متطلبات النقل

الحاجة إلى إدارة جدار الحماية لا تقتصر على المضيفات الظاهرية فحسب؛ كل من الجهاز الافتراضي والمضيف الفعلي أن تسمح جدران الحماية بحركة مرور المنافذ التي تحتاجها المكونات للتواصل مع كل آخر.

المخطَّطات البيانية للمنافذ

توضح الصور التالية متطلبات المنفذ لكل من مركز بيانات واحد ومركز بيانات تكوين مركز البيانات:

مركز بيانات فردي

توضح الصورة التالية متطلبات المنفذ لكل مكون من مكونات Edge في بيانات واحدة إعداد المركز:

متطلبات المنفذ لكل مكوّن من مكونات Edge في إعداد واحد لمركز بيانات

ملاحظات على هذا المخطّط البياني:

  • المنافذ التي تبدأ بـ "M" هي منافذ تُستخدم لإدارة المكوِّن ويجب فتحها على مكون من مكونات الوصول بواسطة خادم الإدارة.
  • تتطلب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، على المنافذ التي تعرضها الخوادم الوكيلة لواجهة برمجة التطبيقات، لدعم زر إرسال في أداة التتبُّع.
  • يمكن ضبط الوصول إلى منافذ JMX على طلب اسم مستخدم/كلمة مرور. عرض كيفية المراقبة لمزيد من المعلومات
  • يمكنك اختياريًا ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لاتصالات معيّنة يمكنها استخدام منافذ مختلفة. يمكنك الاطّلاع على TLS/SSL للحصول على أخرى.
  • يمكنك ضبط واجهة مستخدم خادم الإدارة وEdge لإرسال الرسائل الإلكترونية من خلال بروتوكول SMTP خارجي. الخادم. وإذا فعلت ذلك، فيجب عليك التأكد من أنه يمكن لخادم الإدارة وواجهة المستخدم الوصول إلى على خادم SMTP (غير معروض). بالنسبة إلى بروتوكول نقل البريد البسيط (SMTP) الذي لا يستخدم بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة SMTP مُفعّل فيه بروتوكول أمان طبقة النقل (TLS) غالبًا ما يكون 465، لكن تحقق مع موفر SMTP لديك.

مراكز بيانات متعددة

في حال تثبيت العُقدة ذات الـ 12 عقدة تهيئة مجمعة مع مركزين للبيانات، والتأكد من أن العقد في مركزي البيانات يمكنه الاتصال عبر المنافذ الموضحة أدناه:

متطلبات المنفذ لكل عقدة في تكوين مجمع من 12 عقدة

يُرجى ملاحظة ما يلي:

  • يجب أن تتمكن جميع خوادم الإدارة من الوصول إلى جميع عُقد Cassandra في كافة البيانات الأخرى الرئيسية.
  • يجب أن يتمكن جميع معالجات الرسائل في جميع مراكز البيانات من الوصول إلى بعضها البعض عبر المنفذ 4528.
  • يجب أن يتمكن خادم الإدارة من الوصول إلى جميع معالِجات الرسائل عبر المنفذ 8082.
  • يجب أن تتمكن جميع خوادم الإدارة وجميع عُقد Qpid من الوصول إلى Postgres في جميع مراكز البيانات.
  • لأسباب تتعلق بالأمان، بخلاف المنافذ المعروضة أعلاه وأي منافذ أخرى الذي يتطلبه متطلبات الشبكة، يجب ألا تكون أي منافذ أخرى مفتوحة بين البيانات الرئيسية.

بشكل افتراضي، لا يتم تشفير الاتصالات بين المكوّنات. يمكنك إضافة التشفير من خلال تثبيت Apigee mTLS. لمزيد من المعلومات، يُرجى الاطّلاع على مقدمة عن Apigee mTLS.

تفاصيل المنفذ

يصف الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، بواسطة مكون Edge:

المكوّن المنفذ الوصف
منافذ HTTP العادية 80، 443 HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفات الافتراضية
الدخول المُوحَّد (SSO) في Apigee 9099 الاتصالات من موفِّري الهوية (idP) الخارجيين وخادم الإدارة والمتصفّحات المصادقة.
كاساندرا 7000، 9042، 9160 منافذ Apache Cassandra للاتصال بين عُقد Cassandra وللوصول عن طريق مكونات Edge الأخرى.
7199 منفذ JMX يجب أن يكون الوصول إليها متاحًا من خلال خادم الإدارة.
LDAP 10389 OpenLDAP
خادم الإدارة 1099 منفذ JMX
4526 منفذ لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة هذا المنفذ قابل للضبط.
5636 منفذ إشعارات الالتزام بتحقيق الربح
8080 منفذ طلبات البيانات من واجهة برمجة التطبيقات لإدارة Edge تتطلب هذه المكونات الوصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه، ومعالج الرسائل، وواجهة المستخدم، وPostgres، وخدمة الدخول المُوحَّد (SSO) من Apigee (في حال تفعيلها)، وQpid.
واجهة مستخدم الإدارة 9,000 منفذ وصول المتصفّح إلى واجهة مستخدم الإدارة
معالج الرسائل 1101 منفذ JMX
4528 لذاكرة التخزين المؤقت واستدعاءات الإدارة الموزعة بين معالجات الرسائل، رسالة من خادم التوجيه وخادم الإدارة.

يجب أن يفتح معالج الرسائل المنفذ 4528 كمنفذ الإدارة الخاص به. إذا كان لديك عدة ينبغي أن يكون بإمكان معالجي الرسائل الوصول إلى بعضهم البعض عبر المنفذ 4528 (يُشار إليه باسم سهم الحلقة في الرسم التخطيطي أعلاه للمنفذ 4528 في معالج الرسائل). إذا كان لديك مراكز بيانات متعددة، يجب أن تكون المنفذ متاحًا من خلال جميع معالجات الرسائل في جميع البيانات الرئيسية.

8082

منفذ الإدارة الافتراضي لمعالج الرسائل ويجب فتحه على المكوِّن الوصول إليها من خلال خادم الإدارة.

إذا ضبطت بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، اللذين يستخدمهما جهاز التوجيه لإجراء الفحوصات الصحية على معالج الرسائل.

يجب عدم فتح المنفذ 8082 في معالج الرسائل إلا بواسطة جهاز التوجيه عند قم بتهيئة TLS/SSL بين جهاز التوجيه ومعالج الرسائل. في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، أيهما الإعداد التلقائي، لا يزال المنفذ 8082 مطلوبًا مفتوحة في معالج الرسائل لإدارة المكوِّن، غير أن جهاز التوجيه لا يتطلب الوصول إليها.

8443 عند تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يجب فتح المنفذ 8443 على إلى معالج الرسائل للدخول بواسطة جهاز التوجيه.
8998 منفذ معالج الرسائل للاتصالات من جهاز التوجيه
Postgres 22 في حالة تهيئة عُقدتين في Postgres لاستخدام النسخ الاحتياطي في وضع الاستعداد الرئيسي، يجب فتح المنفذ 22 على كل عقدة للوصول إلى SSH.
1103 منفذ JMX
4530 لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة
5432 يستخدم للاتصال من Qpid/Management Server إلى Postgres
8084 منفذ الإدارة التلقائي على خادم Postgres يجب فتحها على المكوِّن للوصول إليها. بواسطة خادم الإدارة.
Qpid 1102 منفذ JMX
4529 لذاكرة التخزين المؤقت ومكالمات الإدارة الموزعة
5672
  • مركز بيانات فردي: يُستخدَم لإرسال الإحصاءات من جهاز التوجيه معالج الرسائل إلى Qpid
  • مراكز بيانات متعددة: تُستخدَم للاتصالات بين عُقد Qpid في مراكز بيانات مختلفة.

يُستخدم أيضًا للاتصال بين خادم Qpid ومكونات الوسيط على نفس العقدة. في مصطلحات الموجودة على عُقد Qpid متعددة، يجب أن يكون الخادم قادرًا على الاتصال بجميع وسطاء في المنفذ 5672.

8083 منفذ الإدارة التلقائي على خادم Qpid ويجب فتحه على المكوِّن الوصول إليها من خلال خادم الإدارة.
8090 المنفذ التلقائي لوسيط Qpid's مفتوح للوصول إلى وسيط عرض الإعلانات وحدة تحكم الإدارة أو واجهات برمجة تطبيقات الإدارة لأغراض المراقبة.
جهاز التوجيه 4527 لمكالمات الإدارة وذاكرة التخزين المؤقت الموزعة

يجب أن يفتح جهاز التوجيه المنفذ 4527 كمنفذ الإدارة الخاص به. إذا كانت لديك أجهزة توجيه متعددة، أن تكون جميعها قادرة على الوصول إلى بعضها البعض عبر المنفذ 4527 (يشار إليه بواسطة سهم التكرار في أعلاه للمنفذ 4527 على جهاز التوجيه).

يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إليه بواسطة أي معالج الرسائل وإلا، فقد تظهر لك رسائل خطأ في معالج الرسائل ملفات السجل.

8081 منفذ الإدارة التلقائي لجهاز التوجيه ويجب فتحه على المكوِّن للوصول إليه بواسطة خادم الإدارة.
15999

منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه المتوفرة.

للحصول على حالة جهاز التوجيه، يرسل جهاز موازنة الحمل طلبًا إلى المنفذ 15999 على الموجه:

curl -v http://routerIP:15999/v1/servers/self/reachable

فإذا كان من الممكن الوصول إلى جهاز التوجيه، سيعرض الطلب HTTP 200.

59001 المنفذ المستخدم لاختبار تثبيت Edge من خلال الأداة المساعدة apigee-validate. تتطلب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. عرض اختبار التثبيت لمعرفة المزيد على المنفذ 59001.
SmartDocs 59002 المنفذ في جهاز توجيه Edge الذي يتم إرسال طلبات صفحة Smart Docs إليه.
ZooKeeper 2181 تستخدمه مكونات أخرى مثل خادم الإدارة وجهاز التوجيه ومعالج الرسائل وما إلى ذلك
2888، 3888 يتم استخدامه داخليًا من قِبل ZooKeeper لمجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper) التواصل

يعرض الجدول التالي المنافذ نفسها، مدرَجة رقميًا مع المصدر والوجهة. المكونات:

رقم المنفذ الغرض مكوِّن المصدر مكوِّن الوجهة
virtual_host_port HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لعدد زيارات طلبات البيانات من واجهة برمجة التطبيقات للمضيف الظاهري. المنفذان 80 و443 الأكثر استخدامًا؛ بإمكان جهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة. العميل الخارجي (أو موازن التحميل) أداة استماع على جهاز توجيه الرسائل
1099 إلى 1103 إدارة JMX برنامج JMX خادم الإدارة (1099)
معالج الرسائل (1101)
خادم Qpid (1102)
Postgres Server (1103)
2181 التواصل مع عميل Zookeeper خادم الإدارة
جهاز التوجيه
معالج الرسائل
خادم Qpid
خادم Postgres
حارس حديقة حيوان
2888 و3888 إدارة عمليات داخلية في Zookeeper حارس حديقة حيوان حارس حديقة حيوان
4526 منفذ إدارة استدعاء إجراء عن بُعد (RPC) خادم الإدارة خادم الإدارة
4527 منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة، والاتصالات بين أجهزة التوجيه جهاز التوجيه
خادم الإدارة
جهاز التوجيه
4528 لاستدعاءات ذاكرة التخزين المؤقت الموزعة بين معالجات الرسائل، وللتواصل مِنْ جِهَازِ التَّوْجِيهِ الْمَوْجُودْ خادم الإدارة
جهاز التوجيه
معالج الرسائل
معالج الرسائل
4529 منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة خادم الإدارة خادم Qpid
4530 منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة خادم الإدارة خادم Postgres
5432 عميل Postgres خادم Qpid Postgres
5636 تحقيق الربح مكوِّن JMS خارجي خادم الإدارة
5672
  • مركز بيانات فردي: يُستخدَم لإرسال الإحصاءات من جهاز التوجيه معالج الرسائل إلى Qpid
  • مراكز بيانات متعددة: تُستخدَم للاتصالات بين عُقد Qpid في مراكز بيانات مختلفة.

يُستخدم أيضًا للاتصال بين خادم Qpid ومكونات الوسيط على نفس العقدة. في مصطلحات الموجودة على عُقد Qpid متعددة، يجب أن يكون الخادم قادرًا على الاتصال بجميع وسطاء في المنفذ 5672.

