâm.
Theo mặc định, hoạt động giao tiếp giữa các thành phần không được mã hoá. Bạn có thể thêm phương thức mã hoá bằng cách cài đặt mTLS của Apigee. Để biết thêm thông tin, hãy xem bài viết Giới thiệu về Apigee mTLS.
Chi tiết về cổng
Bảng dưới đây mô tả các cổng cần được mở trong tường lửa, theo thành phần Edge:
| Thành phần | Cổng | Mô tả |
|---|---|---|
| Cổng HTTP tiêu chuẩn | 80, 443 | HTTP cùng với mọi cổng khác mà bạn sử dụng cho máy chủ ảo |
| Đăng nhập một lần (SSO) của Apigee | 9099 | Kết nối từ IDP bên ngoài, Máy chủ quản lý và trình duyệt cho xác thực. |
| Cassandra | 7000, 9042, 9160 | Các cổng Apache Cassandra để giao tiếp giữa các nút Cassandra và để truy cập bằng các thành phần Edge khác. |
| 7.199 | Cổng JMX. Máy chủ quản lý phải mở để máy chủ quản lý có thể truy cập. | |
| LDAP | 10389 | OpenLDAP |
| Máy chủ quản lý | 1099 | Cổng JMX |
| 4526 | Cổng cho các lệnh gọi quản lý và bộ nhớ đệm được phân phối. Cổng này có thể định cấu hình. | |
| 5636 | Cổng thông báo cam kết kiếm tiền. | |
| 8080 | Chuyển các lệnh gọi API quản lý Edge. Các thành phần này cần có quyền truy cập vào cổng 8080 trên Máy chủ quản lý: Bộ định tuyến, Bộ xử lý tin nhắn, Giao diện người dùng, Postgres, SSO của Apigee (nếu được bật), và Qpid. | |
| Giao diện người dùng quản lý | 9.000 | Cổng cho phép trình duyệt truy cập vào giao diện người dùng quản lý |
| Trình xử lý tin nhắn | 1101 | Cổng JMX |
| 4528 | Đối với bộ nhớ đệm phân phối và các lệnh gọi quản lý giữa các Trình xử lý thư và cho
giao tiếp từ Bộ định tuyến và Máy chủ quản lý.
Bộ xử lý thông báo phải mở cổng 4528 làm cổng quản lý. Nếu bạn có nhiều Tất cả các Bộ xử lý thư này phải có thể truy cập lẫn nhau qua cổng 4528 (được biểu thị bằng mũi tên lặp lại trong sơ đồ ở trên cho cổng 4528 trên Bộ xử lý thông báo). Nếu bạn có nhiều trung tâm dữ liệu, cổng phải truy cập được từ tất cả Trình xử lý thông báo trong mọi dữ liệu trung tâm. |
|
| 8082 |
Cổng quản lý mặc định cho Trình xử lý tin nhắn và phải được mở trên thành phần cho quyền truy cập bằng Máy chủ quản lý. Nếu bạn định cấu hình TLS/SSL giữa Bộ định tuyến và Trình xử lý thư, được Bộ định tuyến sử dụng để kiểm tra tình trạng của Bộ xử lý tin nhắn. Cổng 8082 trên Bộ xử lý thông báo chỉ được mở để Bộ định tuyến truy cập khi bạn định cấu hình TLS/SSL giữa Bộ định tuyến và Trình xử lý thư. Nếu bạn không định cấu hình TLS/SSL giữa Bộ định tuyến và Bộ xử lý thư, cấu hình mặc định, cổng 8082 vẫn phải mở trên Trình xử lý thư để quản lý thành phần này nhưng Bộ định tuyến không yêu cầu quyền truy cập vào nội dung đó. |
|
| 8443 | Khi TLS được bật giữa Bộ định tuyến và Trình xử lý thư, bạn phải mở cổng 8443 trên Trình xử lý thư để Bộ định tuyến truy cập. | |
| 8.998 | Cổng Trình xử lý thư để giao tiếp từ Bộ định tuyến | |
| Postgres | 22 | Nếu định cấu hình hai nút Postgres để sử dụng tính năng sao chép chế độ chờ chính, bạn phải mở cổng 22 trên mỗi nút để truy cập SSH. |
| 1103 | Cổng JMX | |
| 4530 | Đối với các lệnh gọi quản lý và bộ nhớ đệm được phân phối | |
| 5432 | Dùng cho giao tiếp từ Qpid/Máy chủ quản lý đến Postgres | |
| 8084 | Cổng quản lý mặc định trên máy chủ Postgres; phải mở trên thành phần này để truy cập bởi Máy chủ quản lý. | |
| Qpid | 1102 | Cổng JMX |
| 4529 | Đối với các lệnh gọi quản lý và bộ nhớ đệm được phân phối | |
| 5672 |
Cũng được dùng để giao tiếp giữa máy chủ Qpid và các thành phần người môi giới trên cùng một nút. Trong các cấu trúc liên kết có nhiều nút Qpid, máy chủ phải có thể kết nối với tất cả những người môi giới trên cổng 5672. |
|
| 8083 | Cổng quản lý mặc định trên máy chủ Qpid và phải được mở trên thành phần này quyền truy cập bằng Máy chủ quản lý. | |
| Bộ định tuyến | 4527 | Đối với các lệnh gọi quản lý và bộ nhớ đệm được phân phối.
Bộ định tuyến phải mở cổng 4527 làm cổng quản lý. Nếu bạn có nhiều Bộ định tuyến, chúng tất cả đều có thể truy cập với nhau qua cổng 4527 (được biểu thị bằng mũi tên vòng lặp trong sơ đồ ở trên cho cổng 4527 trên Bộ định tuyến). Mặc dù không bắt buộc nhưng bạn có thể mở cổng 4527 trên Bộ định tuyến để truy cập bằng bất kỳ Trình xử lý thư. Nếu không, bạn có thể thấy thông báo lỗi trong Trình xử lý thư tệp nhật ký. |
| 8081 | Cổng quản lý mặc định cho Bộ định tuyến và phải được mở trên thành phần để truy cập bởi Máy chủ quản lý. | |
| 15.999 |
Cổng kiểm tra tình trạng. Trình cân bằng tải sử dụng cổng này để xác định xem Bộ định tuyến có đang sẵn có. Để biết trạng thái của Bộ định tuyến, trình cân bằng tải gửi yêu cầu đến cổng 15999 trên Bộ định tuyến: curl -v http://routerIP:15999/v1/servers/self/reachable Nếu có thể truy cập được Bộ định tuyến, yêu cầu sẽ trả về HTTP 200. |
|
| 59.001 | Cổng được dùng để kiểm tra quá trình cài đặt Edge bằng tiện ích apigee-validate.
Tiện ích này yêu cầu quyền truy cập vào cổng 59001 trên Bộ định tuyến. Xem
Kiểm tra quá trình cài đặt để biết thêm thông tin trên cổng 59001. |
|
| SmartDocs | 59.002 | Cổng trên bộ định tuyến Edge nơi yêu cầu trang SmartDocs được gửi. |
| ZooKeeper | 2181 | Được các thành phần khác như Máy chủ quản lý, Bộ định tuyến, Bộ xử lý thư, v.v. sử dụng |
| 2888, 3888 | Được ZooKeeper sử dụng nội bộ cho cụm ZooKeeper (còn gọi là tập hợp ZooKeeper) thông tin liên lạc |
Bảng tiếp theo trình bày các cổng đó, được liệt kê bằng số, kèm theo nguồn và đích thành phần:
| Số cổng | Mục đích | Thành phần nguồn | Thành phần đích |
|---|---|---|---|
| virtual_host_port | HTTP cùng với mọi cổng khác mà bạn sử dụng cho lưu lượng lệnh gọi API máy chủ ảo. Cổng 80 và 443 thường được sử dụng nhất; Bộ định tuyến thư có thể chấm dứt kết nối TLS/SSL. | Máy khách bên ngoài (hoặc trình cân bằng tải) | Trình nghe trên Bộ định tuyến thư |
| 1099 đến 1103 | Quản lý JMX | Ứng dụng JMX | Máy chủ quản lý (1099) Trình xử lý tin nhắn (1101) Máy chủ Qpid (1102) Máy chủ Postgres (1103) |
| 2181 | Giao tiếp với máy khách của Zookeeper | Máy chủ quản lý Máy định tuyến Trình xử lý tin nhắn Máy chủ Qpid Máy chủ Postgres |
Người giữ vườn thú |
| 2888 và 3888 | Quản lý nội dung của người giữ vườn | Người giữ vườn thú | Người giữ vườn thú |
| 4526 | Cổng quản lý RPC | Máy chủ quản lý | Máy chủ quản lý |
| 4527 | Cổng quản lý RPC cho bộ nhớ đệm phân phối và các lệnh gọi quản lý cũng như cho thông tin liên lạc giữa các Bộ định tuyến | Bộ định tuyến máy chủ quản lý |
Bộ định tuyến |
| 4528 | Đối với các lệnh gọi được lưu vào bộ nhớ đệm được phân phối giữa các Trình xử lý thư và để giao tiếp từ Bộ định tuyến | Máy chủ quản lý Máy định tuyến Trình xử lý tin nhắn |
Trình xử lý tin nhắn |
| 4529 | Cổng quản lý RPC cho bộ nhớ đệm được phân phối và lệnh gọi quản lý | Máy chủ quản lý | Máy chủ Qpid |
| 4530 | Cổng quản lý RPC cho bộ nhớ đệm được phân phối và lệnh gọi quản lý | Máy chủ quản lý | Máy chủ Postgres |
| 5432 | Ứng dụng Postgres | Máy chủ Qpid | Postgres |
| 5636 | Kiếm tiền | Thành phần JMS bên ngoài | Máy chủ quản lý |
| 5672 |
Cũng được dùng để giao tiếp giữa máy chủ Qpid và các thành phần người môi giới trên cùng một nút. Trong các cấu trúc liên kết có nhiều nút Qpid, máy chủ phải có thể kết nối với tất cả những người môi giới trên cổng 5672. |
Máy chủ Qpid | Máy chủ Qpid |
| 7000 | Giao tiếp giữa các nút Cassandra | Cassandra | Nút Cassandra khác |
| 7199 | Quản lý JMX. Phải mở để Quản lý truy cập trên nút Cassandra Máy chủ. | ứng dụng JMX | Cassandra |
| 8080 | Cổng API Quản lý | Ứng dụng API Quản lý | Máy chủ quản lý |
| 8081 đến 8084 |
Cổng API thành phần, dùng để gửi yêu cầu API trực tiếp đến từng thành phần. Mỗi thành phần mở ra một cổng khác nhau; cổng chính xác được sử dụng phụ thuộc vào cấu hình nhưng phải mở trên thành phần này để Máy chủ quản lý truy cập |
Ứng dụng API Quản lý | Bộ định tuyến (8081) Trình xử lý tin nhắn (8082) Máy chủ Qpid (8083) Máy chủ Postgres (8084) |
| 8443 | Hoạt động giao tiếp giữa Bộ định tuyến và Trình xử lý thư khi TLS được bật | Bộ định tuyến | Trình xử lý tin nhắn |
| 8998 | Hoạt động giao tiếp giữa Bộ định tuyến và Bộ xử lý thư | Bộ định tuyến | Trình xử lý tin nhắn |
| 9000 | Cổng giao diện người dùng quản lý Edge mặc định | Trình duyệt | Máy chủ giao diện người dùng quản lý |
| 9042 | Truyền tải gốc CQL | Máy định tuyến Trình xử lý tin nhắn Máy chủ quản lý |
Cassandra |
| 9099 | Xác thực IDP bên ngoài | Nhà cung cấp danh tính, trình duyệt và máy chủ quản lý | Đăng nhập một lần (SSO) của Apigee |
| 9160 | Khách hàng tiết kiệm của Cassandra | Máy định tuyến Trình xử lý tin nhắn Máy chủ quản lý |
Cassandra |
| 10389 | cổng LDAP | Máy chủ quản lý | OpenLDAP |
| 15999 | Cổng kiểm tra tình trạng. Trình cân bằng tải sử dụng cổng này để xác định xem Bộ định tuyến có đang sẵn có. | Trình cân bằng tải | Bộ định tuyến |
| 59001 | Cổng mà tiện ích apigee-validate sử dụng để kiểm tra việc cài đặt Edge |
apigee-validate | Bộ định tuyến |
| 59002 | Cổng bộ định tuyến nơi yêu cầu trang SmartDocs được gửi | SmartDocs | Bộ định tuyến |
Bộ xử lý tin nhắn duy trì nhóm kết nối chuyên dụng cho Cassandra, vốn được định cấu hình thành không bao giờ hết thời gian chờ. Khi một tường lửa giữa Trình xử lý thư và máy chủ Cassandra, tường lửa có thể hết thời gian kết nối. Tuy nhiên, Trình xử lý thư không được thiết kế để thiết lập lại kết nối với Cassandra.
Để ngăn chặn trường hợp này, Apigee khuyên bạn nên sử dụng máy chủ Cassandra, Bộ xử lý tin nhắn và Các bộ định tuyến nằm trong cùng một mạng con để tường lửa không liên quan đến việc triển khai các bộ định tuyến này thành phần.
Nếu tường lửa nằm giữa Bộ định tuyến và Bộ xử lý thư và đã đặt thời gian chờ TCP ở trạng thái rảnh, bạn nên làm như sau:
- Đặt
net.ipv4.tcp_keepalive_time = 1800trong phần cài đặt sysctl trên hệ điều hành Linux, trong đó 1800 phải thấp hơn thời gian chờ tcp ở trạng thái rảnh của tường lửa. Chế độ cài đặt này sẽ giữ cho kết nối ở trạng thái đã được thiết lập để tường lửa không ngắt kết nối. - Trên tất cả Trình xử lý thư, hãy chỉnh sửa
/opt/apigee/customer/application/message-processor.propertiesđể thêm thuộc tính sau. Nếu tệp không tồn tại, hãy tạo tệp đó.conf_system_cassandra.maxconnecttimeinmillis=-1
- Khởi động lại Trình xử lý thư:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Trên tất cả Bộ định tuyến, hãy chỉnh sửa
/opt/apigee/customer/application/router.propertiesđể thêm thuộc tính sau. Nếu tệp không tồn tại, hãy tạo tệp đó.conf_system_cassandra.maxconnecttimeinmillis=-1
- Khởi động lại Bộ định tuyến:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart