फ़ायरवॉल को मैनेज करने की ज़रूरत सिर्फ़ वर्चुअल होस्ट तक ही नहीं होती. वर्चुअल होस्ट और फ़िज़िकल होस्ट फ़ायरवॉल, दोनों को उन पोर्ट के लिए ट्रैफ़िक की अनुमति देनी चाहिए जो कॉम्पोनेंट को एक-दूसरे से कनेक्ट करने के लिए ज़रूरी होते हैं.
पोर्ट डायग्राम
नीचे दी गई इमेज में दिखाया गया है कि एक डेटा सेंटर और कई डेटा सेंटर के कॉन्फ़िगरेशन, दोनों के लिए पोर्ट करने की ज़रूरी शर्तें पूरी की गई हैं:
सिंगल डेटा सेंटर
नीचे दी गई इमेज में दिखाया गया है कि किसी डेटा सेंटर के कॉन्फ़िगरेशन में, हर Edge कॉम्पोनेंट के लिए पोर्ट से जुड़ी ज़रूरी शर्तें पूरी की जाती हैं या नहीं:
इस डायग्राम में नोट:
- "M" के बाद वाले पोर्ट ऐसे पोर्ट होते हैं जिनका इस्तेमाल कॉम्पोनेंट को मैनेज करने के लिए किया जाता है. साथ ही, इन्हें कॉम्पोनेंट पर खुला होना चाहिए, ताकि मैनेजमेंट सर्वर ऐक्सेस कर सके.
- ट्रेस टूल में भेजें बटन की सुविधा काम कर सके, इसके लिए Edge यूज़र इंटरफ़ेस (यूआई) को राऊटर का ऐक्सेस चाहिए. यह ऐक्सेस उन पोर्ट पर होता है जिन्हें एपीआई प्रॉक्सी ने दिखाया है.
- JMX पोर्ट को ऐक्सेस करने के लिए, उपयोगकर्ता नाम/पासवर्ड की ज़रूरत होती है. ज़्यादा जानकारी के लिए, मॉनिटर करने का तरीका देखें.
- वैकल्पिक रूप से, ऐसे कुछ कनेक्शन के लिए TLS/एसएसएल ऐक्सेस को कॉन्फ़िगर किया जा सकता है जो अलग-अलग पोर्ट का इस्तेमाल कर सकते हैं. अधिक जानकारी के लिए TLS/SSL देखें.
- बाहरी एसएमटीपी सर्वर से ईमेल भेजने के लिए, मैनेजमेंट सर्वर और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर किया जा सकता है. अगर ऐसा किया जाता है, तो आपको यह पक्का करना होगा कि मैनेजमेंट सर्वर और यूज़र इंटरफ़ेस (यूआई), एसएमटीपी सर्वर पर ज़रूरी पोर्ट को ऐक्सेस कर सकते हों (दिखाया नहीं गया है). बिना TLS एसएमटीपी के लिए, पोर्ट नंबर आम तौर पर 25 होता है. TLS की सुविधा वाले एसएमटीपी के लिए, यह अक्सर 465 होता है. हालांकि, एसएमटीपी की सेवा देने वाली कंपनी से संपर्क करें.
एक से ज़्यादा डेटा सेंटर
अगर दो डेटा सेंटर के साथ 12-नोड वाले क्लस्टर कॉन्फ़िगरेशन को इंस्टॉल किया जाता है, तो पक्का करें कि दोनों डेटा सेंटर के नोड, नीचे दिखाए गए पोर्ट पर संपर्क कर सकते हों:
ध्यान दें:
- यह ज़रूरी है कि सभी मैनेजमेंट सर्वर, दूसरे सभी डेटा सेंटर में मौजूद सभी Cassandra नोड को ऐक्सेस कर सकें.
- सभी डेटा सेंटर के सभी मैसेज प्रोसेसर के लिए ज़रूरी है कि वे पोर्ट 4528 पर एक-दूसरे को ऐक्सेस कर सकें.
- मैनेजमेंट सर्वर, पोर्ट 8082 पर सभी मैसेज प्रोसेसर को ऐक्सेस करने में सक्षम होना चाहिए.
- यह ज़रूरी है कि सभी मैनेजमेंट सर्वर और सभी Qpid नोड, अन्य सभी डेटा सेंटर में Postgres को ऐक्सेस कर पाएं.
- सुरक्षा वजहों से, ऊपर दिखाए गए पोर्ट और आपके नेटवर्क की ज़रूरी शर्तों के हिसाब से दूसरे पोर्ट नहीं होने चाहिए. डेटा सेंटर के बीच कोई अन्य पोर्ट नहीं खुला होना चाहिए.
डिफ़ॉल्ट रूप से, कॉम्पोनेंट में होने वाली कम्यूनिकेशन को एन्क्रिप्ट (सुरक्षित) नहीं किया जाता. Apigee mTLS इंस्टॉल करके, एन्क्रिप्ट (सुरक्षित) करने की सुविधा जोड़ी जा सकती है. ज़्यादा जानकारी के लिए, Apigee mTLS के बारे में जानकारी देखें.
पोर्ट की जानकारी
नीचे दी गई टेबल में उन पोर्ट के बारे में बताया गया है जिन्हें एज कॉम्पोनेंट की मदद से, फ़ायरवॉल में खोला जाना चाहिए:
कॉम्पोनेंट | पोर्ट | कंपनी का ब्यौरा |
---|---|---|
स्टैंडर्ड एचटीटीपी पोर्ट | 80, 443 | एचटीटीपी और अन्य पोर्ट, जिनका इस्तेमाल वर्चुअल होस्ट के लिए किया जाता है |
Apigee एसएसओ (SSO) | 9099 | पुष्टि करने के लिए, बाहरी आईडीपी, मैनेजमेंट सर्वर, और ब्राउज़र से कनेक्शन. |
कासांद्रा | 7,000, 9042, 9160 | Cassandra नोड के बीच कम्यूनिकेशन के लिए और Edge के अन्य कॉम्पोनेंट से ऐक्सेस करने के लिए, Apache Cassandra पोर्ट. |
7,199 | JMX पोर्ट. यह ज़रूरी है कि मैनेजमेंट सर्वर ऐक्सेस कर सके. | |
LDAP | 10389 | OpenLDAP |
मैनेजमेंट सर्वर | 1099 | JMX पोर्ट |
4526 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए पोर्ट. इस पोर्ट को कॉन्फ़िगर किया जा सकता है. | |
5636 | कमाई करने से जुड़ी सूचनाओं की जानकारी पोर्ट करना. | |
8080 | Edge management API कॉल के लिए पोर्ट. इन कॉम्पोनेंट को मैनेजमेंट सर्वर पर पोर्ट 8080 के ऐक्सेस की ज़रूरत होती है: राऊटर, मैसेज प्रोसेसर, यूज़र इंटरफ़ेस (यूआई), Postgres, Apigee एसएसओ (SSO), और Qpid. | |
मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) | 9,000 | मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के लिए ब्राउज़र ऐक्सेस के लिए पोर्ट |
मैसेज प्रोसेसर | 1101 | JMX पोर्ट |
4528 | मैसेज प्रोसेसर के बीच डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए और राऊटर और मैनेजमेंट सर्वर से कम्यूनिकेशन के लिए.
मैसेज प्रोसेसर को इसके मैनेजमेंट पोर्ट के तौर पर, पोर्ट 4528 को खोलना होगा. अगर आपके पास एक से ज़्यादा मैसेज प्रोसेसर हैं, तो वे सभी एक-दूसरे को पोर्ट 4528 पर ऐक्सेस कर पाने चाहिए (यह मैसेज प्रोसेसर पर पोर्ट 4528 के लिए ऊपर दिए गए डायग्राम में लूप ऐरो से दिखाया गया है). अगर आपके पास एक से ज़्यादा डेटा सेंटर हैं, तो यह ज़रूरी है कि पोर्ट को सभी डेटा सेंटर के सभी मैसेज प्रोसेसर से ऐक्सेस किया जा सके. |
|
8082 |
Message प्रोसेसर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट. इसे मैनेजमेंट सर्वर ऐक्सेस करने के लिए, कॉम्पोनेंट में खुला होना चाहिए. अगर TLS/एसएसएल को राऊटर और मैसेज प्रोसेसर के बीच कॉन्फ़िगर किया जाता है, तो राऊटर इसका इस्तेमाल मैसेज प्रोसेसर पर हेल्थ चेक करने के लिए करता है. TLS/SSL को राऊटर और मैसेज प्रोसेसर के बीच कॉन्फ़िगर करते समय, मैसेज प्रोसेसर के पोर्ट 8082 को सिर्फ़ राऊटर के ऐक्सेस के लिए खोलना चाहिए. अगर आप राऊटर और Message प्रोसेसर के बीच TLS/SSL को कॉन्फ़िगर नहीं करते हैं, तो डिफ़ॉल्ट कॉन्फ़िगरेशन, पोर्ट 8082, कॉम्पोनेंट को मैनेज करने के लिए Message प्रोसेसर पर अब भी खुला होना चाहिए, लेकिन राऊटर को इसके ऐक्सेस की ज़रूरत नहीं है. |
|
8443 | राऊटर और मैसेज प्रोसेसर के बीच TLS चालू होने पर, आपको मैसेज प्रोसेसर पर पोर्ट 8443 को खोलना होगा. ऐसा करने पर, राऊटर को राऊटर से ऐक्सेस किया जा सकेगा. | |
8,998 | राऊटर से संपर्क करने के लिए मैसेज प्रोसेसर का पोर्ट | |
पोस्टग्रे | 22 | अगर दो Postgres नोड को मास्टर-स्टैंडबाय प्रतिरूप का इस्तेमाल करने के लिए कॉन्फ़िगर किया जा रहा है, तो आपको एसएसएच ऐक्सेस के लिए हर नोड पर पोर्ट 22 को खोलना होगा. |
1103 | JMX पोर्ट | |
4530 | डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट से जुड़े कॉल के लिए | |
5432 | Qpid/मैनेजमेंट सर्वर से Postgres तक कम्यूनिकेशन के लिए इस्तेमाल किया जाता है | |
8084 | Postgres सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट; इसे कॉम्पोनेंट में खोला जाना चाहिए, ताकि मैनेजमेंट सर्वर इसे ऐक्सेस कर सके. | |
क्यूपीआईडी | 1102 | JMX पोर्ट |
4529 | डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट से जुड़े कॉल के लिए | |
5672 |
साथ ही, इसका इस्तेमाल एक ही नोड पर Qpid सर्वर और ब्रोकर कॉम्पोनेंट के बीच कम्यूनिकेशन के लिए भी किया जाता है. एक से ज़्यादा Qpid नोड वाले टोपोलॉजी में, सर्वर के लिए यह ज़रूरी है कि वह पोर्ट 5672 पर सभी ब्रोकर से कनेक्ट हो सके. |
|
8083 | Qpid सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट और इसे कॉम्पोनेंट में खुला होना चाहिए, ताकि मैनेजमेंट सर्वर इसे ऐक्सेस कर सके. | |
8090 | Qpid के ब्रोकर के लिए डिफ़ॉल्ट पोर्ट; यह निगरानी के मकसद से ब्रोकर के मैनेजमेंट कंसोल या मैनेजमेंट एपीआई को ऐक्सेस करने के लिए खुला होना चाहिए. | |
राऊटर | 4527 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए.
राऊटर को पोर्ट 4527 को अपने मैनेजमेंट पोर्ट के तौर पर खोलना होगा. अगर आपके पास कई राऊटर हैं, तो वे सभी एक-दूसरे को पोर्ट 4527 पर ऐक्सेस कर पाएं (इसे राऊटर पर पोर्ट 4527 के लिए ऊपर दिए गए डायग्राम में लूप ऐरो से दिखाया गया है). हालांकि, यह ज़रूरी नहीं है, लेकिन किसी भी मैसेज प्रोसेसर से ऐक्सेस करने के लिए, राऊटर पर पोर्ट 4527 को खोला जा सकता है. ऐसा न करने पर, आपको Message प्रोसेसर की लॉग फ़ाइलों में गड़बड़ी के मैसेज दिख सकते हैं. |
8081 | राऊटर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट और मैनेजमेंट सर्वर ऐक्सेस करने के लिए कॉम्पोनेंट में खुला होना चाहिए. | |
15,999 |
स्वास्थ्य जांच पोर्ट. लोड बैलेंसर इस पोर्ट का इस्तेमाल करके यह पता लगाता है कि राऊटर उपलब्ध है या नहीं. राऊटर की स्थिति जानने के लिए, लोड बैलेंसर राऊटर पर 15999 पोर्ट करने का अनुरोध करता है: curl -v http://routerIP:15999/v1/servers/self/reachable अगर राऊटर ऐक्सेस किया जा सकता है, तो अनुरोध एचटीटीपी 200 दिखाता है. |
|
59,001 | यह पोर्ट, apigee-validate यूटिलिटी की मदद से Edge इंस्टॉल करने की जांच करने के लिए इस्तेमाल किया गया है.
इस उपयोगिता को राऊटर पर पोर्ट 59001 का ऐक्सेस चाहिए. पोर्ट 59001 पर ज़्यादा जानकारी के लिए,
इंस्टॉल की जांच करें देखें. |
|
SmartDocs | 59002 | Edge राऊटर का वह पोर्ट जहां SmartDocs पेज के अनुरोध भेजे जाते हैं. |
ZooKeeper | 2181 | इसका इस्तेमाल मैनेजमेंट सर्वर, राऊटर, मैसेज प्रोसेसर वगैरह जैसे दूसरे कॉम्पोनेंट में किया जाता है |
2888, 3888 | ZooKeeper क्लस्टर (इसे ZooKeeper का ग्रुप कहा जाता है) के लिए ZooKeeper में कम्यूनिकेशन इस्तेमाल किया जाता है |
अगली टेबल में वही पोर्ट दिखाए जाते हैं जिन्हें सोर्स और डेस्टिनेशन कॉम्पोनेंट के साथ अंकों में दिखाया जाता है:
पोर्ट नंबर | मकसद | सोर्स कॉम्पोनेंट | डेस्टिनेशन कॉम्पोनेंट |
---|---|---|---|
virtual_host_port | एचटीटीपी और ऐसे अन्य पोर्ट जिनका इस्तेमाल वर्चुअल होस्ट एपीआई कॉल ट्रैफ़िक के लिए किया जाता है. आम तौर पर, पोर्ट 80 और 443 का इस्तेमाल किया जाता है. मैसेज राऊटर, TLS/एसएसएल कनेक्शन को बंद कर सकता है. | बाहरी क्लाइंट (या लोड बैलेंसर) | मैसेज राऊटर पर लिसनर |
1099 से 1103 तक | जेएमएक्स मैनेजमेंट | JMX क्लाइंट | मैनेजमेंट सर्वर (1099) मैसेज प्रोसेसर (1101) Qpid सर्वर (1102) Postgres Server (1103) |
2181 | ज़ूकीपर क्लाइंट से बातचीत | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर Qpid सर्वर Postgres सर्वर |
ज़ूकीपर |
2888 और 3888 | ज़ूकीपर इंटरनोड मैनेजमेंट | ज़ूकीपर | ज़ूकीपर |
4526 | RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | मैनेजमेंट सर्वर |
4527 | डिस्ट्रिब्यूटेड कैश मेमोरी और मैनेजमेंट कॉल के साथ-साथ राऊटर के बीच बातचीत के लिए RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर राउटर |
राऊटर |
4528 | Message प्रोसेसर के बीच डिस्ट्रिब्यूटेड कैश कॉल और राऊटर से कम्यूनिकेशन के लिए | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर |
मैसेज प्रोसेसर |
4529 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Qpid सर्वर |
4530 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Postgres सर्वर |
5432 | Postgres क्लाइंट | Qpid सर्वर | पोस्टग्रे |
5636 | कमाई करना | बाहरी जेएमएस कॉम्पोनेंट | मैनेजमेंट सर्वर |
5672 |
साथ ही, इसका इस्तेमाल एक ही नोड पर Qpid सर्वर और ब्रोकर कॉम्पोनेंट के बीच कम्यूनिकेशन के लिए भी किया जाता है. एक से ज़्यादा Qpid नोड वाले टोपोलॉजी में, सर्वर के लिए यह ज़रूरी है कि वह पोर्ट 5672 पर सभी ब्रोकर से कनेक्ट हो सके. |
Qpid सर्वर | Qpid सर्वर |
7000 | कैसेंड्रा इंटर-नोड कम्यूनिकेशन | कासांद्रा | अन्य कैसंड्रा नोड |
7199 | जेएमएक्स मैनेजमेंट. यह मैनेजमेंट सर्वर से Cassandra नोड पर ऐक्सेस के लिए खुला होना चाहिए. | JMX क्लाइंट | कासांद्रा |
8080 | मैनेजमेंट एपीआई पोर्ट | मैनेजमेंट एपीआई क्लाइंट | मैनेजमेंट सर्वर |
8081 से 8084 |
कॉम्पोनेंट एपीआई पोर्ट, जिनका इस्तेमाल अलग-अलग कॉम्पोनेंट पर सीधे एपीआई अनुरोध जारी करने के लिए किया जाता है. हर कॉम्पोनेंट एक अलग पोर्ट खोलता है; इस्तेमाल किया जाने वाला सटीक पोर्ट, कॉन्फ़िगरेशन पर निर्भर करता है. हालांकि, इसे कॉम्पोनेंट पर खोला जाना चाहिए, ताकि मैनेजमेंट सर्वर इसे ऐक्सेस कर सके |
मैनेजमेंट एपीआई क्लाइंट | राऊटर (8081) मैसेज प्रोसेसर (8082) Qpid सर्वर (8083) Postgres Server (8084) |
8090 | Qpid के ब्रोकर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट, ताकि सूची को मैनेज और मॉनिटर किया जा सके. | ब्राउज़र या एपीआई क्लाइंट | Qpid ब्रोकर (apigee-qpidd) |
8443 | TLS के चालू होने पर, राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन की सुविधा | राऊटर | मैसेज प्रोसेसर |
8998 | राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
9000 | Edge मैनेजमेंट का डिफ़ॉल्ट यूज़र इंटरफ़ेस (यूआई) पोर्ट | ब्राउज़र | मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) सर्वर |
9042 | सीक्यूएल नेटिव ट्रांसपोर्ट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
कासांद्रा |
9099 | बाहरी आईडीपी (IdP) की पुष्टि करना | IDP, ब्राउज़र, और मैनेजमेंट सर्वर | Apigee एसएसओ (SSO) |
9160 | कैसेंड्रा थ्रिफ़्ट क्लाइंट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
कासांद्रा |
10389 | एलडीएपी पोर्ट | मैनेजमेंट सर्वर | OpenLDAP |
15999 | स्वास्थ्य जांच पोर्ट. लोड बैलेंसर इस पोर्ट का इस्तेमाल करके यह पता लगाता है कि राऊटर उपलब्ध है या नहीं. | लोड बैलेंसर | राऊटर |
59001 | Edge इंस्टॉल करने की जांच करने के लिए, apigee-validate यूटिलिटी पोर्ट का इस्तेमाल करता है |
apigee-validate | राऊटर |
59002 | राऊटर पोर्ट, जहां SmartDocs पेज के अनुरोध भेजे जाते हैं | SmartDocs | राऊटर |
Message प्रोसेसर की मदद से, Cassandra के लिए एक कनेक्शन पूल खुला रखा जाता है, जिसे कभी भी टाइम आउट नहीं होने के लिए कॉन्फ़िगर किया जाता है. जब फ़ायरवॉल, Message प्रोसेसर और Cassandra सर्वर के बीच होता है, तो फ़ायरवॉल कनेक्शन को समय खत्म कर सकता है. हालांकि, मैसेज प्रोसेसर को कैसंड्रा से फिर से कनेक्ट करने के लिए नहीं बनाया गया है.
ऐसी स्थिति से बचने के लिए, Apigee का सुझाव है कि Cassandra सर्वर, Message प्रोसेसर, और राऊटर एक ही सबनेट में रखें, ताकि इन कॉम्पोनेंट के डिप्लॉयमेंट में फ़ायरवॉल शामिल न हो.
अगर फ़ायरवॉल, राऊटर और मैसेज प्रोसेसर के बीच में है और उसका इस्तेमाल न होने पर टीसीपी का टाइम आउट सेट है, तो हमारे सुझाव ये हैं:
- Linux OS पर सिस्टम सेटिंग में
net.ipv4.tcp_keepalive_time = 1800
को सेट करें, जहां 1800, फ़ायरवॉल को इस्तेमाल न किए जाने वाले टीसीपी टाइम आउट से कम होना चाहिए. इस सेटिंग को कनेक्शन को सही स्थिति में बनाए रखना चाहिए, ताकि फ़ायरवॉल कनेक्शन को डिसकनेक्ट न करे. - सभी मैसेज प्रोसेसर पर,
/opt/apigee/customer/application/message-processor.properties
में बदलाव करके, इस प्रॉपर्टी को जोड़ें. अगर फ़ाइल मौजूद नहीं है, तो इसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- मैसेज प्रोसेसर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- सभी राऊटर पर, इस प्रॉपर्टी को जोड़ने के लिए
/opt/apigee/customer/application/router.properties
में बदलाव करें. अगर फ़ाइल मौजूद नहीं है, तो इसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- राऊटर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart