फ़ायरवॉल को मैनेज करने की ज़रूरत सिर्फ़ वर्चुअल होस्ट से कहीं ज़्यादा है; वर्चुअल मशीन (वीएम) और फ़िज़िकल होस्ट, दोनों फ़ायरवॉल को, कॉम्पोनेंट के लिए ज़रूरी पोर्ट के लिए ट्रैफ़िक की अनुमति देनी चाहिए, ताकि वे एक-दूसरे से संपर्क कर सकें अन्य.
पोर्ट डायग्राम
नीचे दी गई इमेज में एक और कई डेटा सेंटर, दोनों के लिए पोर्ट की ज़रूरी शर्तें दिखाई गई हैं डेटा सेंटर का कॉन्फ़िगरेशन:
सिंगल डेटा सेंटर
नीचे दी गई इमेज में, किसी एक डेटा में हर Edge कॉम्पोनेंट के लिए पोर्ट से जुड़ी ज़रूरी शर्तें दिखाई गई हैं केंद्र कॉन्फ़िगरेशन:
इस डायग्राम में दी गई अहम जानकारी:
- पोर्ट के पहले "M" वे पोर्ट हैं जिनका इस्तेमाल कॉम्पोनेंट को मैनेज करने के लिए किया जाता है. ये पोर्ट, कॉम्पोनेंट से जुड़े होने चाहिए एक कॉम्पोनेंट जिसे मैनेजमेंट सर्वर से ऐक्सेस किया जा सकता है.
- Edge यूज़र इंटरफ़ेस (यूआई) को एपीआई प्रॉक्सी से एक्सपोज़ किए गए पोर्ट पर राऊटर को ऐक्सेस करने के लिए, ट्रेस टूल में भेजें बटन.
- JMX पोर्ट को उपयोगकर्ता नाम/पासवर्ड के लिए कॉन्फ़िगर किया जा सकता है. यहां जाएं: ज़्यादा जानकारी के लिए, मॉनिटर करने का तरीका.
- आप वैकल्पिक रूप से कुछ कनेक्शन के लिए TLS/SSL ऐक्सेस को कॉन्फ़िगर कर सकते हैं, जो अलग-अलग पोर्ट हैं. इसके लिए TLS/SSL देखें वगैरह को कॉपी करने का विकल्प है.
- बाहरी एसएमटीपी से ईमेल भेजने के लिए, Management Server और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर किया जा सकता है सर्वर. अगर ऐसा किया जाता है, तो आपको यह पक्का करना होगा कि मैनेजमेंट सर्वर और यूज़र इंटरफ़ेस (यूआई) ज़रूरी ऐक्सेस SMTP सर्वर पर पोर्ट (दिखाया नहीं गया) है. बिना TLS वाले एसएमटीपी के लिए, पोर्ट नंबर आम तौर पर 25 होता है. इसके लिए TLS की सुविधा वाला SMTP, अक्सर 465 होता है, लेकिन इसे एसएमटीपी की सेवा देने वाली कंपनी से संपर्क करें.
एक से ज़्यादा डेटा सेंटर
अगर 12-नोड इंस्टॉल किया जाता है दो डेटा सेंटर के साथ क्लस्टर किया गया कॉन्फ़िगरेशन, पक्का करें कि दो डेटा सेंटर में नोड नीचे दिखाए गए पोर्ट पर कम्यूनिकेशन कर सकते हैं:
ध्यान दें:
- सभी मैनेजमेंट सर्वर के लिए यह ज़रूरी है कि वे अन्य सभी डेटा में मौजूद सभी कैसेंड्रा नोड को ऐक्सेस कर पाएं बीच में.
- सभी डेटा सेंटर के सभी मैसेज प्रोसेसर, इस बात का ध्यान रखते हैं कि सभी मैसेज प्रोसेसर एक-दूसरे को ऐक्सेस कर सकें पोर्ट 4528.
- मैनेजमेंट सर्वर के पास पोर्ट 8082 से जुड़े सभी मैसेज प्रोसेसर को ऐक्सेस करने की अनुमति होनी चाहिए.
- सभी मैनेजमेंट सर्वर और सभी Qpid नोड के लिए यह ज़रूरी है कि वे अन्य सभी प्लैटफ़ॉर्म पर Postgres को ऐक्सेस कर सकें डेटा सेंटर.
- सुरक्षा से जुड़ी वजहों से, ऊपर दिखाए गए पोर्ट और अन्य वजहों से नेटवर्क से जुड़ी ज़रूरतों के लिए ज़रूरी है, तो डेटा के बीच कोई दूसरा पोर्ट नहीं होना चाहिए बीच में.
डिफ़ॉल्ट रूप से, कॉम्पोनेंट के बीच कम्यूनिकेशन एन्क्रिप्ट (सुरक्षित) नहीं किया जाता है. एन्क्रिप्ट (सुरक्षित) करने की सुविधा जोड़ने के लिए ये तरीके अपनाएं: Apigee mTLS को इंस्टॉल करना. ज़्यादा जानकारी के लिए, Apigee mTLS के बारे में जानकारी देखें.
पोर्ट की जानकारी
नीचे दी गई टेबल में उन पोर्ट के बारे में बताया गया है जिन्हें एज कॉम्पोनेंट की मदद से फ़ायरवॉल में खोला जाना चाहिए:
| कॉम्पोनेंट | पोर्ट | ब्यौरा |
|---|---|---|
| स्टैंडर्ड एचटीटीपी पोर्ट | 80, 443 | एचटीटीपी और वे सभी पोर्ट जिनका इस्तेमाल आप वर्चुअल होस्ट के लिए करते हैं |
| Apigee एसएसओ | 9099 | बाहरी आईडीपी (IdP) से कनेक्शन, मैनेजमेंट सर्वर, और ब्राउज़र पुष्टि करने के लिए. |
| कास्सांद्रा | 7,000, 9042, 9160 | कैसेंड्रा नोड के बीच संचार और पहुंच के लिए Apache कसांद्रा को पोर्ट करता है अन्य Edge कॉम्पोनेंट शामिल होते हैं. |
| 7,199 | जेएमएक्स पोर्ट. मैनेजमेंट सर्वर से ऐक्सेस करने के लिए खुला होना चाहिए. | |
| LDAP | 10,389 | OpenLDAP |
| मैनेजमेंट सर्वर | 1,099 | JMX पोर्ट |
| 4526 | डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट कॉल के लिए पोर्ट. इस पोर्ट को कॉन्फ़िगर किया जा सकता है. | |
| 5636 | कमाई करने से जुड़ी सूचनाएं पाने के लिए पोर्ट करना. | |
| 8,080 | Edge management API कॉल के लिए पोर्ट. इन कॉम्पोनेंट को पोर्ट 8080 तक ऐक्सेस करने की ज़रूरत होती है मैनेजमेंट सर्वर: राऊटर, मैसेज प्रोसेसर, यूज़र इंटरफ़ेस (यूआई), Postgres, Apigee एसएसओ (अगर चालू है), और Qpid शामिल हैं. | |
| मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) | 9,000 | ब्राउज़र ऐक्सेस को मैनेज करने के यूज़र इंटरफ़ेस (यूआई) के लिए पोर्ट |
| मैसेज प्रोसेसर | 1,101 | JMX पोर्ट |
| 4528 | संदेश प्रोसेसर के बीच वितरित कैश और प्रबंधन कॉल के लिए और
का इस्तेमाल किया जा सकता है.
मैसेज प्रोसेसर को पोर्ट 4528 को अपने मैनेजमेंट पोर्ट के तौर पर खोलना होगा. अगर आपके पास कई मैसेज प्रोसेसर, वे सभी पोर्ट 4528 पर एक-दूसरे को ऐक्सेस कर सकेंगे (इसके लिए दिखाया गया है) मैसेज प्रोसेसर पर, पोर्ट 4528 के लिए ऊपर दिए गए डायग्राम में लूप ऐरो दिख रहा है). अगर आपके पास कई डेटा सेंटर का इस्तेमाल करते हैं, तो यह ज़रूरी है कि पोर्ट को सभी डेटा में मौजूद मैसेज प्रोसेसर से ऐक्सेस किया जा सके बीच में. |
|
| 8082 |
मैसेज प्रोसेसर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट. साथ ही, यह पोर्ट इसके कॉम्पोनेंट पर खुला होना चाहिए मैनेजमेंट सर्वर से ऐक्सेस मिल जाएगा. अगर राऊटर और मैसेज प्रोसेसर के बीच TLS/एसएसएल को कॉन्फ़िगर किया जाता है, तो इसका इस्तेमाल राऊटर में किया जाएगा मैसेज प्रोसेसर की परफ़ॉर्मेंस की जांच करेगा. जब आप राऊटर और मैसेज प्रोसेसर के बीच TLS/SSL को कॉन्फ़िगर करें. यदि आप TLS/SSL को कॉन्फ़िगर नहीं करते हैं और मैसेज प्रोसेसर के बीच में, डिफ़ॉल्ट कॉन्फ़िगरेशन, पोर्ट 8082 अब भी कॉम्पोनेंट को मैनेज करने के लिए, मैसेज प्रोसेसर पर खुला रहेगा, लेकिन राऊटर को उसे ऐक्सेस करें. |
|
| 8443 | राऊटर और मैसेज प्रोसेसर के बीच TLS की सुविधा चालू होने पर, आपको पोर्ट 8443 को राऊटर से ऐक्सेस करने के लिए मैसेज प्रोसेसर. | |
| 8,998 | राऊटर से बातचीत के लिए मैसेज प्रोसेसर पोर्ट | |
| Postgres | 22 | अगर मास्टर-स्टैंडबाय रेप्लिकेशन का इस्तेमाल करने के लिए दो Postgres नोड कॉन्फ़िगर कर रहे हैं, तो आपको खोलना होगा एसएसएच ऐक्सेस के लिए हर नोड पर पोर्ट 22. |
| 1,103 | JMX पोर्ट | |
| 4530 | डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए | |
| 5432 | इसका इस्तेमाल Qpid/मैनेजमेंट सर्वर से Postgres तक कम्यूनिकेशन के लिए किया जाता है | |
| 8084 | Postgres सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट; ऐक्सेस के लिए कॉम्पोनेंट पर खुला होना चाहिए को ऐक्सेस किया जा सकता है. | |
| Qpid | 1,102 | JMX पोर्ट |
| 4529 | डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए | |
| 5672 |
इसका इस्तेमाल Qpid सर्वर और ब्रोकर कॉम्पोनेंट के बीच कम्यूनिकेशन के लिए भी किया जाता है नोड के लिए अलग-अलग हैं. एक से ज़्यादा Qpid नोड वाली टोपोलॉजी में, सर्वर ऐसा होना चाहिए जो सभी से कनेक्ट हो सके पोर्ट 5672 पर काम करते हैं. |
|
| 8083 | Qpid सर्वर पर मौजूद डिफ़ॉल्ट मैनेजमेंट पोर्ट और इसके कॉम्पोनेंट पर खुला होना चाहिए मैनेजमेंट सर्वर से ऐक्सेस मिल जाएगा. | |
| 8,090 | Qpid के ब्रोकर के लिए डिफ़ॉल्ट पोर्ट; यह ज़रूरी है कि ब्रोकर का इस्तेमाल, निगरानी के लिए मैनेजमेंट कंसोल या मैनेजमेंट एपीआई के लिए किया जा सकता है. | |
| राऊटर | 4527 | डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए.
राऊटर को अपने मैनेजमेंट पोर्ट के तौर पर, पोर्ट 4527 को खोलना होगा. अगर आपके पास कई राऊटर हैं, तो यह भी ज़रूरी है कि सभी लोग पोर्ट 4527 पर एक-दूसरे से ऐक्सेस कर सकें. यह राऊटर पर पोर्ट 4527 के लिए ऊपर दिया गया डायग्राम देखें). हालांकि, यह ज़रूरी नहीं है, लेकिन किसी भी तरीके से ऐक्सेस पाने के लिए, राऊटर पर पोर्ट 4527 को खोले जा सकने वाले किसी भी डिवाइस से खोला जा सकता है मैसेज प्रोसेसर. ऐसा न करने पर, आपको मैसेज प्रोसेसर में गड़बड़ी के मैसेज दिख सकते हैं लॉग फ़ाइलें. |
| 8081 | राऊटर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट. इसे ऐक्सेस करने के लिए, कॉम्पोनेंट पर यह पोर्ट खुला होना चाहिए को ऐक्सेस किया जा सकता है. | |
| 15,999 |
परफ़ॉर्मेंस की जांच वाला पोर्ट. लोड बैलेंसर इस पोर्ट का इस्तेमाल यह पता लगाने के लिए करता है कि राऊटर उपलब्ध हैं. राऊटर की स्थिति जानने के लिए, लोड बैलेंसर, राऊटर: curl -v http://routerIP:15999/v1/servers/self/reachable अगर राऊटर को ऐक्सेस किया जा सकता है, तो अनुरोध पर एचटीटीपी 200 का कोड दिखेगा. |
|
| 59,001 | apigee-validate यूटिलिटी द्वारा Edge इंस्टॉलेशन की जांच करने के लिए इस्तेमाल किया जाने वाला पोर्ट.
इस यूटिलिटी के लिए राऊटर पर पोर्ट 59001 का ऐक्सेस होना ज़रूरी है. यहां जाएं:
पोर्ट 59001 पर ज़्यादा जानकारी के लिए, इंस्टॉल की जांच करें. |
|
| SmartDocs | 59,002 | Edge राऊटर पर मौजूद पोर्ट, जहां SmartDocs पेज के अनुरोध भेजे जाते हैं. |
| ZooKeeper | 2,181 | मैनेजमेंट सर्वर, राऊटर, मैसेज प्रोसेसर वगैरह जैसे दूसरे कॉम्पोनेंट में इस्तेमाल किया जाता है |
| 2,888, 3,888 | ZooKeeper क्लस्टर के लिए ZooKeeper में अंदरूनी तौर पर इस्तेमाल किया जाता है. (इसे ZooKeeper एन्संबल भी कहा जाता है) बातचीत |
अगली टेबल में वे सभी पोर्ट दिखते हैं जो सोर्स और डेस्टिनेशन के साथ अंकों के आधार पर जोड़े जाते हैं घटक:
| पोर्ट नंबर | मकसद | सोर्स कॉम्पोनेंट | डेस्टिनेशन कॉम्पोनेंट |
|---|---|---|---|
| virtual_host_port | एचटीटीपी के साथ-साथ ऐसे अन्य पोर्ट जिनका इस्तेमाल वर्चुअल होस्ट एपीआई कॉल ट्रैफ़िक के लिए किया जाता है. पोर्ट 80 और 443 सबसे ज़्यादा इस्तेमाल किए जाते हैं; तो ईमेल राऊटर, TLS/SSL कनेक्शन को खत्म कर सकता है. | बाहरी क्लाइंट (या लोड बैलेंसर) | मैसेज राऊटर पर लिसनर |
| 1099 से 1103 | जेएमएक्स मैनेजमेंट | जेएमएक्स क्लाइंट | मैनेजमेंट सर्वर (1099) मैसेज प्रोसेसर (1101) Qpid सर्वर (1102) पोस्टग्रेस सर्वर (1103) |
| 2181 | ज़ूकीपर क्लाइंट कम्यूनिकेशन | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर Qpid सर्वर Postgres सर्वर |
ज़ूकीपर |
| 2888 और 3888 | ज़ूकीपर इंटरनोड मैनेजमेंट | ज़ूकीपर | ज़ूकीपर |
| 4526 | RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | मैनेजमेंट सर्वर |
| 4527 | डिस्ट्रिब्यूट किए गए कैश, मैनेजमेंट कॉल, और कम्यूनिकेशन के लिए, RPC मैनेजमेंट पोर्ट राऊटर के बीच में | मैनेजमेंट सर्वर रूटर |
राऊटर |
| 4528 | मैसेज प्रोसेसर के बीच डिस्ट्रिब्यूट किए गए कैश कॉल और बातचीत के लिए राऊटर से | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर |
मैसेज प्रोसेसर |
| 4529 | डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए, RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Qpid सर्वर |
| 4530 | डिस्ट्रिब्यूट किए गए कैश और मैनेजमेंट कॉल के लिए, RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Postgres सर्वर |
| 5432 | Postgres क्लाइंट | Qpid सर्वर | Postgres |
| 5636 | कमाई करना | बाहरी जेएमएस कॉम्पोनेंट | मैनेजमेंट सर्वर |
| 5672 |
इसका इस्तेमाल Qpid सर्वर और ब्रोकर कॉम्पोनेंट के बीच कम्यूनिकेशन के लिए भी किया जाता है नोड के लिए अलग-अलग हैं. एक से ज़्यादा Qpid नोड वाली टोपोलॉजी में, सर्वर ऐसा होना चाहिए जो सभी से कनेक्ट हो सके पोर्ट 5672 पर काम करते हैं. |
Qpid सर्वर | Qpid सर्वर |
| 7000 | कैसंड्रा इंटर-नोड कम्यूनिकेशन्स | कास्सांद्रा | अन्य कैसंड्रा नोड |
| 7199 | जेएमएक्स मैनेजमेंट. प्रबंधन से कैसेंड्रा नोड पर ऐक्सेस के लिए खुला होना चाहिए सर्वर. | जेएमएक्स क्लाइंट | कास्सांद्रा |
| 8080 | Management API पोर्ट | Management API क्लाइंट | मैनेजमेंट सर्वर |
| 8081 से 8084 |
कॉम्पोनेंट एपीआई पोर्ट, जिनका इस्तेमाल सीधे अलग-अलग कॉम्पोनेंट को एपीआई अनुरोध जारी करने के लिए किया जाता है. हर कॉम्पोनेंट एक अलग पोर्ट खोलता है; इस्तेमाल किया गया सटीक पोर्ट कॉन्फ़िगरेशन पर निर्भर करता है लेकिन यह कॉम्पोनेंट उस कॉम्पोनेंट पर खुला होना चाहिए जिसे मैनेजमेंट सर्वर से ऐक्सेस किया जा सकता है |
Management API क्लाइंट | राऊटर (8081) मैसेज प्रोसेसर (8082) Qpid सर्वर (8083) पोस्टग्रेस सर्वर (8084) |
| 8090 | Qpid के ब्रोकर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट, जो सूचियों को मैनेज और मॉनिटर करता है. | ब्राउज़र या एपीआई क्लाइंट | Qpid ब्रोकर (apigee-qpidd) |
| 8443 | TLS चालू होने पर, राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
| 8998 | राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
| 9000 | डिफ़ॉल्ट Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) पोर्ट | ब्राउज़र | मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) सर्वर |
| 9042 | सीक्यूएल नेटिव ट्रांसपोर्ट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
कास्सांद्रा |
| 9099 | बाहरी आईडीपी (IdP) की पुष्टि करें | IDP, ब्राउज़र, और मैनेजमेंट सर्वर | Apigee एसएसओ |
| 9160 | कैसंड्रा थ्रिफ़्ट क्लाइंट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
कास्सांद्रा |
| 10389 | LDAP पोर्ट | मैनेजमेंट सर्वर | OpenLDAP |
| 15999 | परफ़ॉर्मेंस की जांच वाला पोर्ट. लोड बैलेंसर इस पोर्ट का इस्तेमाल यह पता लगाने के लिए करता है कि राऊटर उपलब्ध हैं. | लोड बैलेंसर | राऊटर |
| 59001 | Edge इंस्टॉलेशन की जांच करने के लिए, apigee-validate यूटिलिटी पोर्ट का इस्तेमाल |
apigee-validate | राऊटर |
| 59002 | वह राऊटर पोर्ट जहां SmartDocs पेज के अनुरोध भेजे जाते हैं | SmartDocs | राऊटर |
एक मैसेज प्रोसेसर, कैसंड्रा के लिए एक खास कनेक्शन पूल को खुला रखता है, जिसे कॉन्फ़िगर किया जा चुका है ताकि टाइम आउट न हो. जब फ़ायरवॉल किसी संदेश प्रोसेसर और कैसेंड्रा सर्वर के बीच में होता है, तब फ़ायरवॉल की वजह से, कनेक्शन का समय खत्म हो सकता है. हालांकि, मैसेज प्रोसेसर को इस तरह से डिज़ाइन नहीं किया गया है कि कैसंड्रा के साथ फिर से संबंध स्थापित करे.
इस स्थिति से बचने के लिए, Apigee का सुझाव है कि कैसंड्रा सर्वर, मैसेज प्रोसेसर, और राऊटर एक ही सबनेट में हों, ताकि इनके डिप्लॉयमेंट में फ़ायरवॉल शामिल न हो कॉम्पोनेंट.
अगर राऊटर और मैसेज प्रोसेसर के बीच फ़ायरवॉल मौजूद है और उसका टीसीपी टाइम आउट सेट है, तो हमारा सुझाव है कि आप ये काम करें:
net.ipv4.tcp_keepalive_time = 1800को Linux OS पर sysctl सेटिंग में सेट करें, जहां 1800 कोड, फ़ायरवॉल से जुड़े इनऐक्टिव टीसीपी टाइम आउट से कम होना चाहिए. इस सेटिंग में कनेक्शन को उसके साथ जोड़ा जा सकता है, ताकि फ़ायरवॉल कनेक्शन को डिसकनेक्ट न करे.- सभी मैसेज प्रोसेसर पर, बदलाव करें
/opt/apigee/customer/application/message-processor.propertiesअभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है नीचे दी गई प्रॉपर्टी जोड़ें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- मैसेज प्रोसेसर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- सभी राऊटर पर,
/opt/apigee/customer/application/router.propertiesमें बदलाव करें नीचे दी गई प्रॉपर्टी जोड़ें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- राऊटर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart