फ़ायरवॉल को मैनेज करने की ज़रूरत सिर्फ़ वर्चुअल होस्ट के लिए नहीं होती. वीएम और फ़िज़िकल होस्ट, दोनों के फ़ायरवॉल को उन पोर्ट के लिए ट्रैफ़िक की अनुमति देनी होगी जिनकी ज़रूरत कॉम्पोनेंट को एक-दूसरे से कम्यूनिकेट करने के लिए होती है.
पोर्ट डायग्राम
नीचे दी गई इमेज में, एक डेटा सेंटर और एक से ज़्यादा डेटा सेंटर के कॉन्फ़िगरेशन के लिए पोर्ट की ज़रूरी शर्तें दिखाई गई हैं:
सिंगल डेटा सेंटर
यहां दी गई इमेज में, एक डेटा सेंटर कॉन्फ़िगरेशन में हर Edge कॉम्पोनेंट के लिए पोर्ट की ज़रूरी शर्तें दिखाई गई हैं:
इस डायग्राम के बारे में जानकारी:
- "M" से शुरू होने वाले पोर्ट, कॉम्पोनेंट को मैनेज करने के लिए इस्तेमाल किए जाते हैं. मैनेजमेंट सर्वर को ऐक्सेस करने के लिए, कॉम्पोनेंट पर इन पोर्ट को खुला रखना ज़रूरी है.
- ट्रेस टूल में भेजें बटन का इस्तेमाल करने के लिए, Edge यूज़र इंटरफ़ेस (यूआई) को एपीआई प्रॉक्सी से जुड़े पोर्ट पर मौजूद राऊटर को ऐक्सेस करने की अनुमति देनी होगी.
- JMX पोर्ट के ऐक्सेस को कॉन्फ़िगर किया जा सकता है, ताकि इसके लिए उपयोगकर्ता नाम/पासवर्ड की ज़रूरत पड़े. ज़्यादा जानकारी के लिए, मॉनिटर करने का तरीका देखें.
- आपके पास कुछ कनेक्शन के लिए, TLS/SSL ऐक्सेस को कॉन्फ़िगर करने का विकल्प होता है. इसके लिए, अलग-अलग पोर्ट का इस्तेमाल किया जा सकता है. ज़्यादा जानकारी के लिए, टीएलएस/एसएसएल देखें.
- मैनेजमेंट सर्वर और Edge यूज़र इंटरफ़ेस (यूआई) को किसी बाहरी एसएमटीपी सर्वर के ज़रिए ईमेल भेजने के लिए कॉन्फ़िगर किया जा सकता है. अगर ऐसा किया जाता है, तो आपको यह पक्का करना होगा कि मैनेजमेंट सर्वर और यूज़र इंटरफ़ेस (यूआई), एसएमटीपी सर्वर पर ज़रूरी पोर्ट को ऐक्सेस कर सकें. हालांकि, इसे दिखाया नहीं गया है. बिना टीएलएस वाले एसएमटीपी के लिए, पोर्ट नंबर आम तौर पर 25 होता है. TLS की सुविधा वाले SMTP के लिए, यह पोर्ट अक्सर 465 होता है. हालांकि, SMTP की सेवा देने वाली कंपनी से इसकी पुष्टि कर लें.
एक से ज़्यादा डेटा सेंटर
अगर आपने दो डेटा सेंटर के साथ 12-नोड क्लस्टर कॉन्फ़िगरेशन इंस्टॉल किया है, तो पक्का करें कि दोनों डेटा सेंटर में मौजूद नोड, यहां दिए गए पोर्ट पर कम्यूनिकेट कर सकें:
ध्यान दें:
- सभी मैनेजमेंट सर्वर के पास, सभी डेटा सेंटर में मौजूद सभी Cassandra नोड को ऐक्सेस करने की अनुमति होनी चाहिए.
- सभी डेटा सेंटर में मौजूद सभी मैसेज प्रोसेसर, पोर्ट 4528 के ज़रिए एक-दूसरे को ऐक्सेस कर सकते हों.
- मैनेजमेंट सर्वर को पोर्ट 8082 पर सभी मैसेज प्रोसेसर को ऐक्सेस करने की अनुमति होनी चाहिए.
- सभी मैनेजमेंट सर्वर और सभी Qpid नोड, अन्य सभी डेटा सेंटर में Postgres को ऐक्सेस कर सकते हों.
- सुरक्षा की वजहों से, ऊपर दिखाए गए पोर्ट और आपके नेटवर्क की ज़रूरतों के हिसाब से ज़रूरी पोर्ट के अलावा, डेटा सेंटर के बीच कोई अन्य पोर्ट खुला नहीं होना चाहिए.
डिफ़ॉल्ट रूप से, कॉम्पोनेंट के बीच होने वाले कम्यूनिकेशन को एन्क्रिप्ट (सुरक्षित) नहीं किया जाता है. Apigee mTLS इंस्टॉल करके, एन्क्रिप्शन की सुविधा जोड़ी जा सकती है. ज़्यादा जानकारी के लिए, Apigee mTLS के बारे में जानकारी देखें.
पोर्ट करने की जानकारी
नीचे दी गई टेबल में, Edge कॉम्पोनेंट के हिसाब से उन पोर्ट के बारे में बताया गया है जिन्हें फ़ायरवॉल में खोलना ज़रूरी है:
| कॉम्पोनेंट | पोर्ट | ब्यौरा |
|---|---|---|
| स्टैंडर्ड एचटीटीपी पोर्ट | 80, 443 | एचटीटीपी के साथ-साथ, वर्चुअल होस्ट के लिए इस्तेमाल किए जाने वाले अन्य पोर्ट |
| Apigee SSO | 9099 | पुष्टि करने के लिए, बाहरी आईडीपी, मैनेजमेंट सर्वर, और ब्राउज़र से कनेक्शन. |
| Cassandra | 7000, 9042 | Cassandra नोड के बीच कम्यूनिकेशन के लिए Apache Cassandra पोर्ट. साथ ही, अन्य Edge कॉम्पोनेंट के ऐक्सेस के लिए भी Apache Cassandra पोर्ट. |
| 7199 | JMX पोर्ट. इसे मैनेजमेंट सर्वर के लिए खुला होना चाहिए. | |
| LDAP | 10389 | SymasLDAP |
| मैनेजमेंट सर्वर | 1099 | JMX पोर्ट |
| 4526 | यह पोर्ट, डिस्ट्रिब्यूटेड कैश मेमोरी और मैनेजमेंट कॉल के लिए होता है. इस पोर्ट को कॉन्फ़िगर किया जा सकता है. | |
| 5636 | कमाई से जुड़ी सूचनाएं पाने के लिए पोर्ट. | |
| 8080 | Edge Management API कॉल के लिए पोर्ट. इन कॉम्पोनेंट को मैनेजमेंट सर्वर पर पोर्ट 8080 को ऐक्सेस करने की ज़रूरत होती है: राऊटर, मैसेज प्रोसेसर, यूज़र इंटरफ़ेस (यूआई), Postgres, Apigee SSO (अगर चालू है), और Qpid. | |
| मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) | 9000 | मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) को ब्राउज़र से ऐक्सेस करने के लिए पोर्ट |
| मैसेज प्रोसेसर | 1101 | JMX पोर्ट |
| 4528 | इसका इस्तेमाल, मैसेज प्रोसेसर के बीच डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट कॉल के लिए किया जाता है. साथ ही, इसका इस्तेमाल राऊटर और मैनेजमेंट सर्वर के बीच कम्यूनिकेशन के लिए भी किया जाता है.
मैसेज प्रोसेसर को पोर्ट 4528 को मैनेजमेंट पोर्ट के तौर पर खोलना होगा. अगर आपके पास एक से ज़्यादा मैसेज प्रोसेसर हैं, तो उन सभी को पोर्ट 4528 पर एक-दूसरे को ऐक्सेस करने की अनुमति होनी चाहिए. ऊपर दिए गए डायग्राम में, मैसेज प्रोसेसर पर पोर्ट 4528 के लिए लूप ऐरो से यह दिखाया गया है. अगर आपके पास एक से ज़्यादा डेटा सेंटर हैं, तो पोर्ट को सभी डेटा सेंटर में मौजूद सभी मैसेज प्रोसेसर से ऐक्सेस किया जा सकता है. |
|
| 8082 |
यह Message Processor के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट है. साथ ही, Management Server को ऐक्सेस करने के लिए, इसे कॉम्पोनेंट पर खुला होना चाहिए. अगर आपने राउटर और मैसेज प्रोसेसर के बीच टीएलएस/एसएसएल कॉन्फ़िगर किया है, तो राउटर इसका इस्तेमाल मैसेज प्रोसेसर की सेहत की जांच करने के लिए करता है. जब आपको राउटर और मैसेज प्रोसेसर के बीच टीएलएस/एसएसएल कॉन्फ़िगर करना हो, तब मैसेज प्रोसेसर पर मौजूद पोर्ट 8082 को सिर्फ़ राउटर के लिए खुला रखना होता है. अगर आपने राउटर और मैसेज प्रोसेसर के बीच टीएलएस/एसएसएल कॉन्फ़िगर नहीं किया है, तो डिफ़ॉल्ट कॉन्फ़िगरेशन, पोर्ट 8082 को अब भी मैसेज प्रोसेसर पर खुला रखना होगा, ताकि कॉम्पोनेंट को मैनेज किया जा सके. हालांकि, राउटर को इसे ऐक्सेस करने की ज़रूरत नहीं होती. |
|
| 8443 | अगर राउटर और मैसेज प्रोसेसर के बीच टीएलएस की सुविधा चालू है, तो आपको मैसेज प्रोसेसर पर पोर्ट 8443 खोलना होगा, ताकि राउटर उसे ऐक्सेस कर सके. | |
| 8998 | राउटर से कम्यूनिकेशन के लिए मैसेज प्रोसेसर पोर्ट | |
| Postgres | 22 | अगर मास्टर-स्टैंडबाय रेप्लिकेशन का इस्तेमाल करने के लिए, दो Postgres नोड कॉन्फ़िगर किए जा रहे हैं, तो आपको SSH ऐक्सेस के लिए हर नोड पर पोर्ट 22 खोलना होगा. |
| 1103 | JMX पोर्ट | |
| 4530 | डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट कॉल के लिए | |
| 5432 | इस कुकी का इस्तेमाल Qpid/Management Server से Postgres तक कम्यूनिकेशन के लिए किया जाता है | |
| 8084 | Postgres सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट. मैनेजमेंट सर्वर से ऐक्सेस करने के लिए, इसे कॉम्पोनेंट पर खुला होना चाहिए. | |
| Qpid | 1102 | JMX पोर्ट |
| 4529 | डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट कॉल के लिए | |
| 5672 |
इसका इस्तेमाल, एक ही नोड पर मौजूद Qpid सर्वर और ब्रोकर कॉम्पोनेंट के बीच बातचीत करने के लिए भी किया जाता है. एक से ज़्यादा Qpid नोड वाली टोपोलॉजी में, सर्वर को पोर्ट 5672 पर सभी ब्रोकर से कनेक्ट करने की अनुमति होनी चाहिए. |
|
| 8083 | Qpid सर्वर पर डिफ़ॉल्ट मैनेजमेंट पोर्ट. मैनेजमेंट सर्वर से ऐक्सेस करने के लिए, इसे कॉम्पोनेंट पर खुला होना चाहिए. | |
| 8090 | Qpid के Broker के लिए डिफ़ॉल्ट पोर्ट; Broker के मैनेजमेंट कंसोल या निगरानी के लिए मैनेजमेंट एपीआई को ऐक्सेस करने के लिए, इसे खुला होना चाहिए. | |
| राऊटर | 4527 | डिस्ट्रिब्यूट की गई कैश मेमोरी और मैनेजमेंट कॉल के लिए.
राउटर को पोर्ट 4527 को मैनेजमेंट पोर्ट के तौर पर खोलना होगा. अगर आपके पास एक से ज़्यादा राउटर हैं, तो उन सभी को पोर्ट 4527 पर एक-दूसरे को ऐक्सेस करने की अनुमति होनी चाहिए. ऊपर दिए गए डायग्राम में, राउटर पर पोर्ट 4527 के लिए लूप ऐरो से यह दिखाया गया है. हालांकि, ऐसा करना ज़रूरी नहीं है, लेकिन किसी भी मैसेज प्रोसेसर को ऐक्सेस देने के लिए, राऊटर पर पोर्ट 4527 खोला जा सकता है. ऐसा न करने पर, आपको मैसेज प्रोसेसर की लॉग फ़ाइलों में गड़बड़ी के मैसेज दिख सकते हैं. |
| 8081 | यह राऊटर के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट है. मैनेजमेंट सर्वर को इस पोर्ट का ऐक्सेस देने के लिए, इसे कॉम्पोनेंट पर खुला होना चाहिए. | |
| 15999 |
हेल्थ चेक पोर्ट. लोड बैलेंसर इस पोर्ट का इस्तेमाल यह पता लगाने के लिए करता है कि राऊटर उपलब्ध है या नहीं. किसी राऊटर का स्टेटस पाने के लिए, लोड बैलेंसर राऊटर पर पोर्ट 15999 पर अनुरोध करता है: curl -v http://routerIP:15999/v1/servers/self/reachable अगर राऊटर से कनेक्ट किया जा सकता है, तो अनुरोध पर एचटीटीपी 200 कोड मिलता है. |
|
| 59001 | इस पोर्ट का इस्तेमाल, apigee-validate यूटिलिटी की मदद से Edge के इंस्टॉलेशन की जांच करने के लिए किया जाता है.
इस यूटिलिटी को राउटर पर पोर्ट 59001 का ऐक्सेस चाहिए. पोर्ट 59001 के बारे में ज़्यादा जानने के लिए, इंस्टॉल किए गए ऐप्लिकेशन की जांच करना लेख पढ़ें. |
|
| SmartDocs | 59002 | Edge राउटर पर मौजूद वह पोर्ट जहां SmartDocs पेज के अनुरोध भेजे जाते हैं. |
| ZooKeeper | 2181 | इसका इस्तेमाल मैनेजमेंट सर्वर, राऊटर, मैसेज प्रोसेसर जैसे अन्य कॉम्पोनेंट करते हैं |
| 2888, 3888 | इस कुकी का इस्तेमाल ZooKeeper, ZooKeeper क्लस्टर (जिसे ZooKeeper ensemble कहा जाता है) के साथ कम्यूनिकेट करने के लिए करता है |
नीचे दी गई टेबल में, सोर्स और डेस्टिनेशन कॉम्पोनेंट के साथ संख्या के हिसाब से क्रम में लगाए गए पोर्ट दिखाए गए हैं:
| पोर्ट नंबर | मकसद | सोर्स कॉम्पोनेंट | डेस्टिनेशन कॉम्पोनेंट |
|---|---|---|---|
| virtual_host_port | एचटीटीपी के साथ-साथ, वर्चुअल होस्ट एपीआई कॉल ट्रैफ़िक के लिए इस्तेमाल किए जाने वाले अन्य पोर्ट. पोर्ट 80 और 443 का इस्तेमाल सबसे ज़्यादा किया जाता है. मैसेज राउटर, टीएलएस/एसएसएल कनेक्शन को बंद कर सकता है. | बाहरी क्लाइंट या लोड बैलेंसर | Message Router पर लिसनर |
| 1099 से 1103 | JMX मैनेजमेंट | JMX क्लाइंट | मैनेजमेंट सर्वर (1099) मैसेज प्रोसेसर (1101) Qpid सर्वर (1102) Postgres सर्वर (1103) |
| 2181 | ज़ूकीपर क्लाइंट कम्यूनिकेशन | Management Server Router Message Processor Qpid Server Postgres Server |
चिड़ियाघर में जानवरों की देखभाल करने वाला |
| 2888 और 3888 | ज़ूकीपर इंटर्नशिप मैनेजमेंट | चिड़ियाघर में जानवरों की देखभाल करने वाला | चिड़ियाघर में जानवरों की देखभाल करने वाला |
| 4526 | RPC मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | मैनेजमेंट सर्वर |
| 4527 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए आरपीसी मैनेजमेंट पोर्ट. साथ ही, राउटर के बीच कम्यूनिकेशन के लिए भी इसका इस्तेमाल किया जाता है | मैनेजमेंट सर्वर राउटर |
राऊटर |
| 4528 | यह कुकी, मैसेज प्रोसेसर के बीच डिस्ट्रिब्यूटेड कैश मेमोरी के लिए कॉल करती है. साथ ही, यह राउटर से कम्यूनिकेशन के लिए भी कॉल करती है | मैनेजमेंट सर्वर राऊटर मैसेज प्रोसेसर |
मैसेज प्रोसेसर |
| 4529 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए, आरपीसी मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Qpid Server |
| 4530 | डिस्ट्रिब्यूटेड कैश और मैनेजमेंट कॉल के लिए, आरपीसी मैनेजमेंट पोर्ट | मैनेजमेंट सर्वर | Postgres सर्वर |
| 5432 | Postgres क्लाइंट | Qpid Server | Postgres |
| 5636 | कमाई करना | बाहरी JMS कॉम्पोनेंट | मैनेजमेंट सर्वर |
| 5672 |
इसका इस्तेमाल, एक ही नोड पर मौजूद Qpid सर्वर और ब्रोकर कॉम्पोनेंट के बीच बातचीत करने के लिए भी किया जाता है. एक से ज़्यादा Qpid नोड वाली टोपोलॉजी में, सर्वर को पोर्ट 5672 पर सभी ब्रोकर से कनेक्ट करने की अनुमति होनी चाहिए. |
Qpid Server | Qpid Server |
| 7000 | Cassandra में नोड के बीच कम्यूनिकेशन | Cassandra | अन्य कैसंड्रा नोड |
| 7199 | JMX मैनेजमेंट. इसे मैनेजमेंट सर्वर के ज़रिए Cassandra नोड पर ऐक्सेस किया जा सकता है. | JMX क्लाइंट | Cassandra |
| 8080 | Management API पोर्ट | Management API क्लाइंट | मैनेजमेंट सर्वर |
| 8081 से 8084 |
कॉम्पोनेंट एपीआई पोर्ट का इस्तेमाल, अलग-अलग कॉम्पोनेंट को सीधे तौर पर एपीआई अनुरोध भेजने के लिए किया जाता है. हर कॉम्पोनेंट एक अलग पोर्ट खोलता है. इस्तेमाल किया गया पोर्ट, कॉन्फ़िगरेशन पर निर्भर करता है हालांकि, मैनेजमेंट सर्वर से ऐक्सेस करने के लिए, कॉम्पोनेंट पर पोर्ट खुला होना चाहिए |
Management API क्लाइंट | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8090 | यह Qpid के Broker के लिए डिफ़ॉल्ट मैनेजमेंट पोर्ट है. इसका इस्तेमाल, कतारों को मैनेज और मॉनिटर करने के लिए किया जाता है. | ब्राउज़र या एपीआई क्लाइंट | Qpid Broker (apigee-qpidd) |
| 8443 | टीएलएस चालू होने पर, राऊटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
| 8998 | राउटर और मैसेज प्रोसेसर के बीच कम्यूनिकेशन | राऊटर | मैसेज प्रोसेसर |
| 9000 | डिफ़ॉल्ट Edge मैनेजमेंट यूज़र इंटरफ़ेस पोर्ट | ब्राउज़र | Management UI Server |
| 9042 | CQL नेटिव ट्रांसपोर्ट | राऊटर मैसेज प्रोसेसर मैनेजमेंट सर्वर |
Cassandra |
| 9099 | बाहरी आईडीपी की मदद से पुष्टि करना | आईडीपी, ब्राउज़र, और मैनेजमेंट सर्वर | Apigee SSO |
| 10389 | एलडीएपी पोर्ट | मैनेजमेंट सर्वर | SymasLDAP |
| 15999 | हेल्थ चेक पोर्ट. लोड बैलेंसर इस पोर्ट का इस्तेमाल यह पता लगाने के लिए करता है कि राऊटर उपलब्ध है या नहीं. | लोड बैलेंसर | राऊटर |
| 59001 | इस पोर्ट का इस्तेमाल apigee-validate यूटिलिटी करती है, ताकि Edge के इंस्टॉलेशन की जांच की जा सके |
apigee-validate | राऊटर |
| 59002 | यह राऊटर पोर्ट है, जहां SmartDocs पेज के अनुरोध भेजे जाते हैं | SmartDocs | राऊटर |
मैसेज प्रोसेसर, Cassandra के लिए एक डेडीकेटेड कनेक्शन पूल खुला रखता है. इसे इस तरह कॉन्फ़िगर किया जाता है कि यह कभी टाइम आउट न हो. अगर मैसेज प्रोसेसर और Cassandra सर्वर के बीच फ़ायरवॉल है, तो फ़ायरवॉल कनेक्शन को टाइम आउट कर सकता है. हालांकि, Message Processor को Cassandra से कनेक्शन फिर से बनाने के लिए डिज़ाइन नहीं किया गया है.
इस स्थिति से बचने के लिए, Apigee का सुझाव है कि Cassandra सर्वर, मैसेज प्रोसेसर, और राउटर एक ही सबनेट में हों, ताकि इन कॉम्पोनेंट को डिप्लॉय करने में फ़ायरवॉल शामिल न हो.
अगर राऊटर और मैसेज प्रोसेसर के बीच फ़ायरवॉल है और उसमें टीसीपी टाइमआउट सेट है, तो हमारा सुझाव है कि आप यह काम करें:
- Linux OS पर sysctl सेटिंग में
net.ipv4.tcp_keepalive_time = 1800सेट करें. यहां 1800, फ़ायरवॉल के आइडल टीसीपी टाइमआउट से कम होना चाहिए. इस सेटिंग से कनेक्शन चालू रहना चाहिए, ताकि फ़ायरवॉल कनेक्शन को बंद न करे. - सभी मैसेज प्रोसेसर पर,
/opt/apigee/customer/application/message-processor.propertiesमें बदलाव करके यह प्रॉपर्टी जोड़ें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- मैसेज प्रोसेसर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- सभी राऊटर पर,
/opt/apigee/customer/application/router.propertiesमें बदलाव करके यह प्रॉपर्टी जोड़ें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.conf_system_cassandra.maxconnecttimeinmillis=-1
- राऊटर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart