Kebutuhan untuk mengelola firewall tidak hanya terbatas pada host virtual; firewall VM dan host fisik harus mengizinkan traffic untuk port yang diperlukan oleh komponen untuk berkomunikasi satu sama lain.
Diagram port
Gambar berikut menunjukkan persyaratan port untuk satu pusat data dan beberapa konfigurasi pusat data:
Satu Pusat Data
Gambar berikut menunjukkan persyaratan port untuk setiap komponen Edge dalam satu konfigurasi data center:
Catatan pada diagram ini:
- Port yang diawali dengan "M" adalah port yang digunakan untuk mengelola komponen dan harus terbuka di komponen untuk diakses oleh Server Pengelolaan.
- UI Edge memerlukan akses ke Router, di port yang diekspos oleh proxy API, untuk mendukung tombol Kirim di alat rekaman aktivitas.
- Akses ke port JMX dapat dikonfigurasi untuk mewajibkan nama pengguna/sandi. Lihat Cara Memantau untuk mengetahui informasi selengkapnya.
- Anda dapat mengonfigurasi akses TLS/SSL secara opsional untuk koneksi tertentu, yang dapat menggunakan port yang berbeda. Lihat TLS/SSL untuk mengetahui informasi selengkapnya.
- Anda dapat mengonfigurasi Server Pengelolaan dan UI Edge untuk mengirim email melalui server SMTP eksternal. Jika melakukannya, Anda harus memastikan bahwa Server Pengelolaan dan UI dapat mengakses port yang diperlukan di server SMTP (tidak ditampilkan). Untuk SMTP non-TLS, nomor port biasanya 25. Untuk SMTP yang mengaktifkan TLS, portnya sering kali 465, tetapi periksa dengan penyedia SMTP Anda.
Beberapa Pusat Data
Jika Anda menginstal konfigurasi cluster 12 node dengan dua pusat data, pastikan node di kedua pusat data dapat berkomunikasi melalui port yang ditampilkan di bawah:
Perhatikan bahwa:
- Semua Server Pengelolaan harus dapat mengakses semua node Cassandra di semua pusat data lainnya.
- Semua Pemroses Pesan di semua pusat data harus dapat saling mengakses melalui port 4528.
- Server Pengelolaan harus dapat mengakses semua Pemroses Pesan melalui port 8082.
- Semua Server Pengelolaan dan semua node Qpid harus dapat mengakses Postgres di semua pusat data lainnya.
- Untuk alasan keamanan, selain port yang ditampilkan di atas dan port lainnya yang diperlukan oleh persyaratan jaringan Anda sendiri, tidak ada port lain yang boleh terbuka antara pusat data.
Secara default, komunikasi antar-komponen tidak dienkripsi. Anda dapat menambahkan enkripsi dengan menginstal mTLS Apigee. Untuk informasi selengkapnya, lihat Pengantar mTLS Apigee.
Detail port
Tabel di bawah menjelaskan port yang perlu dibuka di firewall, berdasarkan komponen Edge:
| Komponen | Port | Deskripsi |
|---|---|---|
| Port HTTP standar | 80, 443 | HTTP plus port lain yang Anda gunakan untuk host virtual |
| SSO Apigee | 9099 | Koneksi dari IdP eksternal, Server Pengelolaan, dan browser untuk autentikasi. |
| Cassandra | 7000, 9042 | Port Apache Cassandra untuk komunikasi antar-node Cassandra dan untuk akses oleh komponen Edge lainnya. |
| 7199 | Port JMX. Harus terbuka untuk diakses oleh Server Pengelolaan. | |
| LDAP | 10389 | OpenLDAP |
| Server Pengelolaan | 1099 | Port JMX |
| 4526 | Port untuk panggilan cache dan pengelolaan terdistribusi. Port ini dapat dikonfigurasi. | |
| 5636 | Port untuk notifikasi commit monetisasi. | |
| 8080 | Port untuk panggilan API pengelolaan Edge. Komponen ini memerlukan akses ke port 8080 di Server Pengelolaan: Router, Message Processor, UI, Postgres, Apigee SSO (jika diaktifkan), dan Qpid. | |
| UI Pengelolaan | 9000 | Port untuk akses browser ke UI pengelolaan |
| Message Processor | 1101 | Port JMX |
| 4528 | Untuk cache terdistribusi dan panggilan pengelolaan antara Pemroses Pesan, serta untuk
komunikasi dari Router dan Server Pengelolaan.
Pemroses Pesan harus membuka port 4528 sebagai port pengelolaannya. Jika Anda memiliki beberapa Message Processor, semua Message Processor tersebut harus dapat saling mengakses melalui port 4528 (ditunjukkan oleh panah loop dalam diagram di atas untuk port 4528 di Message Processor). Jika Anda memiliki beberapa pusat data, port harus dapat diakses dari semua Message Processor di semua pusat data. |
|
| 8082 |
Port pengelolaan default untuk Message Processor dan harus terbuka di komponen untuk akses oleh Server Pengelolaan. Jika Anda mengonfigurasi TLS/SSL antara Router dan Message Processor, yang digunakan oleh Router untuk melakukan health check pada Message Processor. Port 8082 di Message Processor hanya harus terbuka untuk diakses oleh Router saat Anda mengonfigurasi TLS/SSL antara Router dan Message Processor. Jika Anda tidak mengonfigurasi TLS/SSL antara Router dan Message Processor, konfigurasi default, port 8082 masih harus terbuka di Message Processor untuk mengelola komponen, tetapi Router tidak memerlukan akses ke port tersebut. |
|
| 8443 | Jika TLS diaktifkan antara Router dan Message Processor, Anda harus membuka port 8443 di Message Processor untuk diakses oleh Router. | |
| 8998 | Port Message Processor untuk komunikasi dari Router | |
| Postgres | 22 | Jika mengonfigurasi dua node Postgres untuk menggunakan replikasi master-standby, Anda harus membuka port 22 di setiap node untuk akses SSH. |
| 1103 | Port JMX | |
| 4530 | Untuk cache terdistribusi dan panggilan pengelolaan | |
| 5432 | Digunakan untuk komunikasi dari Qpid/Management Server ke Postgres | |
| 8084 | Port pengelolaan default di server Postgres; harus terbuka di komponen untuk akses oleh Server Pengelolaan. | |
| Qpid | 1102 | Port JMX |
| 4529 | Untuk cache terdistribusi dan panggilan pengelolaan | |
| 5672 |
Juga digunakan untuk komunikasi antara server Qpid dan komponen broker di node yang sama. Dalam topologi dengan beberapa node Qpid, server harus dapat terhubung ke semua broker di port 5672. |
|
| 8083 | Port pengelolaan default di server Qpid dan harus terbuka di komponen untuk akses oleh Server Pengelolaan. | |
| 8090 | Port default untuk Broker Qpid; harus terbuka untuk mengakses konsol manajemen Broker atau API manajemen untuk tujuan pemantauan. | |
| Router | 4527 | Untuk panggilan cache dan pengelolaan terdistribusi.
Router harus membuka port 4527 sebagai port pengelolaannya. Jika Anda memiliki beberapa Router, semua Router tersebut harus dapat saling mengakses melalui port 4527 (ditunjukkan oleh panah loop dalam diagram di atas untuk port 4527 di Router). Meskipun tidak diperlukan, Anda dapat membuka port 4527 di Router untuk akses oleh Message Processor. Jika tidak, Anda mungkin melihat pesan error dalam file log Message Processor. |
| 8081 | Port pengelolaan default untuk Router dan harus terbuka di komponen untuk akses oleh Server Pengelolaan. | |
| 15999 |
Port health check. Load balancer menggunakan port ini untuk menentukan apakah Router tersedia. Untuk mendapatkan status Router, load balancer membuat permintaan ke port 15999 di Router: curl -v http://routerIP:15999/v1/servers/self/reachable Jika Router dapat dijangkau, permintaan akan menampilkan HTTP 200. |
|
| 59001 | Port yang digunakan untuk menguji penginstalan Edge oleh utilitas apigee-validate.
Utilitas ini memerlukan akses ke port 59001 di Router. Lihat
Menguji penginstalan untuk mengetahui informasi selengkapnya tentang port 59001. |
|
| SmartDocs | 59002 | Port di router Edge tempat permintaan halaman SmartDocs dikirim. |
| ZooKeeper | 2181 | Digunakan oleh komponen lain seperti Server Pengelolaan, Router, Pemroses Pesan, dan sebagainya |
| 2888, 3888 | Digunakan secara internal oleh ZooKeeper untuk komunikasi cluster ZooKeeper (dikenal sebagai ensemble ZooKeeper) |
Tabel berikutnya menampilkan port yang sama, yang tercantum secara numerik, dengan komponen sumber dan tujuan:
| Nomor Port | Tujuan | Komponen Sumber | Komponen Tujuan |
|---|---|---|---|
| virtual_host_port | HTTP plus port lain yang Anda gunakan untuk traffic panggilan API host virtual. Port 80 dan 443 paling sering digunakan; Message Router dapat menghentikan koneksi TLS/SSL. | Klien eksternal (atau load balancer) | Pemroses di Message Router |
| 1099 hingga 1103 | Pengelolaan JMX | Klien JMX | Server Pengelolaan (1099) Pemroses Pesan (1101) Server Qpid (1102) Server Postgres (1103) |
| 2181 | Komunikasi klien Zookeeper | Server Pengelolaan Router Pemroses Pesan Server Qpid Server Postgres |
Zookeeper |
| 2888 dan 3888 | Pengelolaan internode Zookeeper | Zookeeper | Zookeeper |
| 4526 | Port Pengelolaan RPC | Server Pengelolaan | Server Pengelolaan |
| 4527 | Port Pengelolaan RPC untuk cache terdistribusi dan panggilan pengelolaan, serta untuk komunikasi antar-Router | Server Pengelolaan Router |
Router |
| 4528 | Untuk panggilan cache terdistribusi di antara Message Processor, dan untuk komunikasi dari Router | Server Pengelolaan Router Message Processor |
Message Processor |
| 4529 | Port Pengelolaan RPC untuk panggilan cache dan pengelolaan terdistribusi | Server Pengelolaan | Server Qpid |
| 4530 | Port Pengelolaan RPC untuk panggilan cache dan pengelolaan terdistribusi | Server Pengelolaan | Server Postgres |
| 5432 | Klien Postgres | Server Qpid | Postgres |
| 5636 | Monetisasi | Komponen JMS eksternal | Server Pengelolaan |
| 5672 |
Juga digunakan untuk komunikasi antara server Qpid dan komponen broker di node yang sama. Dalam topologi dengan beberapa node Qpid, server harus dapat terhubung ke semua broker di port 5672. |
Server Qpid | Server Qpid |
| 7.000 | Komunikasi antar-node Cassandra | Cassandra | Node Cassandra lainnya |
| 7199 | Pengelolaan JMX. Harus terbuka untuk akses di node Cassandra oleh Server Pengelolaan. | Klien JMX | Cassandra |
| 8080 | Port Management API | Klien Management API | Server Pengelolaan |
| 8081 hingga 8084 |
Port Component API, yang digunakan untuk mengeluarkan permintaan API langsung ke setiap komponen. Setiap komponen membuka port yang berbeda; port yang tepat yang digunakan bergantung pada konfigurasi, tetapi harus terbuka di komponen untuk diakses oleh Server Pengelolaan |
Klien Management API | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8090 | Port pengelolaan default untuk Broker Qpid guna mengelola dan memantau antrean. | Klien browser atau API | Broker Qpid (apigee-qpidd) |
| 8443 | Komunikasi antara Router dan Message Processor saat TLS diaktifkan | Router | Message Processor |
| 8998 | Komunikasi antara Router dan Message Processor | Router | Message Processor |
| 9000 | Port UI pengelolaan Edge default | Browser | Server UI Pengelolaan |
| 9042 | Transpor native CQL | Router Message Processor Management Server |
Cassandra |
| 9099 | Autentikasi IdP eksternal | IdP, browser, dan Server Pengelolaan | SSO Apigee |
| 10389 | Port LDAP | Server Pengelolaan | OpenLDAP |
| 15999 | Port health check. Load balancer menggunakan port ini untuk menentukan apakah Router tersedia. | Load balancer | Router |
| 59001 | Port yang digunakan oleh utilitas apigee-validate untuk menguji penginstalan Edge |
apigee-validate | Router |
| 59002 | Port router tempat permintaan halaman SmartDocs dikirim | SmartDocs | Router |
Message Processor membuat kumpulan koneksi khusus tetap terbuka ke Cassandra, yang dikonfigurasi agar tidak pernah habis waktu tunggunya. Jika firewall berada di antara Message Processor dan server Cassandra, firewall dapat menghentikan koneksi. Namun, Pemroses Pesan tidak dirancang untuk membuat ulang koneksi ke Cassandra.
Untuk mencegah situasi ini, Apigee merekomendasikan agar server Cassandra, Message Processor, dan Router berada di subnet yang sama sehingga firewall tidak terlibat dalam deployment komponen ini.
Jika firewall berada di antara Router dan Message Processor, dan memiliki waktu tunggu TCP tidak ada aktivitas yang ditetapkan, sebaiknya lakukan hal berikut:
- Tetapkan
net.ipv4.tcp_keepalive_time = 1800di setelan sysctl pada OS Linux, dengan 1800 harus lebih rendah dari waktu tunggu tcp tidak ada aktivitas firewall. Setelan ini akan mempertahankan koneksi dalam status yang ditetapkan sehingga firewall tidak memutuskan koneksi. - Di semua Pemroses Pesan, edit
/opt/apigee/customer/application/message-processor.propertiesuntuk menambahkan properti berikut. Jika file tidak ada, buat file tersebut.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mulai ulang Message Processor:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Di semua Router, edit
/opt/apigee/customer/application/router.propertiesuntuk menambahkan properti berikut. Jika file tidak ada, buat file tersebut.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mulai Ulang Router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart