Kebutuhan untuk mengelola firewall tidak hanya terbatas pada host virtual; firewall VM dan host fisik harus mengizinkan traffic untuk port yang diperlukan oleh komponen agar dapat berkomunikasi satu sama lain.
Diagram port
Gambar berikut menunjukkan persyaratan port untuk konfigurasi satu pusat data dan beberapa pusat data:
Pusat Data Tunggal
Gambar berikut menunjukkan persyaratan port untuk setiap komponen Edge dalam konfigurasi pusat data tunggal:
Catatan tentang diagram ini:
- Port yang diawali dengan "M" adalah port yang digunakan untuk mengelola komponen dan harus dibuka di komponen agar dapat diakses oleh Server Pengelolaan.
- UI Edge memerlukan akses ke Router, di port yang diekspos oleh proxy API, untuk mendukung tombol Kirim di alat rekaman aktivitas.
- Akses ke port JMX dapat dikonfigurasi untuk mewajibkan nama pengguna/sandi. Lihat Cara Memantau untuk mengetahui informasi selengkapnya.
- Anda dapat secara opsional mengonfigurasi akses TLS/SSL untuk koneksi tertentu, yang dapat menggunakan port yang berbeda. Lihat TLS/SSL untuk mengetahui informasi selengkapnya.
- Anda dapat mengonfigurasi Server Pengelolaan dan Edge UI untuk mengirim email melalui server SMTP eksternal. Jika Anda melakukannya, Anda harus memastikan bahwa Server Pengelolaan dan UI dapat mengakses port yang diperlukan di server SMTP (tidak ditampilkan). Untuk SMTP non-TLS, nomor port biasanya adalah 25. Untuk SMTP yang mendukung TLS, port-nya biasanya 465, tetapi periksa dengan penyedia SMTP Anda.
Beberapa Pusat Data
Jika Anda menginstal konfigurasi berkluster 12 node dengan dua pusat data, pastikan node di kedua pusat data dapat berkomunikasi melalui port yang ditunjukkan di bawah:
Perhatikan bahwa:
- Semua Server Pengelolaan harus dapat mengakses semua node Cassandra di semua pusat data lainnya.
- Semua Pemroses Pesan di semua pusat data harus dapat saling mengakses melalui port 4528.
- Server Pengelolaan harus dapat mengakses semua Pemroses Pesan melalui port 8082.
- Semua Server Pengelolaan dan semua node Qpid harus dapat mengakses Postgres di semua pusat data lainnya.
- Untuk alasan keamanan, selain port yang ditampilkan di atas dan port lain yang diperlukan oleh persyaratan jaringan Anda sendiri, tidak ada port lain yang boleh dibuka di antara pusat data.
Secara default, komunikasi antar-komponen tidak dienkripsi. Anda dapat menambahkan enkripsi dengan menginstal Apigee mTLS. Untuk mengetahui informasi selengkapnya, lihat Pengantar Apigee mTLS.
Detail transfer
Tabel di bawah menjelaskan port yang perlu dibuka di firewall, menurut komponen Edge:
| Komponen | Port | Deskripsi |
|---|---|---|
| Port HTTP standar | 80, 443 | HTTP ditambah port lain yang Anda gunakan untuk host virtual |
| Apigee SSO | 9099 | Koneksi dari IdP eksternal, Server Pengelolaan, dan browser untuk autentikasi. |
| Cassandra | 7000, 9042 | Port Apache Cassandra untuk komunikasi antara node Cassandra dan untuk akses oleh komponen Edge lainnya. |
| 7199 | Port JMX. Harus terbuka untuk akses oleh Server Pengelolaan. | |
| LDAP | 10389 | SymasLDAP |
| Server Pengelolaan | 1099 | Port JMX |
| 4526 | Port untuk panggilan pengelolaan dan cache terdistribusi. Port ini dapat dikonfigurasi. | |
| 5636 | Port untuk notifikasi penerapan monetisasi. | |
| 8080 | Port untuk panggilan Edge Management API. Komponen ini memerlukan akses ke port 8080 di Server Pengelolaan: Router, Message Processor, UI, Postgres, Apigee SSO (jika diaktifkan), dan Qpid. | |
| UI Pengelolaan | 9000 | Port untuk akses browser ke UI pengelolaan |
| Message Processor | 1101 | Port JMX |
| 4528 | Untuk panggilan manajemen dan cache terdistribusi antara Pemroses Pesan, dan untuk
komunikasi dari Router dan Server Pengelolaan.
Prosesor Pesan harus membuka port 4528 sebagai port pengelolaannya. Jika Anda memiliki beberapa Prosesor Pesan, semuanya harus dapat saling mengakses melalui port 4528 (ditunjukkan oleh panah loop dalam diagram di atas untuk port 4528 di Prosesor Pesan). Jika Anda memiliki beberapa pusat data, port harus dapat diakses dari semua Pemroses Pesan di semua pusat data. |
|
| 8082 |
Port pengelolaan default untuk Message Processor dan harus dibuka di komponen untuk akses oleh Server Pengelolaan. Jika Anda mengonfigurasi TLS/SSL antara Router dan Message Processor, yang digunakan oleh Router untuk melakukan health check pada Message Processor. Port 8082 di Message Processor hanya perlu dibuka untuk akses oleh Router saat Anda mengonfigurasi TLS/SSL antara Router dan Message Processor. Jika Anda tidak mengonfigurasi TLS/SSL antara Router dan Message Processor, konfigurasi default, port 8082 tetap harus dibuka di Message Processor untuk mengelola komponen, tetapi Router tidak memerlukan akses ke port tersebut. |
|
| 8443 | Jika TLS diaktifkan antara Router dan Message Processor, Anda harus membuka port 8443 di Message Processor agar dapat diakses oleh Router. | |
| 8998 | Port Message Processor untuk komunikasi dari Router | |
| Postgres | 22 | Jika mengonfigurasi dua node Postgres untuk menggunakan replikasi master-standby, Anda harus membuka port 22 di setiap node untuk akses SSH. |
| 1103 | Port JMX | |
| 4530 | Untuk panggilan pengelolaan dan cache terdistribusi | |
| 5432 | Digunakan untuk komunikasi dari Qpid/Management Server ke Postgres | |
| 8084 | Port pengelolaan default di server Postgres; harus dibuka di komponen untuk akses oleh Server Pengelolaan. | |
| Qpid | 1102 | Port JMX |
| 4529 | Untuk panggilan pengelolaan dan cache terdistribusi | |
| 5672 |
Juga digunakan untuk komunikasi antara server Qpid dan komponen broker di node yang sama. Dalam topologi dengan beberapa node Qpid, server harus dapat terhubung ke semua broker di port 5672. |
|
| 8083 | Port pengelolaan default di server Qpid dan harus dibuka di komponen untuk akses oleh Server Pengelolaan. | |
| 8090 | Port default untuk Broker Qpid; harus terbuka untuk mengakses konsol pengelolaan atau API pengelolaan Broker untuk tujuan pemantauan. | |
| Router | 4527 | Untuk panggilan pengelolaan dan cache terdistribusi.
Router harus membuka port 4527 sebagai port pengelolaannya. Jika Anda memiliki beberapa Router, semuanya harus dapat saling mengakses melalui port 4527 (ditunjukkan oleh panah loop dalam diagram di atas untuk port 4527 di Router). Meskipun tidak diperlukan, Anda dapat membuka port 4527 di Router untuk akses oleh Prosesor Pesan mana pun. Jika tidak, Anda mungkin melihat pesan error di file log Message Processor. |
| 8081 | Port pengelolaan default untuk Router dan harus dibuka di komponen untuk akses oleh Server Pengelolaan. | |
| 15999 |
Port health check. Load balancer menggunakan port ini untuk menentukan apakah Router tersedia. Untuk mendapatkan status Router, load balancer membuat permintaan ke port 15999 di Router: curl -v http://routerIP:15999/v1/servers/self/reachable Jika Router dapat dijangkau, permintaan akan menampilkan HTTP 200. |
|
| 59001 | Port yang digunakan untuk menguji penginstalan Edge oleh utilitas apigee-validate.
Utilitas ini memerlukan akses ke port 59001 di Router. Lihat
Menguji penginstalan untuk mengetahui informasi selengkapnya tentang port 59001. |
|
| SmartDocs | 59002 | Port di router Edge tempat permintaan halaman SmartDocs dikirim. |
| ZooKeeper | 2181 | Digunakan oleh komponen lain seperti Server Pengelolaan, Router, Message Processor, dan sebagainya |
| 2888, 3888 | Digunakan secara internal oleh ZooKeeper untuk komunikasi cluster ZooKeeper (dikenal sebagai ansambel ZooKeeper) |
Tabel berikutnya menampilkan port yang sama, yang dicantumkan secara numerik, dengan komponen sumber dan tujuan:
| Nomor Port | Tujuan | Komponen Sumber | Komponen Tujuan |
|---|---|---|---|
| virtual_host_port | HTTP ditambah port lain yang Anda gunakan untuk traffic panggilan API host virtual. Port 80 dan 443 paling umum digunakan; Message Router dapat menghentikan koneksi TLS/SSL. | Klien eksternal (atau load balancer) | Pendengar di Message Router |
| 1099 hingga 1103 | Pengelolaan JMX | Klien JMX | Management Server (1099) Message Processor (1101) Qpid Server (1102) Postgres Server (1103) |
| 2181 | Komunikasi klien Zookeeper | Server Pengelolaan Router Message Processor Qpid Server Postgres Server |
Zookeeper |
| 2888 dan 3888 | Pengelolaan internode Zookeeper | Zookeeper | Zookeeper |
| 4526 | Port Pengelolaan RPC | Server Pengelolaan | Server Pengelolaan |
| 4527 | Port Pengelolaan RPC untuk panggilan pengelolaan dan cache terdistribusi, serta untuk komunikasi antar-Router | Router Server Pengelolaan |
Router |
| 4528 | Untuk panggilan cache terdistribusi antara Pemroses Pesan, dan untuk komunikasi dari Router | Server Pengelolaan Router Message Processor |
Message Processor |
| 4529 | Port Pengelolaan RPC untuk panggilan pengelolaan dan cache terdistribusi | Server Pengelolaan | Server Qpid |
| 4530 | Port Pengelolaan RPC untuk panggilan pengelolaan dan cache terdistribusi | Server Pengelolaan | Server Postgres |
| 5432 | Klien Postgres | Server Qpid | Postgres |
| 5636 | Monetisasi | Komponen JMS eksternal | Server Pengelolaan |
| 5672 |
Juga digunakan untuk komunikasi antara server Qpid dan komponen broker di node yang sama. Dalam topologi dengan beberapa node Qpid, server harus dapat terhubung ke semua broker di port 5672. |
Server Qpid | Server Qpid |
| 7.000 | Komunikasi antar-node Cassandra | Cassandra | Node Cassandra lainnya |
| 7199 | Pengelolaan JMX. Harus terbuka untuk akses di node Cassandra oleh Server Pengelolaan. | Klien JMX | Cassandra |
| 8080 | Port Management API | Klien Management API | Server Pengelolaan |
| 8081 hingga 8084 |
Port Component API, digunakan untuk mengirim permintaan API langsung ke setiap komponen. Setiap komponen membuka port yang berbeda; port yang tepat yang digunakan bergantung pada konfigurasi, tetapi harus terbuka di komponen untuk akses oleh Server Pengelolaan |
Klien Management API | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8090 | Port pengelolaan default untuk Broker Qpid guna mengelola dan memantau antrean. | Browser atau klien API | Broker Qpid (apigee-qpidd) |
| 8443 | Komunikasi antara Router dan Message Processor saat TLS diaktifkan | Router | Message Processor |
| 8998 | Komunikasi antara Router dan Message Processor | Router | Message Processor |
| 9000 | Port UI pengelolaan Edge default | Browser | Server UI Pengelolaan |
| 9042 | Transportasi native CQL | Router Message Processor Management Server |
Cassandra |
| 9099 | Autentikasi IDP eksternal | IDP, browser, dan Server Pengelolaan | Apigee SSO |
| 10389 | Port LDAP | Server Pengelolaan | SymasLDAP |
| 15999 | Port health check. Load balancer menggunakan port ini untuk menentukan apakah Router tersedia. | Load balancer | Router |
| 59001 | Port yang digunakan oleh utilitas apigee-validate untuk menguji penginstalan Edge |
apigee-validate | Router |
| 59002 | Port router tempat permintaan halaman SmartDocs dikirim | SmartDocs | Router |
Prosesor Pesan menjaga kumpulan koneksi khusus tetap terbuka ke Cassandra, yang dikonfigurasi agar tidak pernah mengalami waktu tunggu habis. Jika firewall berada di antara Message Processor dan server Cassandra, firewall dapat menyebabkan koneksi kehabisan waktu. Namun, Message Processor tidak didesain untuk menghubungkan kembali ke Cassandra.
Untuk mencegah situasi ini, Apigee merekomendasikan agar server Cassandra, Message Processor, dan Router berada di subnet yang sama sehingga firewall tidak terlibat dalam deployment komponen ini.
Jika ada firewall di antara Router dan Pemroses Pesan, dan memiliki setelan waktu tunggu TCP tidak ada aktivitas, sebaiknya lakukan hal berikut:
- Tetapkan
net.ipv4.tcp_keepalive_time = 1800di setelan sysctl pada OS Linux, dengan 1800 harus lebih rendah dari waktu tunggu TCP tidak ada aktivitas firewall. Setelan ini akan menjaga koneksi dalam status yang sudah dibuat sehingga firewall tidak memutuskan koneksi. - Di semua Pemroses Pesan, edit
/opt/apigee/customer/application/message-processor.propertiesuntuk menambahkan properti berikut. Jika file tidak ada, buat file tersebut.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mulai ulang Pemroses Pesan:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Di semua Router, edit
/opt/apigee/customer/application/router.propertiesuntuk menambahkan properti berikut. Jika file tidak ada, buat file tersebut.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mulai Ulang Router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart