ولا تقتصر الحاجة إلى إدارة جدار الحماية على المضيفات الافتراضية فحسب، بل يجب أن يسمح كل من جدران الحماية للأجهزة الافتراضية والمضيف الفعلي بحركة مرور البيانات إلى المنافذ التي تتطلّبها المكوّنات للتواصل مع بعضها البعض.
مخطّطات المنافذ
توضّح الصور التالية متطلبات المنفذ لكل من مركز بيانات واحد وإعدادات متعددة في مركز بيانات:
مركز بيانات فردي
توضّح الصورة التالية متطلبات المنفذ لكل مكوَّن من مكونات Edge في إعدادات مركز بيانات واحدة:
الملاحظات في هذا المخطّط البياني:
- المنافذ التي يسبقها الحرف "M" هي منافذ تستخدم لإدارة المكوِّن ويجب أن تكون مفتوحة على المكون للوصول إلى خادم الإدارة.
- تتطلب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، من خلال المنافذ التي تكشفها الخوادم الوكيلة لواجهة برمجة التطبيقات، لتوفير زر الإرسال في أداة التتبع.
- يمكن ضبط الوصول إلى منافذ JMX ليتطلب اسم مستخدم/كلمة مرور. اطّلِع على كيفية المراقبة للحصول على مزيد من المعلومات.
- يمكنك اختياريًا ضبط إمكانية الوصول إلى بروتوكول أمان طبقة النقل (TLS) وطبقة المقابس الآمنة (SSL) لبعض الاتصالات التي يمكنها استخدام منافذ مختلفة. راجِع بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة للاطّلاع على المزيد.
- يمكنك إعداد "خادم الإدارة" وواجهة مستخدم Edge لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. وفي حال إجراء ذلك، يجب التأكُّد من إمكانية وصول خادم الإدارة وواجهة المستخدم إلى المنفذ اللازم على خادم SMTP (غير معروض). بالنسبة إلى بروتوكول SMTP الذي لا يستند إلى بروتوكول أمان طبقة النقل (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول SMTP المتوافق مع بروتوكول أمان طبقة النقل (TLS)، غالبًا ما يكون العدد 465، ولكن عليك الرجوع إلى موفِّر بروتوكول نقل البريد البسيط (SMTP).
مراكز بيانات متعددة
في حال تثبيت التكوين المجَمَّع من 12 عقدة مع مركزَي بيانات، تأكَّد من أنّ العُقد في مركزَي البيانات يمكن أن تتواصل عبر المنافذ الموضّحة أدناه:
يُرجى ملاحظة ما يلي:
- يجب أن تتمكن جميع خوادم الإدارة من الوصول إلى جميع عُقد Cassandra في جميع مراكز البيانات الأخرى.
- يجب أن تتمكن جميع معالجات الرسائل في جميع مراكز البيانات من الوصول إلى بعضها البعض عبر المنفذ 4528.
- ويجب أن يتمكن خادم الإدارة من الوصول إلى جميع معالجات الرسائل عبر المنفذ 8082.
- يجب أن تكون جميع خوادم الإدارة وجميع عُقد Qpid قادرة على الوصول إلى Postgres في جميع مراكز البيانات الأخرى.
- لأسباب متعلقة بالأمان، بخلاف المنافذ الموضحة أعلاه وأي منافذ أخرى تتطلبها متطلبات الشبكة الخاصة بك، يجب ألا تكون أي منافذ أخرى مفتوحة بين مراكز البيانات.
لا يتم تشفير الاتصالات بين المكونات تلقائيًا. يمكنك إضافة التشفير من خلال تثبيت Apigee mTLS. للمزيد من المعلومات، يُرجى الاطّلاع على مقدمة عن Apigee mTLS.
تفاصيل النقل
يصف الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، بواسطة مكون Edge:
| المكوِّن | المنفذ | الوصف |
|---|---|---|
| منافذ HTTP القياسية | 80، 443 | HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفات الظاهرية |
| الدخول المُوحَّد (SSO) إلى Apigee | 9099 | اتصالات من موفِّري الهوية الخارجيين وخادم الإدارة والمتصفِّحات للمصادقة. |
| كاساندرا | 7000، 9042، 9160 | منافذ Apache Cassandra للاتصال بين عُقد Cassandra والوصول إليها من خلال مكونات Edge الأخرى. |
| 7199 | منفذ JMX يجب أن يتم فتحه للوصول إلى خادم الإدارة. | |
| LDAP | 10389 | OpenLDAP |
| خادم الإدارة | 1099 | منفذ JMX |
| 4526 | منفذ لذاكرة التخزين المؤقت وطلبات الإدارة الموزعة هذا المنفذ قابل للضبط. | |
| 5636 | منفذ إشعارات الالتزام بتحقيق الربح | |
| 8080 | منفذ لطلب البيانات من واجهة برمجة التطبيقات لإدارة Edge تتطلب هذه المكوّنات الوصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه، ومعالج الرسائل، وواجهة المستخدم، وPostgres، وخدمة الدخول المُوحَّد (SSO) عبر Apigee (في حال تفعيلها) وQpid. | |
| واجهة مستخدم الإدارة | 9,000 | منفذ لوصول المتصفح إلى واجهة مستخدم الإدارة |
| معالج الرسائل | 1101 | منفذ JMX |
| 4528 | لذاكرة التخزين المؤقت ومكالمات الإدارة الموزَّعة بين معالجات الرسائل،
وللاتصال من جهاز التوجيه وخادم الإدارة.
يجب أن يفتح معالج الرسائل المنفذ 4528 ليكون منفذ الإدارة الخاص به. إذا كان لديك عدة معالجات رسائل، فيجب أن تتمكن جميعها من الوصول إلى بعضها عبر المنفذ 4528 (ويشار إليه بسهم التكرار الحلقي في المخطط أعلاه للمنفذ 4528 في معالج الرسائل). وإذا كانت لديك عدة مراكز بيانات، يجب أن تتوفر إمكانية الوصول إلى المنفذ من جميع معالجات الرسائل في جميع مراكز البيانات. |
|
| 8082 |
منفذ الإدارة التلقائي لمعالج الرسائل يجب أن يكون مفتوحًا على المكوِّن كي يتمكّن من الوصول إليه من خلال خادم الإدارة. في حال ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، بحيث يتم استخدامه بواسطة جهاز التوجيه لإجراء عمليات التحقق من سلامة معالج الرسائل. يجب فتح المنفذ 8082 على "معالج الرسائل" للوصول إليه فقط من خلال جهاز التوجيه عند ضبط بروتوكول أمان طبقة النقل (TLS) وطبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل. وفي حال عدم ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، يجب أن تظل الإعدادات التلقائية للمنفذ 8082 مفتوحة في معالج الرسائل لإدارة المكوّن، إلا أنّ جهاز التوجيه لا يطلب الوصول إليه. |
|
| 8443 | عند تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يجب فتح المنفذ 8443 على معالج الرسائل للوصول إلى جهاز التوجيه. | |
| 8998 | منفذ معالج الرسائل للاتصالات من جهاز التوجيه | |
| بوستجريس | 22 | في حال إعداد عُقدتين من Postgres لاستخدام النسخ المماثل في وضع الاستعداد الرئيسي، يجب فتح المنفذ 22 في كل عقدة للوصول عبر بروتوكول النقل الآمن. |
| 1103 | منفذ JMX | |
| 4530 | لاستدعاءات ذاكرة التخزين المؤقت والإدارة الموزعة | |
| 5432 | يُستخدم للاتصال من Qpid/Management Server إلى Postgres | |
| 8084 | منفذ الإدارة التلقائي على خادم Postgres، ويجب أن يتم فتحه على المكوِّن للوصول إليه من خلال خادم الإدارة. | |
| معرّف Qpid | 1102 | منفذ JMX |
| 4529 | لاستدعاءات ذاكرة التخزين المؤقت والإدارة الموزعة | |
| 5672 |
وتُستخدم أيضًا للاتصال بين خادم Qpid ومكونات الوسيط على نفس العقدة. في الطبولات التي تحتوي على عُقد Qpid متعددة، يجب أن يكون الخادم قادرًا على الاتصال بجميع الوسطاء على المنفذ 5672. |
|
| 8083 | منفذ الإدارة التلقائي على خادم Qpid ويجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة. | |
| 8090 | المنفذ التلقائي لوسيط Qpid، ويجب أن يكون مفتوحًا للوصول إلى وحدة تحكم إدارة الوسيط أو واجهات برمجة التطبيقات الخاصة بالإدارة لأغراض المراقبة. | |
| جهاز التوجيه | 4527 | لذاكرة التخزين المؤقت الموزعة وطلبات الإدارة.
يجب أن يفتح جهاز التوجيه المنفذ 4527 ليكون منفذ الإدارة الخاص به. إذا كان لديك أجهزة توجيه متعددة، يجب أن تتمكن جميعها من الوصول إلى بعضها عبر المنفذ 4527 (يشار إليه بسهم الحلقة في المخطط أعلاه للمنفذ 4527 على جهاز التوجيه). على الرغم من أنّ هذا الإجراء غير مطلوب، يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إلى البيانات عن طريق أيّ معالج رسائل. بخلاف ذلك، قد تظهر لك رسائل خطأ في ملفات سجلّ "معالج الرسائل". |
| 8081 | منفذ الإدارة التلقائي لجهاز التوجيه يجب فتحه على المكوِّن للوصول إليه من خلال خادم الإدارة. | |
| 15999 |
منفذ التحقق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه متاحًا أم لا. للحصول على حالة جهاز التوجيه، يُجري جهاز موازنة الحمل طلبًا للمنفذ 15999 على جهاز التوجيه: curl -v http://routerIP:15999/v1/servers/self/reachable وفي حالة إمكانية الوصول إلى جهاز التوجيه، يعرض الطلب HTTP 200. |
|
| 59001 | منفذ مُستخدَم لاختبار تثبيت Edge من خلال الأداة المساعدة apigee-validate.
تتطلب هذه الأداة الدخول إلى المنفذ 59001 على جهاز التوجيه. يمكنك الاطّلاع على
اختبار التثبيت للحصول على مزيد من المعلومات في المنفذ 59001. |
|
| SmartDocs | 59002 | المنفذ على جهاز توجيه Edge الذي يتم إرسال طلبات صفحة Smart Docs إليه |
| ZooKeeper | 2181 | تستخدمه مكونات أخرى مثل خادم الإدارة، وجهاز التوجيه، ومعالج الرسائل، وما إلى ذلك |
| 2888، 3888 | مستخدمة داخليًا بواسطة ZooKeeper لاتصالات مجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper) |
يعرض الجدول التالي المنافذ نفسها المدرجة رقميًا مع مكوّنات المصدر والوجهة:
| رقم المنفذ | الغرض | المكوِّن المصدر | مكوِّن الوجهة |
|---|---|---|---|
| virtual_host_port | بروتوكول HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لعدد زيارات طلبات البيانات من واجهة برمجة التطبيقات للمضيف الظاهري. المنفذان 80 و443 هما الأكثر استخدامًا، إذ يمكن لجهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل (TLS) وطبقة المقابس الآمنة (SSL). | عميل خارجي (أو موازن تحميل) | المستمع على جهاز توجيه الرسائل |
| من 1099 إلى 1103 | إدارة JMX | عميل JMX | خادم الإدارة (1099) معالج الرسائل (1101) خادم Qpid (1102) Postgres Server (1103) |
| 2181 | التواصل مع عميل Zookeeper | خادم الإدارة جهاز التوجيه معالج الرسائل خادم Qpid خادم Postgres |
حارس حديقة |
| 2888 و3888 | إدارة المتداخلين في حديقة الحيوان | حارس حديقة | حارس حديقة |
| 4526 | منفَذ إدارة RPC | خادم الإدارة | خادم الإدارة |
| 4527 | منفذ إدارة RPC لذاكرة التخزين المؤقت واستدعاءات الإدارة الموزعة، وللاتصالات بين أجهزة التوجيه | جهاز توجيه خادم الإدارة |
جهاز التوجيه |
| 4528 | لاستدعاءات ذاكرة التخزين المؤقت الموزعة بين معالجات الرسائل، وللاتصال من جهاز التوجيه | خادم الإدارة جهاز التوجيه معالج الرسائل |
معالج الرسائل |
| 4529 | منفذ إدارة استدعاء إجراء عن بُعد (RPC) لذاكرة التخزين المؤقت واستدعاءات الإدارة الموزعة | خادم الإدارة | خادم Qpid |
| 4530 | منفذ إدارة استدعاء إجراء عن بُعد (RPC) لذاكرة التخزين المؤقت واستدعاءات الإدارة الموزعة | خادم الإدارة | خادم Postgres |
| 5432 | عميل Postgres | خادم Qpid | بوستجريس |
| 5636 | تحقيق الربح | مكوّن JMS الخارجي | خادم الإدارة |
| 5672 |
وتُستخدم أيضًا للاتصال بين خادم Qpid ومكونات الوسيط على نفس العقدة. في الطبولات التي تحتوي على عُقد Qpid متعددة، يجب أن يكون الخادم قادرًا على الاتصال بجميع الوسطاء على المنفذ 5672. |
خادم Qpid | خادم Qpid |
| 7000 | اتصالات كاساندرا بين العُقد | كاساندرا | عقدة أخرى في "كاساندرا" |
| 7199 | إدارة JMX. يجب فتح إمكانية الوصول إلى عقدة Cassandra من خلال خادم الإدارة. | عميل JMX | كاساندرا |
| 8080 | منفذ Management API | عملاء Management API | خادم الإدارة |
| 8081 إلى 8084 |
منافذ واجهة برمجة تطبيقات المكوّنات، تُستخدم لإصدار طلبات البيانات من واجهة برمجة التطبيقات إلى المكوّنات الفردية مباشرةً. يفتح كل مكوّن منفذًا مختلفًا، ويعتمد المنفذ الدقيق المستخدَم على الإعدادات ولكن يجب أن يكون مفتوحًا على المكوِّن للوصول إليه من خلال خادم الإدارة. |
عملاء Management API | جهاز التوجيه (8081) معالج الرسائل (8082) خادم Qpid (8083) Postgres Server (8084) |
| 8090 | منفذ الإدارة التلقائي لوسيط Qpid لإدارة قوائم الانتظار ومراقبتها | المتصفّح أو برنامج واجهة برمجة التطبيقات | وسيط Qpid (apigee-qpidd) |
| 8443 | الاتصال بين جهاز التوجيه ومعالج الرسائل عند تفعيل بروتوكول أمان طبقة النقل (TLS) | جهاز التوجيه | معالج الرسائل |
| 8998 | الاتصال بين جهاز التوجيه ومعالج الرسائل | جهاز التوجيه | معالج الرسائل |
| 9000 | المنفذ التلقائي لواجهة المستخدم في إدارة Edge | المتصفح | خادم واجهة مستخدم الإدارة |
| 9042 | نقل بيانات CQL أصلي | جهاز التوجيه معالج الرسائل خادم الإدارة |
كاساندرا |
| 9099 | مصادقة موفِّر الهوية الخارجي | موفِّر الهوية والمتصفِّح وخادم الإدارة | الدخول المُوحَّد (SSO) إلى Apigee |
| 9160 | عميل السلع المستعملة في Cassandra | جهاز التوجيه معالج الرسائل خادم الإدارة |
كاساندرا |
| 10389 | منفذ LDAP | خادم الإدارة | OpenLDAP |
| 15999 | منفذ التحقق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه متاحًا أم لا. | جهاز موازنة الحمل | جهاز التوجيه |
| 59001 | منفذ تستخدمه الأداة المساعدة apigee-validate لاختبار تثبيت Edge |
apigee-validate | جهاز التوجيه |
| 59002 | منفذ جهاز التوجيه الذي يتم إرسال طلبات صفحات Smart Docs إليه | SmartDocs | جهاز التوجيه |
يحتفظ "معالج الرسائل" بمجموعة اتصالات مخصّصة مفتوحة لـ Cassandra، حيث يتم ضبطها على "عدم انتهاء المهلة" مطلقًا. عندما يكون جدار الحماية بين معالج الرسائل وخادم Cassandra، يمكن لجدار الحماية إنهاء الاتصال. ومع ذلك، لم يتم تصميم معالج الرسائل لإعادة إنشاء الاتصالات بـ كاساندرا.
ولمنع حدوث هذا الموقف، تنصح Apigee بأن يكون خادم Cassandra ومعالج الرسائل وأجهزة التوجيه في نفس الشبكة الفرعية حتى لا يكون جدار الحماية مضمّنًا في نشر هذه المكونات.
إذا كان جدار الحماية يقع بين جهاز التوجيه ومعالِجات الرسائل، وتم ضبط مهلة TCP غير النشِطة لها، نقترح عليك تنفيذ ما يلي:
- يمكنك ضبط
net.ipv4.tcp_keepalive_time = 1800في إعدادات sysctl على نظام التشغيل Linux، حيث من المفترض أن يكون الرقم 1800 أقل من مهلة جدار الحماية في وضع عدم النشاط في جدار الحماية. ومن المفترض أن يؤدي هذا الإعداد إلى إبقاء الاتصال في حالة ثابتة حتى لا يقطع جدار الحماية الاتصال. - في جميع معالجات الرسائل، عدِّل
/opt/apigee/customer/application/message-processor.propertiesلإضافة السمة التالية. إذا لم يكن الملف موجودًا، عليك إنشاؤه.conf_system_cassandra.maxconnecttimeinmillis=-1
- أعِد تشغيل معالج الرسائل:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- في جميع أجهزة التوجيه، عدِّل
/opt/apigee/customer/application/router.propertiesلإضافة السمة التالية. إذا لم يكن الملف موجودًا، عليك إنشاؤه.conf_system_cassandra.maxconnecttimeinmillis=-1
- عليك إعادة تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart