Requisiti del firewall su VMware

Diagramma per la configurazione della porta ed elenco di porte attive per una distribuzione IBM® API Connect in VMware.

Porte richieste tra zone

Il seguente esempio di diagramma di rete aiuta a spiegare quali porte devono essere configurate in una rete API Connect . Le porte specifiche devono essere configurate per consentire la comunicazione tra le varie zone, pubbliche e private, in una rete.

Le porte specificate nel diagramma sono porte predefinite. Controllare la distribuzione per comprendere quale comunicazione, se presente, è configurata per utilizzare porte non predefinite.

Diagramma di rete
Tabella 1. Chiave per l'esempio di diagramma di rete.

La seguente tabella elenca i numeri di porta con una descrizione di utilizzo.
  Descrizione utilizzo Numero di porta predefinito
1 API request/response - Utenti che richiamano le API fornite. 443 HTTPS da zona pubblica a zona gateway
2 Amministrazione DataPower® - Operatori interni che gestiscono i server Gateway. 22 SSH, 9090 HTTPS da zona protetta a zona gateway
3 API Manager - Utenti aziendali interni che stanno definendo e monitorando le API. 443 HTTPS dalla zona protetta alla zona di gestione
4 Cloud Manager - Operatori interni che amministrano il cloud. 22 SSH, 443 HTTPS dalla zona protetta alla zona di gestione
5 Gestione di Developer Portal - Operatori interni che gestiscono i server Portal. 22 SSH, 443 HTTPS dalla zona protetta alla zona di gestione
6 I server gateway inviano il traffico al servizio Analytics. 443 HTTPS dai server Gateway al servizio Analytics
7 Configurazione push - I server di gestione comunicano in modo bidirezionale con i server gateway. 3000 e 443 Server di gestione HTTPS da e verso i server Gateway per la consegna dei webhook. La porta 3000 è la porta predefinita per apic - gw - service e questa è la porta utilizzata dalla gestione per comunicare con il gateway. La porta 443 è la porta predefinita per l'endpoint platform - api, che apic - gw - service utilizza per comunicare con Management.
8 Push configuration / webhooks - I server di gestione eseguono il push della configurazione e dei webhooks in Developer Portal. 443 Server di gestione HTTPS ai server del portale per sviluppatori per la consegna di webhook
9 Esegui il pull della configurazione / effettua chiamate API - i server Developer Portal eseguono il pull della configurazione e richiamano API REST. 443 HTTPS dai server del portale per sviluppatori ai server di gestione all'interno della zona di gestione
10 Developer Portal - Sviluppatori esterni che accedono a Developer Portal. 443 HTTPS dalla zona pubblica alla zona di gestione del portale per sviluppatori. Il reverse proxy/DataPower WAF per il traffico web in entrata al cluster Developer Portal deve essere un proxy trasparente: non è consentita alcuna modifica dell' URL, della porta, del nome host o del percorso del portale.
11 Inviare la definizione API al server di gestione. Acquisire le credenziali per il push del microservizio. 443 HTTPS dalla zona protetta alla zona di gestione
12 Offload analisi La porta dipenderà dal tipo di plugin e protocollo utilizzato per l'offload. Alcuni protocolli possibili sono: HTTP, HTTPS, TCP, UDP, KAFKA
13 L'analitica accede a NTP NTP standard
14 DNS di accesso all'analisi DNS standard
15 Il servizio di gestione interroga il servizio di analisi 443 HTTPS nella zona di gestione
16 Servizio di fatturazione esterno - Cluster di gestione che si connette al servizio di fatturazione esterno (quando configurato per la fatturazione). Se si utilizza Stripe come servizio di fatturazione esterno, è necessario abilitare le connessioni con l'API di Stripe all'indirizzo: https://stripe.com/files/ips/ips_api.json. È inoltre possibile visualizzare gli indirizzi IP di Stripe al seguente URL https://stripe.com/docs/ips 443 HTTPS dalla zona di gestione alla zona pubblica
17 Il cluster Developer Portal deve essere in grado di accedere ai propri endpoint del sito. 443 HTTPS dalla zona Portale alla zona Pubblica

Requisiti della porta firewall su VMware

La seguente tabella elenca le porte che devono essere aperte sia in distribuzioni cluster che non cluster.

Notare che le distribuzioni dell'ambiente VMware in cluster richiedono porte aggiuntive. Vedere Porte abilitate al firewall per distribuzioni OVA in cluster

Tabella 2. Requisiti porta firewall comuni a tutti i sottosistemi
Sottosistema Porti e descrizione
Porte che devono essere aperte su tutti i sottosistemi API Connect

Le seguenti porte devono essere aperte sui sottosistemi di Management Server, Analytics e Developer Portal, in un cluster o meno.

  • 53 (in uscita) DNS
  • 123 (in uscita) NTP
  • 179 (in entrata e in uscita) daemon di instradamento BIRD - Distribuzioni OVA ( VMware environments). Utilizzato per la comunicazione su TCP tra server all'interno dello stesso sottosistema o tra sottosistemi differenti.
  • 443 (in entrata e in uscita) Utilizzato da tutti i sottosistemi per la comunicazione con altri sottosistemi
  • Richiesta di stato 2020 (in entrata). Utilizzato per la comunicazione su TCP tra server all'interno dello stesso sottosistema.
  • 9177 (in entrata e in uscita) Elenco membri (appartenenza gruppo) per la comunicazione del daemon API Connectapic . Utilizzato per la comunicazione su TCP e UDP, tra i server all'interno dello stesso sottosistema.
  • Server API 9178 (in entrata e in uscita), per la comunicazione daemon API Connect apic . Utilizzato per la comunicazione su TCP tra server, sia all'interno dello stesso sottosistema che tra sottosistemi differenti. Utilizzato anche per la comunicazione tra il programma di utilità di configurazione apicup e i server (è l'unica porta utilizzata da apicup).

Ciascun sottosistema utilizza le porte in aggiunta alle porte nella Tabella 2. Consulta la seguente tabella.

Tabella 3. Ulteriori requisiti di porta firewall per ciascun sottosistema
Sottosistema Porti e descrizione
Servizio di gestione

Il servizio di gestione utilizza le porte nella Tabella 2 più:

  • 22 porta server di backup remoto (in entrata, configurabile)

    Se i backup sono configurati per utilizzare un'altra porta, assicurarsi che la porta sia aperta. Vedere Backing e ripristino su VMware.

    Nota: questa porta non deve essere aperta tra il server di gestione e il server del portale.

  • Porta server SMTP (in uscita), generalmente 25
  • 161 (in entrata) SNMP. Su UDP. Non necessario se SNMP non è abilitato.
  • Porta server LDAP (se si utilizza il registro utenti LDAP), generalmente 389 (in uscita)
  • In una distribuzione con cluster, Management Services utilizza porte aggiuntive. Vedere Porte abilitate al firewall per le distribuzioni OVA in cluster.

L'applicazione di comportamento del test automatizzato deve essere in grado di richiamare (in uscita) qualsiasi porta su cui un sistema di test potrebbe presentare un'API. Può essere collegato a una particolare porta (se è la stessa in tutti gli ambienti) o a un intervallo di porte (per coprire tutte le porte che potrebbe richiamare).
Developer Portal

Developer Portal utilizza le porte elencate nella Tabella 2, oltre a:

  • 161 (in entrata) SNMP. Protocollo UDP. Non necessario se SNMP non è abilitato.
  • 22 - Una porta del server di backup remoto (in entrata, configurabile)

    Se i backup sono configurati per utilizzare un'altra porta, assicurarsi che la porta sia aperta. Vedere Backup e ripristino del sottosistema portale.

    Nota: questa porta non deve essere aperta tra il server di gestione e il server del portale.

  • In una distribuzione in cluster, Developer Portal utilizza ulteriori porte. Vedere Porte abilitate dal firewall per le distribuzioni OVA in cluster.
Analytics

Il sottosistema di analisi utilizza le porte elencate nella Tabella 2, più:

  • 161 per SNMP è richiesto sia per le distribuzioni non in cluster che per quelle in cluster. UDP, solo in entrata. Non necessario se SNMP non è abilitato.
  • In una distribuzione non in cluster, non sono richieste ulteriori porte.
  • Analytics supporta una configurazione facoltativa per lo scaricamento dei dati. Questa configurazione potrebbe richiedere l'apertura di ulteriori porte in uscita.
  • In una distribuzione con cluster, il sottosistema Analytics utilizza porte aggiuntive. Vedere Porte abilitate dal firewall per le distribuzioni OVA in cluster.
Server gateway Il server gateway utilizza queste porte sia nelle distribuzioni non in cluster che in quelle in cluster:
  • 161 (in entrata) SNMP. Protocollo UDP. Non necessario se SNMP non è abilitato.
  • 162 (in uscita) trap SNMP
  • 3000 (in entrata) Porta locale servizio gateway (configurabile)
  • Porta di gestione XML 5550 (in entrata) (configurabile)
  • Porta di gestione REST 5554 (in entrata) (se abilitata; configurabile)
  • 9022 (in entrata) Gateway SSH (se abilitato; configurabile)
  • Console 9090 (in entrata) Web GUI (se abilitata; configurabile)
  • 9443 (in entrata) Porta locale gateway (configurabile)
  • In una distribuzione con cluster, il server gateway utilizza porte aggiuntive. Vedere Porte abilitate dal firewall per le distribuzioni OVA in cluster.

Comunicazioni all'interno del cluster Gateway

Ci sono un numero di punti importanti da notare per quanto riguarda le comunicazioni all'interno del cluster Gateway.

  • Si consiglia di utilizzare la stessa porta per tutti i server gateway all'interno di un cluster.
  • I server gateway comunicano tra loro per sincronizzare i conteggi delle chiamate.
  • Tutti i server Gateway in un cluster Gateway devono essere in grado di raggiungere tutti gli altri server Gateway nello stesso cluster Gateway.
  • I server gateway in un cluster gateway non comunicano direttamente con i server gateway in un cluster gateway differente.
  • Tutti i server gateway devono essere in grado di raggiungere l'endpoint API della piattaforma del sottosistema di gestione, configurato durante l'installazione dell'ambiente API Connect .

Utilizzo interfaccia Ethernet

Per separare il traffico di rete, è possibile utilizzare due o più interfacce Ethernet sul dispositivo DataPower su cui è installato un server Gateway. Ad esempio, è possibile utilizzare un'interfaccia per le comunicazioni interne di IBM API Connect e un'altra per l'elaborazione delle chiamate API in entrata.

Requisito porta per il servizio di fatturazione Stripe

Tutti i server di gestione e i server del portale per sviluppatori devono essere in grado di comunicare contenuti HTTPS con il servizio di fatturazione esterno quando la fatturazione è configurata. Se si utilizza Stripe come servizio di fatturazione esterno, è necessario abilitare la comunicazione HTTPS sulla porta 443 con l'API di Stripe: https://stripe.com/files/ips/ips_api.json
Nota: API Connect non supporta l'utilizzo di webhook con Stripe. L'elenco degli indirizzi IP di Stripe è disponibile all'indirizzo: https://stripe.com/docs/ips