خادم Qpid خادم Qpid
7000 اتصالات بين العُقد من "كاساندرا" كاساندرا عقدة كاساندرا أخرى
7199 إدارة JMX. يجب أن تكون مفتوحة للوصول على عقدة Cassandra من خلال "الإدارة". الخادم. عميل JMX كاساندرا
8080 منفذ Management API برامج Management API خادم الإدارة
من 8081 إلى 8084

منافذ مكونات واجهة برمجة التطبيقات، يتم استخدامها لإصدار طلبات واجهة برمجة التطبيقات مباشرة إلى المكونات الفردية. يفتح كل مكون منفذًا مختلفًا؛ يعتمد المنفذ الدقيق المستخدم على الإعدادات ولكن يجب فتحها على المكوِّن حتى يمكن الوصول إليه من خلال خادم الإدارة

برامج Management API جهاز التوجيه (8081)
معالج الرسائل (8082)
خادم Qpid (8083)
Postgres Server (8084)
8090 منفذ الإدارة التلقائي لوسيط Qpid's لإدارة قوائم الانتظار ومراقبتها. عميل المتصفّح أو واجهة برمجة التطبيقات وسيط Qpid (apigee-qpidd)
8443 الاتصال بين جهاز التوجيه ومعالج الرسائل عند تفعيل بروتوكول أمان طبقة النقل (TLS) جهاز التوجيه معالج الرسائل
8998 الاتصال بين جهاز التوجيه ومعالج الرسائل جهاز التوجيه معالج الرسائل
9000 منفذ واجهة المستخدم التلقائي لإدارة Edge المتصفح خادم واجهة مستخدم الإدارة
9042 النقل الأصلي لـ CQL جهاز التوجيه
معالج الرسائل
خادم الإدارة
كاساندرا
9099 مصادقة موفِّر الهوية (idP) الخارجي موفِّر الهوية (idP) والمتصفِّح وخادم الإدارة الدخول المُوحَّد (SSO) في Apigee
9160 عميل التوفير "كاساندرا" جهاز التوجيه
معالج الرسائل
خادم الإدارة
كاساندرا
10389 منفذ LDAP خادم الإدارة OpenLDAP
15999 منفذ فحص الحالة الصحية يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه المتوفرة. جهاز موازنة الحمل جهاز التوجيه
59001 المنفذ الذي تستخدمه الأداة المساعدة "apigee-validate" لاختبار تثبيت Edge apigee-validate جهاز التوجيه
59002 منفذ جهاز التوجيه الذي يتم من خلاله إرسال طلبات صفحة Smart Docs SmartDocs جهاز التوجيه

يحافظ معالج الرسائل على مجموعة اتصال مخصصة مفتوحة لـ "كاساندرا"، والتي يتم إعدادها على عدم انتهاء المهلة أبدًا. عندما يكون جدار حماية بين معالج الرسائل وخادم Cassandra، أن يؤدي جدار الحماية إلى إنهاء الاتصال. ومع ذلك، فإن معالج الرسائل لم يتم تصميمه إعادة إنشاء اتصالات بكاساندرا.

لمنع حدوث هذا الموقف، تنصح Apigee بأن يتم تضمين خادم Cassandra ومعالج الرسائل تكون أجهزة التوجيه في الشبكة الفرعية نفسها بحيث لا يشارك جدار حماية في نشر هذه والمكونات.

إذا كان جدار الحماية موجودًا بين جهاز التوجيه ومعالجات الرسائل، وتم تعيين مهلة TCP غير نشطة له، توصياتنا هي القيام بما يلي:

  1. يمكنك ضبط net.ipv4.tcp_keepalive_time = 1800 في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن يكون الرقم 1800 أقل من مهلة tcp غير النشطة لجدار الحماية. ينبغي أن يبقي هذا الإعداد اتصال في حالة قائمة، بحيث لا يقطع جدار الحماية الاتصال.
  2. تعديل جميع معالِجات الرسائل /opt/apigee/customer/application/message-processor.properties لإضافة الخاصية التالية. إذا لم يكن الملف متوفّرًا، أنشئه.
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. إعادة تشغيل معالج الرسائل:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. تعديل /opt/apigee/customer/application/router.properties على جميع أجهزة التوجيه لإضافة الخاصية التالية. إذا لم يكن الملف متوفّرًا، أنشئه.
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. أعِد تشغيل جهاز التوجيه:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart