Die Verwaltung der Firewall geht über die virtuellen Hosts hinaus. Sowohl VM- als auch physische Host-Firewalls müssen Traffic über die Ports zulassen, die von den Komponenten benötigt werden, um miteinander zu kommunizieren.
Portdiagramme
Die folgenden Abbildungen zeigen die Portanforderungen für ein einzelnes Rechenzentrum und die Konfiguration mehrerer Rechenzentren:
Einzelnes Rechenzentrum
Die folgende Abbildung zeigt die Portanforderungen für jede Edge-Komponente in einer einzelnen Rechenzentrumskonfiguration:
Hinweise zu diesem Diagramm:
- Die Ports mit dem Präfix „M“ sind Ports, die zur Verwaltung der Komponente verwendet werden und in der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein müssen.
- Die Edge-UI benötigt Zugriff auf den Router auf den von API-Proxys freigegebenen Ports, um die Schaltfläche Senden im Trace-Tool zu unterstützen.
- Der Zugriff auf JMX-Ports kann so konfiguriert werden, dass ein Nutzername und ein Passwort erforderlich sind. Weitere Informationen finden Sie unter Überwachen.
- Für bestimmte Verbindungen, die unterschiedliche Ports verwenden können, können Sie optional den TLS/SSL-Zugriff konfigurieren. Weitere Informationen finden Sie unter TLS/SSL.
- Sie können den Verwaltungsserver und die Edge-UI so konfigurieren, dass E-Mails über einen externen SMTP-Server gesendet werden. Achten Sie in diesem Fall darauf, dass der Verwaltungsserver und die Benutzeroberfläche auf den erforderlichen Port auf dem SMTP-Server zugreifen können (nicht abgebildet). Für Nicht-TLS-SMTP lautet die Portnummer normalerweise 25. Für TLS-fähiges SMTP ist dies häufig 465. Erkundigen Sie sich jedoch bei Ihrem SMTP-Anbieter.
Mehrere Rechenzentren
Wenn Sie die Clusterkonfiguration mit 12 Knoten und zwei Rechenzentren installieren, müssen die Knoten in den beiden Rechenzentren über die unten dargestellten Ports kommunizieren können:
Hinweise:
- Alle Verwaltungsserver müssen auf alle Cassandra-Knoten in allen anderen Rechenzentren zugreifen können.
- Alle Message Processor in allen Rechenzentren müssen über Port 4528 aufeinander zugreifen können.
- Der Verwaltungsserver muss über Port 8082 auf alle Nachrichtenprozessoren zugreifen können.
- Alle Verwaltungsserver und alle Qpid-Knoten müssen auf Postgres in allen anderen Rechenzentren zugreifen können.
- Aus Sicherheitsgründen sollten außer den oben gezeigten und allen anderen Ports, die für Ihre eigenen Netzwerkanforderungen erforderlich sind, keine anderen Ports zwischen Rechenzentren offen sein.
Standardmäßig ist die Kommunikation zwischen den Komponenten nicht verschlüsselt. Sie können eine Verschlüsselung hinzufügen, indem Sie Apigee mTLS installieren. Weitere Informationen finden Sie unter Einführung in Apigee mTLS.
Port details
In der folgenden Tabelle werden die Ports beschrieben, die in Firewalls durch die Edge-Komponente geöffnet werden müssen:
| Komponente | Port | Beschreibung |
|---|---|---|
| Standard-HTTP-Ports | 80.443 | HTTP sowie alle anderen Ports, die Sie für virtuelle Hosts verwenden |
| Apigee-SSO | 9.099 | Verbindungen von externen IdPs, dem Verwaltungsserver und Browsern für die Authentifizierung. |
| Cassandra | 7.000, 9.042, 9.160 | Apache Cassandra-Ports für die Kommunikation zwischen Cassandra-Knoten und für den Zugriff durch andere Edge-Komponenten. |
| 7.199 | JMX-Port. Muss für den Verwaltungsserver für den Zugriff geöffnet sein. | |
| LDAP | 10.389 | OpenLDAP |
| Verwaltungsserver | 1.099 | JMX-Port |
| 4.526 | Port für verteilte Cache- und Verwaltungsaufrufe. Dieser Port ist konfigurierbar. | |
| 5.636 | Port für Benachrichtigungen zu Commits für die Monetarisierung. | |
| 8080 | Port für Aufrufe der Edge-Verwaltungs-API. Diese Komponenten benötigen Zugriff auf Port 8080 auf dem Verwaltungsserver: Router, Nachrichtenprozessor, UI, Postgres, Apigee-SSO (falls aktiviert) und Qpid. | |
| Verwaltungs-UI | 9.000 | Port für den Browserzugriff auf die Verwaltungs-UI |
| Message Processor | 1.101 | JMX-Port |
| 4.528 | Für verteilten Cache und Verwaltungsaufrufe zwischen Nachrichtenprozessoren und für die Kommunikation vom Router und vom Verwaltungsserver.
Ein Message Processor muss Port 4528 als Verwaltungsport öffnen. Wenn Sie mehrere Message Processor haben, müssen alle über Port 4528 aufeinander zugreifen können (wird in der obigen Abbildung mit dem Pfeil für eine Schleife für Port 4528 auf dem Message Processor angezeigt). Wenn Sie mehrere Rechenzentren haben, muss der Port für alle Message Processor in allen Rechenzentren zugänglich sein. |
|
| 8082 |
Standardverwaltungsport für Message Processor. Er muss in der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein. Wenn Sie TLS/SSL zwischen dem Router und dem Message Processor konfigurieren, das vom Router für Systemdiagnosen des Message Processor verwendet wird. Port 8082 auf dem Message Processor muss für den Router nur dann offen sein, wenn Sie TLS/SSL zwischen dem Router und dem Message Processor konfigurieren. Wenn Sie TLS/SSL nicht zwischen dem Router und dem Message Processor konfigurieren, muss Port 8082 zur Verwaltung der Komponente weiterhin auf dem Message Processor als Standardkonfiguration geöffnet sein, der Router benötigt jedoch keinen Zugriff darauf. |
|
| 8.443 | Wenn TLS zwischen dem Router und dem Message Processor aktiviert ist, müssen Sie Port 8443 auf dem Message Processor für den Zugriff durch den Router öffnen. | |
| 8.998 | Nachrichtenprozessor-Port für die Kommunikation vom Router | |
| Postgres | 22 | Wenn Sie zwei Postgres-Knoten für die Verwendung der Master-Stand-by-Replikation konfigurieren, müssen Sie Port 22 auf jedem Knoten für den SSH-Zugriff öffnen. |
| 1.103 | JMX-Port | |
| 4.530 | Für verteilten Cache und Verwaltungsaufrufe | |
| 5.432 | Wird für die Kommunikation zwischen Qpid/Management Server und Postgres verwendet | |
| 8084 | Standardverwaltungsport auf dem Postgres-Server; muss in der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein. | |
| QpID | 1.102 | JMX-Port |
| 4.529 | Für verteilten Cache und Verwaltungsaufrufe | |
| 5.672 |
Wird auch für die Kommunikation zwischen dem Qpid-Server und den Brokerkomponenten auf demselben Knoten verwendet. In Topologien mit mehreren Qpid-Knoten muss der Server eine Verbindung zu allen Brokern an Port 5672 herstellen können. |
|
| 8083 | Standardverwaltungsport auf dem Qpid-Server. Er muss in der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein. | |
| 8090 | Standardport für den Broker von Qpid; muss für den Zugriff auf die Verwaltungskonsole oder die Management APIs des Brokers zu Monitoringzwecken offen sein. | |
| Router | 4.527 | Für verteilten Cache und Verwaltungsaufrufe.
