متطلبات النقل

لا تقتصر الحاجة إلى إدارة جدار الحماية على المضيفات الافتراضية فقط، بل يجب أن تسمح جدران الحماية الخاصة بكل من الجهاز الافتراضي والمضيف الفعلي بمرور البيانات عبر المنافذ التي تحتاجها المكوّنات للتواصل مع بعضها البعض.

مخططات المنافذ

تعرض الصور التالية متطلبات المنفذ لكل من مركز بيانات واحد وإعدادات متعددة لمراكز البيانات:

مركز بيانات واحد

تعرض الصورة التالية متطلبات المنفذ لكل مكوّن من مكوّنات Edge في إعداد مركز بيانات واحد:

متطلبات المنفذ لكل مكوّن من مكوّنات Edge في إعداد مركز بيانات واحد

ملاحظات حول هذا المخطط:

  • المنافذ التي تبدأ بالحرف "M" هي منافذ تُستخدَم لإدارة المكوّن ويجب أن تكون مفتوحة على المكوّن ليتمكّن "خادم الإدارة" من الوصول إليها.
  • تتطلّب واجهة مستخدم Edge الوصول إلى جهاز التوجيه على المنافذ التي تعرضها خوادم وكيل واجهة برمجة التطبيقات، وذلك لتفعيل الزر إرسال في أداة التتبُّع.
  • يمكن ضبط إذن الوصول إلى منافذ JMX لطلب اسم مستخدم وكلمة مرور. يمكنك الاطّلاع على كيفية المراقبة لمزيد من المعلومات.
  • يمكنك اختياريًا ضبط إذن الوصول إلى بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لبعض الاتصالات التي يمكنها استخدام منافذ مختلفة. لمزيد من المعلومات، يُرجى الاطّلاع على بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL).
  • يمكنك ضبط خادم الإدارة وواجهة مستخدم Edge لإرسال رسائل إلكترونية من خلال خادم SMTP خارجي. وفي حال إجراء ذلك، عليك التأكّد من أنّ خادم الإدارة وواجهة المستخدم يمكنهما الوصول إلى المنفذ اللازم على خادم SMTP (غير معروض). بالنسبة إلى بروتوكول نقل البريد البسيط (SMTP) غير المستند إلى طبقة النقل الآمنة (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى SMTP المتوافق مع TLS، يكون المنفذ غالبًا 465، ولكن يُرجى التحقّق من موفّر خدمة SMTP.

مراكز بيانات متعدّدة

في حال تثبيت إعداد مجموعة من 12 عقدة مع مركزَي بيانات، تأكَّد من أنّ العُقد في مركزَي البيانات يمكنها التواصل عبر المنافذ الموضّحة أدناه:

متطلبات المنفذ لكل عقدة في إعداد مجمّع من 12 عقدة

يُرجى ملاحظة ما يلي:

  • يجب أن تتمكّن جميع خوادم الإدارة من الوصول إلى جميع عقد Cassandra في جميع مراكز البيانات الأخرى.
  • يجب أن تتمكّن جميع معالجات الرسائل في جميع مراكز البيانات من الوصول إلى بعضها البعض عبر المنفذ 4528.
  • يجب أن يتمكّن خادم الإدارة من الوصول إلى جميع معالِجات الرسائل عبر المنفذ 8082.
  • يجب أن تتمكّن جميع خوادم الإدارة وجميع عقد Qpid من الوصول إلى Postgres في جميع مراكز البيانات الأخرى.
  • لأسباب تتعلّق بالأمان، يجب عدم فتح أي منافذ أخرى بين مراكز البيانات باستثناء المنافذ الموضّحة أعلاه وأي منافذ أخرى تتطلّبها متطلبات شبكتك.

لا يتم تشفير عمليات التواصل بين المكوّنات تلقائيًا. يمكنك إضافة التشفير من خلال تثبيت Apigee mTLS. لمزيد من المعلومات، يُرجى الاطّلاع على مقدمة عن Apigee mTLS.

تفاصيل المنفذ

يوضّح الجدول أدناه المنافذ التي يجب فتحها في جدران الحماية، حسب مكوّن Edge:

المكوّن المنفذ الوصف
منافذ HTTP العادية 80, 443 بروتوكول HTTP وأي منافذ أخرى تستخدمها للمضيفات الافتراضية
Apigee SSO 9099 الاتصالات من موفّري الهوية الخارجيين وخادم الإدارة والمتصفحات لأغراض المصادقة
Cassandra 7000، 9042 منافذ Apache Cassandra للتواصل بين عُقد Cassandra وللوصول إليها من خلال مكوّنات Edge الأخرى
7199 منفذ JMX يجب أن يكون مفتوحًا ليتمكّن "خادم الإدارة" من الوصول إليه.
LDAP 10389 SymasLDAP
خادم الإدارة 1099 منفذ JMX
4526 منفذ للمكالمات الموزّعة الخاصة بالتخزين المؤقت والإدارة يمكن ضبط هذا المنفذ.
5636 منفذ لإشعارات الالتزام بتحقيق الربح
8080 المنفذ المخصّص لطلبات البيانات من واجهة برمجة تطبيقات إدارة Edge تتطلّب هذه المكوّنات إذن وصول إلى المنفذ 8080 على خادم الإدارة: جهاز التوجيه و"معالج الرسائل" وواجهة المستخدم وPostgres وApigee SSO (في حال تفعيلها) وQpid.
واجهة مستخدم الإدارة 9000 منفذ وصول المتصفح إلى واجهة مستخدم الإدارة
معالج الرسائل 1101 منفذ JMX
4528 بالنسبة إلى عمليات التخزين المؤقت الموزّع وعمليات الإدارة بين "معالجات الرسائل"، وبالنسبة إلى التواصل من "جهاز التوجيه" و"خادم الإدارة"

يجب أن يفتح "معالج الرسائل" المنفذ 4528 كمنفذ إدارة. إذا كان لديك عدة معالِجات رسائل، يجب أن يكون بإمكانها جميعًا الوصول إلى بعضها البعض عبر المنفذ 4528 (يشار إليه بسهم الحلقة في الرسم البياني أعلاه للمنفذ 4528 على معالِج الرسائل). إذا كانت لديك مراكز بيانات متعددة، يجب أن يكون المنفذ متاحًا من جميع معالِجات الرسائل في جميع مراكز البيانات.
8082

منفذ الإدارة التلقائي لـ "معالج الرسائل" ويجب أن يكون مفتوحًا على المكوّن ليتمكّن "خادم الإدارة" من الوصول إليه.

إذا أعددت بروتوكول أمان طبقة النقل (TLS) أو بروتوكول طبقة المقابس الآمنة (SSL) بين جهاز التوجيه و"معالج الرسائل"، سيستخدم جهاز التوجيه هذا البروتوكول لإجراء عمليات التحقّق من سلامة "معالج الرسائل".

يجب فتح المنفذ 8082 على "معالج الرسائل" فقط ليتمكّن "الموجّه" من الوصول إليه عند ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) بين "الموجّه" و"معالج الرسائل". في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين جهاز التوجيه ومعالج الرسائل، يجب أن يظل الإعداد التلقائي، أي المنفذ 8082، مفتوحًا على معالج الرسائل لإدارة المكوّن، ولكن لا يحتاج جهاز التوجيه إلى الوصول إليه.
8443 عند تفعيل بروتوكول TLS بين جهاز التوجيه و"معالج الرسائل"، يجب فتح المنفذ 8443 على "معالج الرسائل" ليتمكّن جهاز التوجيه من الوصول إليه.
8998 منفذ "معالج الرسائل" للاتصالات الواردة من "جهاز التوجيه"
Postgres ‫22 في حال ضبط عقدتَي Postgres لاستخدام النسخ المتماثل الرئيسي الاحتياطي، يجب فتح المنفذ 22 على كل عقدة للوصول إلى SSH.
1103 منفذ JMX
4530 للمكالمات الموزّعة الخاصة بإدارة ذاكرة التخزين المؤقت
5432 يُستخدم للتواصل من Qpid/Management Server إلى Postgres
‫8084 منفذ الإدارة التلقائي على خادم Postgres، ويجب أن يكون مفتوحًا على المكوّن ليتمكّن خادم الإدارة من الوصول إليه.
Qpid 1102 منفذ JMX
4529 للمكالمات الموزّعة الخاصة بإدارة ذاكرة التخزين المؤقت
5672
  • مركز بيانات واحد: يُستخدَم لإرسال الإحصاءات من "جهاز التوجيه" و"معالج الرسائل" إلى Qpid.
  • مراكز بيانات متعددة: تُستخدم للاتصالات بين عُقد Qpid في مراكز بيانات مختلفة.

يُستخدم أيضًا للتواصل بين خادم Qpid ومكوّنات الوسيط على العقدة نفسها. في التصاميم التي تتضمّن عقد Qpid متعددة، يجب أن يتمكّن الخادم من الاتصال بجميع الوسطاء على المنفذ 5672.
8083 منفذ الإدارة التلقائي على خادم Qpid ويجب أن يكون مفتوحًا على المكوّن ليتمكّن خادم الإدارة من الوصول إليه.
8090 المنفذ التلقائي لبرنامج Qpid Broker، ويجب أن يكون مفتوحًا للوصول إلى وحدة تحكّم الإدارة أو واجهات برمجة التطبيقات الخاصة بالإدارة لأغراض المراقبة.
جهاز التوجيه 4527 للمكالمات الموزّعة الخاصة بإدارة ذاكرة التخزين المؤقت.

يجب أن يفتح جهاز التوجيه المنفذ 4527 كمنفذ إدارة. إذا كان لديك أجهزة توجيه متعددة، يجب أن يكون بإمكانها جميعًا الوصول إلى بعضها البعض عبر المنفذ 4527 (يُشار إلى ذلك بالسهم الحلقي في الرسم التوضيحي أعلاه للمنفذ 4527 على جهاز التوجيه).

على الرغم من أنّ ذلك ليس مطلوبًا، يمكنك فتح المنفذ 4527 على جهاز التوجيه للسماح لأي معالج رسائل بالوصول. بخلاف ذلك، قد تظهر لك رسائل خطأ في ملفات سجلّ Message Processor.
8081 منفذ الإدارة التلقائي لجهاز التوجيه ويجب أن يكون مفتوحًا على المكوّن ليتمكّن "خادم الإدارة" من الوصول إليه.
15999

منفذ التحقّق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه متاحًا.

للحصول على حالة أحد الموجهات، يرسل جهاز موازنة الحمل طلبًا إلى المنفذ 15999 على الموجه:

curl -v http://routerIP:15999/v1/servers/self/reachable

إذا كان جهاز التوجيه متاحًا، سيعرض الطلب HTTP 200.
59001 المنفذ المستخدَم لاختبار تثبيت Edge بواسطة الأداة المساعدة apigee-validate يتطلّب هذا البرنامج المساعد إذن الوصول إلى المنفذ 59001 على جهاز التوجيه. يمكنك الاطّلاع على اختبار التثبيت لمعرفة المزيد عن المنفذ 59001.
SmartDocs 59002 المنفذ على جهاز توجيه Edge الذي يتم إرسال طلبات صفحة SmartDocs إليه.
ZooKeeper 2181 يتم استخدامه من خلال مكونات أخرى، مثل خادم الإدارة وجهاز التوجيه ومعالج الرسائل وما إلى ذلك.
2888, 3888 يتم استخدامها داخليًا من قِبل ZooKeeper للتواصل مع مجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper)

يعرض الجدول التالي المنافذ نفسها، ولكنها مُدرَجة بشكل رقمي، مع مكوّنات المصدر والوجهة:

رقم المنفذ الغرض المكوّن المصدر مكوِّن الوجهة
virtual_host_port بروتوكول HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لحركة بيانات طلبات واجهة برمجة التطبيقات للمضيف الافتراضي يتم استخدام المنفذَين 80 و443 بشكل شائع، ويمكن لموجّه الرسائل إنهاء اتصالات TLS/SSL. العميل الخارجي (أو جهاز موازنة الحمل) برنامج تلقّي الإشعارات الصوتية على جهاز توجيه الرسائل
‫1099 إلى 1103 إدارة JMX عميل JMX خادم الإدارة (1099)
معالج الرسائل (1101)
خادم Qpid (1102)
خادم Postgres (1103)
2181 التواصل بين عميل Zookeeper وخادم Zookeeper خادم الإدارة
الموجّه
معالج الرسائل
خادم Qpid
خادم Postgres 		Zookeeper
‫2888 و3888 إدارة العُقد الداخلية في Zookeeper Zookeeper Zookeeper
4526 منفذ إدارة RPC خادم الإدارة خادم الإدارة
4527 منفذ إدارة RPC للمكالمات الموزّعة الخاصة بالإدارة وذاكرة التخزين المؤقت، ولعمليات التواصل بين أجهزة التوجيه جهاز توجيه
خادم الإدارة		 جهاز التوجيه
4528 لإجراء طلبات ذاكرة التخزين المؤقت الموزّعة بين "معالجات الرسائل"، وللتواصل من "الموجّه" خادم الإدارة
الموجّه
معالج الرسائل 		معالج الرسائل
4529 منفذ إدارة RPC للمكالمات الموزّعة الخاصة بالإدارة وذاكرة التخزين المؤقت خادم الإدارة خادم Qpid
4530 منفذ إدارة RPC للمكالمات الموزّعة الخاصة بالإدارة وذاكرة التخزين المؤقت خادم الإدارة خادم Postgres
5432 عميل Postgres خادم Qpid Postgres
5636 تحقيق الربح مكوّن JMS خارجي خادم الإدارة
5672
  • مركز بيانات واحد: يُستخدَم لإرسال الإحصاءات من "جهاز التوجيه" و"معالج الرسائل" إلى Qpid.
  • مراكز بيانات متعددة: تُستخدم للاتصالات بين عُقد Qpid في مراكز بيانات مختلفة.

يُستخدم أيضًا للتواصل بين خادم Qpid ومكوّنات الوسيط على العقدة نفسها. في التصاميم التي تتضمّن عقد Qpid متعددة، يجب أن يتمكّن الخادم من الاتصال بجميع الوسطاء على المنفذ 5672.

 خادم Qpid خادم Qpid
7000 الاتصالات بين العُقد في Cassandra Cassandra عقدة Cassandra أخرى
7199 إدارة JMX يجب أن يكون مفتوحًا للوصول على عقدة Cassandra من خلال خادم الإدارة. عميل JMX Cassandra
8080 منفذ Management API برامج واجهة Management API خادم الإدارة
‫8081 إلى 8084

منافذ Component API، تُستخدَم لإصدار طلبات API مباشرةً إلى المكوّنات الفردية. يفتح كل مكوّن منفذًا مختلفًا، ويعتمد المنفذ الدقيق المستخدَم على الإعدادات، ولكن يجب أن يكون المنفذ مفتوحًا على المكوّن ليتمكّن خادم الإدارة من الوصول إليه.

 برامج واجهة Management API الموجّه (8081)
معالج الرسائل (8082)
خادم Qpid (8083)
خادم Postgres (8084)
8090 منفذ الإدارة التلقائي لبرنامج Qpid's Broker من أجل إدارة قوائم الانتظار وتتبُّعها المتصفّح أو عميل واجهة برمجة التطبيقات Qpid Broker (apigee-qpidd)
8443 التواصل بين "جهاز التوجيه" و"معالج الرسائل" عند تفعيل بروتوكول أمان طبقة النقل (TLS) جهاز التوجيه معالج الرسائل
8998 التواصل بين جهاز التوجيه و"معالج الرسائل" جهاز التوجيه معالج الرسائل
9000 منفذ واجهة مستخدم إدارة Edge التلقائي المتصفح خادم واجهة المستخدم الإدارية
9042 CQL native transport الموجّه
معالج الرسائل
خادم الإدارة 		Cassandra
9099 المصادقة باستخدام موفّر خدمة هوية خارجي موفِّر الهوية والمتصفّح وخادم الإدارة Apigee SSO
10389 منفذ LDAP خادم الإدارة SymasLDAP
15999 منفذ التحقّق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان جهاز التوجيه متاحًا. جهاز موازنة الحمل جهاز التوجيه
59001 المنفذ الذي تستخدمه الأداة المساعدة apigee-validate لاختبار عملية تثبيت Edge apigee-validate جهاز التوجيه
59002 منفذ جهاز التوجيه الذي يتم إرسال طلبات صفحة SmartDocs إليه SmartDocs جهاز التوجيه

يحتفظ "معالج الرسائل" بمجموعة اتصال مخصّصة مفتوحة مع Cassandra، ويتم ضبطها على ألا تنتهي مهلتها أبدًا. عندما يكون جدار الحماية بين "معالج الرسائل" وخادم Cassandra، يمكن أن يؤدي جدار الحماية إلى انتهاء مهلة الاتصال. ومع ذلك، لم يتم تصميم "معالج الرسائل" لإعادة إنشاء اتصالات مع Cassandra.

لتجنُّب حدوث ذلك، تنصح Apigee بأن يكون خادم Cassandra و"معالج الرسائل" و"أجهزة التوجيه" في الشبكة الفرعية نفسها حتى لا يكون جدار الحماية متضمّنًا في عملية نشر هذه المكوّنات.

إذا كان هناك جدار حماية بين جهاز التوجيه و"معالجات الرسائل"، وتم ضبط مهلة TCP غير نشطة، ننصحك بما يلي:

  1. اضبط القيمة net.ipv4.tcp_keepalive_time = 1800 في إعدادات sysctl على نظام التشغيل Linux، على أن تكون 1800 أقل من مهلة عدم النشاط في بروتوكول TCP لجدار الحماية. يجب أن يحافظ هذا الإعداد على حالة الاتصال على النحو المحدد حتى لا يقطع جدار الحماية الاتصال.
  2. في جميع معالِجات الرسائل، عدِّل /opt/apigee/customer/application/message-processor.properties لإضافة السمة التالية. إذا لم يكن الملف متاحًا، أنشِئه. 
    conf_system_cassandra.maxconnecttimeinmillis=-1
  3. أعِد تشغيل "معالج الرسائل" باتّباع الخطوات التالية: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  4. في جميع أجهزة التوجيه، عدِّل /opt/apigee/customer/application/router.properties لإضافة السمة التالية. إذا لم يكن الملف متاحًا، أنشِئه. 
    conf_system_cassandra.maxconnecttimeinmillis=-1
  5. أعِد تشغيل جهاز التوجيه: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart