La necesidad de administrar el firewall va más allá de los hosts virtuales. Los firewalls de host físico y de VM deben permitir la comunicación entre los puertos requeridos por los componentes.
Diagramas de puertos
En las siguientes imágenes, se muestran los requisitos de puerto para la configuración de un solo centro de datos y varios centros de datos:
Centro de datos único
En la siguiente imagen, se muestran los requisitos de puerto para cada componente de Edge en una sola configuración de centro de datos:
Notas en este diagrama:
- Los puertos con el prefijo “M” son puertos que se usan para administrar el componente y deben estar abiertos en el componente para que el servidor de administración pueda acceder a él.
- La IU de Edge requiere acceso al router, en los puertos expuestos por los proxies de API, para admitir el botón Enviar en la herramienta de seguimiento.
- El acceso a los puertos JMX se puede configurar para que requiera un nombre de usuario o contraseña. Consulta Cómo supervisar para obtener más información.
- De manera opcional, puedes configurar el acceso TLS/SSL para ciertas conexiones, que pueden usar puertos diferentes. Consulta TLS/SSL para obtener más información.
- Puedes configurar el servidor de administración y la IU de Edge para enviar correos electrónicos a través de un servidor SMTP externo. Si lo haces, debes asegurarte de que el servidor de administración y la IU puedan acceder al puerto necesario en el servidor SMTP (no se muestra). Para un SMTP que no sea TLS, el número de puerto generalmente es 25. En el caso de SMTP con TLS, suele ser 465, pero consulta con tu proveedor de SMTP.
Varios centros de datos
Si instalas la configuración agrupada en clústeres de 12 nodos con dos centros de datos, asegúrate de que los nodos de los dos centros de datos puedan comunicarse a través de los puertos que se muestran a continuación:
Ten en cuenta lo siguiente:
- Todos los servidores de administración deben poder acceder a todos los nodos de Cassandra de todos los demás centros de datos.
- Todos los procesadores de mensajes de todos los centros de datos deben poder acceder entre sí a través del puerto 4528.
- El servidor de administración debe poder acceder a todos los procesadores de mensajes a través del puerto 8082.
- Todos los servidores de administración y todos los nodos de Qpid deben poder acceder a Postgres en todos los demás centros de datos.
- Por motivos de seguridad, excepto los puertos que se muestran arriba y cualquier otro requerido por tus propios requisitos de red, no debe haber otros puertos abiertos entre los centros de datos.
De forma predeterminada, las comunicaciones entre los componentes no están encriptadas. Puedes agregar encriptación si instalas Apigee mTLS. Para obtener más información, consulta Introducción a Apigee mTLS.
Detalles del puerto
En la siguiente tabla, se describen los puertos que se deben abrir en los firewalls por componente de Edge:
Componente | Puerto | Descripción |
---|---|---|
Puertos HTTP estándar | 80, 443 | HTTP y cualquier otro puerto que uses para hosts virtuales |
SSO de Apigee | 9,099 | Conexiones de IdP externos, el servidor de administración y navegadores para autenticación. |
Cassandra | 7000, 9042 y 9160 | Puertos de Apache Cassandra para la comunicación entre los nodos de Cassandra y el acceso a través de otros componentes de Edge. |
7,199 | Puerto JMX. Debe estar abierto para que pueda acceder el servidor de administración. | |
LDAP | 10389 | OpenLDAP |
Servidor de administración | 1,099 | Puerto JMX |
4,526 | Puerto para la caché distribuida y las llamadas de administración. Este puerto se puede configurar. | |
5,636 | Puerto para las notificaciones de confirmación de monetización. | |
8080 | Puerto para llamadas a la API de Edge Management. Estos componentes requieren acceso al puerto 8080 en el servidor de administración: router, procesador de mensajes, IU, Postgres, SSO de Apigee (si está habilitado) y Qpid. | |
IU de administración | 9,000 | Puerto para que el navegador acceda a la IU de administración |
Message Processor | 1,101 | Puerto JMX |
4,528 | Se usa para la caché distribuida y las llamadas de administración entre procesadores de mensajes, y para la comunicación desde el router y el servidor de administración.
