الحاجة إلى إدارة جدار الحماية لا تقتصر على المضيفات الظاهرية فحسب؛ كل من الجهاز الافتراضي والمضيف الفعلي أن تسمح جدران الحماية بحركة مرور المنافذ التي تحتاجها المكونات للتواصل مع كل آخر.
المخطَّطات البيانية للمنافذ
توضح الصور التالية متطلبات المنفذ لكل من مركز بيانات واحد ومركز بيانات تكوين مركز البيانات:
مركز بيانات فردي
توضح الصورة التالية متطلبات المنفذ لكل مكون من مكونات Edge في بيانات واحدة إعداد المركز:
ملاحظات على هذا المخطّط البياني:
- المنافذ التي تبدأ بـ "M" هي منافذ تُستخدم لإدارة المكوِّن ويجب فتحها على مكون من مكونات الوصول بواسطة خادم الإدارة.
- تتطلب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، على المنافذ التي تعرضها الخوادم الوكيلة لواجهة برمجة التطبيقات، لدعم زر إرسال في أداة التتبُّع.
- يمكن ضبط الوصول إلى منافذ JMX على طلب اسم مستخدم/كلمة مرور. عرض كيفية المراقبة لمزيد من المعلومات
- يمكنك اختياريًا ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لاتصالات معيّنة يمكنها استخدام منافذ مختلفة. يمكنك الاطّلاع على TLS/SSL للحصول على أخرى.
- يمكنك ضبط واجهة مستخدم خادم الإدارة وEdge لإرسال الرسائل الإلكترونية من خلال بروتوكول SMTP خارجي. الخادم. وإذا فعلت ذلك، فيجب عليك التأكد من أنه يمكن لخادم الإدارة وواجهة المستخدم الوصول إلى على خادم SMTP (غير معروض). بالنسبة إلى بروتوكول نقل البريد البسيط (SMTP) الذي لا يستخدم بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة SMTP مُفعّل فيه بروتوكول أمان طبقة النقل (TLS) غالبًا ما يكون 465، لكن تحقق مع موفر SMTP لديك.
مراكز بيانات متعددة
في حال تثبيت العُقدة ذات الـ 12 عقدة تهيئة مجمعة مع مركزين للبيانات، والتأكد من أن العقد في مركزي البيانات يمكنه الاتصال عبر المنافذ الموضحة أدناه:
يُرجى ملاحظة ما يلي:
- يجب أن تتمكن جميع خوادم الإدارة من الوصول إلى جميع عُقد Cassandra في كافة البيانات الأخرى الرئيسية.
- يجب أن يتمكن جميع معالجات الرسائل في جميع مراكز البيانات من الوصول إلى بعضها البعض عبر المنفذ 4528.
- يجب أن يتمكن خادم الإدارة من الوصول إلى جميع معالِجات الرسائل عبر المنفذ 8082.
- يجب أن تتمكن جميع خوادم الإدارة وجميع عُقد Qpid من الوصول إلى Postgres في جميع مراكز البيانات.
- لأسباب تتعلق بالأمان، بخلاف المنافذ المعروضة أعلاه وأي منافذ أخرى الذي يتطلبه متطلبات الشبكة، يجب ألا تكون أي منافذ أخرى مفتوحة بين البيانات الرئيسية.
بشكل افتراضي، لا يتم تشفير الاتصالات بين المكوّنات. يمكنك إضافة التشفير من خلال تثبيت Apigee mTLS. لمزيد من المعلومات، يُرجى الاطّلاع على مقدمة عن Apigee mTLS.
تفاصيل المنفذ
يصف الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، بواسطة مكون Edge:
المكوّن | المنفذ | الوصف |
---|---|---|
منافذ HTTP العادية | 80، 443 | HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفات الافتراضية |
الدخول المُوحَّد (SSO) في Apigee | 9099 | الاتصالات من موفِّري الهوية (idP) الخارجيين وخادم الإدارة والمتصفّحات المصادقة. |
كاساندرا | 7000، 9042، 9160 | منافذ Apache Cassandra للاتصال بين عُقد Cassandra وللوصول عن طريق مكونات Edge الأخرى. |
7199 | منفذ JMX يجب أن يكون الوصول إليها متاحًا من خلال خادم الإدارة. | |
LDAP | 10389 | OpenLDAP |
خادم الإدارة | 1099 | منفذ JMX |
4526 | منفذ لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة هذا المنفذ قابل للضبط. | |
5636 | منفذ إشعارات الالتزام بتحقيق الربح | |
8080 | منفذ طلبات البيانات من واجهة برمجة التطبيقات لإدارة Edge تتطلب هذه المكونات الوصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه، ومعالج الرسائل، وواجهة المستخدم، وPostgres، وخدمة الدخول المُوحَّد (SSO) من Apigee (في حال تفعيلها)، وQpid. | |
واجهة مستخدم الإدارة | 9,000 | منفذ وصول المتصفّح إلى واجهة مستخدم الإدارة |
معالج الرسائل | 1101 | منفذ JMX |
4528 | لذاكرة التخزين المؤقت واستدعاءات الإدارة الموزعة بين معالجات الرسائل،
رسالة من خادم التوجيه وخادم الإدارة.
يجب أن يفتح معالج الرسائل المنفذ 4528 كمنفذ الإدارة الخاص به. إذا كان لديك عدة ينبغي أن يكون بإمكان معالجي الرسائل الوصول إلى بعضهم البعض عبر المنفذ 4528 (يُشار إليه باسم سهم الحلقة في الرسم التخطيطي أعلاه للمنفذ 4528 في معالج الرسائل). إذا كان لديك مراكز بيانات متعددة، يجب أن تكون المنفذ متاحًا من خلال جميع معالجات الرسائل في جميع البيانات الرئيسية. |
|
8082 |
منفذ الإدارة الافتراضي لمعالج الرسائل ويجب فتحه على المكوِّن الوصول إليها من خلال خادم الإدارة. إذا ضبطت بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، اللذين يستخدمهما جهاز التوجيه لإجراء الفحوصات الصحية على معالج الرسائل. يجب عدم فتح المنفذ 8082 في معالج الرسائل إلا بواسطة جهاز التوجيه عند قم بتهيئة TLS/SSL بين جهاز التوجيه ومعالج الرسائل. في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، أيهما الإعداد التلقائي، لا يزال المنفذ 8082 مطلوبًا مفتوحة في معالج الرسائل لإدارة المكوِّن، غير أن جهاز التوجيه لا يتطلب الوصول إليها. |
|
8443 | عند تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يجب فتح المنفذ 8443 على إلى معالج الرسائل للدخول بواسطة جهاز التوجيه. | |
8998 | منفذ معالج الرسائل للاتصالات من جهاز التوجيه | |
Postgres | 22 | في حالة تهيئة عُقدتين في Postgres لاستخدام النسخ الاحتياطي في وضع الاستعداد الرئيسي، يجب فتح المنفذ 22 على كل عقدة للوصول إلى SSH. |
1103 | منفذ JMX | |
4530 | لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة | |
5432 | يستخدم للاتصال من Qpid/Management Server إلى Postgres | |
8084 | منفذ الإدارة التلقائي على خادم Postgres يجب فتحها على المكوِّن للوصول إليها. بواسطة خادم الإدارة. | |
Qpid | 1102 | منفذ JMX |
4529 | لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة | |
5672 |
يُستخدم أيضًا للاتصال بين خادم Qpid ومكونات الوسيط على نفس العقدة. في مصطلحات الموجودة على عُقد Qpid متعددة، يجب أن يكون الخادم قادرًا على الاتصال بجميع وسطاء في المنفذ 5672. |
|
8083 | منفذ الإدارة التلقائي على خادم Qpid ويجب فتحه على المكوِّن الوصول إليها من خلال خادم الإدارة. | |
8090 | المنفذ التلقائي لوسيط Qpid's مفتوح للوصول إلى وسيط عرض الإعلانات وحدة تحكم الإدارة أو واجهات برمجة تطبيقات الإدارة لأغراض المراقبة. | |
جهاز التوجيه | 4527 | لمكالمات الإدارة وذاكرة التخزين المؤقت الموزعة
يجب أن يفتح جهاز التوجيه المنفذ 4527 كمنفذ الإدارة الخاص به. إذا كانت لديك أجهزة توجيه متعددة، أن تكون جميعها قادرة على الوصول إلى بعضها البعض عبر المنفذ 4527 (يشار إليه بواسطة سهم التكرار في أعلاه للمنفذ 4527 على جهاز التوجيه). يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إليه بواسطة أي معالج الرسائل وإلا، فقد تظهر لك رسائل خطأ في معالج الرسائل ملفات السجل. |
8081 | منفذ الإدارة التلقائي لجهاز التوجيه ويجب فتحه على المكوِّن للوصول إليه بواسطة خادم الإدارة. | |
15999 |
منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه المتوفرة. للحصول على حالة جهاز التوجيه، يرسل جهاز موازنة الحمل طلبًا إلى المنفذ 15999 على الموجه: curl -v http://routerIP:15999/v1/servers/self/reachable فإذا كان من الممكن الوصول إلى جهاز التوجيه، سيعرض الطلب HTTP 200. |
|
59001 | المنفذ المستخدم لاختبار تثبيت Edge من خلال الأداة المساعدة apigee-validate .
تتطلب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. عرض
اختبار التثبيت لمعرفة المزيد على المنفذ 59001. |
|
SmartDocs | 59002 | المنفذ في جهاز توجيه Edge الذي يتم إرسال طلبات صفحة Smart Docs إليه. |
ZooKeeper | 2181 | تستخدمه مكونات أخرى مثل خادم الإدارة وجهاز التوجيه ومعالج الرسائل وما إلى ذلك |
2888، 3888 | يتم استخدامه داخليًا من قِبل ZooKeeper لمجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper) التواصل |
يعرض الجدول التالي المنافذ نفسها، مدرَجة رقميًا مع المصدر والوجهة. المكونات:
رقم المنفذ | الغرض | مكوِّن المصدر | مكوِّن الوجهة |
---|---|---|---|
virtual_host_port | HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لعدد زيارات طلبات البيانات من واجهة برمجة التطبيقات للمضيف الظاهري. المنفذان 80 و443 الأكثر استخدامًا؛ بإمكان جهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة. | العميل الخارجي (أو موازن التحميل) | أداة استماع على جهاز توجيه الرسائل |
1099 إلى 1103 | إدارة JMX | برنامج JMX | خادم الإدارة (1099) معالج الرسائل (1101) خادم Qpid (1102) Postgres Server (1103) |
2181 | التواصل مع عميل Zookeeper | خادم الإدارة جهاز التوجيه معالج الرسائل خادم Qpid خادم Postgres |
حارس حديقة حيوان |
2888 و3888 | إدارة عمليات داخلية في Zookeeper | حارس حديقة حيوان | حارس حديقة حيوان |
4526 | منفذ إدارة استدعاء إجراء عن بُعد (RPC) | خادم الإدارة | خادم الإدارة |
4527 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة، والاتصالات بين أجهزة التوجيه | جهاز التوجيه خادم الإدارة |
جهاز التوجيه |
4528 | لاستدعاءات ذاكرة التخزين المؤقت الموزعة بين معالجات الرسائل، وللتواصل مِنْ جِهَازِ التَّوْجِيهِ الْمَوْجُودْ | خادم الإدارة جهاز التوجيه معالج الرسائل |
معالج الرسائل |
4529 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة | خادم الإدارة | خادم Qpid |
4530 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة | خادم الإدارة | خادم Postgres |
5432 | عميل Postgres | خادم Qpid | Postgres |
5636 | تحقيق الربح | مكوِّن JMS خارجي | خادم الإدارة |
5672 |
يُستخدم أيضًا للاتصال بين خادم Qpid ومكونات الوسيط على نفس العقدة. في مصطلحات الموجودة على عُقد Qpid متعددة، يجب أن يكون الخادم قادرًا على الاتصال بجميع وسطاء في المنفذ 5672. |
خادم Qpid | خادم Qpid |
7000 | اتصالات بين العُقد من "كاساندرا" | كاساندرا | عقدة كاساندرا أخرى |
7199 | إدارة JMX. يجب أن تكون مفتوحة للوصول على عقدة Cassandra من خلال "الإدارة". الخادم. | عميل JMX | كاساندرا |
8080 | منفذ Management API | برامج Management API | خادم الإدارة |
من 8081 إلى 8084 |
منافذ مكونات واجهة برمجة التطبيقات، يتم استخدامها لإصدار طلبات واجهة برمجة التطبيقات مباشرة إلى المكونات الفردية. يفتح كل مكون منفذًا مختلفًا؛ يعتمد المنفذ الدقيق المستخدم على الإعدادات ولكن يجب فتحها على المكوِّن حتى يمكن الوصول إليه من خلال خادم الإدارة |
برامج Management API | جهاز التوجيه (8081) معالج الرسائل (8082) خادم Qpid (8083) Postgres Server (8084) |
8090 | منفذ الإدارة التلقائي لوسيط Qpid's لإدارة قوائم الانتظار ومراقبتها. | عميل المتصفّح أو واجهة برمجة التطبيقات | وسيط Qpid (apigee-qpidd) |
8443 | الاتصال بين جهاز التوجيه ومعالج الرسائل عند تفعيل بروتوكول أمان طبقة النقل (TLS) | جهاز التوجيه | معالج الرسائل |
8998 | الاتصال بين جهاز التوجيه ومعالج الرسائل | جهاز التوجيه | معالج الرسائل |
9000 | منفذ واجهة المستخدم التلقائي لإدارة Edge | المتصفح | خادم واجهة مستخدم الإدارة |
9042 | النقل الأصلي لـ CQL | جهاز التوجيه معالج الرسائل خادم الإدارة |
كاساندرا |
9099 | مصادقة موفِّر الهوية (idP) الخارجي | موفِّر الهوية (idP) والمتصفِّح وخادم الإدارة | الدخول المُوحَّد (SSO) في Apigee |
9160 | عميل التوفير "كاساندرا" | جهاز التوجيه معالج الرسائل خادم الإدارة |
كاساندرا |
10389 | منفذ LDAP | خادم الإدارة | OpenLDAP |
15999 | منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه المتوفرة. | جهاز موازنة الحمل | جهاز التوجيه |
59001 | المنفذ الذي تستخدمه الأداة المساعدة "apigee-validate " لاختبار تثبيت Edge |
apigee-validate | جهاز التوجيه |
59002 | منفذ جهاز التوجيه الذي يتم من خلاله إرسال طلبات صفحة Smart Docs | SmartDocs | جهاز التوجيه |
يحافظ معالج الرسائل على مجموعة اتصال مخصصة مفتوحة لـ "كاساندرا"، والتي يتم إعدادها على عدم انتهاء المهلة أبدًا. عندما يكون جدار حماية بين معالج الرسائل وخادم Cassandra، أن يؤدي جدار الحماية إلى إنهاء الاتصال. ومع ذلك، فإن معالج الرسائل لم يتم تصميمه إعادة إنشاء اتصالات بكاساندرا.
لمنع حدوث هذا الموقف، تنصح Apigee بأن يتم تضمين خادم Cassandra ومعالج الرسائل تكون أجهزة التوجيه في الشبكة الفرعية نفسها بحيث لا يشارك جدار حماية في نشر هذه والمكونات.
إذا كان جدار الحماية موجودًا بين جهاز التوجيه ومعالجات الرسائل، وتم تعيين مهلة TCP غير نشطة له، توصياتنا هي القيام بما يلي:
- يمكنك ضبط
net.ipv4.tcp_keepalive_time = 1800
في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن يكون الرقم 1800 أقل من مهلة tcp غير النشطة لجدار الحماية. ينبغي أن يبقي هذا الإعداد اتصال في حالة قائمة، بحيث لا يقطع جدار الحماية الاتصال. - تعديل جميع معالِجات الرسائل
/opt/apigee/customer/application/message-processor.properties
لإضافة الخاصية التالية. إذا لم يكن الملف متوفّرًا، أنشئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- إعادة تشغيل معالج الرسائل:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- تعديل
/opt/apigee/customer/application/router.properties
على جميع أجهزة التوجيه لإضافة الخاصية التالية. إذا لم يكن الملف متوفّرًا، أنشئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- أعِد تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart