Configuration requise au niveau des ports

La nécessité de gérer le pare-feu ne se limite pas aux hôtes virtuels ; à la fois une VM et un hôte physique les pare-feu doivent autoriser le trafic pour les ports requis par les composants pour communiquer avec chaque autre.

Schémas de ports

Les images suivantes illustrent les exigences de port pour un centre de données unique et pour plusieurs configuration du centre de données:

Centre de données unique

L'image suivante montre les exigences de port pour chaque composant Edge dans un seul configuration du centre de ressources:

Exigences relatives aux ports pour chaque composant Edge dans une configuration de centre de données unique

Remarques sur ce schéma:

  • Ports précédés de la lettre "M" sont les ports utilisés pour gérer le composant et doivent être ouverts sur le pour que le serveur de gestion puisse y accéder.
  • L'interface utilisateur Edge nécessite un accès au routeur, sur les ports exposés par les mandataires d'API, pour prendre en charge à l'aide du bouton Send (Envoyer) de l'outil de traçage.
  • L’accès aux ports JMX peut être configuré pour exiger un nom d’utilisateur/mot de passe. Voir How to Monitor (Comment surveiller).
  • Vous pouvez éventuellement configurer l'accès TLS/SSL pour certaines connexions, qui peuvent utiliser différents ports. Consultez la section TLS/SSL pour plus encore.
  • Vous pouvez configurer le serveur de gestion et l'interface utilisateur Edge pour envoyer des e-mails via un serveur SMTP externe Google Cloud. Dans ce cas, vous devez vous assurer que le serveur de gestion et l'interface utilisateur peuvent accéder aux sur le serveur SMTP (non illustré). Pour le protocole SMTP non TLS, le numéro de port est généralement 25. Pour Le protocole SMTP compatible TLS est souvent 465. Vérifiez auprès de votre fournisseur SMTP.

Centres de données multiples

Si vous installez la commande 12 nœuds configuration en cluster avec deux centres de données, assurez-vous que les nœuds des deux centres de données peuvent communiquer sur les ports indiqués ci-dessous:

Exigences relatives aux ports pour chaque nœud dans une configuration en cluster à 12 nœuds

Remarque:

  • Tous les serveurs de gestion doivent pouvoir accéder à l'ensemble des nœuds Cassandra pour toutes les autres données centres de données.
  • Tous les processeurs de messages de tous les centres de données doivent pouvoir accéder les uns aux autres via port 4528.
  • Le serveur de gestion doit pouvoir accéder à tous les processeurs de messages via le port 8082.
  • Tous les serveurs de gestion et tous les nœuds Qpid doivent pouvoir accéder à Postgres dans toutes les autres centres de données.
  • Pour des raisons de sécurité, en dehors de ceux indiqués ci-dessus et de tout autre port requis par vos propres exigences en matière de réseau, aucun autre port ne doit être ouvert entre les centres de données.

Par défaut, les communications entre les composants ne sont pas chiffrées. Vous pouvez ajouter un chiffrement installer Apigee mTLS. Pour en savoir plus, consultez la page Présentation d'Apigee mTLS.

Détails du port

Le tableau ci-dessous décrit les ports qui doivent être ouverts dans les pare-feu, par composant Edge:

Composant Port Description
Ports HTTP standards 80 443 HTTP et tous les autres ports que vous utilisez pour les hôtes virtuels
SSO Apigee 9099 Des connexions à partir de fournisseurs d'identité externes, du serveur de gestion et des navigateurs pour l'authentification unique.
Cassandra 7000, 9042, 9160 Ports Apache Cassandra pour la communication entre les nœuds Cassandra et pour l'accès par d'autres composants Edge.
7199 Port JMX. Le serveur de gestion doit pouvoir y accéder.
LDAP 10389 OpenLDAP
Serveur de gestion 1099 Port JMX
4526 Port pour le cache distribué et les appels de gestion. Ce port est configurable.
5636 Port pour les notifications de validation de la monétisation.
8080 Port pour les appels d'API de gestion Edge. Ces composants ont besoin d'accéder au port 8080 sur le serveur de gestion: routeur, processeur de messages, interface utilisateur, Postgres, SSO (si activé), et Qpid.
UI de gestion 9000 Port permettant au navigateur d'accéder à l'interface utilisateur de gestion
Processeur de messages 1101 Port JMX
4528 Pour le cache distribué et les appels de gestion entre les processeurs de messages, et pour la communication du routeur et du serveur de gestion.

Un processeur de messages doit ouvrir le port 4528 en tant que port de gestion. Si vous avez plusieurs Processeurs de messages : ils doivent tous pouvoir accéder les uns aux autres via le port 4528 (indiqué par la flèche en forme de boucle dans le schéma ci-dessus pour le port 4528 sur le processeur de messages). Si vous avez plusieurs centres de données, le port doit être accessible depuis tous les processeurs de messages de toutes les données centres de données.

8082

Port de gestion par défaut du processeur de messages et doit être ouvert sur le composant pour l'accès par le serveur de gestion.

Si vous configurez TLS/SSL entre le routeur et le processeur de messages, utilisé par le routeur pour effectuer des vérifications de l'état du processeur de messages.

Le port 8082 du processeur de messages ne doit être ouvert pour que le routeur puisse y accéder lorsque vous configurer TLS/SSL entre le routeur et le processeur de messages. Si vous ne configurez pas TLS/SSL entre le routeur et le processeur de messages, la configuration par défaut, le port 8082, doit toujours être ouvert sur le processeur de messages pour gérer le composant, mais le routeur ne nécessite pas y accéder.

8443 Lorsque TLS est activé entre le routeur et le processeur de messages, vous devez ouvrir le port 8443 sur le processeur de messages pour l'accès par le routeur.
8998 Port du processeur de messages pour les communications en provenance du routeur
Postgres 22 Si vous configurez deux nœuds Postgres pour une utilisation de la réplication maître en mode veille, vous devez ouvrir le port 22 sur chaque nœud pour l'accès SSH.
1103 Port JMX
4530 Pour le cache distribué et les appels de gestion
5432 Utilisé pour la communication de Qpid/Management Server vers Postgres
8084 Port de gestion par défaut sur le serveur Postgres doit être ouvert sur le composant pour que vous puissiez y accéder par le serveur de gestion.
Qpid 1102 Port JMX
4529 Pour le cache distribué et les appels de gestion
5672
  • Centre de données unique: utilisé pour envoyer des données analytiques à partir du routeur et Processeur de messages vers Qpid.
  • Plusieurs centres de données: utilisé pour les communications entre les nœuds Qpid dans différents centres de données.

Également utilisé pour la communication entre le serveur Qpid et les composants de courtier sur le même d'un nœud. Dans les topologies avec plusieurs nœuds Qpid, le serveur doit pouvoir se connecter à tous sur le port 5672.

8083 Port de gestion par défaut sur le serveur Qpid et doit être ouvert sur le composant pour l'accès par le serveur de gestion.
8090 Port par défaut pour l'agent de Qpid doit être ouvert pour accéder aux ou des API de gestion à des fins de surveillance.
Routeur 4527 Pour le cache distribué et les appels de gestion.

Un routeur doit ouvrir le port 4527 en tant que port de gestion. Si vous avez plusieurs routeurs, ils doivent tous pouvoir accéder l'un à l'autre via le port 4527 (indiqué par la flèche en boucle dans la schéma ci-dessus pour le port 4527 sur le routeur).

Bien que cela ne soit pas obligatoire, vous pouvez ouvrir le port 4527 sur le routeur pour y accéder par n'importe quel Processeur de messages. Sinon, des messages d'erreur peuvent s'afficher dans le processeur de messages. journaux.

8081 Port de gestion par défaut du routeur ; doit être ouvert sur le composant pour que l'accès soit possible par le serveur de gestion.
15999

Port de vérification de l'état. Un équilibreur de charge utilise ce port pour déterminer si le routeur disponibles.

Pour obtenir l'état d'un routeur, l'équilibreur de charge envoie une requête au port 15999 sur la Routeur:

curl -v http://routerIP:15999/v1/servers/self/reachable

Si le routeur est accessible, la requête renvoie le code HTTP 200.

59001 Port utilisé pour tester l'installation d'Edge par l'utilitaire apigee-validate. Cet utilitaire nécessite un accès au port 59001 sur le routeur. Voir Testez l'installation pour en savoir plus sur le port 59001.
SmartDocs 59002 Port du routeur Edge où les demandes de page SmartDocs sont envoyées.
ZooKeeper 2181 Utilisé par d'autres composants tels que le serveur de gestion, le routeur, le processeur de messages, etc.
2888, 3888 Utilisé en interne par ZooKeeper pour le cluster ZooKeeper (appelé ensemble ZooKeeper). de communication

Le tableau suivant montre les mêmes ports, classés numériquement, avec la source et la destination composants:

Numéro du port Objectif Composant source Composant de destination
virtual_host_port HTTP et tous les autres ports que vous utilisez pour le trafic des appels d'API de l'hôte virtuel. Ports 80 et 443 sont les plus couramment utilisées. le routeur de messages peut interrompre les connexions TLS/SSL. Client externe (ou équilibreur de charge) Écouteur sur le routeur de messages
1099 à 1103 Gestion JMX Client JMX Serveur de gestion (1099)
Processeur de messages (1101)
Qpid Server (1102)
Serveur Postgres (1103)
2181 Communication avec le client Zookeeper Serveur de gestion
Routeur
Processeur de messages
Serveur Qpid
Serveur Postgres
ZooKeeper
2888 et 3888 Gestion des internœuds Zookeeper ZooKeeper ZooKeeper
4526 Port de gestion RPC Serveur de gestion Serveur de gestion
4527 Port de gestion RPC pour le cache distribué et les appels de gestion, ainsi que pour les communications entre les routeurs Routeur
de serveur de gestion
Routeur
4528 Pour les appels de cache distribués entre les processeurs de messages et pour la communication depuis le routeur Serveur de gestion
Routeur
Processeur de messages
Processeur de messages
4529 Port de gestion RPC pour le cache distribué et les appels de gestion Serveur de gestion Serveur Qpid
4530 Port de gestion RPC pour le cache distribué et les appels de gestion Serveur de gestion Serveur Postgres
5432 Client Postgres Serveur Qpid Postgres
5636 Monétisation Composant JMS externe Serveur de gestion
5672
  • Centre de données unique: utilisé pour envoyer des données analytiques à partir du routeur et Processeur de messages vers Qpid.
  • Plusieurs centres de données: utilisé pour les communications entre les nœuds Qpid dans différents centres de données.

Également utilisé pour la communication entre le serveur Qpid et les composants de courtier sur le même d'un nœud. Dans les topologies avec plusieurs nœuds Qpid, le serveur doit pouvoir se connecter à tous sur le port 5672.

Serveur Qpid Serveur Qpid
7000 Communications entre les nœuds Cassandra Cassandra Autre nœud Cassandra
7199 Gestion JMX Doit être ouvert à l'accès sur le nœud Cassandra par l'équipe de gestion Google Cloud. Client JMX Cassandra
8080 Port de l'API de gestion Clients de l'API Management Serveur de gestion
8081 à 8084

Ports d'API des composants, utilisés pour émettre des requêtes API directement à des composants individuels. Chaque composant ouvre un port différent, le port exact utilisé dépend de la configuration mais doit être ouvert sur le composant pour que le serveur de gestion puisse y accéder

Clients de l'API Management Routeur (8081)
Processeur de messages (8082)
Qpid Server (8083)
Serveur Postgres (8084)
8090 Port de gestion par défaut permettant à l'agent de Qpid de gérer et de surveiller les files d'attente. Navigateur ou client API Courtier Qpid (apigee-qpidd)
8443 Communication entre le routeur et le processeur de messages lorsque TLS est activé Routeur Processeur de messages
8998 Communication entre le routeur et le processeur de messages Routeur Processeur de messages
9000 Port d'interface utilisateur de gestion Edge par défaut Navigateur Serveur d'interface utilisateur de gestion
9042 Transport natif CQL Routeur
Processeur de messages
Serveur de gestion
Cassandra
9099 Authentification du fournisseur d'identité externe IdP, navigateur et serveur de gestion SSO Apigee
9160 Client d'occasion Cassandra Routeur
Processeur de messages
Serveur de gestion
Cassandra
10389 Port LDAP Serveur de gestion OpenLDAP
15999 Port de vérification de l'état. Un équilibreur de charge utilise ce port pour déterminer si le routeur disponibles. Équilibreur de charge Routeur
59001 Port utilisé par l'utilitaire apigee-validate pour tester l'installation Edge apigee-validate Routeur
59002 Port du routeur sur lequel les demandes de page SmartDocs sont envoyées SmartDocs Routeur

Un processeur de messages maintient un pool de connexions dédié ouvert à Cassandra, qui est configuré pour ne jamais expirer. Lorsqu'un pare-feu se trouve entre un processeur de messages et un serveur Cassandra, le pare-feu peut interrompre la connexion. Cependant, le processeur de messages n'est pas conçu pour rétablir les connexions avec Cassandra.

Pour éviter cette situation, Apigee recommande que le serveur Cassandra, le processeur de messages et Les routeurs doivent se trouver dans le même sous-réseau afin qu'aucun pare-feu n'intervienne dans le déploiement de ces composants.

Si un pare-feu se trouve entre le routeur et les processeurs de messages, et qu’il a un délai d’inactivité TCP défini, nos recommandations sont les suivantes:

  1. Définir net.ipv4.tcp_keepalive_time = 1800 dans les paramètres sysctl du système d'exploitation Linux, où 1 800 doit être inférieur au délai avant expiration du tcp en cas d'inactivité du pare-feu. Ce paramètre permet de conserver connexion dans un état établi afin que le pare-feu ne déconnecte pas la connexion.
  2. Sur tous les processeurs de messages, modifier /opt/apigee/customer/application/message-processor.properties pour ajouter la propriété suivante. Si le fichier n'existe pas, créez-le.
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. Redémarrez le processeur de messages:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. Sur tous les routeurs, modifier /opt/apigee/customer/application/router.properties pour ajouter la propriété suivante. Si le fichier n'existe pas, créez-le.
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. Redémarrez le routeur:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart