Configuración de las redes avanzadas para AEM as a Cloud Service configuring-advanced-networking

Este artículo presenta las diferentes funciones de redes avanzadas de AEM as a Cloud Service, incluido el autoservicio y el aprovisionamiento de API de VPN, puertos no estándar y direcciones IP de salida dedicadas.

Información general overview

AEM as a Cloud Service ofrece las siguientes opciones de redes avanzadas:

En este artículo se describe cada una de estas opciones en detalle y por qué podría utilizarlas, antes de describir cómo se configuran mediante la interfaz de usuario de Cloud Manager y mediante la API. El artículo concluye con algunos casos de uso avanzados.

Requisitos y limitaciones requirements

Al configurar funciones de redes avanzadas, se aplican las siguientes restricciones.

Configuración y activación de redes avanzadas configuring-enabling

El uso de funciones de redes avanzadas requiere dos pasos:

Ambos pasos se pueden realizar mediante la interfaz de usuario de Cloud Manager o la API de Cloud Manager.

Salida de puerto flexible flexible-port-egress

Esta función de redes avanzadas le permite configurar AEM as a Cloud Service para enviar tráfico a través de puertos que no sean HTTP (puerto 80) y HTTPS (puerto 443), que están abiertos de forma predeterminada.

Configuración de la IU configuring-flexible-port-egress-provision-ui

Aparece un nuevo registro debajo del encabezado Infraestructura de red en el panel lateral que incluye detalles del tipo de infraestructura, estado, región y entornos en los que se ha habilitado.

Configuración de la API configuring-flexible-port-egress-provision-api

Una vez por programa, el punto final de POST /program/<programId>/networkInfrastructures se invoca, pasando simplemente el valor de flexiblePortEgress para el parámetro kind y la región. El punto final responde con network_id, así como otra información, incluido el estado.

Una vez realizada la llamada, la infraestructura de redes tarda aproximadamente 15 minutos en aprovisionarse. Una llamada al punto final GET de infraestructura de red de Cloud Manager mostraría el estado de listo.

Enrutamiento del tráfico flexible-port-egress-traffic-routing

Para el tráfico HTTP o HTTPS que va a puertos que no sean 80 o 443, un proxy debe configurarse mediante las siguientes variables de entorno de host y puerto:

Por ejemplo, este es un ejemplo de código para enviar una solicitud a www.example.com:8443:

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Si utiliza bibliotecas de red Java™ no estándar, configure los proxies mediante las propiedades anteriores para todo el tráfico.

El tráfico no HTTP/S con destinos a través de puertos declarados en el parámetro portForwards debe hacer referencia a una propiedad denominada AEM_PROXY_HOST, junto con el puerto asignado. Por ejemplo:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

La siguiente tabla describe el enrutamiento de tráfico:

Configuración de Apache/Dispatcher apache-dispatcher

La directiva del nivel de AEM Cloud Service Apache/Dispatcher mod_proxy puede configurarse con las propiedades descritas anteriormente.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

Dirección IP de salida dedicada dedicated-egress-ip-address

Una dirección IP dedicada puede mejorar la seguridad al integrarse con proveedores de SaaS (como un proveedor CRM) u otras integraciones fuera de AEM as a Cloud Service que ofrecen una lista de permitidos de direcciones IP. Al añadir la dirección IP dedicada a la lista de permitidos, se garantiza que solo el tráfico de AEM Cloud Service pueda fluir al servicio externo. Esto se suma al tráfico de cualquier otra IP permitida.

La misma IP dedicada se aplica a todos los entornos de un programa y se aplica tanto a los servicios de Autor como de Publicación.

Sin la función de dirección IP dedicada y habilitada, el tráfico proveniente de AEM as a Cloud Service fluye a través de un conjunto de IP compartidas con otros clientes de AEM as a Cloud Service.

La configuración de la dirección IP de salida dedicada es idéntica a la salida de puerto flexible. La principal diferencia es que después de la configuración, el tráfico siempre saldrá desde una IP única y dedicada. Para encontrar esa IP, utilice una resolución DNS para identificar la dirección IP asociada a p{PROGRAM_ID}.external.adobeaemcloud.com. No se espera que la dirección IP cambie, pero si necesita cambiarla en el futuro, se proporciona una notificación avanzada.

Configuración de la IU configuring-dedicated-egress-provision-ui

Aparece un nuevo registro debajo del encabezado Infraestructura de red en el panel lateral que incluye detalles del tipo de infraestructura, estado, región y entornos en los que se ha habilitado.

Configuración de la API configuring-dedicated-egress-provision-api

Una vez por programa, el punto final de POST /program/<programId>/networkInfrastructures se invoca, pasando simplemente el valor de dedicatedEgressIp para el parámetro kind y la región. El punto final responde con network_id, así como otra información, incluido el estado.

Una vez realizada la llamada, la infraestructura de redes tarda aproximadamente 15 minutos en aprovisionarse. Una llamada al punto final GET de infraestructura de red de Cloud Manager mostraría el estado de listo.

Enrutamiento del tráfico dedicated-egress-ip-traffic-routing

El tráfico HTTP o HTTPS pasa a través de un proxy preconfigurado, siempre que utilicen las propiedades estándar del sistema Java™ para las configuraciones de proxy.

El tráfico no HTTP/S con destinos a través de puertos declarados en el parámetro portForwards debe hacer referencia a una propiedad denominada AEM_PROXY_HOST, junto con el puerto asignado. Por ejemplo:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Uso de las funciones feature-usage

La función es compatible con el código Java™ o bibliotecas que den lugar a tráfico saliente, siempre que utilicen las propiedades estándar del sistema Java™ para configuraciones de proxy. En la práctica, esto debería incluir las bibliotecas más comunes.

A continuación se muestra un ejemplo de código:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Algunas bibliotecas requieren una configuración explícita para utilizar las propiedades estándar del sistema Java™ en las configuraciones de proxy.

Ejemplo que utiliza Apache HttpClient, que requiere llamadas explícitas a
HttpClientBuilder.useSystemProperties() o usar
HttpClients.createSystem():

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Consideraciones sobre la depuración debugging-considerations

Para validar que el tráfico realmente salga por la dirección IP dedicada esperada, compruebe los registros en el servicio de destino, si está disponible. De lo contrario, puede que sea útil utilizar un servicio de depuración como https://ifconfig.me/ip, que devuelve la dirección IP que realiza la llamada.

Red privada virtual (VPN) vpn

Una VPN permite conectarse a una infraestructura local o a un centro de datos desde las instancias de autor, publicación o vista previa. Esto puede resultar útil, por ejemplo, para proteger el acceso a una base de datos. También permite conectarse a proveedores de SaaS, como un proveedor CRM que admite VPN.

La mayoría de los dispositivos VPN con tecnología IPSec son compatibles. Consulte la información en la columna Instrucciones de configuración de RouteBased en esta lista de dispositivos.Configure el dispositivo como se describe en la tabla.

Configuración de la IU configuring-vpn-ui

Aparece un nuevo registro debajo del encabezado Infraestructura de red en el panel lateral que incluye detalles del tipo de infraestructura, estado, región y entornos en los que se ha habilitado.

Configuración de la API configuring-vpn-api

Una vez por programa, se invoca el punto final /program/<programId>/networkInfrastructures de POST. Pasa una carga útil de información de configuración. Esa información incluye el valor de VPN para el parámetro kind, región, espacio de direcciones (lista de CIDR; tenga en cuenta que esto no se puede modificar más adelante), solucionadores DNS (para resolver nombres en la red). También incluye información de conexión VPN, como la configuración de la puerta de enlace, la clave VPN compartida y la directiva de seguridad IP. El punto final responde con network_id, así como otra información, incluido el estado.

Una vez realizada la llamada, la infraestructura de red tarda aproximadamente entre 45 y 60 minutos en aprovisionarse. Se puede llamar al método GET de la API para devolver el estado, que finalmente pasa de creating a ready. Consulte la documentación de la API para todos los estados.

Enrutamiento del tráfico vpn-traffic-routing

La siguiente tabla describe el enrutamiento de tráfico.

Dominios útiles para la configuración vpn-useful-domains-for-configuration

El diagrama siguiente proporciona una representación visual de un conjunto de dominios e IP asociadas que son útiles para la configuración y el desarrollo. La tabla siguiente debajo del diagrama describe esos dominios y direcciones IP.

Habilitación de configuraciones de redes avanzadas en entornos enabling

Cuando tenga configurada una opción de redes avanzadas para un programa, ya sea una salida de puerto flexible, dirección IP de salida dedicada o VPN, para utilizarla, debe habilitarla en el nivel de entorno.

Cuando habilita una configuración de red avanzada para un entorno, también puede habilitar el reenvío de puertos opcional y los hosts no proxy. Los parámetros se pueden configurar por entorno para ofrecer flexibilidad.

Habilitación del uso de la IU enabling-ui

La configuración de redes avanzadas se aplica al entorno seleccionado. De nuevo en la pestaña Entornos, puede ver los detalles de la configuración aplicada al entorno seleccionado y su estado.

Habilitación del uso de la API enabling-api

Para habilitar una configuración de redes avanzadas para un entorno, el punto final PUT /program/<program_id>/environment/<environment_id>/advancedNetworking debe invocarse por entorno.

La API debe responder en solo unos segundos e indicar un estado de updating. Transcurridos unos 10 minutos, una llamada al punto final GET del entorno de Cloud Manager muestra un estado de ready, lo que indica que se ha aplicado la actualización al entorno.

Las reglas de reenvío de puertos por entorno se pueden actualizar invocando de nuevo el punto final final PUT /program/{programId}/environment/{environmentId}/advancedNetworking e incluyendo el conjunto completo de parámetros de configuración en lugar de un subconjunto.

Los tipos de redes avanzada VPN y direcciones IP de salida dedicadas admiten un parámetro nonProxyHosts. Esto permite declarar un conjunto de hosts que deben direccionarse a través de un intervalo de direcciones IP compartidas en lugar de la IP dedicada. Las direcciones URL nonProxyHost pueden seguir los patrones de example.com o *.example.com, donde el comodín solo se admite al inicio del dominio.

Aunque no haya reglas de enrutamiento del tráfico del entorno (hosts u omisiones), debe seguir llamándose a PUT /program/<program_id>/environment/<environment_id>/advancedNetworking, solo con una carga útil vacía.

Edición y eliminación de configuraciones de redes avanzadas en entornos editing-deleting-environments

Después de habilitar las configuraciones de redes avanzadas en entornos, puede actualizar los detalles de esas configuraciones o eliminarlas.

Edición o eliminación mediante la IU editing-ui

Los cambios se reflejan en la pestaña Entornos.

Edición o eliminación mediante la API editing-api

Para desactivar la red avanzada para un entorno en particular, invoque DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]().

Edición y eliminación de la infraestructura de red de un programa editing-deleting-program

Una vez creada la infraestructura de red para un programa, solo se pueden editar las propiedades limitadas. Si ya no lo necesita, puede eliminar la infraestructura de redes avanzadas de todo el programa.

Edición y eliminación con la IU delete-ui

Los cambios se reflejan en la pestaña Entornos.

Edición y eliminación con la API delete-api

Hasta eliminar la infraestructura de red de un programa, invocar DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID}.

Cambio del tipo de infraestructura de redes avanzadas de un programa changing-program

Solo es posible tener un tipo de infraestructura de redes avanzadas configurada para un programa a la vez, ya sea salida de puerto flexible, dirección IP de salida dedicada o VPN.

Si decide que necesita otro tipo de infraestructura de redes avanzadas distinto del que ya ha configurado, debe eliminar el existente y crear uno nuevo. Haga lo siguiente:

Configuración de redes avanzadas para otras regiones de publicación advanced-networking-configuration-for-additional-publish-regions

Cuando se añade una región adicional a un entorno que ya tiene configuradas las redes avanzadas, el tráfico de la región de publicación adicional que coincida con las reglas de redes avanzadas se enruta de forma predeterminada a través de la región principal. Sin embargo, si la región principal deja de estar disponible, el tráfico de redes avanzadas se elimina si no se han habilitado las redes avanzadas en la región adicional. Si quiere optimizar la latencia y aumentar la disponibilidad en caso de que una de las regiones sufra una interrupción, es necesario habilitar las redes avanzadas de las regiones de publicación adicionales. En las siguientes secciones se describen dos escenarios diferentes.

Dirección IP de salida dedicada additional-publish-regions-dedicated-egress

Las redes avanzadas ya están habilitadas en la región principal already-enabled

Si ya se ha habilitado una configuración de redes avanzadas en la región principal, siga estos pasos:

Las redes avanzadas aún no están configuradas en ninguna región not-yet-configured

El procedimiento es muy similar al de las instrucciones anteriores. Sin embargo, si el entorno de producción aún no se ha habilitado para las redes avanzadas, existe la oportunidad de probar la configuración habilitándola primero en un entorno de ensayo:

VPN vpn-regions

El procedimiento es casi idéntico al de las instrucciones de direcciones IP de salida dedicadas. La única diferencia es que, además de que la propiedad de la región se configura de forma diferente a la región principal, el campo connections.gateway se puede configurar de forma opcional. La configuración puede enrutarse a un punto final VPN diferente operado por su organización, geográficamente más cerca de la nueva región.

Resolución de problemas

Tenga en cuenta que los siguientes puntos se proporcionan como directrices informativas y abarcan prácticas recomendadas para la resolución de problemas. El objetivo de estas recomendaciones es ayudar a diagnosticar y resolver los problemas de forma eficaz.

Agrupación de conexiones connection-pooling-advanced-networking

La agrupación de conexiones es una técnica adaptada para crear y mantener un repositorio de conexiones, que están listas para su uso inmediato por cualquier hilo que las requiera. Se pueden encontrar numerosas técnicas de agrupación de conexiones en varias plataformas y recursos en línea, cada una con sus propias ventajas y consideraciones. Recomendamos a nuestros clientes que investiguen estas metodologías para identificar la más compatible con la arquitectura de sus sistemas.

La implementación de una estrategia adecuada de agrupación de conexiones es una medida proactiva para corregir una supervisión común en la configuración del sistema, que a menudo conduce a un rendimiento subóptimo. Al establecer correctamente un grupo de conexiones, Adobe Experience Manager (AEM) puede mejorar la eficacia de las llamadas externas. Esto no solo reduce el consumo de recursos, sino que también mitiga el riesgo de interrupciones en el servicio y disminuye la probabilidad de se produzcan errores en las solicitudes al comunicarse con servidores de flujo ascendente.

A la luz de esta información, Adobe recomienda revaluar la configuración actual de AEM y considerar la incorporación deliberada de la agrupación de conexiones junto con la configuración de redes avanzadas. Al administrar el número de conexiones paralelas y minimizar la posibilidad de conexiones obsoletas, estas medidas reducen el riesgo de que los servidores proxy alcancen sus límites de conexión. Por lo tanto, esta implementación estratégica está diseñada para reducir la probabilidad de que las solicitudes no lleguen a los puntos finales externos.

Preguntas frecuentes sobre límites de conexión

Cuando se utiliza la red avanzada, el número de conexiones es limitado, esto garantiza la estabilidad entre los distintos entornos y evita que los entornos más bajos agoten las conexiones disponibles.

Las conexiones tienen un límite de 1000 por instancia de AEM y las alertas se envían a los clientes cuando el número alcanza los 750.

¿Se aplica el límite de conexiones solamente al tráfico saliente desde puertos no estándar o a todo el tráfico saliente?

El límite solo es para conexiones que utilizan redes avanzadas (salida en puertos no estándar, con IP de salida dedicada o VPN).

No vemos una diferencia significativa en el número de conexiones salientes. ¿Por qué recibimos la notificación ahora?

Si el cliente crea conexiones dinámicamente (por ejemplo, una o más para cada solicitud), un aumento en el tráfico puede provocar que las conexiones se disparen.

¿Es posible que hayamos experimentado una situación similar en el pasado sin haber recibido alertas?

Las alertas solo se envían cuando se alcanza el límite inferior.

¿Qué sucede si se alcanza el límite máximo?

Cuando se alcanza el límite máximo, las solicitudes de nuevas conexiones de salida desde AEM a través de la red avanzada (salida en puertos no estándar, mediante IP de salida dedicada o VPN) se rechazarán para proteger contra los ataques DoS.

¿Se puede aumentar el límite?

No, tener un gran número de conexiones puede afectar negativamente y mucho al rendimiento y denegaciones de servicio en todos los pods y entornos.

¿El sistema AEM cierra automáticamente las conexiones después de un determinado período de tiempo?

Sí, las conexiones se cierran en el nivel de JVM y en diferentes puntos de la infraestructura de red. Sin embargo, será demasiado tarde para cualquier servicio de producción. Las conexiones deben cerrarse explícitamente cuando ya no sean necesarias o devolverse al grupo cuando se use la agrupación de conexiones. De lo contrario, el consumo de recursos será demasiado alto y puede provocar el agotamiento de los recursos.

Si se alcanza el límite máximo de conexiones, ¿afecta esto a las licencias y conlleva costes adicionales?

No, no hay ninguna licencia ni costes asociados a este límite. Es un límite técnico.

¿Cómo estamos de cerca del límite? ¿Cuál es el límite máximo?

La alerta se activa cuando las conexiones superan las 750. El límite máximo es de 1000 conexiones por instancia de AEM.

¿Se aplica este límite a las VPN?

Sí, el límite se aplica a las conexiones que usan redes avanzadas, incluidas las VPN.

Si utilizamos una IP de salida dedicada, ¿se sigue aplicando este límite?

Sí, el límite sigue siendo aplicable si se utiliza una IP de salida dedicada.