تتجاوز الحاجة إلى إدارة جدار الحماية مجرد المضيفين الظاهريين، إذ يجب أن تسمح جدران حماية كل من الجهاز الظاهري والجهاز الثابت بالمرور للمنافذ المطلوبة من المكونات للتواصل مع بعضها.
الرسومات البيانية للمنافذ
توضِّح الصور التالية متطلبات المنافذ لكلّ من مركز بيانات واحد وإعدادات مراكز بيانات متعددة:
مركز بيانات واحد
تعرض الصورة التالية متطلبات المنفذ لكل مكوّن Edge في إعداد واحد لمركز البيانات:
ملاحظات حول هذا المخطّط البياني:
- إنّ المنافذ التي تبدأ بالبادئة "M" هي منافذ تُستخدَم لإدارة المكوّن، ويجب أن تكون مفتوحة على المكوّن ليصل إليها "خادم الإدارة".
- تتطلّب واجهة مستخدم Edge الوصول إلى جهاز التوجيه، على المنافذ التي تعرضها أدوات الربط بين واجهة برمجة التطبيقات، لتفعيل زر إرسال في أداة التتبّع.
- يمكن ضبط الوصول إلى منافذ JMX ليتطلب اسم مستخدم/كلمة مرور. يمكنك الاطّلاع على مقالة كيفية المراقبة للحصول على مزيد من المعلومات.
- يمكنك اختياريًا ضبط إمكانية الوصول إلى بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لاتصالات معيّنة، والتي يمكن أن تستخدم منافذ مختلفة. اطّلِع على بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) للحصول على المزيد من المعلومات.
- يمكنك ضبط "خادم الإدارة" و"واجهة مستخدم Edge" لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. في هذه الحالة، يجب التأكّد من أنّه يمكن لكلّ من "خادم الإدارة" و"واجهة المستخدم" الوصول إلى المنفذ اللازم على خادم SMTP (غير معروض). بالنسبة إلى بروتوكول SMTP غير المستند إلى طبقة النقل الآمنة (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول SMTP المفعَّل به بروتوكول طبقة المقابس الآمنة (TLS)، يكون الرقم غالبًا 465، ولكن يُرجى التحقّق من موفِّر بروتوكول SMTP.
مراكز بيانات متعدّدة
في حال تثبيت الإعداد المُجمَّع المكوّن من 12 عقدة مع مركزَي بيانات، تأكَّد من أنّ العقد في مركزَي البيانات يمكنها التواصل عبر المنافذ الموضّحة أدناه:
ملاحظة:
- يجب أن يتمكّن جميع "خوادم الإدارة" من الوصول إلى جميع عقد Cassandra في جميع قواعد بيانات البيانات الأخرى.
- يجب أن يتمكّن جميع معالجي الرسائل في جميع مراكز البيانات من الوصول إلى بعضهم البعض عبر رقم المنفذ 4528.
- يجب أن يكون خادم الإدارة قادرًا على الوصول إلى جميع معالجات الرسائل عبر المنفذ 8082.
- يجب أن يتمكّن جميع "خوادم الإدارة" وجميع "عقد Qpid" من الوصول إلى Postgres في جميع مراكز البيانات الأخرى.
- لأسباب تتعلق بالأمان، يجب عدم فتح أي منافذ أخرى بين مراكز البيانات، باستثناء المنافذ الموضّحة أعلاه وأي منافذ أخرى مطلوبة لمتطلبات شبكتك.
لا يتم تشفير الاتصالات بين المكوّنات تلقائيًا. يمكنك إضافة التشفير من خلال تثبيت mTLS في Apigee. لمزيد من المعلومات، يُرجى الاطّلاع على مقدّمة عن mTLS في Apigee.
تفاصيل المنفذ
يوضّح الجدول التالي المنافذ التي يجب فتحها في جدران الحماية، حسب مكوّن Edge:
| المكوّن | المنفذ | الوصف |
|---|---|---|
| منافذ HTTP العادية | 80, 443 | بروتوكول HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفين الظاهريين |
| Apigee SSO | 9099 | الاتصالات الواردة من موفّري الهوية الخارجيين وخادم الإدارة والمتصفّحات للمصادقة |
| Cassandra | 7000، 9042 | منافذ Apache Cassandra للتواصل بين عقد Cassandra وللوصول إليها من خلال مكوّنات Edge الأخرى |
| 7199 | منفذ JMX يجب أن يكون مفتوحًا للوصول إليه من خلال "خادم الإدارة". | |
| LDAP | 10389 | OpenLDAP |
| خادم الإدارة | 1099 | منفذ JMX |
| 4526 | منفذ لتخزين مؤقت موزّع وطلبات الإدارة يمكن ضبط هذا المنفذ. | |
| 5636 | منفذ لإشعارات عمليات الربط بميزة تحقيق الربح | |
| 8080 | منفذ طلبات البيانات من واجهة برمجة تطبيقات إدارة Edge تتطلّب هذه المكوّنات الوصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه ومعالج الرسائل وواجهة المستخدم وPostgres وApigee SSO (في حال تفعيله) وQpid. | |
| واجهة المستخدم الإدارية | 9000 | المنفذ الذي يمكن للمتصفّح من خلاله الوصول إلى واجهة المستخدم للإدارة |
| معالج الرسائل | 1101 | منفذ JMX |
| 4528 | للطلبات الموزّعة وطلبات الإدارة بين معالجات الرسائل، وللتواصل من جهاز التوجيه وخادم الإدارة
يجب أن يفتح "معالج الرسائل" المنفذ 4528 كمنفذ الإدارة. إذا كان لديك عدة معالجات رسائل، يجب أن يتمكّن كلّ منها من الوصول إلى الآخر عبر المنفذ 4528 (يُشار إليه بسهم الحلقة في المخطّط البياني أعلاه للمنفذ 4528 على "معالج الرسائل"). إذا كانت لديك مراكز بيانات متعددة، يجب أن يكون بالإمكان الوصول إلى المنفذ من جميع معالجات الرسائل في جميع مراكز البيانات. |
|
| 8082 |
منفذ الإدارة التلقائي لمعالج الرسائل، ويجب أن يكون مفتوحًا في المكوّن لمنح "خادم الإدارة" إذن الوصول إليه. في حال ضبط بروتوكول أمان طبقة النقل (TLS) أو بروتوكول طبقة المقابس الآمنة (SSL) بين "المسارّ" و"معالج الرسائل"، يتم استخدامه من قِبل "المسارّ" لإجراء عمليات التحقّق من الصحة في "معالج الرسائل". يجب أن يكون المنفذ 8082 على "معالج الرسائل" مفتوحًا للوصول إليه من خلال "الموجّه" فقط عند ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) بين "الموجّه" و"معالج الرسائل". في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين "التوجيه" و"معالج الرسائل"، يجب أن يكون المنفذ 8082 مفتوحًا على "معالج الرسائل" لإدارة المكوّن، ولكن لا يتطلّب "التوجيه" الوصول إليه. |
|
| 8443 | عند تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يجب فتح المنفذ 8443 على معالج الرسائل للسماح لجهاز التوجيه بالوصول إليه. | |
| 8998 | منفذ "معالج الرسائل" للاتصالات الواردة من "جهاز التوجيه" | |
| Postgres | 22 | في حال ضبط عقدتَي Postgres لاستخدام ميزة "النسخ الاحتياطي للمسترِد"، عليك فتح المنفذ 22 على كل عقدة للوصول إلى بروتوكول النقل الآمن (SSH). |
| 1103 | منفذ JMX | |
| 4530 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة | |
| 5432 | تُستخدَم للتواصل من Qpid/Management Server إلى Postgres | |
| 8084 | منفذ الإدارة التلقائي على خادم Postgres، يجب أن يكون مفتوحًا في المكوّن للوصول إليه من خلال "خادم الإدارة". | |
| Qpid | 1102 | منفذ JMX |
| 4529 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة | |
| 5672 |
تُستخدَم أيضًا للتواصل بين خادم Qpid ومكونات الوسيط على الشدَّة نفسها. في التصاميم التي تتضمّن عدة عقد Qpid، يجب أن يتمكّن الخادم من الاتصال بجميع الوكلاء على المنفذ 5672. |
|
| 8083 | منفذ الإدارة التلقائي على خادم Qpid، ويجب أن يكون مفتوحًا في المكوّن لمنح خادم الإدارة إذنًا بالوصول إليه. | |
| 8090 | المنفذ التلقائي لـ Qpid's Broker، يجب أن يكون مفتوحًا للوصول إلى وحدة تحكّم إدارة Broker أو واجهات برمجة تطبيقات الإدارة لأغراض المراقبة. | |
| جهاز التوجيه | 4527 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة
يجب أن يفتح جهاز التوجيه المنفذ 4527 كمنفذ الإدارة. إذا كان لديك عدة أجهزة توجيه، يجب أن يتمكّن كلّ جهاز من الوصول إلى الآخر من خلال المنفذ 4527 (يُشار إليه بالسهم المُدرَج في المخطّط البياني أعلاه للمنفذ 4527 على جهاز التوجيه). على الرغم من أنّ ذلك ليس مطلوبًا، يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إليه من خلال أي معالِج رسائل. بخلاف ذلك، قد تظهر لك رسائل خطأ في ملفات سجلّ "معالج الرسائل" . |
| 8081 | منفذ الإدارة التلقائي لجهاز التوجيه، ويجب أن يكون مفتوحًا على المكوّن للوصول إليه من خلال "خادم الإدارة". | |
| 15999 |
منفذ التحقّق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان الموجه متاحًا. للحصول على حالة جهاز توجيه، يُرسل موازن الحمل طلبًا إلى المنفذ 15999 على جهاز التوجيه: curl -v http://routerIP:15999/v1/servers/self/reachable إذا كان جهاز التوجيه متاحًا، يعرض الطلب HTTP 200. |
|
| 59001 | المنفذ المستخدَم لاختبار تثبيت Edge بواسطة الأداة apigee-validate
تتطلّب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. راجِع مقالة
اختبار عملية التثبيت للحصول على مزيد من المعلومات عن المنفذ 59001. |
|
| SmartDocs | 59002 | المنفذ على جهاز توجيه Edge الذي يتم إرسال طلبات صفحات SmartDocs إليه. |
| ZooKeeper | 2181 | تُستخدَم هذه الأرقام من قِبل مكوّنات أخرى، مثل خادم الإدارة وجهاز التوجيه ومعالج الرسائل وما إلى ذلك. |
| 2888، 3888 | يُستخدَم هذا البروتوكول داخليًا من قِبل ZooKeeper لربط مجموعات ZooKeeper (المعروفة باسم مجموعة ZooKeeper) مع بعضها. |
يعرض الجدول التالي المنافذ نفسها، مُدرَجة رقميًا، مع مكوّنات المصدر والوجهة:
| رقم المنفذ | الغرض | المكوّن المصدر | مكوّن الوجهة |
|---|---|---|---|
| virtual_host_port | بروتوكول HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لحركة بيانات طلبات بيانات واجهة برمجة التطبيقات الخاصة بالمضيف الافتراضي إنّ المنفذَين 80 و443 هما الأكثر استخدامًا، ويمكن لـ "موجِّه الرسائل" إنهاء اتصالات بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL). | العميل الخارجي (أو جهاز موازنة الحمل) | مستمع على "جهاز توجيه الرسائل" |
| 1099 حتى 1103 | إدارة JMX | برنامج JMX Client | خادم الإدارة (1099) معالِج الرسائل (1101) خادم Qpid (1102) خادم Postgres (1103) |
| 2181 | التواصل مع عملاء Zookeeper | خادم الإدارة جهاز التوجيه معالِج الرسائل خادم Qpid خادم Postgres |
Zookeeper |
| 2888 و3888 | إدارة الربط بين العقد في Zookeeper | Zookeeper | Zookeeper |
| 4526 | منفذ إدارة RPC | خادم الإدارة | خادم الإدارة |
| 4527 | منفذ إدارة RPC للذاكرة المؤقتة الموزّعة ومكالمات الإدارة وللاتصالات بين أجهزة التوجيه | خادم الإدارة جهاز التوجيه |
جهاز التوجيه |
| 4528 | لطلبات ذاكرة التخزين المؤقت الموزّعة بين معالجات الرسائل، وللتواصل من جهاز التوجيه | خادم الإدارة جهاز التوجيه وحدة معالجة الرسائل |
معالج الرسائل |
| 4529 | منفذ إدارة RPC للمكالمات المتعلقة بالذاكرة المؤقتة الموزّعة وإدارة المكالمات | خادم الإدارة | خادم Qpid |
| 4530 | منفذ إدارة RPC للذاكرة المؤقتة الموزَّعة ومكالمات الإدارة | خادم الإدارة | خادم Postgres |
| 5432 | عميل Postgres | خادم Qpid | Postgres |
| 5636 | تحقيق الربح | مكوّن JMS خارجي | خادم الإدارة |
| 5672 |
تُستخدَم أيضًا للتواصل بين خادم Qpid ومكونات الوسيط على الشدَّة نفسها. في التصاميم التي تتضمّن عدة عقد Qpid، يجب أن يتمكّن الخادم من الاتصال بجميع الوكلاء على المنفذ 5672. |
خادم Qpid | خادم Qpid |
| 7000 | اتصالات بين العقد في Cassandra | Cassandra | عقدة Cassandra أخرى |
| 7199 | إدارة JMX يجب أن يكون مفتوحًا للوصول إلى عقدة Cassandra من خلال "خادم الإدارة". | عميل JMX | Cassandra |
| 8080 | منفذ Management API | برامج واجهة برمجة التطبيقات Management API | خادم الإدارة |
| 8081 إلى 8084 |
منافذ واجهة برمجة التطبيقات للمكوّنات، المستخدَمة لإصدار طلبات واجهة برمجة التطبيقات مباشرةً إلى مكوّنات فردية يفتح كل مكوّن من المكوّنات منفذًا مختلفًا، ويعتمد المنفذ المحدّد المستخدَم على الإعدادات، ولكن يجب أن يكون مفتوحًا في المكوّن ليتمكن "خادم الإدارة" من الوصول إليه. |
برامج واجهة برمجة التطبيقات Management API | جهاز التوجيه (8081) وحدة معالجة الرسائل (8082) خادم Qpid (8083) خادم Postgres (8084) |
| 8090 | منفذ الإدارة التلقائي لوكيل Qpid لإدارة قوائم الانتظار ومراقبتها. | المتصفّح أو عميل واجهة برمجة التطبيقات | وسيط Qpid (apigee-qpidd) |
| 8443 | التواصل بين جهاز التوجيه ومعالج الرسائل عند تفعيل بروتوكول أمان طبقة النقل (TLS) | جهاز التوجيه | معالج الرسائل |
| 8998 | التواصل بين جهاز التوجيه ومعالج الرسائل | جهاز التوجيه | معالج الرسائل |
| 9000 | منفذ واجهة مستخدم إدارة Edge التلقائي | المتصفح | خادم واجهة المستخدم الإدارية |
| 9042 | النقل الأصلي لـ CQL | الموجه معالِج الرسائل خادم الإدارة |
Cassandra |
| 9099 | مصادقة مزوّد خدمة تعريف الهوية الخارجي | موفِّر الهوية والمتصفّح وخادم الإدارة | Apigee SSO |
| 10389 | منفذ LDAP | خادم الإدارة | OpenLDAP |
| 15999 | منفذ التحقّق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان الموجه متاحًا. | جهاز موازنة الحمل | جهاز التوجيه |
| 59001 | المنفذ المستخدَم من قِبل الأداة apigee-validate لاختبار تثبيت Edge |
apigee-validate | جهاز التوجيه |
| 59002 | منفذ جهاز التوجيه الذي يتم إرسال طلبات صفحات SmartDocs إليه | SmartDocs | جهاز التوجيه |
يحافظ "معالج الرسائل" على مجموعة اتصالات مخصّصة مفتوحة مع Cassandra، ويتم ضبطها بحيث لا تنتهي مهلة الاتصال أبدًا. عندما يكون هناك جدار حماية بين "معالج الرسائل" وخادم Cassandra، يمكن لجدار الحماية أن يحدّد مهلة للاتصال. ومع ذلك، لم يتم تصميم "معالج الرسائل" للقيام بمحاولة إعادة إنشاء اتصالات مع Cassandra.
لتجنُّب حدوث ذلك، تنصح Apigee بأن يكون خادم Cassandra ومعالج الرسائل و أجهزة التوجيه في الشبكة الفرعية نفسها حتى لا يتم استخدام جدار الحماية في نشر هذه المكوّنات.
إذا كان هناك جدار حماية بين جهاز التوجيه ومعالجات الرسائل، وتم ضبط مهلة TCP غير النشطة، ننصحك باتّباع الخطوات التالية:
- اضبط
net.ipv4.tcp_keepalive_time = 1800في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن تكون القيمة 1800 أقل من مهلة tcp غير النشطة لجدار الحماية. من المفترض أن يحافظ هذا الإعداد على الاتصال في حالة الاتّصال حتى لا يقطع جدار الحماية الاتصال. - في جميع معالجات الرسائل، عدِّل
/opt/apigee/customer/application/message-processor.propertiesلإضافة السمة التالية. إذا لم يكن الملف متوفّرًا، أنشِئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- إعادة تشغيل "معالج الرسائل":
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- في جميع أجهزة التوجيه، عدِّل
/opt/apigee/customer/application/router.propertiesلإضافة السمة التالية. إذا لم يكن الملف متوفّرًا، أنشِئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- إعادة تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart