Configurer la mise en réseau avancée pour AEM as a Cloud Service configuring-advanced-networking

Cet article vise à vous présenter les différentes fonctionnalités de mise en réseau avancée d’AEM as a Cloud Service, y compris la mise en œuvre en libre-service et l’approvisionnement d’API de VPN, de ports non standard et d’adresses IP de sortie dédiées.

Vue d’ensemble overview

AEM as a Cloud Service propose les options de mise en réseau avancée suivantes :

Cet article décrit en détail chacune de ces options et les raisons pour lesquelles vous pouvez les utiliser, avant de décrire comment elles sont configurées à l’aide de l’interface utilisateur de Cloud Manager et de l’API. L’article se termine par quelques cas d’utilisation avancés.

Exigences et restrictions requirements

Lors de la configuration de fonctionnalités de mise en réseau avancée, les restrictions suivantes s’appliquent.

Configurer et activer la mise en réseau avancée configuring-enabling

L’utilisation de fonctionnalités de mise en réseau avancée nécessite deux étapes :

Les deux étapes peuvent être effectuées à l’aide de l’interface utilisateur de Cloud Manager ou de l’API Cloud Manager.

Sortie de port flexible flexible-port-egress

Cette fonctionnalité de mise en réseau avancée vous permet de configurer AEM as a Cloud Service pour récupérer le trafic par des ports autres que HTTP (port 80) et HTTPS (port 443), qui sont ouverts par défaut.

Configuration de l’interface utilisateur configuring-flexible-port-egress-provision-ui

Un nouvel enregistrement s’affiche sous l’en-tête Infrastructure réseau dans le panneau latéral, y compris des détails sur le type d’infrastructure, le statut, la région et les environnements sur lesquels elle a été activée.

Configuration de l’API configuring-flexible-port-egress-provision-api

Une fois par programme, le point d’entrée /program/<programId>/networkInfrastructures POST est invoqué, simplement en transmettant la valeur du flexiblePortEgress pour le paramètre kind et la région. Le point d’entrée répond avec l’network_id et d’autres informations, y compris le statut.

Une fois l’appel lancé, l’approvisionnement de l’infrastructure réseau prend généralement environ 15 minutes. Un appel au point d’entrée GET de l’infrastructure réseau de Cloud Manager doit afficher le statut prêt.

Routage du trafic flexible-port-egress-traffic-routing

Pour le trafic http ou https se rendant dans des ports autres que 80 ou 443, un proxy doit être configuré à l’aide des variables d’environnement hôte et port suivantes :

Par exemple, voici un exemple de code pour envoyer une requête à www.example.com:8443 :

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Si vous utilisez des bibliothèques réseau Java™ non standard, configurez des proxys à l’aide des propriétés ci-dessus, pour tout le trafic.

Le trafic non http/s pointant vers des destinations via des ports déclarés dans le paramètre portForwards doit référencer une propriété appelée AEM_PROXY_HOST, ainsi que le port mappé. Par exemple :

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Le tableau ci-dessous décrit le routage du trafic :

Configuration Apache/Dispatcher apache-dispatcher

La directive mod_proxy Apache au niveau du Dispatcher d’AEM Cloud Service peut être configurée à l’aide des propriétés décrites ci-dessus.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

Adresse IP Egress dédiée dedicated-egress-ip-address

Cette adresse IP dédiée peut améliorer la sécurité lors de l’intégration aux fournisseurs SaaS (comme un fournisseur de solutions de gestion de la relation client) ou d’autres intégrations en dehors d’AEM as a Cloud Service qui offrent une liste d’adresses IP autorisées. L’ajout de l’adresse IP dédiée à la liste autorisée garantit que seul le trafic provenant de votre instance AEM Cloud Service est autorisé à circuler dans le service externe. Cela s’ajoute au trafic provenant de toute autre adresse IP autorisée.

La même adresse IP dédiée est appliquée à tous les environnements d’un programme et s’applique aux services de création et de publication.

Si la fonction d’adresse IP dédiée n’est pas activée, le trafic provenant d’AEM as a Cloud Service passe par un jeu d’adresses IP partagées avec d’autres clientes et clients d’AEM as a Cloud Service.

La configuration de l’adresse IP de sortie dédiée est identique à celle d’une sortie de port flexible. La principale différence est que le trafic sortira toujours d’une adresse IP dédiée et unique après l’application de cette configuration. Pour trouver cette adresse IP, utilisez un résolveur DNS pour identifier l’adresse IP associée à p{PROGRAM_ID}.external.adobeaemcloud.com. L’adresse IP n’est pas censée changer, mais si elle le doit malgré tout, vous recevez une notification avancée.

Configuration de l’interface utilisateur configuring-dedicated-egress-provision-ui

Un nouvel enregistrement s’affiche sous l’en-tête Infrastructure réseau dans le panneau latéral, y compris des détails sur le type d’infrastructure, le statut, la région et les environnements sur lesquels elle a été activée.

Configuration de l’API configuring-dedicated-egress-provision-api

Une fois par programme, le point d’entrée /program/<programId>/networkInfrastructures POST est invoqué, simplement en transmettant la valeur du dedicatedEgressIp pour le paramètre kind et la région. Le point d’entrée répond avec l’network_id et d’autres informations, y compris le statut.

Une fois l’appel lancé, l’approvisionnement de l’infrastructure réseau prend généralement environ 15 minutes. Un appel au point d’entrée GET de l’infrastructure réseau de Cloud Manager doit afficher le statut prêt.

Routage du trafic dedicated-egress-ip-traffic-routing

Le trafic HTTP ou HTTPS passe par un proxy préconfiguré, à condition qu’il utilise des propriétés système Java™ standard pour les configurations de proxy.

Le trafic non http/s pointant vers des destinations via des ports déclarés dans le paramètre portForwards doit référencer une propriété appelée AEM_PROXY_HOST, ainsi que le port mappé. Par exemple :

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Utilisation de la fonctionnalité feature-usage

Cette fonctionnalité est compatible avec les bibliothèques ou le code Java™ générant du trafic sortant, à condition que les propriétés système Java™ standard soient utilisées pour les configurations de proxy. Dans la pratique, cela devrait inclure la plupart des bibliothèques courantes.

Voici un exemple de code :

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Certaines bibliothèques nécessitent une configuration explicite pour utiliser les propriétés système Java™ standard pour les configurations de proxy.

Exemple utilisant Apache HttpClient qui nécessite des appels explicites à HttpClientBuilder.useSystemProperties() ou l’utilisation de HttpClients.createSystem() :

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Considérations relatives au débogage debugging-considerations

Pour contrôler que le trafic est effectivement sortant sur l’adresse IP dédiée attendue, vérifiez les journaux dans le service de destination, si disponible. Dans le cas contraire, il peut s’avérer utile d’appeler un service de débogage tel que http://ifconfig.me/ip, qui renverra l’adresse IP d’appel.

Réseau privé virtuel (VPN) vpn

Un VPN permet de se connecter à une infrastructure On-Premise ou à un centre de données à partir des instances de création, de publication ou d’aperçu. Cela peut être utile, par exemple, pour sécuriser l’accès à une base de données. Il permet également de se connecter à des fournisseurs SaaS tels qu’un fournisseur CRM qui prend en charge le VPN.

La plupart des appareils VPN dotés de la technologie IPSec sont pris en charge. Consultez les informations de la colonne Instructions de configuration basées sur l’itinéraire dans cette liste d’appareils. Configurez l’appareil comme décrit dans le tableau.

Configuration de l’interface utilisateur configuring-vpn-ui

Un nouvel enregistrement s’affiche sous l’en-tête Infrastructure réseau dans le panneau latéral, avec des détails sur le type d’infrastructure, le statut, la région et les environnements sur lesquels il a été activé.

Configuration de l’API configuring-vpn-api

Une fois par programme, le point d’entrée POST /program/<programId>/networkInfrastructures est appelé. Il transmet une payload d’informations de configuration. Ces informations incluent la valeur vpn pour le paramètre kind, la région, l’espace d’adresses (liste des CIDR ; notez que cela ne peut pas être modifié ultérieurement), les résolveurs DNS (pour résoudre les noms dans votre réseau). Cela inclut également des informations de connexion VPN telles que la configuration de la passerelle, la clé VPN partagée et la politique de sécurité IP. Le point d’entrée répond avec l’network_id et d’autres informations, y compris le statut.

Une fois l’appel lancé, l’approvisionnement de l’infrastructure réseau prend généralement de 45 à 60 minutes. La méthode GET de l’API peut être appelée pour renvoyer le statut qui passe en fin de compte de creating à ready. Consultez la documentation de l’API pour connaître tous les statuts.

Routage du trafic vpn-traffic-routing

Le tableau ci-dessous décrit le routage du trafic.

Domaines utiles à la configuration vpn-useful-domains-for-configuration

Le diagramme ci-dessous offre une représentation visuelle d’un ensemble de domaines et d’adresses IP associées utiles à la configuration et au développement. Le tableau sous le diagramme décrit ces domaines et adresses IP.

Activation des configurations de mise en réseau avancée dans les environnements enabling

Une fois que vous avez configuré une option de mise en réseau avancée pour un programme afin de l’utiliser, qu’il s’agisse de la sortie de port flexible, de l’adresse IP de sortie dédiée ou du VPN, vous devez l’activer au niveau de l’environnement.

Lorsque vous activez une configuration de mise en réseau avancée pour un environnement, vous pouvez également activer le transfert de port facultatif et les hôtes non proxy. Les paramètres sont configurables par environnement afin d’offrir une certaine flexibilité.

Activer à l’aide de l’interface utilisateur enabling-ui

La configuration de mise en réseau avancée est appliquée à l’environnement sélectionné. De retour sur l’onglet Environnements vous pouvez voir les détails de la configuration appliquée à l’environnement sélectionné et leur statut.

Activer à l’aide de l’API enabling-api

Pour activer une configuration de mise en réseau avancée pour un environnement, le point d’entrée PUT /program/<program_id>/environment/<environment_id>/advancedNetworking doit être appelé par environnement.

L’API doit répondre en quelques secondes seulement et indiquer le statut updating. Au bout de 10 minutes environ, un appel au point d’entrée GET de l’environnement de Cloud Manager affiche le statut ready, indiquant que la mise à jour de l’environnement est appliquée.

Les règles de transfert de port par environnement peuvent être mises à jour en invoquant à nouveau le point d’entrée PUT /program/{programId}/environment/{environmentId}/advancedNetworking, en veillant à inclure l’ensemble complet des paramètres de configuration, plutôt qu’un sous-ensemble.

Les types de mise en réseau avancée de VPN et les adresses IP de sortie dédiées prennent en charge un paramètre nonProxyHosts. Vous pouvez ainsi déclarer un ensemble d’hôtes qui doivent passer par une plage d’adresses IP partagées plutôt que par l’adresse IP dédiée. Les URL nonProxyHost peuvent être calquées sur example.com ou *.example.com, le caractère générique n’étant pris en charge qu’au début du domaine.

Notez que même en l’absence de règles de routage du trafic de l’environnement (hôtes ou contournements), PUT /program/<program_id>/environment/<environment_id>/advancedNetworking doit toujours être appelé mais avec une payload vide.

Modifier et supprimer des configurations de mise en réseau avancée dans des environnements editing-deleting-environments

Après l’activation de configurations de mise en réseau avancée pour les environnements, vous pouvez mettre à jour les détails de ces configurations ou les supprimer.

Modifier ou supprimer à l’aide de l’interface utilisateur editing-ui

Les modifications sont répercutées sur l’onglet Environnements.

Modifier ou supprimer à l’aide de l’API editing-api

Pour désactiver la mise en réseau avancée pour un environnement en particulier, appelez DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]().

Modifier et supprimer l’infrastructure réseau d’un programme editing-deleting-program

Une fois l’infrastructure réseau créée pour un programme, seules les propriétés limitées peuvent être modifiées. Si vous n’en avez plus besoin, vous pouvez supprimer l’infrastructure de mise en réseau avancée pour l’ensemble de votre programme.

Modifier et supprimer à l’aide de l’interface utilisateur delete-ui

Les modifications sont répercutées sur l’onglet Environnements.

Modifier et supprimer avec l’API delete-api

Pour supprimer l’infrastructure réseau d’un programme, appelez DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID}.

Modifier le type d’infrastructure de mise en réseau avancée d’un programme changing-program

Il n’est possible de configurer qu’un seul type d’infrastructure de mise en réseau avancée pour un programme à la fois. L’infrastructure de mise en réseau avancée doit être une sortie de port flexible, une adresse IP de sortie dédiée ou un VPN.

Si vous décidez que vous avez besoin d’un autre type d’infrastructure de mise en réseau avancée que celui que vous avez déjà configuré, supprimez le type existant et créez-en un nouveau. Procédez comme suit :

Configuration de mise en réseau avancée pour d’autres régions de publication advanced-networking-configuration-for-additional-publish-regions

Lorsqu’une région supplémentaire est ajoutée à un environnement qui dispose déjà d’une mise en réseau avancée configurée, le trafic de la région de publication supplémentaire qui correspond aux règles de mise en réseau avancée traverse la région principale par défaut. Toutefois, si la région principale n’est plus disponible, le trafic de mise en réseau avancée est abandonné si la mise en réseau avancée n’a pas été activée dans la région supplémentaire. Si vous souhaitez optimiser la latence et augmenter la disponibilité en cas de panne de l’une des régions, il est nécessaire d’activer une mise en réseau avancée pour les régions de publication supplémentaires. Les sections ci-après décrivent deux scénarios différents.

Adresse IP de sortie dédiée additional-publish-regions-dedicated-egress

Mise en réseau avancée déjà activée dans la région principale already-enabled

Si une configuration de mise en réseau avancée est déjà activée dans la région principale, procédez comme suit :

Mise en réseau avancée non configurée dans une région not-yet-configured

La procédure est essentiellement similaire aux instructions précédentes. Cependant, si l’environnement de production n’a pas encore été activé pour la mise en réseau avancée, vous avez la possibilité de tester la configuration en l’activant d’abord dans un environnement d’évaluation :

VPN vpn-regions

La procédure est presque identique aux instructions d’adresses IP sortantes dédiées. La seule différence est, qu’en plus de la propriété de région configurée différemment de la région principale, le champ connections.gateway peut éventuellement être configuré. La configuration peut acheminer vers un autre point d’entrée VPN opéré par votre entreprise, plus proche géographiquement de la nouvelle région.

Résolution des problèmes

Veuillez noter que les points suivants sont fournis à titre informatif et qu’ils incluent les bonnes pratiques de résolution des problèmes. Ces recommandations visent à aider à diagnostiquer et à résoudre efficacement les problèmes.

Mise en pool de connexions connection-pooling-advanced-networking

La mise en pool de connexions est une technique personnalisée visant à créer et à maintenir un référentiel de connexions pouvant immédiatement servir à n’importe quel thread qui en a besoin. De nombreuses techniques de mise en pool de connexions sont disponibles sur différentes plateformes et ressources en ligne, chacune ayant ses mérites et ses considérations uniques. Nous encourageons notre clientèle à étudier ces méthodologies, afin d’identifier celle qui est le plus compatible avec l’architecture de ses système.

La mise en œuvre d’une stratégie de mise en pool de connexions appropriée est une mesure proactive visant à corriger une supervision commune dans la configuration du système, ce qui entraîne souvent des performances sous-optimales. En établissant correctement un pool de connexions, Adobe Experience Manager (AEM) peut améliorer l’efficacité des appels externes. Cela permet non seulement de réduire la consommation des ressources, mais aussi d’atténuer le risque de perturbations du service et de réduire la probabilité de rencontrer des demandes en échec lors de la communication avec les serveurs en amont.

À la lumière de ces informations, Adobe vous conseille de réévaluer votre configuration d’AEM actuelle et d’envisager l’incorporation délibérée de la mise en pool de connexions conjointement avec les paramètres de mise en réseau avancée. En gérant le nombre de connexions parallèles et en réduisant au minimum la possibilité de connexions obsolètes, ces mesures permettent de réduire le risque que les serveurs proxy atteignent leurs limites de connexions. Cette mise en œuvre stratégique a donc pour but de réduire la probabilité que les demandes ne parviennent pas à des points d’entrée externes.

Questions fréquentes sur les limites de connexion

Lors de l’utilisation de la mise en réseau avancée, le nombre de connexions est limité afin d’assurer la stabilité entre les environnements et d’empêcher que les environnements inférieurs n’épuisent les connexions disponibles.

Les connexions sont limitées à 1 000 par instance AEM et des alertes sont envoyées aux clientes et clients lorsque le nombre atteint 750.

La limite de connexion est-elle appliquée uniquement au trafic sortant des ports non standard ou à tout le trafic sortant ?

Cette limite s’applique uniquement aux connexions utilisant la mise en réseau avancée (sortie sur des ports non standard, à l’aide d’une adresse IP de sortie dédiée ou d’un VPN).

Nous ne voyons pas de différence significative dans le nombre de connexions sortantes. Pourquoi recevons-nous la notification maintenant ?

Si le client ou la cliente crée des connexions de manière dynamique (par exemple, une ou plusieurs connexions pour chaque demande), une augmentation du trafic peut entraîner un pic de connexions.

Est-il possible que nous ayons connu une situation similaire dans le passé sans avoir reçu d’alertes ?

Les alertes ne sont envoyées que lorsque la limite basse est atteinte.

Que se passe-t-il si la limite maximale est atteinte ?

Lorsque la limite maximale est atteinte, les nouvelles connexions de sortie d’AEM par le biais d’une mise en réseau avancée (sortie sur des ports non standard, à l’aide d’une IP de sortie dédiée ou d’un VPN) seront abandonnées pour se protéger contre une attaque DoS.

La limite peut-elle être augmentée ?

Non, un grand nombre de connexions peut avoir un impact significatif sur les performances et provoquer un DoS dans les capsules et les environnements.

Les connexions sont-elles automatiquement fermées par le système AEM après un certain temps ?

Oui, les connexions sont fermées au niveau JVM et à différents points de l’infrastructure réseau. Cependant, cela sera trop tard pour tout service de production. Les connexions doivent être explicitement fermées lorsqu’elles ne sont plus nécessaires ou renvoyées au pool lors de l’utilisation du pool de connexions. Sinon, la consommation des ressources sera trop élevée et peut entraîner un épuisement des ressources.

Si la limite de connexion maximale est atteinte, cela affecte-t-il les licences et entraîne-t-il des coûts supplémentaires ?

Non, cette limite n’est associée à aucune licence ni aucun coût. Il s’agit d’une limite technique.

Comment savoir si nous nous approchons de la limite ? Quelle est la limite maximale ?

L’alerte est déclenchée lorsque le nombre de connexions dépasse 750. La limite maximale est de 1 000 connexions par instance AEM.

Cette limite s’applique-t-elle aux VPN ?

Oui, la limite s’applique aux connexions utilisant la mise en réseau avancée, y compris les VPN.

Si nous utilisons une adresse IP de sortie dédiée, cette limite sera-t-elle toujours applicable ?

Oui, la limite est toujours applicable si vous utilisez une adresse IP de sortie dédiée.