Un Message Processor debe abrir el puerto 4528 como su puerto de administración. Si tienes varios Message Processor, todos deben poder acceder entre sí a través del puerto 4528 (indicado por la flecha de bucle en el diagrama anterior para el puerto 4528 en Message Processor). Si tienes varios centros de datos, el puerto debe ser accesible desde todos los procesadores de mensajes en todos los centros de datos. |
|
8082 |
Es un puerto de administración predeterminado para el procesador de mensajes, que debe estar abierto en el componente para que el servidor de administración acceda. Si configuras TLS/SSL entre el router y el procesador de mensajes, el router lo usará para realizar verificaciones de estado en el procesador de mensajes. El puerto 8082 del procesador de mensajes solo debe estar abierto para que el router acceda cuando configures TLS/SSL entre el router y el procesador de mensajes. Si no configuras TLS/SSL entre el router y el procesador de mensajes, la configuración predeterminada, el puerto 8082, debe estar abierto en el procesador de mensajes para administrar el componente, pero el router no requiere acceso a él. |
|
8443 | Cuando se habilita TLS entre el router y el procesador de mensajes, debes abrir el puerto 8443 en el procesador de mensajes para acceder al router. | |
8,998 | Puerto del procesador de mensajes para las comunicaciones del router | |
Postgres | 22 | Si configuras dos nodos de Postgres para usar la replicación de la instancia principal en espera, debes abrir el puerto 22 en cada nodo para el acceso SSH. |
1,103 | Puerto JMX | |
4,530 | Para caché distribuida y llamadas de administración | |
5,432 | Se usa para la comunicación de Qpid/Management Server a Postgres | |
8084 | Puerto de administración predeterminado en el servidor de Postgres; debe estar abierto en el componente para que el servidor de administración acceda. | |
LPID | 1,102 | Puerto JMX |
4,529 | Para caché distribuida y llamadas de administración | |
5,672 |
También se usa para la comunicación entre los componentes del servidor Qpid y del agente en el mismo nodo. En las topologías con varios nodos Qpid, el servidor debe poder conectarse a todos los agentes en el puerto 5672. |
|
8083 | Es el puerto de administración predeterminado en el servidor Qpid. Debe estar abierto en el componente para acceder al servidor de administración. | |
8,090 | Puerto predeterminado para el agente de Qpid. Debe estar abierto para acceder a la consola de administración del agente o a las APIs de administración con fines de supervisión. | |
Router | 4,527 | Para caché distribuida y llamadas de administración.
Un router debe abrir el puerto 4527 como su puerto de administración. Si tienes varios routers, todos deben poder acceder entre sí a través del puerto 4527 (indicado por la flecha de bucle en el diagrama anterior para el puerto 4527 en el router). Si bien no es obligatorio, puedes abrir el puerto 4527 en el router para acceder a cualquier procesador de mensajes. De lo contrario, es posible que veas mensajes de error en los archivos de registro de Message Processor. |
8081 | Es el puerto de administración predeterminado del router, que debe estar abierto en el componente para que acceda el servidor de administración. | |
15,999 |
Puerto de verificación de estado Un balanceador de cargas usa este puerto para determinar si el router está disponible. Para obtener el estado de un router, el balanceador de cargas realiza una solicitud al puerto 15999 en el router: curl -v http://routerIP:15999/v1/servers/self/reachable Si se puede acceder al router, la solicitud muestra HTTP 200. |
|
59,001 | Puerto que usa la utilidad apigee-validate para probar la instalación de Edge.
Esta utilidad requiere acceso al puerto 59001 en el router. Consulta Prueba la instalación para obtener más información en el puerto 59001. |
|
SmartDocs | 59,002 | Es el puerto del router Edge al que se envían las solicitudes de la página de SmartDocs. |
ZooKeeper | 2,181 | Lo usan otros componentes como el servidor de administración, el router, el procesador de mensajes, etcétera. |
2888, 3888 | ZooKeeper usa internamente para la comunicación del clúster de ZooKeeper (conocido como ensamble de ZooKeeper). |
En la siguiente tabla, se muestran los mismos puertos, enumerados numéricamente, con los componentes de origen y de destino:
Número de puerto | Objetivo | Componente de origen | Componente de destino |
---|---|---|---|
virtual_host_port | HTTP más cualquier otro puerto que uses para el tráfico de llamadas a la API del host virtual. Los puertos 80 y 443 son los más usados. El enrutador de mensajes puede finalizar las conexiones TLS/SSL. | Cliente externo (o balanceador de cargas) | Objeto de escucha en el router de mensajes |
De 1,099 a 1103 | JMX Management | Cliente JMX | Management Server (1099) Procesador de mensajes (1101) Servidor Qpid (1102) Servidor Postgres (1103) |
2181 | Comunicación con el cliente de Zookeeper | Servidor de administración Router Procesador de mensajes Servidor Qpid Servidor Postgres |
Zookeeper |
2888 y 3888 | Administración de nodos de Zookeeper | Zookeeper | Zookeeper |
4526 | Puerto de administración de RPC | Servidor de administración | Servidor de administración |
4527 | Puerto de administración de RPC para caché distribuida y llamadas de administración, y para comunicaciones entre routers | Servidor de administración Router |
Router |
4528 | Para llamadas de caché distribuidas entre procesadores de mensajes y para la comunicación desde el router | Servidor de administración Router Procesador de mensajes |
Message Processor |
4529 | Puerto de administración de RPC para caché distribuida y llamadas de administración | Servidor de administración | Servidor Qpid |
4530 | Puerto de administración de RPC para caché distribuida y llamadas de administración | Servidor de administración | Servidor Postgres |
5432 | Cliente de Postgres | Servidor Qpid | Postgres |
5636 | Monetización | Componente JMS externo | Servidor de administración |
5672 |
También se usa para la comunicación entre los componentes del servidor Qpid y del agente en el mismo nodo. En las topologías con varios nodos Qpid, el servidor debe poder conectarse a todos los agentes en el puerto 5672. |
Servidor Qpid | Servidor Qpid |
7000 | Comunicaciones entre nodos de Cassandra | Cassandra | Otro nodo de Cassandra |
7199 | Administración de JMX. Debe estar abierto para que el servidor de administración pueda acceder al nodo de Cassandra. | cliente JMX | Cassandra |
8080 | Puerto de la API de Management | Clientes de la API de Management | Servidor de administración |
De 8081 a 8084 |
Puertos de API de componentes, que se usan para emitir solicitudes a la API directamente a componentes individuales. Cada componente abre un puerto diferente. El puerto exacto que se usa depende de la configuración, pero debe estar abierto en el componente para que el servidor de administración pueda acceder |
Clientes de la API de Management | Router (8081) Procesador de mensajes (8082) Servidor Qpid (8083) Servidor Postgres (8084) |
8090 | Puerto de administración predeterminado para que el agente de Qpid administre y supervise las colas. | Navegador o cliente de la API | Agente de Qpid (apigee-qpidd) |
8443 | Comunicación entre el router y el procesador de mensajes cuando TLS está habilitado | Router | Message Processor |
8998 | Comunicación entre el router y el procesador de mensajes | Router | Message Processor |
9000 | Puerto predeterminado de la IU de administración perimetral | Navegador | Servidor de IU de administración |
9042 | Transporte nativo de CQL | Router Procesador de mensajes Servidor de administración |
Cassandra |
9099 | Autenticación de IdP externo | IdP, navegador y servidor de administración | SSO de Apigee |
9160 | Cliente de segunda mano de Cassandra | Router Procesador de mensajes Servidor de administración |
Cassandra |
10,389 | Puerto LDAP | Servidor de administración | OpenLDAP |
15999 | Puerto de verificación de estado Un balanceador de cargas usa este puerto para determinar si el router está disponible. | Balanceador de cargas | Router |
59001 | Puerto que usa la utilidad apigee-validate para probar la instalación de Edge |
apigee-validate | Router |
59002 | El puerto del router al que se envían las solicitudes de la página de SmartDocs | SmartDocs | Router |
Un Message Processor mantiene abierto un grupo de conexiones dedicado a Cassandra, que está configurado para que nunca se agote el tiempo de espera. Cuando hay un firewall entre un procesador de mensajes y un servidor de Cassandra, el firewall puede agotar el tiempo de espera de la conexión. Sin embargo, el procesador de mensajes no está diseñado para restablecer las conexiones con Cassandra.
Para evitar esta situación, Apigee recomienda que el servidor Cassandra, el procesador de mensajes y los routers estén en la misma subred para que un firewall no participe en la implementación de estos componentes.
Si hay un firewall entre el router y el procesador de mensajes, y tiene configurado un tiempo de espera de TCP inactivo, recomendamos que hagas lo siguiente:
- Establece
net.ipv4.tcp_keepalive_time = 1800
en la configuración de sysctl en el SO Linux, donde 1800 debe ser menor que el tiempo de espera de tcp inactivo del firewall. Esta configuración debe mantener la conexión en un estado establecido para que el firewall no la desconecte. - En todos los procesadores de mensajes, edita
/opt/apigee/customer/application/message-processor.properties
para agregar la siguiente propiedad. Si el archivo no existe, créalo.conf_system_cassandra.maxconnecttimeinmillis=-1
- Reinicia el procesador de mensajes:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- En todos los routers, edita
/opt/apigee/customer/application/router.properties
para agregar la siguiente propiedad. Si el archivo no existe, créalo.conf_system_cassandra.maxconnecttimeinmillis=-1
- Reinicia el router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart