Configuration de la mise en réseau avancée pour AEM as a Cloud Service configuring-advanced-networking
Cet article vise à vous présenter les différentes fonctionnalités de mise en réseau avancée d’AEM as a Cloud Service, y compris la mise en œuvre en libre-service et l’approvisionnement d’API de VPN, de ports non standard et d’adresses IP de sortie dédiées.
Vue d’ensemble overview
AEM as a Cloud Service propose les options de mise en réseau avancée suivantes :
- Sortie de port flexible : configurez AEM as a Cloud Service pour autoriser le trafic sortant des ports non standard.
- Adresse IP de sortie dédiée : configurez le trafic sortant d’AEM as a Cloud Service pour qu’il provienne d’une adresse IP unique.
- Réseau privé virtuel (VPN) : sécurisez le trafic entre votre infrastructure et AEM as a Cloud Service, si vous avez un VPN.
Cet article décrit d’abord en détail chacune de ces options et les raisons pour lesquelles vous pouvez les utiliser, avant de décrire comment elles sont configurées à l’aide de l’interface utilisateur de Cloud Manager et de l’API, et se termine par quelques cas d’utilisation avancés.
Exigences et restrictions requirements
Lors de la configuration de fonctionnalités de mise en réseau avancée, les restrictions suivantes s’appliquent.
-
Un programme peut fournir une option de mise en réseau avancée unique (sortie de port flexible, adresse IP de sortie dédiée ou VPN).
-
La mise en réseau avancée n’est pas disponible pour les programmes sandbox.
-
Une personne doit bénéficier du rôle Administrateur ou administratrice pour ajouter et configurer l’infrastructure réseau dans votre programme.
-
L’environnement de production doit être créé avant que l’infrastructure réseau puisse être ajoutée à votre programme.
-
Votre infrastructure réseau doit se trouver dans la même région que la région principale de votre environnement de production.
- Dans le cas où votre environnement de production possède des régions de publication supplémentaires, vous pouvez créer une infrastructure réseau supplémentaire reflétant chaque région supplémentaire.
- Vous n’aurez pas l’autorisation de créer plus d’infrastructures réseau que le nombre maximum de régions configurées dans votre environnement de production.
- Vous pouvez définir autant d’infrastructures réseau que de régions disponibles dans votre environnement de production, mais la nouvelle infrastructure doit être du même type que l’infrastructure créée précédemment.
- Lors de la création de plusieurs infrastructures, vous avez l’autorisation de choisir uniquement parmi les régions dans lesquelles aucune infrastructure réseau avancée n’a été créée.
Configurer et activer la mise en réseau avancée configuring-enabling
L’utilisation de fonctionnalités de mise en réseau avancée nécessite deux étapes :
- Configuration de l’option de mise en réseau avancée, selon la priorité d’application de la sortie de port flexible, de l’adresse IP de sortie dédiée, ou du VPN, au niveau du programme.
- Pour être utilisée, l’option de mise en réseau avancée doit alors être activée au niveau de l’environnement.
Les deux étapes peuvent être effectuées à l’aide de l’interface utilisateur de Cloud Manager ou de l’API Cloud Manager.
-
Lorsque vous utilisez l’interface utilisateur de Cloud Manager, cela signifie créer des configurations réseau avancées à l’aide d’un assistant au niveau du programme, puis modifier chaque environnement dans lequel vous souhaitez activer la configuration.
-
Quand vous utilisez l’API Cloud Manager, le point d’entrée de l’API
/networkInfrastructuresest appelé au niveau du programme pour déclarer le type souhaité de mise en réseau avancée, puis fait appel au point d’entrée/advancedNetworkingpour chaque environnement afin d’activer l’infrastructure et de configurer des paramètres spécifiques à l’environnement.
Sortie de port flexible flexible-port-egress
Cette fonctionnalité de mise en réseau avancée vous permet de configurer AEM as a Cloud Service pour récupérer le trafic par des ports autres que HTTP (port 80) et HTTPS (port 443), qui sont ouverts par défaut.
Configuration de l’interface utilisateur configuring-flexible-port-egress-provision-ui
-
Connectez-vous à Cloud Manager à l’adresse my.cloudmanager.adobe.com et sélectionnez l’organisation appropriée.
-
Sur l’écran Mes programmes, sélectionnez le programme.
-
Dans la page Vue d’ensemble du programme, accédez à l’onglet Environnements et sélectionnez Infrastructure réseau dans le panneau de gauche.
-
Dans l’assistant Ajouter une infrastructure réseau qui démarre, sélectionnez Sortie de port flexible et la région dans laquelle elle doit être créée à partir du menu déroulant Région, puis appuyez ou cliquez sur Continuer.
-
L’onglet Confirmation résume votre sélection et les étapes suivantes. Appuyez ou cliquez sur Enregistrer pour créer l’infrastructure.
Un nouvel enregistrement s’affiche sous l’en-tête Infrastructure réseau dans le panneau latéral, y compris des détails sur le type d’infrastructure, le statut, la région et les environnements sur lesquels elle a été activée.
Configuration de l’API configuring-flexible-port-egress-provision-api
Une fois par programme, le point d’entrée /program/<programId>/networkInfrastructures POST est invoqué, simplement en transmettant la valeur du flexiblePortEgress pour le paramètre kind et la région. Le point d’entrée répond avec l’network_id et d’autres informations, y compris le statut.
Une fois l’appel lancé, l’approvisionnement de l’infrastructure réseau prend généralement environ 15 minutes. Un appel au point d’entrée GET de l’infrastructure réseau de Cloud Manager doit afficher le statut prêt.
Routage du trafic flexible-port-egress-traffic-routing
Pour le trafic http ou https se rendant dans des ports autres que 80 ou 443, un proxy doit être configuré à l’aide des variables d’environnement hôte et port suivantes :
- pour HTTP :
AEM_PROXY_HOST/AEM_HTTP_PROXY_PORT(valeur par défautproxy.tunnel:3128dans les versions d’AEM < 6094) - pour HTTPS :
AEM_PROXY_HOST/AEM_HTTPS_PROXY_PORT(valeur par défautproxy.tunnel:3128dans les versions d’AEM < 6094)
Par exemple, voici un exemple de code pour envoyer une requête à www.example.com:8443 :
String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
.proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
.build();
HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());
Si vous utilisez des bibliothèques réseau Java non standard, configurez des proxys à l’aide des propriétés ci-dessus, pour tout le trafic.
Le trafic non http/s pointant vers des destinations via des ports déclarés dans le paramètre portForwards doit référencer une propriété appelée AEM_PROXY_HOST, ainsi que le port mappé. Par exemple :
DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");
Le tableau ci-dessous décrit le routage du trafic :
Trafic non standard (sur d’autres ports en dehors de 80 ou 443) via un proxy http configuré à l’aide de la variable d’environnement et du numéro de port du proxy suivant. Ne déclarez pas le port de destination dans le paramètre portForwards de l’appel API Cloud Manager :
- AEM_PROXY_HOST (par défaut « proxy.tunnel » dans les versions d’AEM < 6094)
- AEM_HTTPS_PROXY_PORT (port par défaut 3128 dans les versions d’AEM < 6094)
AEM_PROXY_HOST à l’aide d’un portOrig déclaré dans le paramètre portForwards de l’API.mysql.example.com:3306db.example.com:5555Configuration Apache/Dispatcher apache-dispatcher
La directive mod_proxy Apache au niveau du Dispatcher d’AEM Cloud Service peut être configurée à l’aide des propriétés décrites ci-dessus.
ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"
SSLProxyEngine on //needed for https backends
ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"
Adresse IP Egress dédiée dedicated-egress-ip-address
Cette adresse IP dédiée peut améliorer la sécurité lors de l’intégration aux fournisseurs SaaS (comme un fournisseur de solutions de gestion de la relation client) ou d’autres intégrations en dehors d’AEM as a Cloud Service qui offrent une liste d’adresses IP autorisées. En ajoutant l’adresse IP dédiée à la liste autorisée, elle garantit que seul le trafic provenant de votre AEM Cloud Service est autorisé à s’écouler vers le service externe. Cela s’ajoute au trafic provenant de toute autre adresse IP autorisée.
La même adresse IP dédiée est appliquée à tous les programmes dans votre organisation Adobe ainsi qu’à tous les environnements de chacun de vos programmes. Elle s’applique aux services de création et de publication.
Si la fonction d’adresse IP dédiée n’est pas activée, le trafic provenant d’AEM as a Cloud Service passe par un jeu d’adresses IP partagées avec d’autres clientes et clients.
La configuration de l’adresse IP de sortie dédiée est identique à celle d’une sortie de port flexible. La principale différence est que le trafic sortira toujours d’une adresse IP dédiée et unique après l’application de cette configuration. Pour trouver cette adresse IP, utilisez un résolveur DNS pour identifier l’adresse IP associée à p{PROGRAM_ID}.external.adobeaemcloud.com. L’adresse IP n’est pas censée changer, mais si elle le doit malgré tout, vous recevez une notification avancée.
Configuration de l’interface utilisateur configuring-dedicated-egress-provision-ui
-
Connectez-vous à Cloud Manager à l’adresse my.cloudmanager.adobe.com et sélectionnez l’organisation appropriée.
-
Sur l’écran Mes programmes, sélectionnez le programme.
-
Dans la page Vue d’ensemble du programme, accédez à l’onglet Environnements et sélectionnez Infrastructure réseau dans le panneau de gauche.
-
Dans l’assistant Ajouter une infrastructure réseau qui démarre, sélectionnez Adresse IP de sortie dédiée et la région dans laquelle elle doit être créée à partir du menu déroulant Région, puis appuyez ou cliquez sur Continuer.
-
L’onglet Confirmation résume votre sélection et les étapes suivantes. Appuyez ou cliquez sur Enregistrer pour créer l’infrastructure.
Un nouvel enregistrement s’affiche sous l’en-tête Infrastructure réseau dans le panneau latéral, y compris des détails sur le type d’infrastructure, le statut, la région et les environnements sur lesquels elle a été activée.
Configuration de l’API configuring-dedicated-egress-provision-api
Une fois par programme, le point d’entrée /program/<programId>/networkInfrastructures POST est invoqué, simplement en transmettant la valeur du dedicatedEgressIp pour le paramètre kind et la région. Le point d’entrée répond avec l’network_id et d’autres informations, y compris le statut.
Une fois l’appel lancé, l’approvisionnement de l’infrastructure réseau prend généralement environ 15 minutes. Un appel au point d’entrée GET de l’infrastructure réseau de Cloud Manager doit afficher le statut prêt.
Routage du trafic dedicated-egress-ip-traffic-routing
Le trafic HTTP ou HTTPS passe par un proxy préconfiguré, à condition qu’il utilise des propriétés système Java standard pour les configurations de proxy.
Le trafic non http/s pointant vers des destinations via des ports déclarés dans le paramètre portForwards doit référencer une propriété appelée AEM_PROXY_HOST, ainsi que le port mappé. Par exemple :
DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");
api.windows.net
nonProxyHostsnonProxyHostsAEM_PROXY_HOST à l’aide du portOrig déclaré dans le paramètre d’API portForwardsmysql.example.com:3306Utilisation de la fonctionnalité feature-usage
Cette fonctionnalité est compatible avec les bibliothèques ou le code Java qui génèrent du trafic sortant, à condition qu’ils utilisent les propriétés système Java standard pour les configurations de proxy. Dans la pratique, cela devrait inclure la plupart des bibliothèques courantes.
Voici un exemple de code :
public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
URL finalUrl = endpointUri.resolve(relativeUri).toURL();
URLConnection connection = finalUrl.openConnection();
connection.addRequestProperty("Accept", "application/json");
connection.addRequestProperty("X-API-KEY", apiKey);
try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
return new JSONObject(new JSONTokener(responseReader));
}
}
Certaines bibliothèques nécessitent une configuration explicite pour utiliser les propriétés système Java standard pour les configurations de proxy.
Exemple utilisant Apache HttpClient qui nécessite des appels explicites àHttpClientBuilder.useSystemProperties() ou l’utilisation deHttpClients.createSystem() :
public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
URL finalUrl = endpointUri.resolve(relativeUri).toURL();
HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
HttpGet request = new HttpGet(finalUrl.toURI());
request.setHeader("Accept", "application/json");
request.setHeader("X-API-KEY", apiKey);
HttpResponse response = httpClient.execute(request);
String result = EntityUtils.toString(response.getEntity());
}
Considérations relatives au débogage debugging-considerations
Pour contrôler que le trafic est effectivement sortant sur l’adresse IP dédiée attendue, vérifiez les journaux dans le service de destination, si disponible. Dans le cas contraire, il peut s’avérer utile d’appeler un service de débogage tel que https://ifconfig.me/IP, qui renverra l’adresse IP d’appel.
Réseau privé virtuel (VPN) vpn
Un VPN permet de se connecter à une infrastructure On-Premise ou à un centre de données à partir des instances de création, de publication ou d’aperçu. Cela peut être utile, par exemple, pour sécuriser l’accès à une base de données. Cela permet également de se connecter aux fournisseurs SaaS tels qu’un fournisseur de gestion de la relation client qui prend en charge les VPN ou de se connecter à l’instance de création, d’aperçu ou de publication d’AEM as a Cloud Service à partir d’un réseau d’entreprise.
La plupart des appareils VPN dotés de la technologie IPSec sont pris en charge. Consultez les informations de la colonne Instructions de configuration basées sur l’itinéraire dans cette liste d’appareils. Configurez l’appareil comme décrit dans le tableau.
- La prise en charge est limitée à une VPN unique.
- La fonctionnalité de transfert Splunk n’est pas possible via une connexion VPN.
- Les résolveurs DNS doivent être répertoriés dans l’espace Adresse de passerelle pour résoudre les noms d’hôtes privés.
Configuration de l’interface utilisateur configuring-vpn-ui
-
Connectez-vous à Cloud Manager à l’adresse my.cloudmanager.adobe.com et sélectionnez l’organisation appropriée.
-
Sur l’écran Mes programmes, sélectionnez le programme.
-
Dans la page Vue d’ensemble du programme, accédez à l’onglet Environnements et sélectionnez Infrastructure réseau dans le panneau de gauche.
-
Dans l’assistant Ajouter une infrastructure réseau qui démarre, sélectionnez Réseau privé virtuel et fournissez les informations nécessaires avant d’appuyer ou de cliquer sur Continuer.
-
Région : il s’agit de la région dans laquelle l’infrastructure doit être créée.
-
Emplacement de l’adresse - L’espace d’adresse ne peut être que d’un /26 CIDR (64 adresses IP) ou d’une plage d’adresses IP plus grande dans votre propre espace.
- Cette valeur ne peut pas être modifiée ultérieurement.
-
Informations DNS : il s’agit d’une liste de résolveurs DNS distants.
- Appuyez sur
Enteraprès avoir saisi une adresse de serveur DNS pour en ajouter une autre. - Appuyez ou cliquez sur le bouton
Xà la suite d’une adresse pour la supprimer.
- Appuyez sur
-
Clé partagée : il s’agit de votre clé prépartagée VPN.
- Sélectionnez Afficher la clé partagée pour afficher la clé afin de vérifier sa valeur.
-
-
Sur l’onglet Connexions de l’assistant, fournissez un Nom de connexion pour identifier votre connexion VPN et appuyez ou cliquez sur Ajouter une connexion.
-
Dans la boîte de dialogue Ajouter une connexion, définissez votre connexion VPN, puis appuyez ou cliquez sur Enregistrer.
-
Nom de connexion : il s’agit d’un nom explicite de votre connexion VPN, que vous avez fourni à l’étape précédente et que vous pouvez mettre à jour ici.
-
Adresse : il s’agit de l’adresse IP du périphérique VPN.
-
Emplacement de l’adresse : il s’agit des plages d’adresses IP à acheminer par le VPN.
- Appuyez sur
Enteraprès avoir saisi une plage pour en ajouter une autre. - Appuyez ou cliquez sur le bouton
Xà la suite d’une plage pour la supprimer.
- Appuyez sur
-
Politique de sécurité IP : ajustez les valeurs par défaut selon les besoins.
-
-
La boîte de dialogue se ferme et vous revenez à l’onglet Connexions de l’assistant. Cliquez ou appuyez sur Continuer.
-
L’onglet Confirmation résume votre sélection et les étapes suivantes. Appuyez ou cliquez sur Enregistrer pour créer l’infrastructure.
Un nouvel enregistrement s’affiche sous l’en-tête Infrastructure réseau dans le panneau latéral, avec des détails sur le type d’infrastructure, le statut, la région et les environnements sur lesquels il a été activé.
Configuration de l’API configuring-vpn-api
Une fois par programme, le POST /program/<programId>/networkInfrastructures Le point de terminaison est appelé, transmettant un payload d’informations de configuration, notamment : la valeur de vpn pour le kind paramètre, région, espace d’adresse (liste des CIDR - notez que cela ne peut pas être modifié plus tard), les résolveurs DNS (pour résoudre les noms dans votre réseau) et les informations de connexion VPN telles que la configuration de la passerelle, la clé VPN partagée et la politique de sécurité IP. Le point d’entrée répond avec l’network_id et d’autres informations, y compris le statut.
Une fois l’appel lancé, l’approvisionnement de l’infrastructure réseau prend généralement entre 45 et 60 minutes. La méthode GET de l’API peut être appelée pour renvoyer le statut actuel, qui finira par passer de creating à ready. Consultez la documentation de l’API pour connaître tous les statuts.
Routage du trafic vpn-traffic-routing
Le tableau ci-dessous décrit le routage du trafic.
api.windows.net
nonProxyHostsnonProxyHosts10.0.0.1:443Il peut également s’agir d’un nom d’hôte.
AEM_PROXY_HOST à l’aide d’un portOrig déclaré dans le paramètre d’API portForwards10.0.0.1:3306Il peut également s’agir d’un nom d’hôte.
AEM_PROXY_HOST à l’aide d’un portOrig déclaré dans le paramètre d’API portForwardsDomaines utiles à la configuration vpn-useful-domains-for-configuration
Le diagramme ci-dessous offre une représentation visuelle d’un ensemble de domaines et d’adresses IP associées utiles à la configuration et au développement. Le tableau sous le diagramme décrit ces domaines et adresses IP.
p{PROGRAM_ID}.external.adobeaemcloud.comp{PROGRAM_ID}.{REGION}-gateway.external.adobeaemcloud.comp{PROGRAM_ID}.{REGION}.inner.adobeaemcloud.netauthor-p{PROGRAM_ID}-e{ENVIRONMENT_ID}.adobeaemcloud.com et/ou publish-p{PROGRAM_ID}-e{ENVIRONMENT_ID}.adobeaemcloud.com à cela.Restreindre le VPN aux connexions entrantes restrict-vpn-to-ingress-connections
Si vous souhaitez n’autoriser que l’accès VPN à AEM, les listes autorisées d’environnement peuvent être configurées dans Cloud Manager, de sorte que seule l’adresse IP définie par p{PROGRAM_ID}.external.adobeaemcloud.com est autorisée à s’adresser à l’environnement. Vous pouvez le faire de la même manière que pour toute autre liste autorisée basée sur les adresses IP dans Cloud Manager.
Si les règles doivent être basées sur un chemin d’accès, utilisez des directives http standard au niveau du Dispatcher pour refuser ou autoriser certaines adresses IP. Elles doivent s’assurer que les chemins souhaités ne peuvent pas être mis en cache sur le réseau de diffusion de contenu, de sorte que la demande puisse toujours être mise en origine.
Exemple de configuration httpd httpd-example
Order deny,allow
Deny from all
Allow from 192.168.0.1
Header always set Cache-Control private
Activer les configurations de mise en réseau avancée dans les environnements enabling
Une fois que vous avez configuré une option de mise en réseau avancée pour un programme afin de l’utiliser, qu’il s'agisse de la sortie de port flexible, l’adresse IP de sortie dédiée, ou du VPN,, vous devez l’activer au niveau de l’environnement.
Lorsque vous activez une configuration de mise en réseau avancée pour un environnement, vous avez la possibilité d’activer le transfert de port facultatif et les hôtes non proxy. Les paramètres sont configurables par environnement afin d’offrir une certaine flexibilité.
-
Transfert de port : les règles de transfert de port doivent être déclarées pour les ports de destination autres que le port 80/443, mais uniquement si vous n’utilisez pas le protocole http ou https.
- Les règles de transfert de port sont définies en spécifiant l’ensemble des hôtes de destination (noms ou adresses IP et ports).
- La connexion cliente utilisant le port 80/443 via http/https doit toujours utiliser les paramètres proxy dans leur connexion pour que les propriétés de la mise en réseau avancée soient appliquées à la connexion.
- Pour chaque hôte de destination, vous devez mapper le port de destination prévu à un port entre 30 000 et 30 999.
- Les règles de transfert de port sont disponibles pour tous les types de mise en réseau avancée.
-
Hôtes non proxy : les hôtes non proxy vous permettent de déclarer un ensemble d’hôtes qui doivent passer par une plage d’adresses IP partagées plutôt que par l’adresse IP dédiée.
- Cela peut s’avérer utile, car le trafic sortant par les adresses IP partagées peut être optimisé davantage.
- Les hôtes non proxy ne sont disponibles que pour les adresses IP de sortie dédiées et les types de mise en réseau avancée de VPN.
Activer à l’aide de l’interface utilisateur enabling-ui
-
Connectez-vous à Cloud Manager à l’adresse my.cloudmanager.adobe.com et sélectionnez l’organisation appropriée.
-
Sur l’écran Mes programmes, sélectionnez le programme.
-
Dans la page Vue d’ensemble du programme, accédez à l’onglet Environnements et sélectionnez l’environnement dans lequel vous souhaitez activer la configuration de mise en réseau avancée sous l’en-tête Environnements dans le panneau de gauche. Sélectionnez ensuite le Configuration de mise en réseau avancée de l’environnement sélectionné, puis appuyez ou cliquez sur Activer l’infrastructure réseau.
-
La boîte de dialogue Configuration de la mise en réseau avancée s’ouvre.
-
Sur l’onglet Hôtes non proxy, pour les adresses IP de sortie dédiées et les VPN, vous pouvez éventuellement définir un ensemble d’hôtes, qui doivent être acheminés par une plage d’adresses IP partagées plutôt que par l’adresse IP dédiée, en fournissant le nom d’hôte dans le champ Hôte non proxy et en appuyant ou en cliquant sur Ajouter.
- L’hôte est ajouté à la liste des hôtes sur l’onglet.
- Répétez cette étape pour ajouter plusieurs hôtes.
- Appuyez ou cliquez sur le X situé à droite de la ligne pour supprimer un hôte.
- Cet onglet n’est pas disponible pour les configurations flexibles de sortie de port.
-
Sur le Port en avant , vous pouvez éventuellement définir des règles de transfert de port pour les ports de destination autres que le port 80/443 si vous n’utilisez pas le protocole HTTP ou HTTPS. Fournissez un Nom, une Origine du port, et une Destination du port et appuyez ou cliquez sur Ajouter.
- La règle est ajoutée à la liste des règles de l’onglet.
- Répétez cette étape pour ajouter plusieurs règles.
- Appuyez ou cliquez sur le X situé à droite de la ligne pour supprimer une règle.
-
Appuyez ou cliquez sur Enregistrer dans la boîte de dialogue pour appliquer la configuration à l’environnement.
La configuration de mise en réseau avancée est appliquée à l’environnement sélectionné. De retour sur l’onglet Environnements vous pouvez voir les détails de la configuration appliquée à l’environnement sélectionné et leur statut.
Activer à l’aide de l’API enabling-api
Pour activer une configuration de mise en réseau avancée pour un environnement, le point d’entrée PUT /program/<program_id>/environment/<environment_id>/advancedNetworking doit être appelé par environnement.
L’API doit répondre en quelques secondes seulement et indiquer un statut updating et, au bout d’environ 10 minutes, un appel au point d’entrée de l’environnement de Cloud Manager affiche le statut ready, indiquant que la mise à jour de l’environnement a été appliquée.
Les règles de transfert de port par environnement peuvent être mises à jour en invoquant à nouveau le point d’entrée PUT /program/{programId}/environment/{environmentId}/advancedNetworking, en veillant à inclure l’ensemble complet des paramètres de configuration, plutôt qu’un sous-ensemble.
Les types de mise en réseau avancée de VPN et les adresses IP de sortie dédiées prennent en charge un paramètre nonProxyHosts. Vous pouvez ainsi déclarer un ensemble d’hôtes qui doivent passer par une plage d’adresses IP partagées plutôt que par l’adresse IP dédiée. Les URL nonProxyHost peuvent être calquées sur example.com ou *.example.com, le caractère générique n’étant pris en charge qu’au début du domaine.
Notez que même en l’absence de règles de routage du trafic de l’environnement (hôtes ou contournements), PUT /program/<program_id>/environment/<environment_id>/advancedNetworking doit toujours être appelé mais avec une payload vide.
Modifier et supprimer des configurations de mise en réseau avancée dans des environnements editing-deleting-environments
Après l’activation d’une configuration de mise en réseau avancée pour les environnements, vous pouvez mettre à jour les détails de ces configurations ou les supprimer.
Modifier ou supprimer à l’aide de l’interface utilisateur editing-ui
-
Connectez-vous à Cloud Manager à l’adresse my.cloudmanager.adobe.com et sélectionnez l’organisation appropriée.
-
Sur l’écran Mes programmes, sélectionnez le programme.
-
Dans la page Vue d’ensemble du programme, accédez à l’onglet Environnements et sélectionnez l’environnement dans lequel vous souhaitez activer la configuration de mise en réseau avancée sous l’en-tête Environnements dans le panneau de gauche. Sélectionnez ensuite l’onglet Configuration de mise en réseau avancée de l’environnement sélectionné et appuyez ou cliquez sur le bouton représentant des points de suspension.
-
Dans le menu représentant des points de suspension, sélectionnez Modifier ou Supprimer.
- Si vous choisissez Modifier, mettez à jour les informations selon les étapes décrites dans la section précédente, Activer à l’aide de l’interface utilisateur, et appuyez ou cliquez sur Enregistrer.
- Si vous choisissez Supprimer, confirmez la suppression dans la boîte de dialogue de Suppression de la configuration réseau avec Supprimer ou abandonnez avec Annuler.
Les modifications seront répercutées sur l’onglet Environnements.
Modifier ou supprimer à l’aide de l’API editing-api
Pour désactiver la mise en réseau avancée pour un environnement en particulier, appelez DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]().
Modifier et supprimer l’infrastructure réseau d’un programme editing-deleting-program
Une fois l’infrastructure réseau créée pour un programme, seules les propriétés limitées peuvent être modifiées. Si vous n’en avez plus besoin, vous pouvez supprimer l’infrastructure de mise en réseau avancée pour l’ensemble de votre programme.
- La suppression ne supprime l’infrastructure que si les réseaux avancés de tous les environnements sont désactivés.
- Vous ne pouvez pas modifier l’infrastructure réseau si elle a le statut Création, Mise à jour, ou Suppression.
- Seul le type d’infrastructure de mise en réseau avancée de VPN peut être modifié une fois créé, et même dans ce cas, uniquement des champs limités.
- Pour des raisons de sécurité, la Clé partagée doit toujours être fournie lors de l’édition d’une infrastructure de mise en réseau avancée de VPN, même si vous ne modifiez pas la clé elle-même.
Modifier et supprimer à l’aide de l’interface utilisateur delete-ui
-
Se connecter à Cloud Manager à l’adresse my.cloudmanager.adobe.com et sélectionner l’organisation appropriée
-
Sur l’écran Mes programmes, sélectionnez le programme.
-
Dans la page Vue d’ensemble du programme, accédez à l’onglet Environnements et sélectionnez l’en-tête Infrastructure réseau dans le panneau de gauche. Ensuite, appuyez ou cliquez sur le bouton représentant des points de suspension en regard de l’infrastructure que vous souhaitez supprimer.
-
Dans le menu représentant des points de suspension, sélectionnez Modifier ou Supprimer.
-
Si vous choisissez Modifier, l’assistant Modifier l’infrastructure réseau s’ouvre. Modifiez selon les besoins en suivant les étapes décrites lors de la création de l’infrastructure.
-
Si vous choisissez Supprimer, confirmez la suppression dans la boîte de dialogue de Suppression de la configuration réseau avec Supprimer ou abandonnez avec Annuler.
Les modifications seront répercutées sur l’onglet Environnements.
Modifier et supprimer avec l’API delete-api
Pour supprimer l’infrastructure réseau d’un programme, appelez DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID}.
Modifier le type d’infrastructure de mise en réseau avancée d’un programme changing-program
Il n’est possible de configurer qu’un seul type d’infrastructure de mise en réseau avancée pour un programme à la fois, soit une sortie de port flexible, une adresse IP de sortie dédiée ou un VPN.
Si vous décidez que vous avez besoin d’un autre type d’infrastructure de mise en réseau avancée que celui que vous avez déjà configuré, vous devez supprimer le type existant et en créer un nouveau. Procédez comme suit :
- Désactivez la mise en réseau avancée dans tous les environnements.
- Supprimez l’infrastructure de mise en réseau avancée.
- Créez le type d’infrastructure de mise en réseau avancée dont vous avez besoin, au choix : sortie de port flexible, adresse IP de sortie dédiée, ou VPN.
- Réactivez la mise en réseau avancée au niveau de l’environnement.
Si l’interruption devait entraîner un impact important sur l’activité, contactez le service clientèle pour obtenir de l’aide, en décrivant ce qui a déjà été créé et la raison du changement.
Configuration de réseau avancée pour des régions de publication supplémentaires advanced-networking-configuration-for-additional-publish-regions
Lorsqu’une région supplémentaire est ajoutée à un environnement qui dispose déjà d’une mise en réseau avancée configurée, le trafic de la région de publication supplémentaire qui correspond aux règles de mise en réseau avancée traverse par défaut la région principale. Toutefois, si la région principale n’est plus disponible, le trafic de mise en réseau avancée est abandonné si la mise en réseau avancée n’a pas été activée dans la région supplémentaire. Si vous souhaitez optimiser la latence et augmenter la disponibilité en cas de panne de l’une des régions, il est nécessaire d’activer une mise en réseau avancée pour la ou les régions de publication supplémentaires. Les sections ci-après décrivent deux scénarios différents.
Adresse IP de sortie dédiée additional-publish-regions-dedicated-egress
Mise en réseau avancée déjà activée dans la région principale already-enabled
Si une configuration de mise en réseau avancée est déjà activée dans la région principale, procédez comme suit :
- Si vous avez verrouillé votre infrastructure de sorte que l’adresse IP AEM dédiée soit répertoriée, il est recommandé de désactiver temporairement toute règle de refus dans cette infrastructure. Si ce n’est pas fait, il y a une courte période pendant laquelle les demandes provenant des adresses IP de la nouvelle région sont refusées par votre propre infrastructure. Notez que cela n’est pas nécessaire si vous avez verrouillé votre infrastructure via le nom de domaine complet (
p1234.external.adobeaemcloud.com, par exemple), car toutes les régions AEM émettent un trafic de mise réseau avancée du même nom de domaine complet. - Créez l’infrastructure de mise en réseau à portée de programme pour la région secondaire par le biais d’un appel POST à l’API de création d’infrastructure réseau de Cloud Manager, comme décrit dans la documentation de mise en réseau avancée. La seule différence dans la configuration JSON du payload par rapport à la région principale est la propriété de la région
- Si votre infrastructure doit être verrouillée par IP pour autoriser le trafic AEM, ajoutez les adresses IP qui correspondent à
p1234.external.adobeaemcloud.com. Il devrait y en avoir une par région.
Mise en réseau avancée non configurée dans une région not-yet-configured
La procédure est essentiellement similaire aux instructions précédentes. Cependant, si l’environnement de production n’a pas encore été activé pour la mise en réseau avancée, vous avez la possibilité de tester la configuration en l’activant d’abord dans un environnement d’évaluation :
- Créez une infrastructure de mise en réseau pour toutes les régions à l’aide d’un appel POST à l’API de création d’infrastructure réseau de Cloud Manager. La seule différence dans la configuration JSON du payload par rapport à la région principale est la propriété de la région.
- Pour l’environnement d’évaluation, activez et configurez l’environnement mis en réseau avancé en exécutant
PUT api/program/{programId}/environment/{environmentId}/advancedNetworking. Pour plus d’informations, voir la documentation de l’API ici - Si nécessaire, verrouillez l’infrastructure externe, de préférence par le nom de domaine complet (par exemple,
p1234.external.adobeaemcloud.com). Vous pouvez également le faire par adresse IP - Si l’environnement d’évaluation fonctionne comme prévu, activez et configurez la configuration de mise en réseau avancée de l’environnement pour la production.
VPN vpn-regions
La procédure est presque identique aux instructions d’adresses IP sortantes dédiées. La seule différence est qu’en plus de la propriété de région configurée différemment de la région principale, le champ connections.gateway peut éventuellement être configuré pour l’acheminement vers un autre point d’entrée VPN exploité par votre organisation, peut-être géographiquement plus proche de la nouvelle région.