Documentazione AEM as a Cloud Service Guida utente

Configurare reti avanzate per AEM as a Cloud Service

Ultimo aggiornamento: 26 marzo 2025

Argomenti:

Creato per:

Amministratore

Questo articolo introduce le funzioni di rete avanzate disponibili in AEM as a Cloud Service. Queste funzioni includono il provisioning self-service e API di VPN, porte non standard e indirizzi IP in uscita dedicati.

Oltre a questa documentazione, è disponibile una serie di tutorial progettati per guidarti attraverso ciascuna delle opzioni di rete avanzate. Vedi Rete avanzata.

IMPORTANT

Puoi configurare la rete avanzata in AEM as a Cloud Service tramite l’interfaccia utente di Cloud Manager o utilizzando l’API di Cloud Manager (ad esempio, cURL).

Questo articolo si concentra sull’utilizzo del metodo dell’interfaccia utente. Se preferisci automatizzare la configurazione tramite l'API, consulta l'esercitazione sulla rete privata virtuale (VPN).

Automazione della rete avanzata con l'API
Per automatizzare la configurazione di rete avanzata (ad esempio la creazione di VPN), puoi utilizzare l’API Cloud Manager:

curl -X POST https://cloudmanager.adobe.io/api/program/{PROGRAM_ID}/environment/{ENV_ID}/vpn \
   -H "Authorization: Bearer {ACCESS_TOKEN}" \
   -H "x-api-key: {API_KEY}" \
   -H "Content-Type: application/json" \
   -d '{
       "providerId": "aws",
       "portMappings": [
           {
               "name": "SSH",
               "protocol": "TCP",
               "port": 22
           }
       ]
   }'

Vedere il tutorial completo e altri esempi API nell'esercitazione Virtual Private Network (VPN).

Panoramica

AEM as a Cloud Service offre le seguenti opzioni di rete avanzate:

Uscita con porta flessibile: configura AEM as a Cloud Service per consentire il traffico in uscita da porte non standard.
Indirizzo IP in uscita dedicato: configura il traffico da AEM as a Cloud Service con origine da un IP univoco.
Virtual Private Network (VPN): traffico sicuro tra la propria infrastruttura e AEM as a Cloud Service, per chi dispone di una VPN.

Questo articolo descrive in dettaglio ciascuna di queste opzioni e il motivo per cui potresti utilizzarle, poi esemplifica le modalità di configurazione tramite l’interfaccia utente di Cloud Manager e l’utilizzo dell’API. L’articolo si conclude con alcuni casi d’uso avanzati.

CAUTION

Se disponi già della tecnologia di uscita dedicata legacy e desideri configurare una di queste opzioni di rete avanzate, contatta prima il Servizio Clienti Adobe.

Il tentativo di configurare una rete avanzata con la tecnologia di uscita legacy può influire sulla connettività del sito.

Requisiti e limitazioni

Durante la configurazione delle funzioni di rete avanzate, si applicano le seguenti restrizioni.

Un programma può fornire un’unica opzione di rete avanzata (uscita con porta flessibile, indirizzo IP in uscita dedicato o VPN).
La rete avanzata non è disponibile per i programmi sandbox.
Un utente deve avere il ruolo Amministratore per aggiungere e configurare l'infrastruttura di rete nel programma.
È necessario creare l’ambiente di produzione prima di poter aggiungere l’infrastruttura di rete al programma.
L’infrastruttura di rete deve trovarsi nell’area geografica che corrisponda a quella principale dell’ambiente di produzione.
- Nel caso in cui l’ambiente di produzione disponga di ulteriori aree geografiche di pubblicazione, è possibile creare un’infrastruttura di rete aggiuntiva per il mirroring di ogni area geografica.
- Non è consentito creare un numero di infrastrutture di rete superiore al massimo di aree geografiche configurato nell’ambiente di produzione.
- Nell'ambiente di produzione è possibile definire tutte le infrastrutture di rete disponibili, ma la nuova infrastruttura deve essere dello stesso tipo di quella creata in precedenza.
- Quando si creano più infrastrutture, è possibile selezionare solo le aree in cui non è stata creata un’infrastruttura di rete avanzata.

Configurazione e abilitazione di reti avanzate

L’utilizzo di funzioni di rete avanzate richiede due passaggi:

La configurazione dell’opzione di rete avanzata, che si tratti di uscita con porta flessibile, indirizzo IP di uscita dedicato o VPN, deve essere eseguita prima di tutto a livello di programma.
Per poter essere utilizzata, l’opzione di rete avanzata deve quindi essere abilitata a livello di ambiente.

Entrambi i passaggi possono essere eseguiti utilizzando l’interfaccia utente di Cloud Manager o l’API di Cloud Manager.

L’utilizzo dell’interfaccia utente di Cloud Manager implica la creazione di configurazioni di rete avanzate tramite una procedura guidata a livello di programma e poi la modifica di ogni ambiente in cui desideri abilitare la configurazione.
Quando si utilizza l’API di Cloud Manager, l’endpoint API /networkInfrastructures viene richiamato a livello di programma per dichiarare il tipo desiderato di rete avanzata. È seguito da una chiamata all’endpoint /advancedNetworking per ogni ambiente per abilitare l’infrastruttura e configurare parametri specifici.

Uscita flessibile della porta

Questa funzionalità avanzata di rete ti consente di configurare AEM as a Cloud Service per incrementare il traffico attraverso porte diverse da HTTP (porta 80) e HTTPS (porta 443), che sono aperte per impostazione predefinita.

TIP

Quando bisogna decidere tra uscita con porta flessibile e indirizzo IP in uscita dedicato, se non è necessario un indirizzo IP specifico si consiglia di scegliere l’uscita con porta flessibile. Il motivo è che Adobe può ottimizzare le prestazioni del traffico in uscita dalla porta flessibile.

NOTE

Una volta creati, i tipi di infrastruttura di uscita con porta flessibile non possono essere modificati. L’unico modo per modificare i valori di configurazione consiste nell’eliminarli e ricrearli.

Configurazione interfaccia utente

Accedi a Cloud Manager all’indirizzo my.cloudmanager.adobe.com e seleziona l’organizzazione appropriata.
Nella console I miei programmi, seleziona il programma.
Dalla pagina Panoramica del programma, vai alla scheda Ambienti e seleziona Infrastruttura di rete nel pannello a sinistra.
Nella procedura guidata Aggiungi infrastruttura di rete, selezionare Uscita porta flessibile.
Dal menu a discesa Area, scegli l'area desiderata, quindi fai clic su Continua.
La scheda Conferma riepiloga la selezione e i passaggi successivi. Per creare l’infrastruttura, fai clic su Salva.

Un nuovo record viene visualizzato sotto l'intestazione Infrastruttura di rete nel pannello laterale. Include dettagli quali il tipo di infrastruttura, lo stato, l’area geografica e gli ambienti in cui è abilitata.

Nuova voce in Infrastruttura di rete

NOTE

La creazione dell’infrastruttura di uscita con porta flessibile può richiedere fino a un’ora, dopo di che può essere configurata a livello di ambiente.

Configurazione API

Una volta per programma, l’endpoint POST /program/<programId>/networkInfrastructures viene richiamato, passando semplicemente il valore di flexiblePortEgress per il parametro kind e area geografica. L’endpoint risponde con network_id, nonché con altre informazioni, tra cui lo stato.

Una volta effettuata la chiamata, in genere sono necessari circa 15 minuti per il provisioning dell’infrastruttura di rete. Una chiamata all’endpoint GET per infrastruttura di rete di Cloud Manager mostrerebbe uno stato ready.

TIP

L’intero set di parametri, la sintassi esatta e altre informazioni importanti, come quelle relative ai parametri che non possono essere modificati in un secondo momento, possono essere consultati nella documentazione API.

Routing del traffico

Per il traffico http o https che accede a porte diverse da 80 o 443, è necessario configurare un proxy utilizzando le seguenti variabili di ambiente host e porte:

per HTTP: AEM_PROXY_HOST/ AEM_HTTP_PROXY_PORT (impostazione predefinita proxy.tunnel:3128 nelle versioni AEM < 6094)
per HTTPS: AEM_PROXY_HOST/ AEM_HTTPS_PROXY_PORT (impostazione predefinita proxy.tunnel:3128 nelle versioni AEM < 6094)

Ad esempio, di seguito è riportato un codice di esempio per inviare una richiesta a www.example.com:8443:

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Se utilizzi librerie di rete Java™ non standard, configura i proxy utilizzando le proprietà riportate sopra per tutto il traffico.

Il traffico non http/s con destinazioni attraverso porte dichiarate nel parametro portForwards deve fare riferimento a una proprietà denominata AEM_PROXY_HOST, oltre alla porta mappata. Ad esempio:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

La tabella seguente descrive il routing del traffico:

Traffico

Condizione di destinazione

Porta

Connessione

Esempio di destinazione esterna

Protocollo Http o https

Traffico http/s standard

80 o 443

Consentito

Traffico non standard (su altre porte diverse da 80 o 443) tramite proxy http configurato utilizzando la variabile di ambiente e il numero di porta proxy seguenti. Non dichiarare la porta di destinazione nel parametro portForwards della chiamata API di Cloud Manager:

AEM_PROXY_HOST (impostazione predefinita ‘proxy.tunnel’ nelle versioni AEM < 6094)
AEM_HTTPS_PROXY_PORT (impostazione predefinita porta 3128 nelle versioni AEM < 6094)

Porte esterne 80 o 443

Consentito

example.com:8443

Traffico non standard (su altre porte diverse dalle porte 80 o 443) che non utilizza il proxy http

Porte esterne 80 o 443

Bloccato

Non http o non https

Il client si connette alla variabile di ambiente AEM_PROXY_HOST utilizzando un portOrig dichiarato nel parametro API portForwards.

Qualsiasi

Consentito

mysql.example.com:3306

Tutto il resto

Qualsiasi

Bloccato

db.example.com:5555

Configurazione di Apache/Dispatcher

La direttiva mod_proxy del livello Apache/Dispatcher di AEM Cloud Service può essere configurata utilizzando le proprietà descritte in precedenza.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

Indirizzo IP in uscita dedicato

Un indirizzo IP dedicato può migliorare la sicurezza durante l’integrazione con i fornitori SaaS (ad esempio, un fornitore CRM) o altre integrazioni al di fuori di AEM as a Cloud Service che offrono un elenco Consentiti di indirizzi IP. Aggiungendo l’indirizzo IP dedicato all’elenco Consentiti, si garantisce che solo il traffico proveniente dall’istanza di AEM Cloud Service possa passare al servizio esterno. Questo approccio si aggiunge al traffico proveniente da qualsiasi altro IP consentito.

Lo stesso IP dedicato viene applicato a tutti gli ambienti di un programma e si applica a entrambi i servizi di authoring e pubblicazione.

Se la funzione di indirizzo IP dedicato non è abilitata, il traffico da AEM as a Cloud Service passa attraverso un set condiviso di IP. Questi IP vengono utilizzati da altri clienti di AEM as a Cloud Service.

La configurazione di un indirizzo IP in uscita dedicato è simile all'uscita porta flessibile. La differenza principale è che, dopo la configurazione, il traffico sarà sempre in uscita da un IP dedicato e univoco. Per trovare tale IP, utilizza un risolutore DNS per identificare l’indirizzo IP associato a p{PROGRAM_ID}.external.adobeaemcloud.com. L’indirizzo IP non dovrebbe cambiare, ma se dovesse cambiare, sarà fornita una notifica avanzata.

TIP

Dovendo decidere tra l’uscita flessibile della porta e l’indirizzo IP in uscita dedicato, conviene scegliere l’uscita flessibile della porta se non è necessario un indirizzo IP specifico. Il motivo è che Adobe può ottimizzare le prestazioni del traffico in uscita dalla porta flessibile.

NOTE

Se hai effettuato il provisioning con un IP in uscita dedicato prima del 30.09.2021 (cioè prima della versione di settembre 2021), la funzionalità IP in uscita dedicato supporta solo le porte HTTP e HTTPS.

Questo risultato include HTTP/1.1 e HTTP/2 se crittografati. Inoltre, un endpoint di uscita dedicato può comunicare con qualsiasi destinazione solo tramite HTTP / HTTPS rispettivamente sulle porte 80/443.

NOTE

Una volta creati, i tipi di infrastruttura degli indirizzi IP in uscita dedicati non possono essere modificati. L’unico modo per modificare i valori di configurazione consiste nell’eliminarli e ricrearli.

Configurazione interfaccia utente

Accedi a Cloud Manager all’indirizzo my.cloudmanager.adobe.com e seleziona l’organizzazione appropriata.
Nella console I miei programmi, seleziona il programma.
Dalla pagina Panoramica del programma, vai alla scheda Ambienti e seleziona Infrastruttura di rete nel pannello a sinistra.
Nella procedura guidata Aggiungi infrastruttura di rete visualizzata, fare clic su Indirizzo IP in uscita dedicato.
Dal menu a discesa Area, scegli l'area desiderata, quindi fai clic su Continua.
La scheda Conferma riepiloga la selezione e i passaggi successivi. Per creare l’infrastruttura, fai clic su Salva.

Un nuovo record viene visualizzato sotto l'intestazione Infrastruttura di rete nel pannello laterale. Include dettagli quali il tipo di infrastruttura, lo stato, l’area geografica e gli ambienti in cui è abilitata.

Nuova voce in Infrastruttura di rete

NOTE

La creazione dell’infrastruttura di uscita con porta flessibile può richiedere fino a un’ora, dopo di che può essere configurata a livello di ambiente.

Configurazione API

Una volta per programma, l’endpoint POST /program/<programId>/networkInfrastructures viene richiamato, passando semplicemente il valore di dedicatedEgressIp per il parametro kind e area geografica. L’endpoint risponde con network_id, nonché con altre informazioni, tra cui lo stato.

Una volta effettuata la chiamata, in genere sono necessari circa 15 minuti per il provisioning dell’infrastruttura di rete. Una chiamata all’endpoint GET per infrastruttura di rete di Cloud Manager mostrerebbe uno stato ready.

TIP

L’intero set di parametri, la sintassi esatta e altre informazioni importanti, come quelle relative ai parametri che non possono essere modificati in un secondo momento, possono essere consultati nella documentazione API.

Routing del traffico

Il traffico http o https passa attraverso un proxy preconfigurato, a condizione che utilizzi le proprietà standard del sistema Java™ per le configurazioni proxy.

Il traffico non http/s con destinazioni attraverso porte dichiarate nel parametro portForwards deve fare riferimento a una proprietà denominata AEM_PROXY_HOST, oltre alla porta mappata. Ad esempio:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Traffico

Condizione di destinazione

Porta

Connessione

Esempio di destinazione esterna

Protocollo Http o https

Traffico verso Azure (*.windows.net) o servizi Adobe

Qualsiasi

Tramite gli IP del cluster condiviso (non l’IP dedicato)

adobe.io
api.windows.net

Host corrispondente al parametro nonProxyHosts

80 o 443

Tramite gli IP del cluster condiviso

Host corrispondente al parametro nonProxyHosts

Porte esterne 80 o 443

Bloccato

Tramite la configurazione proxy http, configurata per impostazione predefinita per il traffico http/s utilizzando la libreria client HTTP Java™ standard

Qualsiasi

Attraverso l’IP dedicato in uscita

Ignora la configurazione proxy http (ad esempio, se viene rimossa esplicitamente dalla libreria client HTTP Java™ standard o se viene utilizzata una libreria Java™ che ignora la configurazione proxy standard)

80 o 443

Tramite gli IP del cluster condiviso

Ignora la configurazione proxy http (ad esempio, se viene rimossa esplicitamente dalla libreria client HTTP Java™ standard o se viene utilizzata una libreria Java™ che ignora la configurazione proxy standard)

Porte esterne 80 o 443

Bloccato

Non http o non https

Il client si connette alla variabile d’ambiente AEM_PROXY_HOST usando un portOrig dichiarato nel parametro API portForwards

Qualsiasi

Attraverso l’IP dedicato in uscita

mysql.example.com:3306

Qualsiasi altra

Bloccato

Utilizzo della funzione

La funzione è compatibile con il codice o le librerie Java™ che generano traffico in uscita, purché utilizzino le proprietà standard del sistema Java™ per le configurazioni proxy. In pratica, questo approccio dovrebbe includere la maggior parte delle librerie comuni.

Di seguito è riportato un esempio di codice:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Alcune librerie richiedono una configurazione esplicita per utilizzare le proprietà standard del sistema Java™ per le configurazioni proxy.

Un esempio che utilizza Apache HttpClient, che richiede chiamate esplicite a
HttpClientBuilder.useSystemProperties() o l’uso di
HttpClients.createSystem():

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Considerazioni sul debug

Per verificare che il traffico sia effettivamente in uscita all’indirizzo IP dedicato previsto, controlla i registri nel servizio di destinazione, se disponibili. Altrimenti può essere utile richiamare un servizio di debug come http://ifconfig.me/ip, che restituirà l’indirizzo IP chiamante.

Virtual Private Network (VPN)

Una VPN consente la connessione a un’infrastruttura on-premise o a un centro dati dalle istanze di authoring, pubblicazione o anteprima. Questa funzionalità può essere utile, ad esempio, per proteggere l'accesso a un database. Consente inoltre di connettersi ai fornitori SaaS, ad esempio un fornitore di CRM che supporta la VPN.

Sono supportati la maggior parte dei dispositivi VPN con tecnologia IPSec. Consulta le informazioni nella colonna Istruzioni di configurazione Route Based in questo elenco di dispositivi. Configura il dispositivo come descritto nella tabella.

NOTE

Di seguito sono riportate le limitazioni di un’infrastruttura VPN:

Il supporto è limitato a una singola connessione VPN
Per risolvere i nomi host privati, i risolutori DNS devono essere elencati nello spazio degli indirizzi del gateway.

Configurazione interfaccia utente

Accedi a Cloud Manager all’indirizzo my.cloudmanager.adobe.com e seleziona l’organizzazione appropriata.
Nella console I miei programmi, seleziona il programma.
Dalla pagina Panoramica del programma, vai alla scheda Ambienti e seleziona Infrastruttura di rete nel pannello a sinistra.
Nella procedura guidata Aggiungi infrastruttura di rete che viene avviata, seleziona Rete privata virtuale e fornisci le informazioni necessarie prima di fare clic su Continua.
- Area geografica: area in cui creare l'infrastruttura.
- Spazio indirizzo: lo spazio indirizzo può essere un solo CIDR /26 (64 indirizzi IP) o un intervallo IP più ampio nel porprio spazio.
  - Questo valore non può essere cambiato in seguito.
- Informazioni DNS - Elenco di risolutori DNS remoti.
  - Premi Enter dopo aver inserito un indirizzo di un server DNS per aggiungerne un altro.
  - Fai clic su X dopo un indirizzo per rimuoverlo.
- Chiave condivisa - Chiave VPN già condivisa.
  - Seleziona Mostra chiave condivisa per visualizzare la chiave per ricontrollarne il valore.
Nella scheda Connessioni della procedura guidata, fornisci un Nome della connessione per identificare la connessione VPN e tocca o fai clic su Aggiungi connessione.
Nella finestra di dialogo Aggiungi connessione, definisci la tua connessione VPN, quindi fai clic su Salva.
- Nome connessione - Nome descrittivo della connessione VPN, fornito nel passaggio precedente e che può essere aggiornato qui.
- Indirizzo - Indirizzo IP del dispositivo VPN.
- Spazio indirizzi - Intervalli di indirizzi IP da indirizzare tramite la VPN.
  - Premi Enter dopo aver inserito un intervallo per aggiungerne un altro.
  - Fai clic su X dopo un intervallo per rimuoverlo.
- Criteri di sicurezza IP: regola dai valori predefiniti come richiesto
La finestra di dialogo si chiude e si torna alla scheda Connessioni della procedura guidata. Fai clic su Continua.
La scheda Conferma riepiloga la selezione e i passaggi successivi. Per creare l’infrastruttura, fai clic su Salva.

Un nuovo record viene visualizzato sotto l'intestazione Infrastruttura di rete nel pannello laterale. Include dettagli quali il tipo di infrastruttura, lo stato, l’area geografica e gli ambienti in cui è abilitata.

Configurazione API

Viene richiamato l’endpoint POST /program/<programId>/networkInfrastructures una volta per programma. Questo trasmette un payload di informazioni di configurazione. Tali informazioni includono il valore di vpn per il parametro kind, l'area geografica, lo spazio indirizzi (elenco di CIDR - questo valore non può essere modificato in seguito), i risolutori DNS (per la risoluzione dei nomi nella rete). Include inoltre informazioni sulla connessione VPN, ad esempio la configurazione del gateway, la chiave VPN condivisa e i criteri di sicurezza IP. L’endpoint risponde con network_id, nonché con altre informazioni, tra cui lo stato.

Una volta effettuata la chiamata, in genere il provisioning dell’infrastruttura di rete richiede dai 45 ai 60 minuti. Il metodo GET nell’API può essere chiamato per restituire lo stato, che alla fine cambia da creating a ready. Consulta la documentazione dell’API per tutti gli stati.

TIP

L’intero set di parametri, la sintassi esatta e informazioni importanti, come quelle relative ai parametri che non possono essere modificati in un secondo momento, possono essere consultati nella documentazione API.

Routing del traffico

La tabella seguente descrive il routing del traffico.

Traffico

Condizione di destinazione

Porta

Connessione

Esempio di destinazione esterna

Protocollo Http o https

Traffico verso Azure o servizi Adobe

Qualsiasi

Tramite gli IP del cluster condiviso (non l’IP dedicato)

adobe.io
api.windows.net

Host corrispondente al parametro nonProxyHosts

80 o 443

Tramite gli IP del cluster condiviso

Host corrispondente al parametro nonProxyHosts

Porte esterne 80 o 443

Bloccato

Se l'IP rientra nell'intervallo di spazio Indirizzo gateway VPN e tramite la configurazione proxy http (configurata per impostazione predefinita per il traffico http/s utilizzando la libreria client Java™ HTTP standard)

Qualsiasi

Tramite la VPN

10.0.0.1:443
Può essere anche un nome host.

Se l'IP non rientra nell'intervallo Spazio degli indirizzi gateway VPN e tramite la configurazione proxy http (configurata per impostazione predefinita per il traffico http/s utilizzando la libreria client Java™ HTTP standard)

Qualsiasi

Attraverso l’IP dedicato in uscita

Ignora la configurazione proxy http (ad esempio, se viene rimossa esplicitamente dalla libreria client HTTP Java™ standard o se si utilizza una libreria Java™ che ignora la configurazione proxy standard)

80 o 443

Tramite gli IP del cluster condiviso

Ignora la configurazione proxy http (ad esempio, se viene rimossa esplicitamente dalla libreria client HTTP Java™ standard o se si utilizza una libreria Java™ che ignora la configurazione proxy standard)

Porte esterne 80 o 443

Bloccato

Non http o non https

Se l’IP rientra nell’intervallo Spazio degli indirizzi gateway VPN e il client si connette a AEM_PROXY_HOST variabile env che utilizza un portOrig dichiarato nel parametro di API portForwards

Qualsiasi

Tramite la VPN

10.0.0.1:3306
Può essere anche un nome host.

Se l’IP non rientra nell’intervallo Spazio degli indirizzi gateway VPN e il client si connette alla variabile env AEM_PROXY_HOST che utilizza un portOrig dichiarato nel parametro di API portForwards

Qualsiasi

Attraverso l’IP dedicato in uscita

Qualsiasi altra

Qualsiasi

Bloccato

Domini utili per la configurazione

Il diagramma seguente fornisce una rappresentazione visiva di un insieme di domini e IP associati che sono utili per la configurazione e lo sviluppo. La tabella riportata di seguito descrive tali domini e IP.

Configurazione del dominio VPN

Pattern di dominio

Significato in uscita (da AEM)

Significato ingresso (a AEM)

p{PROGRAM_ID}.external.adobeaemcloud.com

Indirizzo IP di uscita dedicato per il traffico che va verso Internet anziché attraverso reti private

Le connessioni dalla VPN verrebbero visualizzate in CDN come provenienti da questo IP. Per consentire solo le connessioni dalla VPN a AEM, configura Cloud Manager per consentire solo questo IP e bloccare tutto il resto. Per ulteriori informazioni, consulta la sezione “Limitare l’ingresso alle connessioni VPN”.

p{PROGRAM_ID}.{REGION}-gateway.external.adobeaemcloud.com

N/D

IP del gateway VPN sul lato AEM. Il team di progettazione della rete può utilizzare questo IP per consentire solo connessioni VPN al gateway VPN da un indirizzo IP specifico.

Abilitazione delle configurazioni di rete avanzate negli ambienti

Dopo aver configurato un’opzione di rete avanzata per un programma, che sia uscita con porta flessibile, indirizzo IP di uscita dedicato, o VPN, per utilizzarla, devi abilitarla a livello di ambiente.

Quando abiliti una configurazione di rete avanzata per un ambiente, puoi abilitare anche l’inoltro di porta opzionale e gli host non proxy. I parametri sono configurabili in base all’ambiente per offrire flessibilità.

Inoltro porte - Le regole di inoltro porte devono essere dichiarate per tutte le porte di destinazione diverse da 80/443, ma solo se non si utilizza il protocollo http o https.
- Le regole di inoltro porte vengono definite specificando il set di host di destinazione (nomi o IP e porte).
- La connessione client che utilizza la porta 80/443 su http / https deve comunque utilizzare le impostazioni proxy nella connessione per applicare le proprietà della rete avanzata alla connessione.
- Per ogni host di destinazione, è necessario mappare la porta di destinazione prevista su una porta da 30000 a 30999.
- Le regole di inoltro porte sono disponibili per tutti i tipi di rete avanzati.
Host non proxy: gli host non proxy consentono di dichiarare un set di host che vanno instradati attraverso un intervallo di indirizzi IP condivisi anziché l’IP dedicato.
- Questo approccio può essere utile in quanto il traffico in uscita attraverso IP condivisi può essere ulteriormente ottimizzato.
- Gli host non proxy sono disponibili solo per gli indirizzi IP in uscita dedicati e i tipi di rete VPN avanzati.

NOTE

Non puoi abilitare una configurazione di rete avanzata per un ambiente se questo si trova in stato di Aggiornamento.

Abilitazione tramite l’interfaccia utente

Accedi a Cloud Manager all’indirizzo my.cloudmanager.adobe.com e seleziona l’organizzazione appropriata.
Nella console I miei programmi, seleziona il programma.
Dalla pagina Panoramica del programma, passa alla scheda Ambienti e seleziona l’ambiente in cui desideri abilitare la configurazione di rete avanzata nell’intestazione Ambienti nel pannello a sinistra. Quindi seleziona la scheda Configurazione di rete avanzata dell’ambiente selezionato e fai clic su Abilita infrastruttura di rete.
Viene visualizzata la finestra di dialogo Configura rete avanzata.
Nella scheda Host non proxy, per gli indirizzi IP in uscita dedicati e le VPN, puoi facoltativamente definire un set di host. Questi host definiti devono essere instradati attraverso un intervallo di indirizzi IP condivisi anziché attraverso l’IP dedicato, fornendo il nome host nel campo Host non proxy e facendo clic su Aggiungi.
- L’host viene aggiunto all’elenco degli host nella scheda.
- Ripeti questo passaggio per aggiungere più host.
- Se desideri rimuovere un host, fai clic sulla X a destra della riga.
- Questa scheda non è disponibile per le configurazioni di uscita dalla porta flessibile.
Nella scheda Port forwarding, se non utilizzi HTTP o HTTPS, puoi facoltativamente definire regole di inoltro porte per tutte le porte di destinazione diverse da 80/443. Fornisci Nome, Origine porta e Destinazione porta e fai clic su Aggiungi.
- La regola viene aggiunta al relativo elenco nella scheda.
- Ripeti questo passaggio per aggiungere più regole.
- Per rimuovere una regola, fai clic sulla X a destra della riga.
Fai clic su Salva nella finestra di dialogo, in modo da poter applicare la configurazione all’ambiente.

La configurazione di rete avanzata viene applicata all’ambiente selezionato. Tornando alla scheda Ambienti, puoi visualizzare i dettagli della configurazione applicata all’ambiente selezionato e il relativo stato.

Ambiente configurato con rete avanzata

Abilitazione tramite API

Per abilitare una configurazione di rete avanzata per un ambiente, l’endpoint PUT /program/<program_id>/environment/<environment_id>/advancedNetworking deve essere richiamato per ambiente.

L’API dovrebbe rispondere in pochi secondi, indicando lo stato updating. Dopo circa 10 minuti, una chiamata all’endpoint GET dell’ambiente di Cloud Manager mostra lo stato ready, che indica l’applicazione dell’aggiornamento all’ambiente.

È possibile aggiornare le regole di inoltro delle porte per ambiente richiamando nuovamente l’endpoint PUT /program/{programId}/environment/{environmentId}/advancedNetworking, includendo l’intero set di parametri di configurazione, anziché un sottoinsieme.

I tipi di rete avanzata VPN e l’indirizzo IP in uscita dedicato supportano un parametro nonProxyHosts. Questo supporto consente di dichiarare un set di host che devono indirizzare attraverso un intervallo di indirizzi IP condivisi anziché l’IP dedicato. Gli URL nonProxyHost possono seguire i pattern di example.com o *.example.com, in cui il carattere jolly è supportato solo all’inizio del dominio.

Anche se non sono presenti regole di routing del traffico dell’ambiente (host o bypass), è comunque necessario chiamare PUT /program/<program_id>/environment/<environment_id>/advancedNetworking, solo con un payload vuoto.

TIP

L’intero set di parametri, la sintassi esatta e informazioni importanti, come quelle relative ai parametri che non possono essere modificati in un secondo momento, possono essere consultati nella documentazione API.

Modifica ed eliminazione di configurazioni di rete avanzate negli ambienti

Dopo aver abilitato la configurazione di rete avanzata negli ambienti, puoi aggiornare i dettagli di tali configurazioni o eliminarle.

NOTE

Non è possibile modificare l’infrastruttura di rete se questa è in stato Creazione, Aggiornamento, o Eliminazione.

Modifica o eliminazione tramite l’interfaccia utente

Accedi a Cloud Manager all’indirizzo my.cloudmanager.adobe.com e seleziona l’organizzazione appropriata.
Nella console I miei programmi, seleziona il programma.
Dalla pagina Panoramica del programma, passa alla scheda Ambienti e seleziona l’ambiente in cui desideri abilitare la configurazione di rete avanzata nell’intestazione Ambienti nel pannello a sinistra. Quindi seleziona la scheda Configurazione di rete avanzata dell’ambiente selezionato e fai clic sul pulsante con i puntini di sospensione.
Nel menu con i puntini di sospensione, seleziona Modifica o Elimina.
- Se scegli Modifica, aggiorna le informazioni seguendo i passaggi descritti nella sezione precedente Abilitazione tramite l’interfaccia utente e fai clic su Salva.
- Se scegli Elimina, conferma l’eliminazione nella finestra di dialogo Elimina configurazione di rete tramite Elimina o interrompi con Annulla.

Le modifiche verranno applicate alla scheda Ambienti.

Modifica o eliminazione tramite l’API

Per eliminare la rete avanzata per un particolare ambiente, richiama DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]().

TIP

L’intero set di parametri, la sintassi esatta e informazioni importanti, come quelle relative ai parametri che non possono essere modificati in un secondo momento, possono essere consultati nella documentazione API.

Modifica ed eliminazione dell’infrastruttura di rete di un programma

Una volta creata l’infrastruttura di rete per un programma, è possibile modificare solo proprietà limitate. Se non è più necessario, è possibile eliminare l’infrastruttura di rete avanzata per l’intero programma.

NOTE

La modifica e la cancellazione dell’infrastruttura di rete sono soggette alle seguenti limitazioni:

Il comando Elimina elimina l’infrastruttura solo se le reti avanzate di tutti gli ambienti sono disabilitate.
Non è possibile modificare l’infrastruttura di rete se questa è in stato Creazione, Aggiornamento, o Eliminazione.
È possibile modificare solo il tipo di infrastruttura di rete avanzata VPN dopo la creazione e solo i campi limitati.
Per motivi di sicurezza, quando si modifica un’infrastruttura di rete avanzata VPN, è sempre necessario fornire la Chiave condivisa, anche se non si modifica la chiave stessa.

Modifica ed eliminazione tramite l’interfaccia utente

Accedi a Cloud Manager all’indirizzo my.cloudmanager.adobe.com e seleziona l’organizzazione appropriata.
Nella console I miei programmi, seleziona il programma.
Dalla pagina Panoramica del programma, passa alla scheda Ambienti.
Nel pannello a sinistra, fai clic su Infrastruttura di rete.
Fai clic sull'icona accanto all'infrastruttura da eliminare.
Fare clic su Modifica o Elimina.
Effettua una delle seguenti operazioni:
- Se si sceglie Modifica, verrà aperta la procedura guidata Modifica infrastruttura di rete. Apporta le modifiche necessarie seguendo i passaggi descritti durante la creazione dell’infrastruttura.
- Se hai scelto Elimina, conferma l'eliminazione nella finestra di dialogo Elimina configurazione di rete con Elimina oppure interrompi con Annulla.

Le modifiche si riflettono nella scheda Ambienti.

Modifica ed eliminazione tramite l’API

Per eliminare l’infrastruttura di rete per un programma, richiama DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID}.

Modifica del tipo di infrastruttura di rete avanzata di un programma

È possibile configurare un solo tipo di infrastruttura di rete avanzata per un programma alla volta. L’infrastruttura di rete avanzata deve essere in uscita da porta flessibile, indirizzo IP in uscita dedicato o VPN.

Se decidi che è necessario un altro tipo di infrastruttura di rete avanzata rispetto a quella già configurata, devi eliminare quella esistente e crearne una nuova. Effettua le seguenti operazioni:

Elimina la rete avanzata in tutti gli ambienti.
Elimina l’infrastruttura di rete avanzata.
Crea il tipo di infrastruttura di rete avanzata ora necessario: uscita con porta flessibile, indirizzo IP di uscita dedicato, o VPN.
Riattiva la rete avanzata a livello di ambiente.

WARNING

Questa procedura comporterà, tra eliminazione e nuova creazione, un downtime dei servizi di rete avanzata.
Se i tempi di inattività dovessero avere un impatto significativo sulle attività aziendali, contatta l’Assistenza clienti e descrivi cosa è già stato creato e il motivo del cambiamento.

Configurazione di rete avanzata per aree geografiche di pubblicazione aggiuntive

Quando si aggiunge un’area aggiuntiva a un ambiente con rete avanzata già configurata, il traffico proveniente da tale area segue le regole esistenti. Per impostazione predefinita, il traffico corrispondente viene instradato attraverso l’area primaria. Tuttavia, se l’area geografica primaria non è più disponibile, il traffico di rete avanzato verrà interrotto se la rete avanzata non è stata abilitata nell’area geografica aggiuntiva. Se desideri ottimizzare la latenza e aumentare la disponibilità nel caso in cui una delle aree geografiche subisca un’interruzione, è necessario abilitare la rete avanzata per le aree geografiche di pubblicazione aggiuntive. Nelle sezioni seguenti sono descritti due scenari diversi.

NOTE

Tutte le aree geografiche condividono la stessa configurazione di rete avanzata dell’ambiente, quindi non è possibile indirizzare il traffico verso destinazioni diverse in base all’area geografica da cui sta uscendo.

Indirizzo IP in uscita dedicato

La rete avanzata è già abilitata nell’area geografica primaria

Se nell’area geografica primaria è già abilitata una configurazione di rete avanzata, segui questi passaggi:

Se hai bloccato l’infrastruttura in modo che l’indirizzo IP AEM dedicato sia inserito nell’elenco Consentiti, dovresti disabilitare temporaneamente eventuali regole di rifiuto in tale infrastruttura. Se salti questo passaggio, l’infrastruttura rifiuta temporaneamente le richieste dagli indirizzi IP della nuova regione. Questo passaggio non è necessario se l'infrastruttura è stata bloccata utilizzando un nome di dominio completo (FQDN), ad esempio p1234.external.adobeaemcloud.com. Tutte le aree geografiche di AEM ricevono il traffico di rete avanzato dallo stesso FQDN.
Crea l’infrastruttura di rete con ambito di programma per l’area geografica secondaria tramite una chiamata POST all’API Crea infrastruttura di rete di Cloud Manager, come descritto nella documentazione di rete avanzata. L’unica differenza nella configurazione JSON del payload rispetto all’area geografica primaria è la proprietà dell’area geografica
Se è necessario bloccare l'infrastruttura tramite IP per consentire il traffico AEM, aggiungere gli IP corrispondenti a p1234.external.adobeaemcloud.com. Dovrebbe essercene uno per area geografica.

Rete avanzata non ancora configurata in alcuna area geografica

La procedura è in gran parte simile alle istruzioni precedenti. Tuttavia, se l’ambiente di produzione non è ancora stato abilitato per la rete avanzata, è possibile testare la configurazione abilitandola prima in un ambiente di staging:

Crea un'infrastruttura di rete per tutte le aree geografiche tramite una chiamata POST all'API Cloud Manager Create Network Infrastructure. L’unica differenza nella configurazione JSON del payload rispetto all’area primaria è la proprietà region.
Per l’ambiente di staging, abilita e configura l’ambiente con ambito di rete avanzato eseguendo il comando PUT api/program/{programId}/environment/{environmentId}/advancedNetworking. Per ulteriori informazioni, consulta la documentazione dell’API.
Se necessario, blocca l’infrastruttura esterna, preferibilmente tramite FQDN (ad esempio p1234.external.adobeaemcloud.com). In alternativa, puoi farlo per indirizzo IP
Se l’ambiente di staging funziona come previsto, abilita e configura la configurazione di rete avanzata con ambito di ambiente per la produzione.

VPN

La procedura è quasi identica alle istruzioni degli indirizzi IP in uscita dedicati. L’unica differenza consiste nel fatto che la proprietà region è configurata in modo diverso rispetto all’area primaria. Inoltre, è possibile configurare il campo connections.gateway. La configurazione può indirizzare a un endpoint VPN diverso gestito dalla tua organizzazione, geograficamente più vicino alla nuova area.

Risoluzione dei problemi

I seguenti punti sono forniti come linee guida informative e includono best practice per la risoluzione dei problemi. Questi consigli hanno lo scopo di aiutare a diagnosticare e risolvere in modo efficace i problemi.

Pool di connessioni

Il pool di connessioni è una tecnica ideata per creare e sostenere un archivio di connessioni, pronte per essere utilizzate fin da subito dai thread che possano richiederle. Su varie piattaforme e risorse online si possono trovare numerose tecniche di connection pooling, ciascuna con i suoi meriti e considerazioni particolari. Adobe incoraggia i clienti a studiare queste metodologie per identificare quella più compatibile con l’architettura del proprio sistema.

L’implementazione di un’adeguata strategia di connection pooling è una misura proattiva per correggere una svista comune nella configurazione del sistema, che spesso porta a prestazioni non ottimali. Stabilendo correttamente un connection pool, Adobe Experience Manager (AEM) può migliorare l’efficienza delle chiamate esterne. Questo approccio non solo riduce il consumo di risorse, ma riduce anche il rischio di interruzioni del servizio e diminuisce la probabilità di incontrare richieste non riuscite durante la comunicazione con i server a monte.

In base a queste informazioni, Adobe consiglia di rivedere la configurazione AEM corrente. È inoltre consigliabile utilizzare intenzionalmente il connection pooling insieme alle impostazioni di rete avanzate. La gestione del numero di connessioni parallele e la riduzione delle connessioni non aggiornate consentono di ottimizzare le prestazioni della rete. Queste azioni riducono il rischio che i server proxy raggiungano i limiti di connessione. Di conseguenza, questa implementazione strategica è progettata per ridurre la probabilità che le richieste non raggiungano gli endpoint esterni.

Domande frequenti sui limiti di connessione

Quando si utilizza la rete avanzata, il numero di connessioni è limitato per garantire la stabilità tra gli ambienti ed evitare che gli ambienti di dimensioni inferiori esauriscano le connessioni disponibili.

Le connessioni sono limitate a 1000 per istanza AEM e si riceve un avviso quando si raggiungono 750 connessioni.

Il limite di connessione è applicato solo al traffico in uscita da porte non standard o a tutto il traffico in uscita?

Il limite è solo per le connessioni che utilizzano la rete avanzata (in uscita su porte non standard, utilizzando IP in uscita dedicato o VPN).

Non sembra esserci un aumento significativo del numero di connessioni in uscita. Perché la notifica viene ricevuta ora?

Se le connessioni sono create in modo dinamico (ad esempio, una o più per ogni richiesta), un aumento del traffico può causare un picco di connessioni.

Una situazione simile si sarebbe potuta verificare in passato senza che venisse attivato un avviso?

Gli avvisi vengono inviati solo quando viene raggiunto il limite intermedio.

Cosa succede se viene raggiunto il limite massimo?

Quando viene raggiunto il limite massimo, le nuove connessioni in uscita da AEM tramite reti avanzate (in uscita su porte non standard, utilizzando IP in uscita dedicato o VPN) vengono eliminate per proteggere da un attacco DoS.

È possibile aumentare il limite?

No, un numero elevato di connessioni può avere un impatto significativo sulle prestazioni e causare un DoS tra pod e ambienti.

Le connessioni vengono automaticamente chiuse dal sistema AEM dopo un certo periodo?

Sì, le connessioni vengono chiuse a livello di JVM e in punti diversi dell'infrastruttura di rete. Tuttavia, questo flusso di lavoro è troppo tardi per qualsiasi servizio di produzione. Le connessioni devono essere chiuse in modo esplicito quando non sono più necessarie o restituite al pool quando si utilizza il pool di connessioni. In caso contrario, il consumo di risorse è troppo elevato e può causare l’esaurimento delle risorse.

Se viene raggiunto il limite massimo di connessioni, questo influisce su eventuali licenze e comporta costi aggiuntivi?

No, non vi sono licenze o costi associati a questo limite. Si tratta di un limite tecnico.

Quanto si avvicina l'utilizzo corrente al limite? Qual è il limite massimo consentito?

Viene attivato un avviso quando le connessioni superano il limite intermedio di 750. Il limite massimo è di 1000 connessioni per istanza AEM.

Questo limite è applicabile alle VPN?

Sì, il limite si applica alle connessioni che utilizzano reti avanzate, incluse le VPN.

Il limite si applica ancora quando si utilizza un IP in uscita dedicato?

Sì, il limite è applicabile anche se si utilizza un IP in uscita dedicato.

recommendation-more-help