Configurazione di networking avanzato per AEM as a Cloud Service configuring-advanced-networking

Questo articolo presenta le diverse funzionalità di rete avanzate in AEM as a Cloud Service, tra cui il provisioning self-service e API di VPN, porte non standard e indirizzi IP in uscita dedicati.

Panoramica overview

AEM as a Cloud Service offre le seguenti opzioni di rete avanzate:

Questo articolo descrive in dettaglio ciascuna di queste opzioni e il motivo per cui potresti utilizzarle, poi esemplifica le modalità di configurazione tramite l’interfaccia utente di Cloud Manager e l’utilizzo dell’API. L’articolo si conclude con alcuni casi d’uso avanzati.

Requisiti e limitazioni requirements

Durante la configurazione delle funzioni di rete avanzate, si applicano le seguenti restrizioni.

Configurazione e abilitazione di reti avanzate configuring-enabling

L’utilizzo di funzioni di rete avanzate richiede due passaggi:

Entrambi i passaggi possono essere eseguiti utilizzando l’interfaccia utente di Cloud Manager o l’API di Cloud Manager.

Uscita flessibile della porta flexible-port-egress

Questa funzionalità avanzata di rete ti consente di configurare AEM as a Cloud Service per incrementare il traffico attraverso porte diverse da HTTP (porta 80) e HTTPS (porta 443), che sono aperte per impostazione predefinita.

Configurazione interfaccia utente configuring-flexible-port-egress-provision-ui

Un nuovo record viene visualizzato sotto l’intestazione Infrastruttura di rete nel pannello laterale, con dettagli sul tipo di infrastruttura, lo stato, l’area geografica e gli ambienti in cui è stata abilitata.

Configurazione API configuring-flexible-port-egress-provision-api

Una volta per programma, l’endpoint POST /program/<programId>/networkInfrastructures viene richiamato, passando semplicemente il valore di flexiblePortEgress per il parametro kind e area geografica. L’endpoint risponde con network_id, nonché con altre informazioni, tra cui lo stato.

Una volta effettuata la chiamata, in genere sono necessari circa 15 minuti per il provisioning dell’infrastruttura di rete. Una chiamata all’endpoint GET per infrastruttura di rete di Cloud Manager mostrerebbe uno stato ready.

Routing del traffico flexible-port-egress-traffic-routing

Per il traffico http o https che accede a porte diverse da 80 o 443, è necessario configurare un proxy utilizzando le seguenti variabili di ambiente host e porte:

Ad esempio, di seguito è riportato un codice di esempio per inviare una richiesta a www.example.com:8443:

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Se utilizzi librerie di rete Java™ non standard, configura i proxy utilizzando le proprietà riportate sopra per tutto il traffico.

Il traffico non http/s con destinazioni attraverso porte dichiarate nel parametro portForwards deve fare riferimento a una proprietà denominata AEM_PROXY_HOST, oltre alla porta mappata. Ad esempio:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

La tabella seguente descrive il routing del traffico:

Configurazione di Apache/Dispatcher apache-dispatcher

La direttiva mod_proxy del livello Apache/Dispatcher di AEM Cloud Service può essere configurata utilizzando le proprietà descritte in precedenza.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

Indirizzo IP in uscita dedicato dedicated-egress-ip-address

Un indirizzo IP dedicato può migliorare la sicurezza durante l’integrazione con i fornitori SaaS (ad esempio, un fornitore CRM) o altre integrazioni al di fuori di AEM as a Cloud Service che offrono un elenco Consentiti di indirizzi IP. Aggiungendo l’indirizzo IP dedicato all’elenco Consentiti, si garantisce che solo il traffico proveniente dall’istanza di AEM Cloud Service possa passare al servizio esterno. Verrà aggiunto al traffico proveniente da qualsiasi altro IP consentito.

Lo stesso IP dedicato viene applicato a tutti i programmi di un cliente nella sua organizzazione Adobe e per tutti gli ambienti in ciascuno dei suoi programmi. Si applica ai servizi sia di authoring che di pubblicazione.

Se la funzione di indirizzo IP dedicato non è abilitata, il traffico proveniente da AEM as a Cloud Service passa attraverso una serie di IP condivisi con altri clienti dello stesso servizio.

La configurazione dell’indirizzo IP in uscita dedicato è analoga a quella dell’uscita con porta flessibile. La differenza principale è che, dopo la configurazione, il traffico sarà sempre in uscita da un IP dedicato e univoco. Per trovare tale IP, utilizza un risolutore DNS per identificare l’indirizzo IP associato a p{PROGRAM_ID}.external.adobeaemcloud.com. L’indirizzo IP non dovrebbe cambiare, ma se dovesse cambiare, sarà fornita una notifica avanzata.

Configurazione interfaccia utente configuring-dedicated-egress-provision-ui

Un nuovo record viene visualizzato sotto l’intestazione Infrastruttura di rete nel pannello laterale, con dettagli sul tipo di infrastruttura, lo stato, l’area geografica e gli ambienti in cui è stata abilitata.

Configurazione API configuring-dedicated-egress-provision-api

Una volta per programma, l’endpoint POST /program/<programId>/networkInfrastructures viene richiamato, passando semplicemente il valore di dedicatedEgressIp per il parametro kind e area geografica. L’endpoint risponde con network_id, nonché con altre informazioni, tra cui lo stato.

Una volta effettuata la chiamata, in genere sono necessari circa 15 minuti per il provisioning dell’infrastruttura di rete. Una chiamata all’endpoint GET per infrastruttura di rete di Cloud Manager mostrerebbe uno stato ready.

Routing del traffico dedicated-egress-ip-traffic-routing

Il traffico http o https passa attraverso un proxy preconfigurato, a condizione che utilizzi le proprietà standard del sistema Java™ per le configurazioni proxy.

Il traffico non http/s con destinazioni attraverso porte dichiarate nel parametro portForwards deve fare riferimento a una proprietà denominata AEM_PROXY_HOST, oltre alla porta mappata. Ad esempio:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Utilizzo della funzione feature-usage

La funzione è compatibile con il codice o le librerie Java™ che generano traffico in uscita, purché utilizzino le proprietà standard del sistema Java™ per le configurazioni proxy. In pratica, dovrebbe essere inclusa la maggior parte delle librerie comuni.

Di seguito è riportato un esempio di codice:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Alcune librerie richiedono una configurazione esplicita per utilizzare le proprietà standard del sistema Java™ per le configurazioni proxy.

Un esempio che utilizza Apache HttpClient, che richiede chiamate esplicite a
HttpClientBuilder.useSystemProperties() o l’uso di
HttpClients.createSystem():

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Considerazioni sul debug debugging-considerations

Per verificare che il traffico sia effettivamente in uscita all’indirizzo IP dedicato previsto, controlla i registri nel servizio di destinazione, se disponibili. Altrimenti può essere utile richiamare un servizio di debug come http://ifconfig.me/ip, che restituirà l’indirizzo IP chiamante.

Virtual Private Network (VPN) vpn

Una VPN consente la connessione a un’infrastruttura on-premise o a un centro dati dalle istanze di authoring, pubblicazione o anteprima. Ciò può essere utile, ad esempio, per proteggere l’accesso a un database. Consente inoltre di connettersi ai fornitori SaaS, ad esempio un fornitore CRM che supporta la VPN o la connessione da una rete aziendale all’istanza di authoring, anteprima o pubblicazione di AEM as a Cloud Service.

Sono supportati la maggior parte dei dispositivi VPN con tecnologia IPSec. Consulta le informazioni nella colonna Istruzioni di configurazione Route Based in questo elenco di dispositivi. Configura il dispositivo come descritto nella tabella.

Configurazione interfaccia utente configuring-vpn-ui

Un nuovo record viene visualizzato sotto l’intestazione Infrastruttura di rete nel pannello laterale, con dettagli sul tipo di infrastruttura, lo stato, l’area geografica e gli ambienti in cui è stata abilitata.

Configurazione API configuring-vpn-api

Viene richiamato l’endpoint POST /program/<programId>/networkInfrastructures una volta per programma. Questo trasmette un payload di informazioni di configurazione. Tali informazioni includono il valore di vpn per kind parametro, area geografica, spazio indirizzi (elenco di CIDR, che non potrà essere modificato in seguito), risolutori DNS (per la risoluzione dei nomi nella rete). Include inoltre informazioni sulla connessione VPN, ad esempio la configurazione del gateway, la chiave VPN condivisa e i criteri di sicurezza IP. L’endpoint risponde con network_id, nonché con altre informazioni, tra cui lo stato.

Una volta effettuata la chiamata, in genere sono necessari da 45 a 60 minuti per il provisioning dell’infrastruttura di rete. Il metodo GET nell’API può essere chiamato per restituire lo stato, che alla fine cambia da creating a ready. Consulta la documentazione dell’API per tutti gli stati.

Routing del traffico vpn-traffic-routing

La tabella seguente descrive il routing del traffico.

Domini utili per la configurazione vpn-useful-domains-for-configuration

Il diagramma seguente fornisce una rappresentazione visiva di un insieme di domini e IP associati che sono utili per la configurazione e lo sviluppo. La tabella riportata di seguito descrive tali domini e IP.

Limitare la VPN alle connessioni in ingresso restrict-vpn-to-ingress-connections

Se vuoi consentire solo l’accesso VPN ad AEM, è possibile configurare gli inserimenti nell’elenco Consentiti dell’ambiente in Cloud Manager in modo che solo l’IP definito da p{PROGRAM_ID}.external.adobeaemcloud.com è autorizzato a parlare con l’ambiente. Questa operazione può essere eseguita come qualsiasi altro inserimento nell’elenco Consentiti basato su IP in Cloud Manager.

Se le regole devono essere basate su percorsi, utilizza le direttive http standard a livello di dispatcher per negare o consentire determinati IP. Devono anche garantire che i percorsi desiderati non siano memorizzabili nella cache sulla CDN in modo che la richiesta arrivi sempre all’origine.

Esempio di configurazione Httpd httpd-example

Order deny,allow
Deny from all
Allow from 192.168.0.1
Header always set Cache-Control private

Abilitazione delle configurazioni di rete avanzate negli ambienti enabling

Dopo aver configurato un’opzione di rete avanzata per un programma, che sia uscita con porta flessibile, indirizzo IP di uscita dedicato, o VPN, per utilizzarla, devi abilitarla a livello di ambiente.

Quando abiliti una configurazione di rete avanzata per un ambiente, puoi abilitare anche l’inoltro di porta opzionale e gli host non proxy. I parametri sono configurabili in base all’ambiente per offrire flessibilità.

Abilitazione tramite l’interfaccia utente enabling-ui

La configurazione di rete avanzata viene applicata all’ambiente selezionato. Tornando alla scheda Ambienti, puoi visualizzare i dettagli della configurazione applicata all’ambiente selezionato e il relativo stato.

Abilitazione tramite API enabling-api

Per abilitare una configurazione di rete avanzata per un ambiente, l’endpoint PUT /program/<program_id>/environment/<environment_id>/advancedNetworking deve essere richiamato per ambiente.

L’API dovrebbe rispondere in pochi secondi, indicando lo stato updating. Dopo circa 10 minuti, una chiamata all’endpoint GET dell’ambiente di Cloud Manager mostra lo stato ready, che indica l’applicazione dell’aggiornamento all’ambiente.

È possibile aggiornare le regole di inoltro delle porte per ambiente richiamando nuovamente l’endpoint PUT /program/{programId}/environment/{environmentId}/advancedNetworking, includendo l’intero set di parametri di configurazione, anziché un sottoinsieme.

I tipi di rete avanzata VPN e l’indirizzo IP in uscita dedicato supportano un parametro nonProxyHosts. Questo consente di dichiarare un gruppo di host che devono indirizzare attraverso un intervallo di indirizzi IP condivisi anziché l’IP dedicato. Gli URL nonProxyHost possono seguire i pattern di example.com o *.example.com, in cui il carattere jolly è supportato solo all’inizio del dominio.

Anche se non sono presenti regole di routing del traffico dell’ambiente (host o bypass), è comunque necessario chiamare PUT /program/<program_id>/environment/<environment_id>/advancedNetworking, solo con un payload vuoto.

Modifica ed eliminazione di configurazioni di rete avanzate negli ambienti editing-deleting-environments

Dopo aver abilitato la configurazione di rete avanzata negli ambienti, puoi aggiornare i dettagli di tali configurazioni o eliminarle.

Modifica o eliminazione tramite l’interfaccia utente editing-ui

Le modifiche verranno applicate alla scheda Ambienti.

Modifica o eliminazione tramite l’API editing-api

Per eliminare la rete avanzata per un particolare ambiente, richiama DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]().

Modifica ed eliminazione dell’infrastruttura di rete di un programma editing-deleting-program

Una volta creata l’infrastruttura di rete per un programma, è possibile modificare solo proprietà limitate. Se non è più necessario, è possibile eliminare l’infrastruttura di rete avanzata per l’intero programma.

Modifica ed eliminazione tramite l’interfaccia utente delete-ui

Le modifiche si riflettono nella scheda Ambienti.

Modifica ed eliminazione tramite l’API delete-api

Per eliminare l’infrastruttura di rete per un programma, richiama DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID}.

Modifica del tipo di infrastruttura di rete avanzata di un programma changing-program

Puoi disporre di un solo tipo di infrastruttura di rete avanzata configurata per un programma alla volta, e questa deve essere in uscita con porta flessibile, in uscita con indirizzo IP dedicato o VPN.

Se decidi che è necessario un altro tipo di infrastruttura di rete avanzata rispetto a quella già configurata, devi eliminare quella esistente e crearne una nuova. Effettua le seguenti operazioni:

Configurazione di rete avanzata per aree geografiche di pubblicazione aggiuntive advanced-networking-configuration-for-additional-publish-regions

Quando si aggiunge un’area geografica aggiuntiva a un ambiente in cui è già configurata la rete avanzata, per impostazione predefinita il traffico dell’area di pubblicazione aggiuntiva corrispondente alle regole di rete avanzate passerà attraverso l’area geografica primaria. Tuttavia, se l’area geografica primaria non è più disponibile, il traffico di rete avanzato verrà interrotto se la rete avanzata non è stata abilitata nell’area geografica aggiuntiva. Se desideri ottimizzare la latenza e aumentare la disponibilità nel caso in cui una delle aree geografiche subisca un’interruzione, è necessario abilitare la rete avanzata per le aree geografiche di pubblicazione aggiuntive. Nelle sezioni seguenti sono descritti due scenari diversi.

Indirizzo IP in uscita dedicato additional-publish-regions-dedicated-egress

La rete avanzata è già abilitata nell’area geografica primaria already-enabled

Se nell’area geografica primaria è già abilitata una configurazione di rete avanzata, segui questi passaggi:

Rete avanzata non ancora configurata in alcuna area geografica not-yet-configured

La procedura è in gran parte simile alle istruzioni precedenti. Tuttavia, se l’ambiente di produzione non è ancora stato abilitato per la rete avanzata, è possibile testare la configurazione abilitandola prima in un ambiente di staging:

VPN vpn-regions

La procedura è quasi identica alle istruzioni degli indirizzi IP in uscita dedicati. L’unica differenza consiste nel fatto che, oltre a configurare la proprietà dell’area geografica in modo diverso rispetto all’area primaria, può essere facoltativamente configurato il campo connections.gateway. La configurazione può indirizzare a un endpoint VPN diverso gestito dalla tua organizzazione, geograficamente più vicino alla nuova area.

Risoluzione dei problemi

I seguenti punti sono forniti come linee guida informative e includono best practice per la risoluzione dei problemi. Questi consigli hanno lo scopo di aiutare a diagnosticare e risolvere in modo efficace i problemi.

Connection pooling connection-pooling-advanced-networking

Il pool di connessioni è una tecnica ideata per creare e sostenere un archivio di connessioni, pronte per essere utilizzate fin da subito dai thread che possano richiederle. Su varie piattaforme e risorse online si possono trovare numerose tecniche di connection pooling, ciascuna con i suoi meriti e considerazioni particolari. Incoraggiamo i nostri clienti a studiare queste metodologie per identificare quella più compatibile con l’architettura del loro sistema.

L’implementazione di un’adeguata strategia di connection pooling è una misura proattiva per correggere una svista comune nella configurazione del sistema, che spesso porta a prestazioni non ottimali. Stabilendo correttamente un connection pool, Adobe Experience Manager (AEM) può migliorare l’efficienza delle chiamate esterne. Questo non solo riduce il consumo di risorse, ma riduce anche il rischio di interruzioni del servizio e diminuisce la probabilità di incontrare richieste non riuscite durante la comunicazione con i server a monte.

Alla luce di queste informazioni, Adobe consiglia di rivalutare la configurazione AEM corrente e considerare l’inserimento accurato del connection pooling insieme alle impostazioni di rete avanzate. Gestendo il numero di connessioni parallele e riducendo al minimo la possibilità di connessioni non aggiornate, queste misure riducono il rischio che i server proxy raggiungano il limite di connessioni consnetite. Di conseguenza, questa implementazione strategica è progettata per ridurre la probabilità che le richieste non raggiungano gli endpoint esterni.

Domande frequenti sui limiti di connessione

Quando si utilizza la rete avanzata, il numero di connessioni è limitato per garantire stabilità in tutti gli ambienti ed evitare che gli ambienti inferiori esauriscano le connessioni disponibili.

Le connessioni sono limitate a 1000 per istanza AEM e si riceve un avviso quando si raggiungono 750 connessioni.

Il limite di connessione è applicato solo al traffico in uscita da porte non standard o a tutto il traffico in uscita?

Il limite è applicato solo alle connessioni che utilizzano la rete avanzata (in uscita su porte non standard, con IP in uscita dedicato o VPN).

Non notiamo una differenza significativa nel numero di connessioni in uscita. Perché riceviamo la notifica?

Se le connessioni sono create in modo dinamico (ad esempio, una o più per ogni richiesta), un aumento del traffico può causare un picco di connessioni.

È possibile che in passato si sia verificata una situazione simile senza ricevere alcun avviso?

Gli avvisi vengono inviati solo quando viene raggiunto il limite intermedio.

Cosa succede se viene raggiunto il limite massimo?

Quando viene raggiunto il limite massimo, le nuove connessioni in uscita da AEM attraverso la rete avanzata (in uscita su porte non standard, con IP in uscita dedicato o VPN) verranno annullate per proteggere il computer da un attacco DoS.

È possibile aumentare il limite?

No, un numero elevato di connessioni può avere un impatto significativo sulle prestazioni e causare un DoS tra pod e ambienti.

Le connessioni vengono automaticamente chiuse dal sistema AEM dopo un certo periodo?

Sì, le connessioni vengono chiuse a livello di JVM e in punti diversi dell’infrastruttura di rete. Tuttavia, questo sarà troppo tardi per qualsiasi servizio di produzione. Le connessioni devono essere chiuse in modo esplicito quando non sono più necessarie o restituite al pool quando si utilizza il pool di connessioni. In caso contrario, il consumo di risorse sarà troppo elevato e potrebbe causarne l’esaurimento.

Se viene raggiunto il limite massimo di connessioni, questo influisce su eventuali licenze e comporta costi aggiuntivi?

No, non vi sono licenze o costi associati a questo limite. Si tratta di un limite tecnico.

Quanto siamo vicini al limite? Qual è il limite massimo?

Viene attivato un avviso quando le connessioni superano il limite intermedio di 750. Il limite massimo è di 1000 connessioni per istanza AEM.

Questo limite è applicabile alle VPN?

Sì, il limite è applicato alle connessioni che utilizzano la rete avanzata, incluse le VPN.

Se utilizziamo un IP in uscita dedicato, questo limite sarà ancora applicabile?

Sì, il limite è applicabile anche se si utilizza un IP in uscita dedicato.