Güvenlik duvarını yönetme ihtiyacı yalnızca sanal ana makinelerin ötesine geçer. Hem VM hem de fiziksel ana makine güvenlik duvarları, bileşenlerin birbirleriyle iletişim kurması için gereken bağlantı noktalarındaki trafiğe izin vermelidir.
Bağlantı noktası şemaları
Aşağıdaki resimlerde hem tek bir veri merkezi hem de birden fazla veri merkezi yapılandırması için bağlantı noktası gereksinimleri gösterilmektedir:
Tek Veri Merkezi
Aşağıdaki resimde, tek bir veri merkezi yapılandırmasındaki her bir Edge bileşeni için bağlantı noktası gereksinimleri gösterilmektedir:
Bu şemayla ilgili notlar:
- "M" ile başlayan bağlantı noktaları, bileşeni yönetmek için kullanılan bağlantı noktalarıdır ve Yönetim Sunucusu'nun erişimi için bileşende açık olmalıdır.
- Edge kullanıcı arayüzü, izleme aracındaki Gönder düğmesini desteklemek için API proxy'leri tarafından kullanıma sunulan bağlantı noktalarında yönlendiriciye erişim gerektirir.
- JMX bağlantı noktalarına erişim, kullanıcı adı/şifre gerektirecek şekilde yapılandırılabilir. Daha fazla bilgi için İzleme başlıklı makaleyi inceleyin.
- İsteğe bağlı olarak, farklı bağlantı noktaları kullanabilen belirli bağlantılar için TLS/SSL erişimini yapılandırabilirsiniz. Daha fazla bilgi için TLS/SSL başlıklı makaleyi inceleyin.
- Yönetim sunucusunu ve Edge kullanıcı arayüzünü, e-postaları harici bir SMTP sunucusu üzerinden gönderecek şekilde yapılandırabilirsiniz. Bu durumda, Yönetim Sunucusu ve kullanıcı arayüzünün SMTP sunucusundaki gerekli bağlantı noktasına (gösterilmez) erişebildiğinden emin olmanız gerekir. TLS dışı SMTP için bağlantı noktası numarası genellikle 25'tir. TLS'nin etkin olduğu SMTP için genellikle 465'tir ancak SMTP sağlayıcınıza danışın.
Birden Çok Veri Merkezi
İki veri merkezli 12 düğümlü kümelenmiş yapılandırmayı yüklerseniz iki veri merkezindeki düğümlerin aşağıdaki bağlantı noktaları üzerinden iletişim kurabildiğinden emin olun:
Unutmayın:
- Tüm yönetim sunucuları, diğer tüm veri merkezlerindeki tüm Cassandra düğümlerine erişebilmelidir.
- Tüm veri merkezlerindeki tüm ileti işlemciler, 4528 numaralı bağlantı noktası üzerinden birbirlerine erişebilmelidir.
- Yönetim sunucusu, 8082 bağlantı noktası üzerinden tüm ileti işlemcilerine erişebilmelidir.
- Tüm yönetim sunucuları ve tüm Qpid düğümleri, diğer tüm veri merkezlerindeki Postgres'e erişebilmelidir.
- Güvenlik nedeniyle, yukarıda gösterilen bağlantı noktaları ve kendi ağ gereksinimleriniz için gereken diğer bağlantı noktaları dışında, veri merkezleri arasında başka bağlantı noktası açık olmamalıdır.
Varsayılan olarak, bileşenler arasındaki iletişim şifrelenmez. Apigee mTLS'yi yükleyerek şifreleme ekleyebilirsiniz. Daha fazla bilgi için Apigee mTLS'ye giriş başlıklı makaleyi inceleyin.
Taşıma ayrıntıları
Aşağıdaki tabloda, güvenlik duvarlarında açılması gereken bağlantı noktaları Edge bileşenine göre açıklanmaktadır:
| Bileşen | Bağlantı noktası | Açıklama |
|---|---|---|
| Standart HTTP bağlantı noktaları | 80, 443 | HTTP ve sanal ana makineler için kullandığınız diğer bağlantı noktaları |
| Apigee SSO | 9099 | Kimlik doğrulama için harici kimlik sağlayıcılar, yönetim sunucusu ve tarayıcılardan gelen bağlantılar. |
| Cassandra | 7000, 9042 | Cassandra düğümleri arasındaki iletişim ve diğer Edge bileşenlerinin erişimi için Apache Cassandra bağlantı noktaları. |
| 7199 | JMX bağlantı noktası. Yönetim sunucusunun erişimine açık olmalıdır. | |
| LDAP | 10389 | SymasLDAP |
| Yönetim Sunucusu | 1099 | JMX bağlantı noktası |
| 4526 | Dağıtılmış önbellek ve yönetim çağrıları için bağlantı noktası. Bu bağlantı noktası yapılandırılabilir. | |
| 5636 | Para kazanma işlemesi bildirimleri için bağlantı noktası. | |
| 8080 | Edge yönetim API'si çağrıları için bağlantı noktası. Bu bileşenlerin, Yönetim Sunucusu'nda 8080 numaralı bağlantı noktasına erişmesi gerekir: Yönlendirici, Mesaj İşlemcisi, kullanıcı arayüzü, Postgres, Apigee TOA (etkinse) ve Qpid. | |
| Yönetim arayüzü | 9000 | Yönetim kullanıcı arayüzüne tarayıcı erişimi için bağlantı noktası |
| Mesaj İşleyici | 1101 | JMX bağlantı noktası |
| 4528 | Mesaj işlemcileri arasında dağıtılmış önbellek ve yönetim çağrıları için ve yönlendirici ile yönetim sunucusundan gelen iletişim için.
Bir mesaj işlemcisi, yönetim bağlantı noktası olarak 4528 numaralı bağlantı noktasını açmalıdır. Birden fazla Mesaj İşleyiciniz varsa bunların tümü 4528 numaralı bağlantı noktası üzerinden birbirine erişebilmelidir (Mesaj İşleyicideki 4528 numaralı bağlantı noktası için yukarıdaki şemada döngü okuyla gösterilir). Birden fazla veri merkeziniz varsa bağlantı noktasına tüm veri merkezlerindeki tüm ileti işlemcilerden erişilebilmelidir. |
|
| 8082 |
Mesaj İşleyici'nin varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişimi için bileşende açık olması gerekir. Yönlendirici ile ileti işlemcisi arasında TLS/SSL yapılandırırsanız. Bu yapılandırma, yönlendirici tarafından ileti işlemcisinde sağlık kontrolleri yapmak için kullanılır. İleti İşleyici'deki 8082 numaralı bağlantı noktası yalnızca Yönlendirici ile İleti İşleyici arasında TLS/SSL yapılandırdığınızda Yönlendirici'nin erişimine açık olmalıdır. Yönlendirici ile ileti işlemcisi arasında TLS/SSL yapılandırmazsanız varsayılan yapılandırma olan 8082 numaralı bağlantı noktası, bileşeni yönetmek için ileti işlemcisinde açık olmaya devam etmelidir ancak yönlendiricinin bu bağlantı noktasına erişmesi gerekmez. |
|
| 8443 | Yönlendirici ile ileti işlemcisi arasında TLS etkinleştirildiğinde, yönlendiricinin erişimi için ileti işlemcisinde 8443 numaralı bağlantı noktasını açmanız gerekir. | |
| 8998 | Yönlendiriciden gelen iletişimler için mesaj işleyici bağlantı noktası | |
| Postgres | 22 | İki Postgres düğümünü ana-bekleme replikasyonu kullanacak şekilde yapılandırıyorsanız SSH erişimi için her düğümde bağlantı noktası 22'yi açmanız gerekir. |
| 1103 | JMX bağlantı noktası | |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5432 | Qpid/Yönetim Sunucusu'ndan Postgres'e iletişim için kullanılır. | |
| 8084 | Postgres sunucusundaki varsayılan yönetim bağlantı noktası; Yönetim Sunucusu'nun erişimi için bileşende açık olmalıdır. | |
| Qpid | 1102 | JMX bağlantı noktası |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için | |
| 5672 |
Aynı düğümdeki Qpid sunucusu ile aracı bileşenleri arasındaki iletişim için de kullanılır. Birden fazla Qpid düğümü olan topolojilerde sunucu, 5672 numaralı bağlantı noktasındaki tüm aracılarına bağlanabilmelidir. |
|
| 8083 | Qpid sunucusundaki varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu'nun erişimi için bileşende açık olmalıdır. | |
| 8090 | Qpid'in Broker'ı için varsayılan bağlantı noktasıdır. Broker'ın yönetim konsoluna veya yönetim API'lerine izleme amacıyla erişmek için açık olması gerekir. | |
| Yönlendirici | 4527 | Dağıtılmış önbellek ve yönetim çağrıları için.
Yönlendirici, 4527 numaralı bağlantı noktasını yönetim bağlantı noktası olarak açmalıdır. Birden fazla yönlendiriciniz varsa bunların tümü, 4527 numaralı bağlantı noktası üzerinden birbirine erişebilmelidir (Yönlendiricideki 4527 numaralı bağlantı noktası için yukarıdaki şemada döngü okuyla gösterilir). Gerekli olmasa da herhangi bir Mesaj İşlemcisi'nin erişimi için yönlendiricide 4527 numaralı bağlantı noktasını açabilirsiniz. Aksi takdirde, Message Processor günlük dosyalarında hata mesajları görebilirsiniz. |
| 8081 | Yönlendiricinin varsayılan yönetim bağlantı noktasıdır ve Yönetim Sunucusu tarafından erişim için bileşende açık olmalıdır. | |
| 15999 |
Durum denetimi bağlantı noktası. Yük dengeleyici, yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. Yük dengeleyici, bir yönlendiricinin durumunu almak için yönlendiricideki 15999 numaralı bağlantı noktasına istek gönderir: curl -v http://routerIP:15999/v1/servers/self/reachable Yönlendiriciye ulaşılabiliyorsa istek HTTP 200 döndürür. |
|
| 59001 | apigee-validate yardımcı programı tarafından Edge yüklemesini test etmek için kullanılan bağlantı noktası.
Bu yardımcı programın yönlendiricideki 59001 numaralı bağlantı noktasına erişmesi gerekir. 59001 numaralı bağlantı noktası hakkında daha fazla bilgi için Yüklemeyi test etme başlıklı makaleyi inceleyin. |
|
| SmartDocs | 59002 | SmartDocs sayfa isteklerinin gönderildiği Edge yönlendiricideki bağlantı noktası. |
| ZooKeeper | 2181 | Yönetim sunucusu, yönlendirici, ileti işlemcisi gibi diğer bileşenler tarafından kullanılır. |
| 2888, 3888 | ZooKeeper kümesi (ZooKeeper topluluğu olarak bilinir) iletişimi için ZooKeeper tarafından dahili olarak kullanılır. |
Aşağıdaki tabloda aynı bağlantı noktaları, sayısal olarak listelenmiş, kaynak ve hedef bileşenlerle birlikte gösterilmektedir:
| Bağlantı Noktası Numarası | Amaç | Kaynak Bileşen | Hedef Bileşen |
|---|---|---|---|
| virtual_host_port | HTTP ve sanal ana makine API çağrısı trafiği için kullandığınız diğer bağlantı noktaları. En sık kullanılan bağlantı noktaları 80 ve 443'tür. İleti yönlendirici, TLS/SSL bağlantılarını sonlandırabilir. | Harici istemci (veya yük dengeleyici) | Mesaj yönlendiricide dinleyici |
| 1099-1103 | JMX Yönetimi | JMX İstemcisi | Yönetim Sunucusu (1099) Mesaj İşlemcisi (1101) Qpid Sunucusu (1102) Postgres Sunucusu (1103) |
| 2181 | Zookeeper istemci iletişimi | Yönetim Sunucusu Yönlendirici Mesaj İşleyici Qpid Sunucusu Postgres Sunucusu |
Zookeeper |
| 2888 ve 3888 | Zookeeper internode management | Zookeeper | Zookeeper |
| 4526 | RPC yönetim bağlantı noktası | Yönetim Sunucusu | Yönetim Sunucusu |
| 4527 | Dağıtılmış önbellek ve yönetim çağrıları ile yönlendiriciler arasındaki iletişim için RPC yönetim bağlantı noktası | Yönetim Sunucusu Yönlendirici |
Yönlendirici |
| 4528 | İleti işlemciler arasındaki dağıtılmış önbellek çağrıları ve yönlendiriciden gelen iletişim için | Yönetim Sunucusu Yönlendirici Mesaj İşleyici |
Mesaj İşleyici |
| 4529 | Dağıtılmış önbellek ve yönetim çağrıları için RPC yönetim bağlantı noktası | Yönetim Sunucusu | Qpid Sunucusu |
| 4530 | Dağıtılmış önbellek ve yönetim çağrıları için RPC yönetim bağlantı noktası | Yönetim Sunucusu | Postgres sunucusu |
| 5432 | Postgres istemcisi | Qpid Sunucusu | Postgres |
| 5636 | Para kazanma | Harici JMS bileşeni | Yönetim Sunucusu |
| 5672 |
Aynı düğümdeki Qpid sunucusu ile aracı bileşenleri arasındaki iletişim için de kullanılır. Birden fazla Qpid düğümü olan topolojilerde sunucu, 5672 numaralı bağlantı noktasındaki tüm aracılarına bağlanabilmelidir. |
Qpid Sunucusu | Qpid Sunucusu |
| 7000 | Cassandra düğümler arası iletişim | Cassandra | Diğer Cassandra düğümü |
| 7199 | JMX yönetimi. Yönetim sunucusu tarafından Cassandra düğümünde erişime açık olmalıdır. | JMX istemcisi | Cassandra |
| 8080 | Management API bağlantı noktası | Management API istemcileri | Yönetim Sunucusu |
| 8081-8084 |
Doğrudan tek tek bileşenlere API istekleri göndermek için kullanılan Component API bağlantı noktaları. Her bileşen farklı bir bağlantı noktası açar. Kullanılan bağlantı noktası yapılandırmaya bağlıdır ancak Yönetim Sunucusu'nun erişimi için bileşende açık olması gerekir. |
Management API istemcileri | Yönlendirici (8081) Mesaj İşleyici (8082) Qpid Sunucusu (8083) Postgres Sunucusu (8084) |
| 8090 | Qpid'in Broker'ı için kuyrukları yönetmek ve izlemek üzere kullanılan varsayılan yönetim bağlantı noktası. | Tarayıcı veya API istemcisi | Qpid Broker (apigee-qpidd) |
| 8443 | TLS etkinleştirildiğinde yönlendirici ile ileti işlemcisi arasındaki iletişim | Yönlendirici | Mesaj İşleyici |
| 8998 | Yönlendirici ile Mesaj İşleyici Arasındaki İletişim | Yönlendirici | Mesaj İşleyici |
| 9000 | Varsayılan Edge yönetim kullanıcı arayüzü bağlantı noktası | Tarayıcı | Yönetim kullanıcı arayüzü sunucusu |
| 9042 | CQL yerel aktarımı | Yönlendirici Mesaj İşleyici Yönetim Sunucusu |
Cassandra |
| 9099 | Harici IDP kimlik doğrulaması | IDP, tarayıcı ve yönetim sunucusu | Apigee SSO |
| 10389 | LDAP bağlantı noktası | Yönetim Sunucusu | SymasLDAP |
| 15999 | Durum denetimi bağlantı noktası. Yük dengeleyici, yönlendiricinin kullanılabilir olup olmadığını belirlemek için bu bağlantı noktasını kullanır. | Yük dengeleyici | Yönlendirici |
| 59001 | Edge yüklemesini test etmek için apigee-validate yardımcı programı tarafından kullanılan bağlantı noktası |
apigee-validate | Yönlendirici |
| 59002 | SmartDocs sayfa isteklerinin gönderildiği yönlendirici bağlantı noktası | SmartDocs | Yönlendirici |
Bir ileti işlemcisi, Cassandra'ya yönelik özel bir bağlantı havuzunu açık tutar. Bu havuz, hiçbir zaman zaman aşımına uğramayacak şekilde yapılandırılır. Bir ileti işlemcisi ile Cassandra sunucusu arasında güvenlik duvarı olduğunda güvenlik duvarı bağlantının zaman aşımına uğramasına neden olabilir. Ancak, Message Processor, Cassandra ile bağlantıları yeniden kurmak için tasarlanmamıştır.
Apigee, bu durumu önlemek için Cassandra sunucusunun, Message Processor'ın ve yönlendiricilerin aynı alt ağda olmasını önerir. Böylece, bu bileşenlerin dağıtımında güvenlik duvarı kullanılmaz.
Yönlendirici ile ileti işlemcileri arasında bir güvenlik duvarı varsa ve boşta kalma TCP zaman aşımı ayarlanmışsa aşağıdaki işlemleri yapmanızı öneririz:
- Linux işletim sisteminde sysctl ayarlarında
net.ipv4.tcp_keepalive_time = 1800değerini ayarlayın. Burada 1800, güvenlik duvarı boşta TCP zaman aşımından daha düşük olmalıdır. Bu ayar, bağlantının güvenlik duvarı tarafından kesilmemesi için bağlantıyı kurulu durumda tutmalıdır. - Tüm ileti işlemcilerinde, aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/message-processor.propertiesöğesini düzenleyin. Dosya yoksa oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Mesaj İşleyici'yi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Tüm yönlendiricilerde, aşağıdaki özelliği eklemek için
/opt/apigee/customer/application/router.propertiesöğesini düzenleyin. Dosya yoksa oluşturun.conf_system_cassandra.maxconnecttimeinmillis=-1
- Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart