Güvenlik duvarını yönetme ihtiyacı sanal ana makinelerle sınırlı değildir. Hem sanal makine hem de fiziksel ana makine güvenlik duvarları, bileşenlerin birbiriyle iletişim kurabilmesi için gereken bağlantı noktaları için trafiğe izin vermelidir.
Bağlantı noktası diyagramları
Aşağıdaki resimlerde hem tek bir veri merkezi hem de birden fazla veri merkezi yapılandırması için bağlantı noktası gereksinimleri gösterilmektedir:
Tek Veri Merkezi
Aşağıdaki resimde, tek bir veri merkezi yapılandırmasındaki her bir Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir:
Bu diyagramla ilgili notlar:
- Önlerinde "M" olan bağlantı noktaları, bileşeni yönetmek için kullanılan bağlantı noktalarıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır.
- Edge kullanıcı arayüzü, izleme aracındaki Gönder düğmesini desteklemek için API proxy'lerinin açtığı bağlantı noktalarında Yönlendirici'ye erişim gerektirir.
- JMX bağlantı noktalarına erişim bir kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Daha fazla bilgi için Nasıl İzlenir? bölümüne bakın.
- İsteğe bağlı olarak, farklı bağlantı noktaları kullanabilen belirli bağlantılar için TLS/SSL erişimini yapılandırabilirsiniz. Daha fazla bilgi için TLS/SSL sayfasına göz atın.
- Yönetim Sunucusu'nu ve Uç Kullanıcı Arayüzünü, e-postaları harici bir SMTP sunucusu üzerinden gönderecek şekilde yapılandırabilirsiniz. Bunu yaparsanız Yönetim Sunucusu ve kullanıcı arayüzünün SMTP sunucusundaki gerekli bağlantı noktasına erişebildiğinden (gösterilmemiştir) emin olmanız gerekir. TLS olmayan SMTP için bağlantı noktası numarası genellikle 25'tir. TLS özellikli SMTP için bu değer genellikle 465'tir. Ancak SMTP sağlayıcınıza danışın.
Birden Fazla Veri Merkezi
2 veri merkezine sahip 12 düğümlü kümelenmiş yapılandırmayı yüklerseniz iki veri merkezindeki düğümlerin aşağıda gösterilen bağlantı noktaları üzerinden iletişim kurabildiğinden emin olun:
Not:
- Tüm Yönetim Sunucuları, diğer veri merkezlerindeki tüm Cassandra düğümlerine erişebilmelidir.
- Tüm veri merkezlerindeki mesaj işleyicilerin tamamı, 4528 numaralı bağlantı noktası üzerinden birbirlerine erişebilmelidir.
- Yönetim Sunucusu tüm İleti İşleyicilere bağlantı noktası 8082 üzerinden erişebilmelidir.
- Tüm Yönetim Sunucuları ve tüm Qpid düğümleri, diğer tüm veri merkezlerinde Postgres'e erişebilmelidir.
- Güvenlik nedeniyle, yukarıda gösterilen bağlantı noktaları ve kendi ağ gereksinimlerinizin gerektirdiği diğer bağlantı noktaları dışında veri merkezleri arasında açık başka bağlantı noktaları bulunmamalıdır.
Varsayılan olarak bileşenler arasındaki iletişimler şifrelenmez. Apigee mTLS'yi yükleyerek şifreleme ekleyebilirsiniz. Daha fazla bilgi için Apigee mTLS'ye Giriş sayfasına göz atın.
Bağlantı noktası ayrıntıları
Aşağıdaki tabloda, Edge bileşeni tarafından güvenlik duvarlarında açılması gereken bağlantı noktaları açıklanmaktadır:
| Bileşen | Bağlantı noktası | Açıklama |
|---|---|---|
| Standart HTTP bağlantı noktaları | 80, 443 | HTTP ve sanal ana makineler için kullandığınız diğer bağlantı noktaları |
| Apigee TOA | 9.099 | Kimlik doğrulama için harici IdP'lerden, Yönetim Sunucusu'ndan ve tarayıcılardan gelen bağlantılar. |
| Cassandra | 7.000, 9042, 9.160 | Cassandra düğümleri arasındaki iletişim ve diğer Edge bileşenlerinin erişimi için Apache Cassandra bağlantı noktaları. |
| 7.199 | JMX bağlantı noktasıdır. Yönetim Sunucusu tarafından erişim için açık olmalıdır. | |
| LDAP | 10.389 | OpenLDAP |
| Yönetim Sunucusu | 1.099 | JMX bağlantı noktası |
| 4.526 | Dağıtılmış önbellek ve yönetim çağrıları için bağlantı noktası. Bu bağlantı noktası yapılandırılabilir. | |
| 5.636 | Para kazanma taahhüt bildirimleri için bağlantı noktası. | |
| 8.080 | Edge Management API çağrıları için bağlantı noktası. Bu bileşenler, Yönetim Sunucusu'nda 8080 numaralı bağlantı noktasına erişim gerektirir: Yönlendirici, Mesaj İşleyici, Kullanıcı Arayüzü, Postgres, Apigee TOA (etkinse) ve Qpid. | |
| Yönetim Arayüzü | 9.000 | Yönetim kullanıcı arayüzüne tarayıcı erişimi için bağlantı noktası |
| Mesaj İşleyici | 1.101 | JMX bağlantı noktası |
| 4.528 | Mesaj İşleyicileri arasındaki dağıtılmış önbellek ve yönetim çağrıları ve Yönlendirici ile Yönetim Sunucusu'ndan iletişim için kullanılır.
Mesaj İşleyici, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla Mesaj İşleyiciniz varsa tümünün birbirine 4528 numaralı bağlantı noktası üzerinden erişebilmesi gerekir (Mesaj İşleyici'deki bağlantı noktası 4528 için yukarıdaki şemada döngü okuyla gösterilmiştir). Birden fazla veri merkeziniz varsa bağlantı noktasına tüm veri merkezlerindeki tüm Mesaj İşleyicilerinden erişilebilmelidir. |
|
| 8082 |
Mesaj İşleyici için varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. Yönlendirici ve Mesaj İşleyici arasında TLS/SSL'yi yapılandırırsanız İleti İşleyici'de durum denetimleri yapmak için Yönlendirici tarafından kullanılır. İleti İşleyici'deki 8082 numaralı bağlantı noktasının, yalnızca Yönlendirici ve Mesaj İşleyici arasında TLS/SSL yapılandırdığınızda Yönlendiricinin erişimine açık olması gerekir. Yönlendirici ve Mesaj İşleyici arasında TLS/SSL'yi yapılandırmazsanız, bileşeni yönetmek için Mesaj İşleyici'de varsayılan yapılandırma olan 8082 bağlantı noktasının açık olması gerekir ancak Yönlendirici, buna erişim gerektirmez. |
|
| 8.443 | Yönlendirici ve Mesaj İşleyici arasında TLS etkinleştirildiğinde, Yönlendiricinin erişebilmesi için Mesaj İşleyici'de 8443 numaralı bağlantı noktasını açmanız gerekir. | |
| 8.998 | Yönlendiriciden iletişim için Mesaj İşleyici bağlantı noktası | |
| Postgres | 22 | İki Postgres düğümünü ana beklemedeki çoğaltma kullanacak şekilde yapılandırıyorsanız SSH erişimi için her düğümde 22 numaralı bağlantı noktasını açmanız gerekir. |
| 1.103 | JMX bağlantı noktası | |
| 4.530 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5.432 | Qpid/Yönetim Sunucusu'ndan Postgres'e iletişim için kullanılır | |
| 8084 | Postgres sunucusundaki varsayılan yönetim bağlantı noktası; Yönetim Sunucusu tarafından erişilebilmesi için bileşende açık olmalıdır. | |
| Qpid | 1.102 | JMX bağlantı noktası |
| 4.529 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5.672 |
Aynı düğümdeki Qpid sunucusu ve aracı bileşenleri arasındaki iletişim için de kullanılır. Birden çok Qpid düğümü olan topolojilerde, sunucunun 5672 numaralı bağlantı noktası üzerindeki tüm aracılara bağlanabilmesi gerekir. |
|
| 8083 | Qpid sunucusundaki varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. | |
| 8.090 | Qpid Aracısı için varsayılan bağlantı noktası; izleme amacıyla Acentenin yönetim konsoluna veya yönetim API'lerine erişime açık olmalıdır. | |
| Yönlendirici | 4.527 | Dağıtılmış önbellek ve yönetim çağrıları için.
Bir Yönlendirici, yönetim bağlantı noktası olarak 4527 numaralı bağlantı noktasını açmalıdır. Birden fazla Yönlendiriciniz varsa tümünün birbirlerine 4527 numaralı bağlantı noktası (Yönlendirici üzerindeki 4527 numaralı bağlantı noktası için yukarıdaki şemada döngü okuyla gösterilir) üzerinden erişebilmesi gerekir. Zorunlu olmamakla birlikte, herhangi bir Mesaj İşleyici tarafından erişim için Yönlendirici üzerindeki 4527 numaralı bağlantı noktasını açabilirsiniz. Aksi takdirde, Mesaj İşleyici günlük dosyalarında hata mesajları görebilirsiniz. |
| 8081 | Yönlendirici için varsayılan yönetim bağlantı noktası ve Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. | |
| 15.999 |
Durum denetimi bağlantı noktası. Yük dengeleyici, Yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. Yük dengeleyici, bir Yönlendiricinin durumunu öğrenmek için Yönlendirici üzerinde 15999 numaralı bağlantı noktasına istekte bulunur: curl -v http://routerIP:15999/v1/servers/self/reachable Yönlendirici erişilebilir durumdaysa istek, HTTP 200 döndürür. |
|
| 59.001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası.
Bu yardımcı program, Yönlendirici üzerindeki 59001 bağlantı noktasına erişim gerektirir. 59001 bağlantı noktası üzerinde daha fazla bilgi için Yüklemeyi test etme bölümüne bakın. |
|
| SmartDocs | 59.002 | Edge yönlendiricide, SmartDocs sayfa isteklerinin gönderildiği bağlantı noktası. |
| ZooKeeper | 2.181 | Yönetim Sunucusu, Yönlendirici, İleti İşleyici vb. diğer bileşenler tarafından kullanılır |
| 2.888, 3.888 | ZooKeeper kümesi (ZooKeeper ensemble olarak bilinir) iletişimi için ZooKeeper tarafından dahili olarak kullanılır |
Bir sonraki tabloda, aynı bağlantı noktaları, kaynak ve hedef bileşenleriyle birlikte sayısal olarak listelenmiş şekilde gösterilmektedir:
| Bağlantı Noktası Numarası | Amaç | Kaynak Bileşeni | Hedef Bileşeni |
|---|---|---|---|
| virtual_host_port | HTTP ve sanal ana makine API'si çağrı trafiği için kullandığınız diğer bağlantı noktaları. En yaygın olarak 80 ve 443 numaralı bağlantı noktaları kullanılır; İleti Yönlendiricisi TLS/SSL bağlantılarını sonlandırabilir. | Harici istemci (veya yük dengeleyici) | Mesaj Yönlendiricisinde dinleyici |
| 1099 - 1103 | JMX Yönetimi | JMX İstemcisi | Management Server (1099) İleti İşleyici (1101) Qpid Server (1102) Postgres Server (1103) |
| 2181 | Zookeeper müşteri iletişimi | Yönetim Sunucusu Yönlendirici İleti İşlemci Qpid Sunucusu Postgres Sunucusu |
Zookeeper |
| 2888 ve 3888 | Hayvanat bahçesi ara düğüm yönetimi | Zookeeper | Zookeeper |
| 4526 | RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Yönetim Sunucusu |
| 4527 | Dağıtılmış önbellek ve yönetim çağrıları için ve Yönlendiriciler arasındaki iletişimler için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu Yönlendirici |
Yönlendirici |
| 4528 | Mesaj İşleyiciler arasında dağıtılmış önbellek çağrıları ve Yönlendirici üzerinden iletişim için | Yönetim Sunucusu Yönlendirici İleti İşleyici |
Mesaj İşleyici |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Qpid Sunucusu |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için RPC Yönetimi bağlantı noktası | Yönetim Sunucusu | Postgres Sunucusu |
| 5432 | Postgres istemcisi | Qpid Sunucusu | Postgres |
| 5636 | Para kazanma | Harici JMS bileşeni | Yönetim Sunucusu |
| 5672 |
Aynı düğümdeki Qpid sunucusu ve aracı bileşenleri arasındaki iletişim için de kullanılır. Birden çok Qpid düğümü olan topolojilerde, sunucunun 5672 numaralı bağlantı noktası üzerindeki tüm aracılara bağlanabilmesi gerekir. |
Qpid Sunucusu | Qpid Sunucusu |
| 7000 | Cassandra düğüm arası iletişimi | Cassandra | Diğer Cassandra düğümü |
| 7199 | JMX yönetimi. Yönetim Sunucusu tarafından Cassandra düğümüne erişim için açık olmalıdır. | JMX istemcisi | Cassandra |
| 8080 | Management API bağlantı noktası | Management API istemcileri | Yönetim Sunucusu |
| 8081 ile 8084 arası |
Doğrudan bağımsız bileşenlere API istekleri göndermek için kullanılan Bileşen API bağlantı noktaları. Her bileşen farklı bir bağlantı noktası açar. Kullanılan bağlantı noktası, yapılandırmaya bağlıdır ancak Yönetim Sunucusu'nun erişebilmesi için bileşende açık olmalıdır. |
Management API istemcileri | Yönlendirici (8081) Mesaj İşlemci (8082) Qpid Sunucusu (8083) Postgres Server (8084) |
| 8090 | Qpid'in Broker'ının sıraları yönetmek ve izlemek için kullandığı varsayılan yönetim bağlantı noktası. | Tarayıcı veya API istemcisi | Qpid Aracısı (Apigee-qpidd) |
| 8443 | TLS etkinleştirildiğinde Yönlendirici ile Mesaj İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 8998 | Yönlendirici ve Mesaj İşleyici arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 9000 | Varsayılan Edge yönetimi kullanıcı arayüzü bağlantı noktası | Tarayıcı | Yönetim Kullanıcı Arayüzü Sunucusu |
| 9042 | CQL yerel aktarımı | Yönlendirici İleti İşlemci Yönetim Sunucusu |
Cassandra |
| 9099 | Harici IDP kimlik doğrulaması | IDP, tarayıcı ve Yönetim Sunucusu | Apigee TOA |
| 9160 | Cassandra ikinci el istemci | Yönlendirici İleti İşlemci Yönetim Sunucusu |
Cassandra |
| 10389 | LDAP bağlantı noktası | Yönetim Sunucusu | OpenLDAP |
| 15999 | Durum denetimi bağlantı noktası. Yük dengeleyici, Yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. | Yük dengeleyici | Yönlendirici |
| 59001 | Edge yüklemesini test etmek için apigee-validate yardımcı programı tarafından kullanılan bağlantı noktası |
apigee-validate | Yönlendirici |
| 59002 | SmartDokümanlar sayfa isteklerinin gönderildiği yönlendirici bağlantı noktası | SmartDocs | Yönlendirici |
Mesaj İşleyici, hiçbir zaman zaman aşımına uğramayacak şekilde yapılandırılmış özel bir bağlantı havuzunu Cassandra'ya açık tutar. Mesaj İşleyici ile Cassandra sunucusu arasında bulunan güvenlik duvarı, bağlantıyı zaman aşımına uğratabilir. Ancak Mesaj İşleyici, Cassandra ile yeniden bağlantı kurmak için tasarlanmamıştır.
Apigee, bu durumu önlemek için Cassandra sunucusunun, Mesaj İşleyicisinin ve Yönlendiricilerin aynı alt ağda olmasını önerir. Böylece, bu bileşenlerin dağıtımında güvenlik duvarı kullanılamaz.
Yönlendirici ile Mesaj İşlemciler arasında bir güvenlik duvarı varsa ve boşta olan bir TCP zaman aşımı ayarlanmışsa aşağıdaki adımları uygulamanızı öneririz:
- Linux OS'te sysctl ayarlarında
net.ipv4.tcp_keepalive_time = 1800değerini ayarlayın. 1800 değeri, güvenlik duvarı boşta kalma TCP zaman aşımından düşük olmalıdır. Bu ayar, güvenlik duvarının bağlantıyı kesmemesi için bağlantıyı kurulu durumda tutmalıdır. - Tüm Mesaj İşleyicilerinde aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/message-processor.propertiesöğesini düzenleyin. Dosya mevcut değilse, oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mesaj İşleyici'yi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Tüm Yönlendiricilerde
/opt/apigee/customer/application/router.propertiesöğesini düzenleyerek aşağıdaki özelliği ekleyin. Dosya mevcut değilse, oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart