Konfigurieren der erweiterten Netzwerkfunktionen für AEM as a Cloud Service configuring-advanced-networking

In diesem Artikel werden die in AEM as a Cloud Service verfügbaren erweiterten Netzwerkfunktionen vorgestellt. Zu diesen Funktionen gehören Selfservice- und API-Bereitstellung von VPNs, nicht standardmäßige Ports und dedizierte Ausgangs-IP-Adressen.

Zusätzlich zu dieser Dokumentation gibt es auch eine Reihe von Tutorials, die Sie durch die erweiterten Netzwerkoptionen führen. Siehe Erweiterte Netzwerkfunktionen.

curl -X POST https://cloudmanager.adobe.io/api/program/{PROGRAM_ID}/environment/{ENV_ID}/vpn \
   -H "Authorization: Bearer {ACCESS_TOKEN}" \
   -H "x-api-key: {API_KEY}" \
   -H "Content-Type: application/json" \
   -d '{
       "providerId": "aws",
       "portMappings": [
           {
               "name": "SSH",
               "protocol": "TCP",
               "port": 22
           }
       ]
   }'

Überblick overview

AEM as a Cloud Service bietet die folgenden erweiterten Netzwerkoptionen:

In diesem Artikel wird jede dieser Optionen zunächst im Detail beschrieben und erläutert, warum Sie sie ggf. verwenden sollten. Anschließend wird beschrieben, wie die Optionen über die Cloud Manager-Benutzeroberfläche und die API konfiguriert werden. Zum Abschluss des Artikels werden einige Anwendungsfälle für Fortgeschrittene vorgestellt.

Anforderungen und Einschränkungen requirements

Bei der Konfiguration erweiterter Netzwerkfunktionen gelten die folgenden Einschränkungen.

Konfigurieren und Aktivieren erweiterter Netzwerke configuring-enabling

Die Verwendung erweiterter Netzwerkfunktionen erfordert zwei Schritte:

Beide Schritte können entweder über die Cloud Manager-Benutzeroberfläche oder die Cloud Manager-API durchgeführt werden.

Flexibler Port-Ausgang flexible-port-egress

Diese erweiterte Netzwerkfunktion ermöglicht es Ihnen, AEM as a Cloud Service so zu konfigurieren, dass der Ausgangs-Traffic über andere Ports als HTTP (Port 80) und HTTPS (Port 443), die standardmäßig geöffnet sind, läuft.

Konfiguration der Benutzeroberfläche configuring-flexible-port-egress-provision-ui

Unter der Überschrift Netzwerkinfrastruktur im seitlichen Panel wird ein neuer Eintrag angezeigt. Er enthält Details wie den Typ der Infrastruktur, den Status, die Region und die Umgebungen, in der die Infrastruktur aktiviert ist.

API-Konfiguration configuring-flexible-port-egress-provision-api

Einmal pro Programm wird der POST-Endpunkt /program/<programId>/networkInfrastructures aufgerufen, wobei einfach der Wert von flexiblePortEgress für den Parameter kind und die Region übergeben wird. Der Endpunkt antwortet mit der network_id sowie anderen Informationen, einschließlich des Status.

Nach dem Aufruf dauert es in der Regel etwa 15 Minuten, bis die Netzwerkinfrastruktur bereitgestellt wird. Ein Aufruf des Netzwerkinfrastruktur-GET-Endpunkts von Cloud Manager würde den Status Bereit anzeigen.

Traffic-Routing flexible-port-egress-traffic-routing

Für HTTP- oder HTTPS-Traffic, der an andere Ports als 80 oder 443 geleitet wird, sollte ein Proxy mit den folgenden Host- und Port-Umgebungsvariablen konfiguriert werden:

Hier finden Sie Beispiel-Code zum Senden einer Anfrage an www.example.com:8443:

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Wenn Sie nicht standardmäßige Java™-Netzwerkbibliotheken verwenden, konfigurieren Sie mithilfe der oben genannten Eigenschaften Proxys für den gesamten Traffic.

Nicht-HTTP/s-Traffic mit Zielen über Ports, die im portForwards-Parameter deklariert wurden, sollte auf eine Eigenschaft namens AEM_PROXY_HOST verweisen, zusammen mit dem zugeordneten Port. Zum Beispiel:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

In der folgenden Tabelle wird das Traffic-Routing beschrieben:

Apache-/Dispatcher-Konfiguration apache-dispatcher

Die Direktive mod_proxy der Apache/Dispatcher-Schicht von AEM as a Cloud Service kann mithilfe der oben beschriebenen Eigenschaften konfiguriert werden.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

Dedizierte Ausgangs-IP-Adresse dedicated-egress-ip-address

Eine dedizierte IP-Adresse kann die Sicherheit bei der Integration mit SaaS-Anbietern (wie z. B. einem CRM-Anbieter) oder anderen Integrationen außerhalb von AEM as a Cloud Service erhöhen, die eine Zulassungsliste von IP-Adressen anbieten. Durch Hinzufügen der dedizierten IP-Adresse zur Zulassungsliste wird sichergestellt, dass nur Traffic vom AEM Cloud-Service der Kundschaft in den externen Service fließen darf. Dieser Ansatz erfolgt zusätzlich zum Traffic von allen anderen zulässigen IPs.

Dieselbe dedizierte IP wird auf alle Umgebungen in einem Programm angewendet und gilt gleichermaßen für Autoren- und Veröffentlichungs-Service.

Wenn die Funktion der dedizierten IP-Adresse nicht aktiviert ist, fließt der Traffic von AEM as a Cloud Service über eine Reihe von gemeinsam genutzten IPs. Diese IPs werden von anderen Kundinnen und Kunden von AEM as a Cloud Service verwendet.

Die Konfiguration der dedizierten Ausgangs-IP-Adresse ähnelt dem flexiblen Port-Ausgang. Der Hauptunterschied besteht darin, dass der Traffic nach der Konfiguration immer von einer dedizierten, eindeutigen IP-Adresse ausgeht. Um diese IP zu finden, verwenden Sie einen DNS-Resolver, um die IP-Adresse zu identifizieren, die mit p{PROGRAM_ID}.external.adobeaemcloud.com verbunden ist. Es wird nicht erwartet, dass sich die IP-Adresse ändert. Falls sie aber doch geändert werden muss, wird vorher eine Benachrichtigung gesendet.

Konfiguration der Benutzeroberfläche configuring-dedicated-egress-provision-ui

Unter der Überschrift Netzwerkinfrastruktur im seitlichen Panel wird ein neuer Eintrag angezeigt. Er enthält Details wie den Typ der Infrastruktur, den Status, die Region und die Umgebungen, in der die Infrastruktur aktiviert ist.

API-Konfiguration configuring-dedicated-egress-provision-api

Einmal pro Programm wird der POST-Endpunkt /program/<programId>/networkInfrastructures aufgerufen, wobei einfach der Wert von dedicatedEgressIp für den Parameter kind und die Region übergeben wird. Der Endpunkt antwortet mit der network_id sowie anderen Informationen, einschließlich des Status.

Nach dem Aufruf dauert es in der Regel etwa 15 Minuten, bis die Netzwerkinfrastruktur bereitgestellt wird. Ein Aufruf des Netzwerkinfrastruktur-GET-Endpunkts von Cloud Manager würde den Status Bereit anzeigen.

Traffic-Routing dedicated-egress-ip-traffic-routing

HTTP- oder HTTPS-Traffic durchläuft einen vorkonfigurierten Proxy, wenn er standardmäßige Java™-Systemeigenschaften für Proxy-Konfigurationen verwendet.

Nicht-HTTP/s-Traffic mit Zielen über Ports, die im portForwards-Parameter deklariert wurden, sollte auf eine Eigenschaft namens AEM_PROXY_HOST verweisen, zusammen mit dem zugeordneten Port. Zum Beispiel:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Verwendung der Funktion feature-usage

Die Funktion ist mit Java™-Code oder Bibliotheken kompatibel, die zu ausgehendem Traffic führen, sofern sie Standard-Java™-Systemeigenschaften für Proxy-Konfigurationen verwenden. In der Praxis sollte dieser Ansatz die gängigsten Bibliotheken einschließen.

Nachfolgend finden Sie ein Code-Beispiel:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Einige Bibliotheken erfordern eine explizite Konfiguration, um standardmäßige Java™-Systemeigenschaften für Proxy-Konfigurationen zu verwenden.

Ein Beispiel mit Apache HttpClient, das explizite Aufrufe an
HttpClientBuilder.useSystemProperties() oder die Verwendung von
HttpClients.createSystem() erfordert:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Überlegungen zum Debugging debugging-considerations

Um zu überprüfen, ob der Traffic tatsächlich über die erwartete dedizierte IP-Adresse ausgeht, überprüfen Sie die Protokolle im Zieldienst, sofern verfügbar. Andernfalls kann es nützlich sein, einen Debugging-Dienst wie https://ifconfig.me/ip aufzurufen, der die aufrufende IP-Adresse zurückgibt.

Virtuelles privates Netzwerk (VPN) vpn

Ein VPN ermöglicht die Verbindung zu einer On-Premise-Infrastruktur oder einem Rechenzentrum von der Autoren-, Veröffentlichungs- oder Vorschauinstanz aus. Diese Fähigkeit kann beispielsweise nützlich sein, um den Zugriff auf eine Datenbank zu sichern. Es ermöglicht auch die Verbindung zu SaaS-Anbietern, z. B. einem CRM-Anbieter, der VPN unterstützt.

Die meisten VPN-Geräte mit IPSec-Technologie werden unterstützt. Lesen Sie die Informationen in der Spalte RouteBased-Konfigurationsanweisungen in dieser Geräteliste. Konfigurieren Sie das Gerät, wie in der Tabelle beschrieben.

Konfiguration der Benutzeroberfläche configuring-vpn-ui

Unter der Überschrift Netzwerkinfrastruktur im seitlichen Panel wird ein neuer Eintrag angezeigt. Er enthält Details wie den Typ der Infrastruktur, den Status, die Region und die Umgebungen, in der die Infrastruktur aktiviert ist.

API-Konfiguration configuring-vpn-api

Einmal pro Programm wird der POST-Endpunkt /program/<programId>/networkInfrastructures aufgerufen. Er übergibt eine Payload von Konfigurationsinformationen. Diese Informationen umfassen den Wert von vpn für den Parameter kind, Region, Adressraum (Liste der CIDRs – beachten Sie, dass dieser Wert später nicht mehr geändert werden kann), DNS-Resolver (zur Auflösung von Namen in Ihrem Netzwerk). Es enthält auch VPN-Verbindungsinformationen wie Gateway-Konfiguration, freigegebenen VPN-Schlüssel und die IP-Sicherheitsrichtlinie. Der Endpunkt antwortet mit der network_id sowie anderen Informationen, einschließlich des Status.

Nach dem Aufruf dauert es in der Regel zwischen 45 und 60 Minuten, bis die Netzwerkinfrastruktur bereitgestellt wird. Die GET-Methode in der API kann aufgerufen werden, um den Status zurückzugeben, der schließlich von creating zu ready wechselt. In der API-Dokumentation finden Sie alle Status.

Traffic-Routing vpn-traffic-routing

In der folgenden Tabelle wird das Traffic-Routing beschrieben.

Nützliche Domains für die Konfiguration vpn-useful-domains-for-configuration

Das folgende Diagramm zeigt eine visuelle Darstellung einer Reihe von Domains und zugehörigen IPs, die für die Konfiguration und Entwicklung nützlich sind. Die Tabelle weiter unten im Diagramm beschreibt diese Domains und IPs.

Aktivieren erweiterter Netzwerkkonfigurationen in Umgebungen enabling

Sobald Sie eine erweiterte Netzwerkoption für ein Programm konfiguriert haben, sei es flexibler Port-Ausgang, zugewiesene Ausgangs-IP-Adresse oder VPN, müssen Sie sie auf der Umgebungsebene aktivieren, um sie zu verwenden.

Wenn Sie eine erweiterte Netzwerkkonfiguration für eine Umgebung aktivieren, können Sie auch optionale Port-Weiterleitungen und Nicht-Proxy-Hosts aktivieren. Parameter können je nach Umgebung konfiguriert werden, um Flexibilität zu bieten.

Aktivieren über die Benutzeroberfläche enabling-ui

Die erweiterte Netzwerkkonfiguration wird auf die ausgewählte Umgebung angewendet. Zurück auf der Registerkarte Umgebungen können Sie Details zu der auf die ausgewählte Umgebung angewendeten Konfiguration und ihren Status sehen.

Aktivieren über die API enabling-api

Um eine erweiterte Netzwerkkonfiguration für eine Umgebung zu aktivieren, muss der Endpunkt PUT /program/<program_id>/environment/<environment_id>/advancedNetworking pro Umgebung aufgerufen werden.

Die API sollte in nur wenigen Sekunden antworten und den Status updating anzeigen. Nach etwa 10 Minuten zeigt ein Aufruf des GET-Endpunkts für die Umgebung von Cloud Manager den Status ready an, was bedeutet, dass die Aktualisierung der Umgebung angewendet wird.

Die umgebungsabhängigen Port-Weiterleitungsregeln können aktualisiert werden, indem der Endpunkt PUT /program/{programId}/environment/{environmentId}/advancedNetworking aufgerufen und dabei alle Konfigurationsparameter und nicht nur eine Teilmenge eingeschlossen werden.

Die erweiterten Netzwerkkonfigurationstypen „Dedizierte Ausgangs-IP-Adresse“ und „VPN“ unterstützen den nonProxyHosts-Parameter. Dank dieser Unterstützung können Sie eine Gruppe von Hosts deklarieren, bei denen die Weiterleitung über einen gemeinsamen IP-Adressbereich anstatt über die dedizierte IP erfolgen soll. Die nonProxyHost-URLs können dem Muster von example.com oder *.example.com folgen, wobei der Platzhalter nur am Beginn der Domain unterstützt wird.

Auch wenn es keine Regeln für die Weiterleitung des Umgebungs-Traffics gibt (Hosts oder Bypässe), muss PUT /program/<program_id>/environment/<environment_id>/advancedNetworking trotzdem aufgerufen werden, nur mit einer leeren Payload.

Bearbeiten und Löschen erweiterter Netzwerkkonfigurationen in Umgebungen editing-deleting-environments

Nach der Aktivierung der erweiterten Netzwerkkonfigurationen für Umgebungen können Sie die Details dieser Konfigurationen aktualisieren oder löschen.

Bearbeiten oder Löschen über die Benutzeroberfläche editing-ui

Die Änderungen werden auf der Registerkarte Umgebungen widergespiegelt.

Bearbeiten oder Löschen über die API editing-api

Um eine erweiterte Netzwerkkonfiguration für eine bestimmte Umgebung zu löschen, rufen Sie DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]() auf.

Bearbeiten und Löschen der Netzwerkinfrastruktur eines Programms editing-deleting-program

Sobald die Netzwerkinfrastruktur für ein Programm erstellt wurde, können nur bestimmte Eigenschaften bearbeitet werden. Wenn Sie sie nicht mehr benötigen, können Sie die erweiterte Netzwerkinfrastruktur für Ihr gesamtes Programm löschen.

Bearbeiten und Löschen über die Benutzeroberfläche delete-ui

Die Änderungen werden auf der Registerkarte Umgebungen widergespiegelt.

Bearbeiten und Löschen über die API delete-api

Um die Netzwerkinfrastruktur für ein Programm zu löschen, rufen Sie DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID} auf.

Ändern des Typs der erweiterten Netzwerkinfrastruktur eines Programms changing-program

Es kann jeweils nur ein Typ einer erweiterten Netzwerkinfrastruktur für ein Programm konfiguriert sein. Die erweiterte Netzwerkinfrastruktur muss entweder ein flexibler Port-Ausgang, eine dedizierte Ausgangs-IP-Adresse oder ein VPN sein.

Wenn Sie einen anderen erweiterten Netzwerkinfrastrukturtyp als den bereits konfigurierten benötigen, löschen Sie den vorhandenen und erstellen Sie einen neuen. Gehen Sie folgendermaßen vor:

Erweiterte Netzwerkkonfiguration für andere Veröffentlichungsregionen advanced-networking-configuration-for-additional-publish-regions

Wenn zu einer Umgebung mit einem bereits konfigurierten erweiterten Netzwerk eine zusätzliche Region hinzugefügt wird, folgt der Traffic aus der zusätzlichen Veröffentlichungsregion den bestehenden Regeln. Standardmäßig wird der übereinstimmende Traffic durch die primäre Region geleitet. Wenn die primäre Region jedoch nicht verfügbar ist, wird der erweiterte Netzwerk-Traffic abgebrochen, wenn in der zusätzlichen Region das erweiterte Netzwerk nicht aktiviert wurde. Wenn Sie die Latenz optimieren und die Verfügbarkeit im Falle eines Ausfalls in einer der Regionen erhöhen möchten, ist es erforderlich, für die zusätzlichen Veröffentlichungsregionen ein erweitertes Netzwerk zu aktivieren. In den folgenden Abschnitten werden zwei verschiedene Szenarien beschrieben.

Dedizierte Ausgangs-IP-Adressen additional-publish-regions-dedicated-egress

Bereits aktiviertes erweitertes Netzwerk in der primären Region already-enabled

Wenn in der primären Region bereits eine erweiterte Netzwerkkonfiguration aktiviert ist, führen Sie die folgenden Schritte aus:

Noch kein erweitertes Netzwerk in einer Region konfiguriert not-yet-configured

Das Verfahren ähnelt größtenteils den vorherigen Anweisungen. Wenn die Produktionsumgebung jedoch noch nicht für erweiterte Netzwerke aktiviert wurde, besteht die Möglichkeit, die Konfiguration zu testen, indem sie zuerst in einer Staging-Umgebung aktiviert wird:

VPN vpn-regions

Das Verfahren ist fast identisch mit den Anweisungen für dedizierte Ausgangs-IP-Adressen. Der einzige Unterschied besteht darin, dass die Regionseigenschaft anders als die primäre Region konfiguriert wird. Darüber hinaus können Sie optional das Feld connections.gateway konfigurieren. Die Konfiguration kann zu einem anderen VPN-Endpunkt weitergeleitet werden, der ebenfalls von Ihrer Organisation betrieben wird und geografisch näher an der neuen Region liegt.

Fehlerbehebung

Beachten Sie, dass die folgenden Punkte als informative Richtlinien bereitgestellt werden und Best Practices für die Fehlerbehebung enthalten. Diese Empfehlungen sollen dazu beitragen, Probleme effektiv zu diagnostizieren und zu lösen.

Verbindungs-Pools connection-pooling-advanced-networking

Verbindungs-Pools sind eine Technik zur Erstellung und Aufrechterhaltung eines Repositorys von Verbindungen, die für die sofortige Verwendung durch jeden Thread bereit sind, der sie benötigt. Zahlreiche Verbindungs-Pool-Techniken finden Sie auf verschiedenen Online-Plattformen und -Ressourcen, jeweils mit ihren einzigartigen Vorteilen und Details. Adobe empfiehlt seiner Kundschaft, sich über diese Methoden zu informieren und diejenigen auszusuchen, die mit der Architektur ihres Systems am besten kompatibel sind.

Die Implementierung einer geeigneten Strategie zur Bündelung von Verbindungen ist eine proaktive Maßnahme, um ein gängiges Problem bei der Systemkonfiguration zu korrigieren, die zu einer suboptimalen Leistung führen. Durch die ordnungsgemäße Einrichtung eines Verbindungs-Pools kann Adobe Experience Manager (AEM) die Effizienz externer Aufrufe verbessern. Dieser Ansatz reduziert nicht nur den Ressourcenverbrauch, sondern verkleinert auch das Risiko von Dienstunterbrechungen sowie die Wahrscheinlichkeit des Fehlschlagens von Anfragen bei der Kommunikation mit Upstream-Servern.

Auf Grundlage dieser Informationen empfiehlt Adobe, Ihre aktuelle AEM-Konfiguration zu überprüfen. Erwägen Sie auch, Verbindungs-Pools bewusst zusammen mit Ihren erweiterten Netzwerkeinstellungen zu verwenden. Indem Sie die Anzahl der parallelen Verbindungen steuern und die der veralteten Verbindungen reduzieren, können Sie die Netzwerkleistung optimieren. Diese Aktionen verringern das Risiko, dass Proxy-Server ihre Verbindungsgrenzen erreichen. Eine solche strategische Implementierung soll somit die Wahrscheinlichkeit verringern, dass Anfragen externe Endpunkte nicht erreichen.

Häufig gestellte Fragen zu Verbindungsbeschränkungen

Bei der Verwendung der erweiterten Netzwerkfunktionen ist die Anzahl der Verbindungen begrenzt, um die Stabilität in allen Umgebungen sicherzustellen und zu verhindern, dass niedrigere Umgebungen die verfügbaren Verbindungen ausschöpfen.

Die Verbindungen sind auf 1000 Verbindungen pro AEM-Instanz beschränkt, und bei Erreichen von 750 Verbindungen werden Warnhinweise an Kundinnen und Kunden gesendet.

Wird die Verbindungsbeschränkung nur auf ausgehenden Traffic aus nicht standardmäßigen Ports oder auf den gesamten ausgehenden Traffic angewendet?

Die Beschränkung gilt nur für Verbindungen, die erweiterte Netzwerkfunktionen (Ausgang auf nicht standardmäßigen Ports, mittels dedizierter Ausgangs-IP oder VPN) nutzen.

Offenbar gibt es keinen signifikanten Anstieg bei der Anzahl der ausgehenden Verbindungen. Warum geht die Benachrichtigung gerade jetzt ein?

Wenn die Kundin oder der Kunde dynamisch Verbindungen erstellt (z. B. eine oder mehrere Verbindungen für jede Anfrage), kann ein Anstieg des Traffics zu einer Spitze der Verbindungen führen.

Hätte sich in der Vergangenheit eine ähnliche Situation ergeben, ohne dass ein Warnhinweis ausgelöst worden wäre?

Warnhinweise werden nur gesendet, wenn die weiche Grenze erreicht ist.

Was passiert, wenn die Höchstgrenze erreicht wird?

Wenn die harte Grenze erreicht ist, werden neue Ausgangsverbindungen von AEM über erweiterte Netzwerkfunktionen (Ausgang auf nicht standardmäßigen Ports, mittels dedizierter Ausgangs-IP oder VPN) entfernt, um sich vor einem DoS-Angriff zu schützen.

Kann die Grenze angehoben werden?

Nein. Eine große Anzahl von Verbindungen kann erhebliche Leistungseinbußen verursachen und DoS über Pods und Umgebungen hinweg ermöglichen.

Werden die Verbindungen nach einem bestimmten Zeitraum automatisch vom AEM geschlossen?

Ja. Verbindungen werden auf JVM-Ebene und an verschiedenen Punkten in der Netzwerkinfrastruktur geschlossen. Dieser Workflow kommt für Produktionsdienste jedoch zu spät. Verbindungen sollten explizit geschlossen werden, sobald sie nicht mehr benötigt werden, oder bei Verwendung von Verbindungs-Pools zum Pool zurückgegeben werden. Andernfalls ist der Ressourcenverbrauch zu hoch und kann zu einer Erschöpfung der Ressourcen führen.

Wenn die maximale Verbindungsgrenze erreicht ist, wirkt sich dies auf irgendwelche Lizenzen aus und verursacht zusätzliche Kosten?

Nein. Mit dieser Grenze sind keine Lizenzen oder Kosten verbunden. Es handelt sich um eine technische Grenze.

Wie nah kommt die aktuelle Nutzung an die Grenze? Wie hoch ist die zulässige Höchstgrenze?

Der Warnhinweis wird ausgelöst, wenn die Anzahl von 750 Verbindungen überschritten wird. Die Höchstgrenze beträgt 1000 Verbindungen pro AEM Instanz.

Gilt diese Grenze für VPNs?

Ja, die Grenze gilt für Verbindungen, die erweiterte Netzwerkfunktionen verwenden, einschließlich VPNs.

Gilt die Grenze auch noch bei Verwendung einer dedizierten Ausgangs-IP?

Ja. Die Grenze gilt bei Verwendung einer dedizierten Ausgangs-IP weiterhin.