Ein Router muss Port 4527 als Verwaltungsport öffnen. Wenn Sie mehrere Router haben, müssen alle über Port 4527 aufeinander zugreifen können. In der obigen Abbildung ist dies durch den Schleifenpfeil für Port 4527 auf dem Router gekennzeichnet. Sie können Port 4527 auf dem Router für den Zugriff für jeden Message Processor öffnen, obwohl dies nicht erforderlich ist. Andernfalls werden möglicherweise Fehlermeldungen in den Message Processor-Protokolldateien angezeigt. |
| 8081 | Der Standardverwaltungsport für den Router. Er muss in der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein. | |
| 15.999 |
Port für Systemdiagnose. Ein Load-Balancer verwendet diesen Port, um festzustellen, ob der Router verfügbar ist. Um den Status eines Routers abzurufen, sendet der Load-Balancer eine Anfrage an Port 15999 des Routers: curl -v http://routerIP:15999/v1/servers/self/reachable Wenn der Router erreichbar ist, gibt die Anfrage HTTP 200 zurück. |
|
| 59.001 | Port zum Testen der Edge-Installation durch das Dienstprogramm apigee-validate.
Dieses Dienstprogramm erfordert Zugriff auf Port 59001 auf dem Router. Weitere Informationen zu Port 59001 finden Sie unter Installation testen. |
|
| SmartDocs | 59.002 | Der Port im Edge-Router, an den SmartDocs-Seitenanfragen gesendet werden. |
| ZooKeeper | 2.181 | Wird von anderen Komponenten wie Verwaltungsserver, Router, Nachrichtenprozessor usw. verwendet |
| 2.888, 3.888 | Wird intern von ZooKeeper für die Kommunikation des ZooKeeper-Clusters (bekannt als ZooKeeper-Ensemble) verwendet |
In der nächsten Tabelle sind dieselben Ports mit den Quell- und Zielkomponenten numerisch aufgeführt:
| Portnummer | Zweck | Quellkomponente | Zielkomponente |
|---|---|---|---|
| virtual_host_port | HTTP sowie alle anderen Ports, die Sie für den API-Aufrufverkehr des virtuellen Hosts verwenden. Am häufigsten werden die Ports 80 und 443 verwendet. Der Message Router kann TLS/SSL-Verbindungen beenden. | Externer Client (oder Load-Balancer) | Listener auf Message Router |
| 1099 bis 1103 | JMX-Verwaltung | JMX-Client | Management Server (1099) Message Processor (1101) Qpid Server (1102) Postgres Server (1103) |
| 2181 | Zookeeper-Kundenkommunikation | Verwaltungsserver Router Message Processor Qpid-Server Postgres-Server |
Zookeeper |
| 2888 und 3888 | Internode-Verwaltung für Zookeeper | Zookeeper | Zookeeper |
| 4526 | RPC-Verwaltungsport | Verwaltungsserver | Verwaltungsserver |
| 4527 | RPC-Verwaltungsport für verteilte Cache- und Verwaltungsaufrufe sowie für die Kommunikation zwischen Routern | Verwaltungsserver- Router |
Router |
| 4528 | Für verteilte Cache-Aufrufe zwischen Message Processorn und für die Kommunikation vom Router | Verwaltungsserver Router Message Processor |
Message Processor |
| 4529 | RPC-Verwaltungsport für verteilte Cache- und Verwaltungsaufrufe | Verwaltungsserver | Qpid-Server |
| 4530 | RPC-Verwaltungsport für verteilte Cache- und Verwaltungsaufrufe | Verwaltungsserver | Postgres-Server |
| 5432 | Postgres-Client | Qpid-Server | Postgres |
| 5636 | Monetarisierung | Externe JMS-Komponente | Verwaltungsserver |
| 5672 |
Wird auch für die Kommunikation zwischen dem Qpid-Server und den Brokerkomponenten auf demselben Knoten verwendet. In Topologien mit mehreren Qpid-Knoten muss der Server eine Verbindung zu allen Brokern an Port 5672 herstellen können. |
Qpid-Server | Qpid-Server |
| 7000 | Knotenübergreifende Cassandra-Kommunikation | Cassandra | Anderer Cassandra-Knoten |
| 7199 | JMX-Verwaltung. Der Verwaltungsserver muss für den Zugriff auf den Cassandra-Knoten geöffnet sein. | JMX-Client | Cassandra |
| 8080 | Management API-Port | Management API-Clients | Verwaltungsserver |
| 8081 bis 8084 |
Component API-Ports zum direkten Senden von API-Anfragen an einzelne Komponenten Jede Komponente öffnet einen anderen Port. Der genaue verwendete Port hängt von der Konfiguration ab, muss jedoch in der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein. |
Management API-Clients | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8090 | Standardverwaltungsport für den Broker von Qpid zum Verwalten und Überwachen von Warteschlangen. | Browser oder API-Client | Qpid-Broker (apigee-qpidd) |
| 8443 | Kommunikation zwischen Router und Message Processor, wenn TLS aktiviert ist | Router | Message Processor |
| 8998 | Kommunikation zwischen Router und Message Processor | Router | Message Processor |
| 9000 | Standardport für die Edge-Verwaltungs-UI | Browser | Management-UI-Server |
| 9042 | Nativer CQL-Transport | Router Message Processor Management-Server |
Cassandra |
| 9099 | Externe IdP-Authentifizierung | IdP, Browser und Verwaltungsserver | Apigee-SSO |
| 9160 | Cassandra-Secondhand-Client | Router Message Processor Management-Server |
Cassandra |
| 10389 | LDAP-Port | Verwaltungsserver | OpenLDAP |
| 15999 | Port für Systemdiagnose. Ein Load-Balancer verwendet diesen Port, um festzustellen, ob der Router verfügbar ist. | Load-Balancer | Router |
| 59001 | Port, der vom Dienstprogramm apigee-validate zum Testen der Edge-Installation verwendet wird |
apigee-validate | Router |
| 59002 | Routerport, an den SmartDocs-Seitenanfragen gesendet werden | SmartDocs | Router |
Ein Message Processor hält einen dedizierten Verbindungspool für Cassandra offen, der so konfiguriert ist, dass es nie Zeitüberschreitungen gibt. Wenn sich eine Firewall zwischen einem Message Processor und einem Cassandra-Server befindet, kann es zu einer Zeitüberschreitung der Verbindung kommen. Der Message Processor ist jedoch nicht dafür ausgelegt, Verbindungen zu Cassandra wiederherzustellen.
Um diese Situation zu verhindern, empfiehlt Apigee, dass sich der Cassandra-Server, der Message Processor und die Router im selben Subnetz befinden, damit keine Firewall an der Bereitstellung dieser Komponenten beteiligt ist.
Wenn sich eine Firewall zwischen dem Router und den Nachrichtenprozessoren befindet und ein inaktives TCP-Zeitlimit festgelegt ist, empfehlen wir Folgendes:
- Legen Sie unter Linux in den Sysctl-Einstellungen
net.ipv4.tcp_keepalive_time = 1800fest, wobei 1.800 niedriger als das TCP-Zeitlimit für inaktive Firewalls sein sollte. Diese Einstellung sollte die Verbindung in einem bestehenden Zustand belassen, damit die Firewall sie nicht trennt. - Bearbeiten Sie auf allen Message Processorn
/opt/apigee/customer/application/message-processor.propertiesund fügen Sie das folgende Attribut hinzu. Falls die Datei nicht vorhanden ist, erstellen Sie sie.conf_system_cassandra.maxconnecttimeinmillis=-1
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Bearbeiten Sie
/opt/apigee/customer/application/router.propertiesbei allen Routern und fügen Sie das folgende Attribut hinzu. Falls die Datei nicht vorhanden ist, erstellen Sie sie.conf_system_cassandra.maxconnecttimeinmillis=-1
- Starten Sie den Router neu:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart