Die Verwaltung der Firewall geht über die virtuellen Hosts hinaus. Die Firewalls von VMs und physischen Hosts müssen Traffic für die Ports zulassen, die für die Kommunikation der Komponenten untereinander erforderlich sind.
Portdiagramme
Die folgenden Bilder zeigen die Portanforderungen für eine Konfiguration mit einem einzelnen Rechenzentrum und für eine Konfiguration mit mehreren Rechenzentren:
Einzelnes Rechenzentrum
Das folgende Bild zeigt die Portanforderungen für jede Edge-Komponente in einer Konfiguration mit einem einzelnen Rechenzentrum:
Hinweise zu diesem Diagramm:
- Die Ports mit dem Präfix „M“ werden zum Verwalten der Komponente verwendet und müssen auf der Komponente für den Zugriff durch den Management Server geöffnet sein.
- Für die Edge-Benutzeroberfläche ist Zugriff auf den Router über die von API-Proxys bereitgestellten Ports erforderlich, um die Schaltfläche Senden im Trace-Tool zu unterstützen.
- Für den Zugriff auf JMX-Ports kann ein Nutzername/Passwort erforderlich sein. Weitere Informationen finden Sie unter Überwachung.
- Optional können Sie den TLS/SSL-Zugriff für bestimmte Verbindungen konfigurieren, die unterschiedliche Ports verwenden können. Weitere Informationen finden Sie unter TLS/SSL.
- Sie können den Management Server und die Edge-Benutzeroberfläche so konfigurieren, dass E-Mails über einen externen SMTP-Server gesendet werden. In diesem Fall müssen Sie dafür sorgen, dass der Management Server und die Benutzeroberfläche auf den erforderlichen Port auf dem SMTP-Server zugreifen können (nicht dargestellt). Bei Nicht-TLS-SMTP ist die Portnummer in der Regel 25. Bei TLS-fähigem SMTP ist es oft 465. Fragen Sie aber bei Ihrem SMTP-Anbieter nach.
Mehrere Rechenzentren
Wenn Sie die Konfiguration mit 12 Knoten und zwei Rechenzentren installieren, müssen die Knoten in den beiden Rechenzentren über die unten aufgeführten Ports kommunizieren können:
Hinweis:
- Alle Verwaltungsserver müssen auf alle Cassandra-Knoten in allen anderen Rechenzentren zugreifen können.
- Alle Message Processors in allen Rechenzentren müssen über Port 4528 aufeinander zugreifen können.
- Der Management Server muss über Port 8082 auf alle Message Processors zugreifen können.
- Alle Management-Server und alle Qpid-Knoten müssen in allen anderen Rechenzentren auf Postgres zugreifen können.
- Aus Sicherheitsgründen sollten zwischen den Rechenzentren keine anderen Ports als die oben aufgeführten und alle anderen, die für Ihre eigenen Netzwerkanforderungen erforderlich sind, geöffnet sein.
Standardmäßig ist die Kommunikation zwischen Komponenten nicht verschlüsselt. Sie können die Verschlüsselung hinzufügen, indem Sie Apigee mTLS installieren. Weitere Informationen finden Sie unter Einführung in Apigee mTLS.
Port details
In der folgenden Tabelle werden die Ports beschrieben, die in Firewalls für die einzelnen Edge-Komponenten geöffnet werden müssen:
| Komponente | Port | Beschreibung |
|---|---|---|
| Standard-HTTP-Ports | 80, 443 | HTTP und alle anderen Ports, die Sie für virtuelle Hosts verwenden |
| Apigee SSO | 9099 | Verbindungen von externen Identitätsanbietern, dem Management Server und Browsern zur Authentifizierung. |
| Cassandra | 7000, 9042 | Apache Cassandra-Ports für die Kommunikation zwischen Cassandra-Knoten und für den Zugriff durch andere Edge-Komponenten. |
| 7199 | JMX-Port. Muss für den Zugriff durch den Management Server geöffnet sein. | |
| LDAP | 10389 | SymasLDAP |
| Verwaltungsserver | 1099 | JMX-Port |
| 4526 | Port für verteilte Cache- und Verwaltungsaufrufe. Dieser Port ist konfigurierbar. | |
| 5636 | Port für Benachrichtigungen zu Monetarisierungszusagen. | |
| 8080 | Port für Edge Management API-Aufrufe. Diese Komponenten benötigen Zugriff auf Port 8080 auf dem Management Server: Router, Message Processor, UI, Postgres, Apigee SSO (falls aktiviert) und Qpid. | |
| Verwaltungs-UI | 9000 | Port für den Browserzugriff auf die Verwaltungsoberfläche |
| Message Processor | 1101 | JMX-Port |
| 4528 | Für verteilte Cache- und Verwaltungsaufrufe zwischen Message Processors und für die Kommunikation vom Router und Management Server.
Ein Message Processor muss Port 4528 als Verwaltungsport öffnen. Wenn Sie mehrere Message Processors haben, müssen alle über Port 4528 aufeinander zugreifen können. Das wird im Diagramm oben durch den Schleifenpfeil für Port 4528 auf dem Message Processor dargestellt. Wenn Sie mehrere Rechenzentren haben, muss der Port von allen Message Processors in allen Rechenzentren aus zugänglich sein. |
|
| 8082 |
Standardmäßiger Verwaltungsport für den Message Processor, der für den Zugriff durch den Verwaltungsserver auf der Komponente geöffnet sein muss. Wenn Sie TLS/SSL zwischen dem Router und dem Message Processor konfigurieren, wird es vom Router verwendet, um Systemdiagnosen für den Message Processor durchzuführen. Port 8082 auf dem Message Processor muss nur für den Zugriff durch den Router geöffnet sein, wenn Sie TLS/SSL zwischen dem Router und dem Message Processor konfigurieren. Wenn Sie TLS/SSL zwischen dem Router und dem Message Processor nicht konfigurieren, muss der Standardport 8082 weiterhin auf dem Message Processor geöffnet sein, um die Komponente zu verwalten. Der Router benötigt jedoch keinen Zugriff darauf. |
|
| 8443 | Wenn TLS zwischen dem Router und dem Message Processor aktiviert ist, müssen Sie Port 8443 auf dem Message Processor für den Zugriff durch den Router öffnen. | |
| 8998 | Message Processor-Port für die Kommunikation vom Router | |
| Postgres | 22 | Wenn Sie zwei Postgres-Knoten für die Verwendung der Master-Standby-Replikation konfigurieren, müssen Sie Port 22 auf jedem Knoten für den SSH-Zugriff öffnen. |
| 1103 | JMX-Port | |
| 4530 | Für verteilte Cache- und Verwaltungsaufrufe | |
| 5432 | Wird für die Kommunikation vom Qpid-/Management-Server zu Postgres verwendet | |
| 8084 | Standardmäßiger Verwaltungsport auf dem Postgres-Server. Er muss auf der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein. | |
| Qpid | 1102 | JMX-Port |
| 4529 | Für verteilte Cache- und Verwaltungsaufrufe | |
| 5672 |
Wird auch für die Kommunikation zwischen dem Qpid-Server und den Brokerkomponenten auf demselben Knoten verwendet. In Topologien mit mehreren Qpid-Knoten muss der Server eine Verbindung zu allen Brokern auf Port 5672 herstellen können. |
|
| 8083 | Standardmäßiger Verwaltungsport auf dem Qpid-Server, der auf der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein muss. | |
| 8090 | Standardport für den Broker von Qpid. Er muss geöffnet sein, damit auf die Verwaltungskonsole oder die Verwaltungs-APIs des Brokers zugegriffen werden kann, um den Broker zu überwachen. | |
| Router | 4527 | Für verteilte Cache- und Verwaltungsaufrufe.
Ein Router muss Port 4527 als Verwaltungsport öffnen. Wenn Sie mehrere Router haben, müssen alle über Port 4527 aufeinander zugreifen können (im Diagramm oben durch den Schleifenpfeil für Port 4527 auf dem Router dargestellt). Das ist zwar nicht erforderlich, aber Sie können Port 4527 auf dem Router für den Zugriff durch einen beliebigen Nachrichtenprozessor öffnen. Andernfalls werden möglicherweise Fehlermeldungen in den Logdateien des Nachrichtenprozessors angezeigt. |
| 8081 | Standardmäßiger Verwaltungsport für den Router, der auf der Komponente für den Zugriff durch den Verwaltungsserver geöffnet sein muss. | |
| 15999 |
Systemdiagnose-Port. Ein Load-Balancer verwendet diesen Port, um festzustellen, ob der Router verfügbar ist. Um den Status eines Routers abzurufen, sendet der Load-Balancer eine Anfrage an Port 15999 auf dem Router: curl -v http://routerIP:15999/v1/servers/self/reachable Wenn der Router erreichbar ist, wird die Anfrage mit HTTP 200 zurückgegeben. |
|
| 59001 | Port, der vom apigee-validate-Dienstprogramm zum Testen der Edge-Installation verwendet wird.
Für dieses Dienstprogramm ist der Zugriff auf Port 59001 auf dem Router erforderlich. Weitere Informationen zu Port 59001 finden Sie unter Installation testen. |
|
| SmartDocs | 59002 | Der Port auf dem Edge-Router, an den SmartDocs-Seitenanfragen gesendet werden. |
| ZooKeeper | 2181 | Wird von anderen Komponenten wie Management Server, Router, Message Processor usw. verwendet. |
| 2888, 3888 | Wird intern von ZooKeeper für die Kommunikation des ZooKeeper-Clusters (als ZooKeeper-Ensemble bezeichnet) verwendet. |
In der folgenden Tabelle sind dieselben Ports numerisch aufgeführt, zusammen mit den Quell- und Zielkomponenten:
| Portnummer | Zweck | Quellkomponente | Zielkomponente |
|---|---|---|---|
| virtual_host_port | HTTP sowie alle anderen Ports, die Sie für den Traffic von API-Aufrufen für virtuelle Hosts verwenden. Die Ports 80 und 443 werden am häufigsten verwendet. Der Message Router kann TLS-/SSL-Verbindungen beenden. | Externer Client (oder Load Balancer) | Listener für Message Router |
| 1099 bis 1103 | JMX-Verwaltung | JMX-Client | Management Server (1099) Message Processor (1101) Qpid Server (1102) Postgres Server (1103) |
| 2181 | Zookeeper-Clientkommunikation | Management Server Router Message Processor Qpid Server Postgres Server |
Zookeeper |
| 2888 und 3888 | Zookeeper-Knotenverwaltung | Zookeeper | Zookeeper |
| 4526 | RPC-Managementport | Verwaltungsserver | Verwaltungsserver |
| 4527 | RPC-Verwaltungsport für verteilte Cache- und Verwaltungsaufrufe sowie für die Kommunikation zwischen Routern | Verwaltungsserver Router |
Router |
| 4528 | Für verteilte Cache-Aufrufe zwischen Message Processors und für die Kommunikation vom Router | Management Server Router Message Processor |
Message Processor |
| 4529 | RPC-Verwaltungsport für verteilte Cache- und Verwaltungsaufrufe | Verwaltungsserver | Qpid-Server |
| 4530 | RPC-Verwaltungsport für verteilte Cache- und Verwaltungsaufrufe | Verwaltungsserver | Postgres-Server |
| 5432 | Postgres-Client | Qpid-Server | Postgres |
| 5636 | Monetarisierung | Externe JMS-Komponente | Verwaltungsserver |
| 5672 |
Wird auch für die Kommunikation zwischen dem Qpid-Server und den Brokerkomponenten auf demselben Knoten verwendet. In Topologien mit mehreren Qpid-Knoten muss der Server eine Verbindung zu allen Brokern auf Port 5672 herstellen können. |
Qpid-Server | Qpid-Server |
| 7000 | Cassandra-Knotenkommunikation | Cassandra | Anderer Cassandra-Knoten |
| 7199 | JMX-Verwaltung. Muss für den Zugriff auf den Cassandra-Knoten durch den Verwaltungsserver geöffnet sein. | JMX-Client | Cassandra |
| 8080 | Management API-Port | Management API-Clients | Verwaltungsserver |
| 8081 bis 8084 |
Component API-Ports, die zum direkten Senden von API-Anfragen an einzelne Komponenten verwendet werden. Jede Komponente öffnet einen anderen Port. Der genaue Port hängt von der Konfiguration ab, muss aber für den Zugriff durch den Management Server auf der Komponente geöffnet sein. |
Management API-Clients | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8090 | Standardmäßiger Verwaltungsport für den Broker von Qpid zum Verwalten und Überwachen von Warteschlangen. | Browser oder API-Client | Qpid Broker (apigee-qpidd) |
| 8443 | Kommunikation zwischen Router und Message Processor bei aktiviertem TLS | Router | Message Processor |
| 8998 | Kommunikation zwischen Router und Nachrichtenprozessor | Router | Message Processor |
| 9000 | Standardport für die Edge-Verwaltungs-UI | Browser | Server für die Verwaltungs-UI |
| 9042 | Nativer CQL-Transport | Router Message Processor Management Server |
Cassandra |
| 9099 | Authentifizierung über externen IdP | IDP, Browser und Verwaltungsserver | Apigee SSO |
| 10389 | LDAP-Port | Verwaltungsserver | SymasLDAP |
| 15999 | Systemdiagnose-Port. Ein Load-Balancer verwendet diesen Port, um festzustellen, ob der Router verfügbar ist. | Load-Balancer | Router |
| 59001 | Port, der vom apigee-validate-Dienstprogramm zum Testen der Edge-Installation verwendet wird |
apigee-validate | Router |
| 59002 | Der Router-Port, an den SmartDocs-Seitenanfragen gesendet werden | SmartDocs | Router |
Ein Message Processor hält einen dedizierten Verbindungspool zu Cassandra offen, der so konfiguriert ist, dass er nie das Zeitlimit überschreitet. Wenn sich eine Firewall zwischen einem Message Processor und einem Cassandra-Server befindet, kann die Verbindung durch die Firewall unterbrochen werden. Der Message Processor ist jedoch nicht dafür konzipiert, Verbindungen zu Cassandra wiederherzustellen.
Um dies zu verhindern, empfiehlt Apigee, dass sich der Cassandra-Server, der Message Processor und die Router im selben Subnetz befinden, damit keine Firewall in die Bereitstellung dieser Komponenten eingebunden ist.
Wenn sich zwischen dem Router und den Nachrichtenprozessoren eine Firewall befindet, für die ein TCP-Leerlauftimeout festgelegt ist, empfehlen wir Folgendes:
- Legen Sie
net.ipv4.tcp_keepalive_time = 1800in den sysctl-Einstellungen unter Linux fest. Der Wert 1800 sollte dabei niedriger sein als das TCP-Leerlauftimeout der Firewall. Diese Einstellung sollte die Verbindung in einem etablierten Zustand halten, damit die Firewall die Verbindung nicht trennt. - Bearbeiten Sie auf allen Message Processors
/opt/apigee/customer/application/message-processor.properties, um die folgende Eigenschaft hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.conf_system_cassandra.maxconnecttimeinmillis=-1
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Bearbeiten Sie auf allen Routern
/opt/apigee/customer/application/router.properties, um die folgende Eigenschaft hinzuzufügen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.conf_system_cassandra.maxconnecttimeinmillis=-1
- Router neu starten:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart