Geavanceerde netwerken configureren voor AEM as a Cloud Service configuring-advanced-networking

Dit artikel introduceert de verschillende geavanceerde voorzien van een netwerkeigenschappen in AEM as a Cloud Service, met inbegrip van zelfbediening en API levering van VPN, niet-standaardhavens, en specifieke uitgangIP adressen.

Overzicht overview

AEM as a Cloud Service biedt de volgende geavanceerde netwerkopties:

In dit artikel worden deze opties gedetailleerd beschreven en wordt uitgelegd waarom u ze kunt gebruiken, voordat u beschrijft hoe ze zijn geconfigureerd met de Cloud Manager-gebruikersinterface en door de API te gebruiken. Het artikel sluit af met enkele gevallen van geavanceerd gebruik.

Eisen en beperkingen requirements

Bij het configureren van geavanceerde netwerkfuncties gelden de volgende beperkingen.

Geavanceerde netwerken configureren en inschakelen configuring-enabling

Het gebruik van geavanceerde netwerkfuncties vereist twee stappen:

Beide stappen kunnen worden uitgevoerd met de gebruikersinterface van Cloud Manager of de Cloud Manager-API.

Flexibele poortuitgang flexible-port-egress

Met deze geavanceerde netwerkfunctie kunt u AEM as a Cloud Service zo configureren dat het verkeer wordt geopend via andere poorten dan HTTP (poort 80) en HTTPS (poort 443), die standaard zijn geopend.

UI-configuratie configuring-flexible-port-egress-provision-ui

Een nieuw verslag verschijnt onder de rubriek van de Infrastructuur van het Netwerk in het zijpaneel met inbegrip van details van het type van infrastructuur, status, gebied, en milieu's waarop het is toegelaten.

API-configuratie configuring-flexible-port-egress-provision-api

Eenmaal per programma wordt het eindpunt van de POST /program/<programId>/networkInfrastructures aangeroepen, waarbij alleen de waarde flexiblePortEgress voor de parameter en het gebied kind wordt doorgegeven. Het eindpunt reageert met network_id en andere informatie, waaronder de status.

Eenmaal geroepen, duurt het typisch ongeveer 15 minuten voor de voorzien van een netwerkinfrastructuur. Een vraag aan het Cloud Manager eindpunt van de GET van de netwerkinfrastructuurzou een status van klaar tonen.

Verkeer dat flexible-port-egress-traffic-routing

Voor HTTP of https verkeer die naar havens buiten 80 of 443 gaan zou een volmacht moeten worden gevormd gebruikend de volgende gastheer en havenmilieuvariabelen:

Hier ziet u bijvoorbeeld een voorbeeldcode voor het verzenden van een aanvraag naar www.example.com:8443 :

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Als u niet-standaard Java™-netwerkbibliotheken gebruikt, configureert u proxy's met de bovenstaande eigenschappen voor al het verkeer.

Niet-http/s-verkeer met doelen via poorten die zijn gedeclareerd in de parameter portForwards moet verwijzen naar een eigenschap met de naam AEM_PROXY_HOST , samen met de toegewezen poort. Bijvoorbeeld:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

De lijst hieronder beschrijft verkeer dat verplettert:

Configuratie Apache/Dispatcher apache-dispatcher

De instructie mod_proxy van de laag AEM Cloud Service Apache/Dispatcher kan worden geconfigureerd met de hierboven beschreven eigenschappen.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

IP-adres van speciale egress dedicated-egress-ip-address

Een specifiek IP adres kan veiligheid verbeteren wanneer het integreren met verkopers SaaS (als een verkoper van CRM) of andere integratie buiten AEM as a Cloud Service die een lijst van gewenste personen van IP adressen aanbieden. Door het specifieke IP adres aan de lijst van gewenste personen toe te voegen, zorgt het ervoor dat slechts het verkeer van AEM Cloud Service wordt toegelaten om in de externe dienst te stromen. Dit is naast verkeer van om het even welke andere toegestane IPs.

Het zelfde specifieke IP wordt toegepast op alle programma's in uw organisatie van de Adobe en voor alle milieu's in elk van uw programma's. Het is van toepassing op zowel auteur- als Publish-services.

Zonder de specifieke IP toegelaten adreseigenschap, verkeer dat uit AEM as a Cloud Service komt door een reeks IPs stroomt die met andere klanten van AEM as a Cloud Service wordt gedeeld.

Het vormen van specifiek uitgang IP adres is gelijkaardig aan flexibele havenuitgang. Het belangrijkste verschil is dat na configuratie, het verkeer altijd van specifieke, unieke IP zal weggaan. Om dat IP te vinden, gebruik DNS resolver om het IP adres te identificeren verbonden aan p{PROGRAM_ID}.external.adobeaemcloud.com. Het IP adres wordt verwacht niet te veranderen, maar als het moet veranderen, wordt het geavanceerde bericht verstrekt.

UI-configuratie configuring-dedicated-egress-provision-ui

Een nieuw verslag verschijnt onder de rubriek van de Infrastructuur van het Netwerk in het zijpaneel met inbegrip van details van het type van infrastructuur, status, gebied, en milieu's waarop het is toegelaten.

API-configuratie configuring-dedicated-egress-provision-api

Eenmaal per programma wordt het eindpunt van de POST /program/<programId>/networkInfrastructures aangeroepen, waarbij alleen de waarde dedicatedEgressIp voor de parameter en het gebied kind wordt doorgegeven. Het eindpunt reageert met network_id en andere informatie, waaronder de status.

Eenmaal geroepen, duurt het typisch ongeveer 15 minuten voor de voorzien van een netwerkinfrastructuur. Een vraag aan het Cloud Manager eindpunt van de GET van de netwerkinfrastructuurzou een status van klaar tonen.

Verkeer dat dedicated-egress-ip-traffic-routing

HTTP- of https-verkeer wordt door een vooraf geconfigureerde proxy geleid, op voorwaarde dat deze standaard Java™-systeemeigenschappen voor proxyconfiguraties gebruiken.

Niet-http/s-verkeer met doelen via poorten die zijn gedeclareerd in de parameter portForwards moet verwijzen naar een eigenschap met de naam AEM_PROXY_HOST , samen met de toegewezen poort. Bijvoorbeeld:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Functiegebruik feature-usage

De functie is compatibel met Java™-code of bibliotheken die resulteren in uitgaand verkeer, op voorwaarde dat deze standaard Java™-systeemeigenschappen gebruiken voor proxyconfiguraties. In de praktijk moet dit ook de meest gangbare bibliotheken omvatten.

Hieronder ziet u een codevoorbeeld:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Sommige bibliotheken vereisen expliciete configuratie om standaard Java™ systeemeigenschappen voor volmachtsconfiguraties te gebruiken.

Een voorbeeld dat Apache HttpClient gebruikt die expliciete vraag aan vereist
HttpClientBuilder.useSystemProperties()of gebruik
HttpClients.createSystem():

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Foutopsporingsoverwegingen debugging-considerations

Om te bevestigen dat het verkeer inderdaad op het verwachte specifieke IP adres, controlelogboeken binnen de bestemmingsdienst, als beschikbaar gaat. Anders, kan het nuttig zijn om uit te roepen aan de het zuiveren dienst zoals https://ifconfig.me/ip, die het roepende IP adres terugkeert.

Virtual Private Network (VPN) vpn

VPN staat het verbinden met een infrastructuur op-gebouw of gegevenscentrum van de auteur toe, publiceert, of voorproefinstanties. Dit kan bijvoorbeeld handig zijn om de toegang tot een database te beveiligen. Het staat ook het verbinden met verkopers SaaS zoals een verkoper van CRM toe die VPN steunt of het verbinden van een collectief netwerk met de auteur van AEM as a Cloud Service, voorproef, of publiceer instantie.

De meeste apparaten van VPN met technologie IPSec worden gesteund. Raadpleeg de informatie in de RouteBased configuratieinstructies kolom in deze lijst van apparaten. Configureer het apparaat zoals beschreven in de tabel.

UI-configuratie configuring-vpn-ui

Een nieuw verslag verschijnt onder de rubriek van de Infrastructuur van het Netwerk in het zijpaneel met inbegrip van details van het type van infrastructuur, status, gebied, en milieu's waarop het is toegelaten.

API-configuratie configuring-vpn-api

Eenmaal per programma wordt het eindpunt POST /program/<programId>/networkInfrastructures aangeroepen. Het gaat in een lading van configuratieinformatie over. Die informatie omvat de waarde van vpn voor de kind parameter, het gebied, de adresruimte (lijst van CIDRs - merk op dat dit niet later kan worden gewijzigd), DNS oplossers (voor het oplossen van namen in uw netwerk). Het omvat ook de verbindingsinformatie van VPN zoals gatewayconfiguratie, gedeelde sleutel van VPN, en het IP veiligheidsbeleid. Het eindpunt reageert met network_id en andere informatie, waaronder de status.

Zodra geroepen, duurt het typisch van 45 door 60 minuten voor de voorzien van een netwerkinfrastructuur om worden provisioned. De methode GET in de API kan worden aangeroepen om de status te retourneren, die uiteindelijk wordt gespiegeld van creating naar ready . Raadpleeg de API-documentatie voor alle staten.

Verkeer dat vpn-traffic-routing

De lijst beschrijft hieronder verkeer dat verplettert.

Nuttige domeinen voor configuratie vpn-useful-domains-for-configuration

Het hieronder diagram verstrekt een visuele vertegenwoordiging van een reeks domeinen en bijbehorende IPs die voor configuratie en ontwikkeling nuttig zijn. De lijst verder onder het diagram beschrijft die domeinen en IPs.

VPN beperken tot Ingress-verbindingen restrict-vpn-to-ingress-connections

Als u slechts de toegang van VPN tot AEM wilt toestaan, kunnen de milieu lijsten van gewenste personen in Cloud Manager worden gevormd zodat slechts IP die door p{PROGRAM_ID}.external.adobeaemcloud.com wordt bepaald om met het milieu wordt toegestaan te spreken. Dit kan de zelfde manier zoals om het even welke andere op IP-Gebaseerde lijst van gewenste personen in Cloud Manager worden gedaan.

Als de regels op weg-gebaseerd moeten zijn, gebruik standaardHTTP- richtlijnen op het niveau van Dispatcher om bepaalde IPs te ontkennen of toe te staan. Zij zouden ervoor moeten zorgen dat de gewenste wegen bij CDN ook niet cacheable zijn zodat het verzoek altijd aan oorsprong krijgt.

Voorbeeld van HTTP-configuratie httpd-example

Order deny,allow
Deny from all
Allow from 192.168.0.1
Header always set Cache-Control private

Geavanceerde netwerkconfiguraties inschakelen voor omgevingen enabling

Zodra u een geavanceerde voorzien van een netwerkoptie voor een programma hebt gevormd, of flexibele havenuitgang, specifiek uitgangIP adres, of VPN, om het te gebruiken, moet u het op het milieuniveau toelaten.

Wanneer u een geavanceerde voorzien van een netwerkconfiguratie voor een milieu toelaat, kunt u facultatieve haven ook toelaten door:sturen en niet volmachtsgastheren. De parameters zijn configureerbaar per milieu om flexibiliteit aan te bieden.

UI-interface inschakelen enabling-ui

De geavanceerde voorzien van een netwerkconfiguratie wordt toegepast op het geselecteerde milieu. Terug op het lusje van Milieu's, kunt u de details van de configuratie zien die op het geselecteerde milieu en hun status wordt toegepast.

wordt gevormd

De API inschakelen enabling-api

Om een geavanceerde voorzien van een netwerkconfiguratie voor een milieu toe te laten, moet het PUT /program/<program_id>/environment/<environment_id>/advancedNetworking eindpunt per milieu worden aangehaald.

De API moet binnen een paar seconden reageren, wat de status updating aangeeft. Na ongeveer 10 minuten, toont een vraag aan het de milieu GET van Cloud Manager eindpunt een status van ready, erop wijzend dat de update aan het milieu wordt toegepast.

Per milieuhaven die regels door:sturen kan worden bijgewerkt door het PUT /program/{programId}/environment/{environmentId}/advancedNetworking eindpunt, en met inbegrip van de volledige reeks configuratieparameters, eerder dan een ondergroep aan te halen.

Het specifieke IP adres van de uitgang en VPN de gevorderde voorzien van een netwerktypes steunen a nonProxyHosts parameter. Dit laat u een reeks gastheren verklaren die door een gedeelde IPs adreswaaier eerder dan specifieke IP zou moeten leiden. De nonProxyHost URL's volgen mogelijk de patronen van example.com of *.example.com , waarbij jokertekens alleen aan het begin van het domein worden ondersteund.

Zelfs als er geen milieu verkeer zijn dat regels (gastheren of omleidingen) verplettert, PUT /program/<program_id>/environment/<environment_id>/advancedNetworking moet nog worden geroepen, enkel met een lege lading.

Geavanceerde netwerkconfiguraties in omgevingen bewerken en verwijderen editing-deleting-environments

Na toelatend geavanceerde voorzien van een netwerkconfiguraties aan milieu's,kunt u de details van die configuraties bijwerken of hen schrappen.

Bewerken of verwijderen met de gebruikersinterface editing-ui

De veranderingen worden weerspiegeld op het Milieu lusje.

Bewerken of verwijderen met de API editing-api

Als u geavanceerde netwerken voor een bepaalde omgeving wilt verwijderen, roept u DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]() aan.

De netwerkinfrastructuur van een programma bewerken en verwijderen editing-deleting-program

Zodra de netwerkinfrastructuur voor een programma wordt gecreeerd, slechts kunnen de beperkte eigenschappen worden uitgegeven. Als u het niet meer vereist, kunt u de geavanceerde voorzien van een netwerkinfrastructuur voor uw volledig programma schrappen.

Bewerken en verwijderen met de gebruikersinterface delete-ui

De veranderingen worden weerspiegeld op het Milieu lusje.

Bewerken en verwijderen met de API delete-api

Om te schrappen de netwerkinfrastructuur voor een programma, haalt DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID} aan.

Het wijzigen van het infrastructuurtype voor geavanceerde netwerken van een programma changing-program

Het is slechts mogelijk om één type van geavanceerde voorzien van een netwerkinfrastructuur te hebben die voor een programma tegelijkertijd wordt gevormd, moet de geavanceerde voorzien van een netwerkinfrastructuur of flexibele havenuitgang, specifiek IP adres van de uitgang, of VPN.

Als u besluit dat u een ander geavanceerd type van voorzien van een netwerkinfrastructuur dan reeds hebt gevormd, schrap bestaande, en creeer andere. Ga als volgt te werk:

Geavanceerde netwerkconfiguratie voor andere Publish-regio's advanced-networking-configuration-for-additional-publish-regions

Wanneer een extra gebied aan een milieu wordt toegevoegd dat reeds gevormd geavanceerd voorzien van een netwerk heeft, publiceert het verkeer van het extra gebied dat de geavanceerde voorzien van een netwerkregelroute door het primaire gebied door gebrek aanpast. Nochtans, als het primaire gebied niet beschikbaar wordt, wordt het geavanceerde voorzien van een netwerkverkeer gelaten vallen als het geavanceerde voorzien van een netwerk niet in het extra gebied is toegelaten. Als u de latentie wilt optimaliseren en de beschikbaarheid wilt verhogen in het geval dat een van de gebieden een onderbreking ondergaat, is het noodzakelijk om geavanceerde netwerken voor de extra publicatiegebieden toe te laten. In de volgende secties worden twee verschillende scenario's beschreven.

Specifieke IP van de Eis Adressen additional-publish-regions-dedicated-egress

Geavanceerde netwerken zijn al ingeschakeld in het primaire gebied already-enabled

Als een geavanceerde voorzien van een netwerkconfiguratie reeds in het primaire gebied wordt toegelaten, volg deze stappen:

Geavanceerde netwerken nog niet geconfigureerd in een regio not-yet-configured

De procedure is grotendeels vergelijkbaar met de voorgaande instructies. Nochtans, als het productiemilieu nog niet voor geavanceerd voorzien van een netwerk is toegelaten, is er een kans om de configuratie te testen door het in een het opvoeren milieu eerst toe te laten:

VPN vpn-regions

De procedure is bijna identiek aan de specifieke IP van de uitgang adresinstructies. Het enige verschil is dat naast het gebiedsbezit dat verschillend van het primaire gebied wordt gevormd, het connections.gateway gebied naar keuze kan worden gevormd. De configuratie kan aan een verschillend eindpunt leiden van VPN dat door uw organisatie wordt in werking gesteld, geografisch dichter aan het nieuwe gebied.

Problemen oplossen

Gelieve te worden geadviseerd dat de volgende punten als informatieve richtlijnen worden verstrekt en beste praktijken voor het oplossen van problemen omvatten. Deze aanbevelingen zijn bedoeld als hulp bij het effectief diagnosticeren en oplossen van problemen.

Verbinding samenvoegen connection-pooling-advanced-networking

Verbindingspooling is een techniek die wordt gemaakt en onderhouden om een bewaarplaats van verbindingen te creëren, die klaar voor onmiddellijk gebruik door om het even welke draad staan die hen kan vereisen. Veel technieken voor het bundelen van verbindingen zijn te vinden op verschillende online platforms en bronnen, elk met zijn unieke verdiensten en overwegingen. Wij moedigen onze klanten aan om deze methodologieën te onderzoeken om één te identificeren het meest compatibel met de architectuur van hun systeem.

Het uitvoeren van een aangewezen verbinding het groeperen strategie is een pro-actieve maatregel om een gemeenschappelijk toezicht in systeemconfiguratie te verbeteren, die vaak tot suboptimale prestaties leidt. Door correct een verbindingspool te vestigen, kan Adobe Experience Manager (AEM) de efficiency van externe vraag verbeteren. Dit vermindert niet alleen middelverbruik maar ook het risico van de dienstverstoringen en vermindert de waarschijnlijkheid om ontbroken verzoeken te ontmoeten wanneer het communiceren met stroomopwaartse servers.

In het licht van deze informatie, adviseert de Adobe het herbeoordelen van uw huidige AEM configuratie en overweegt de opzettelijke opneming van verbinding het groeperen samen met de Geavanceerde montages van het Voorzien van een netwerk. Door het beheer van het aantal parallelle verbindingen en het minimaliseren van de mogelijkheid van verkoop, leiden deze maatregelen tot een vermindering van het risico dat proxyservers hun verbindingsgrenzen bereiken. Deze strategische uitvoering is dan ook bedoeld om de kans te verkleinen dat verzoeken geen externe eindpunten bereiken.

Veelgestelde vragen over verbindingslimieten

Bij gebruik van Advanced Networking is het aantal verbindingen beperkt om stabiliteit in verschillende omgevingen te garanderen en te voorkomen dat lagere omgevingen de beschikbare verbindingen uitputten.

De verbindingen zijn beperkt tot 1000 per AEM instantie en het alarm wordt verzonden naar klanten wanneer het aantal 750 bereikt.

Is de verbindingsgrens die slechts op uitgaand verkeer uit niet-standaardhavens of op al uitgaand verkeer wordt toegepast?

De grens is slechts voor verbindingen die Geavanceerde Voorzien van een netwerk gebruiken (uitgang op niet-standaardhavens, gebruikend specifieke uitgang IP, of VPN).

We zien geen significant verschil in het aantal uitgaande verbindingen. Waarom ontvangen we nu de kennisgeving?

Als de klant dynamisch verbindingen creeert (bijvoorbeeld, één of meerdere voor elk verzoek), kan een toename in verkeer de verbindingen veroorzaken om te pieken.

Is het mogelijk dat we in het verleden een vergelijkbare situatie hebben meegemaakt zonder dat we op de hoogte zijn gesteld?

Waarschuwingen worden alleen verzonden wanneer de zachte limiet is bereikt.

Wat gebeurt er als de maximumgrens wordt bereikt?

Wanneer de harde grens wordt bereikt, zullen de nieuwe toegangsverbindingen van AEM door Geavanceerde Voorzien van een netwerk (uitgang op niet-standaardhavens, gebruikend specifieke uitgang IP, of VPN) worden gelaten vallen om tegen een aanval van Dos te beschermen.

Kan de limiet worden verhoogd?

Nee, het hebben van een groot aantal verbindingen kan een aanzienlijke invloed op de prestaties hebben en een DoS voor alle pods en omgevingen.

Worden de verbindingen automatisch gesloten door het AEM na een bepaalde periode?

Ja, verbindingen worden op JVM-niveau gesloten en verschillende punten in de netwerkinfrastructuur. Dit zal echter te laat zijn voor elke productiedienst. De verbindingen zouden uitdrukkelijk moeten worden gesloten wanneer niet meer nodig of teruggekeerd aan de pool wanneer het gebruiken van verbinding het groeperen. Anders zal het verbruik van hulpbronnen te hoog zijn en kan dit leiden tot uitputting van de middelen.

Als de maximale verbindingslimiet is bereikt, heeft dit gevolgen voor licenties en leidt dit tot extra kosten?

Nee, er zijn geen licenties of kosten verbonden aan deze limiet. Het is een technische grens.

Hoe dicht staan we bij de grens? Wat is de maximumgrens?

De waarschuwing wordt geactiveerd wanneer de verbindingen groter zijn dan 750. De maximumgrens is 1000 verbindingen per AEM instantie.

Is deze grens van toepassing op VPNs?

Ja, is de grens op verbindingen van toepassing gebruikend het Geavanceerde Voorzien van een netwerk, met inbegrip van VPNs.

Als wij een Dedicated IP van de Eis gebruiken, zal deze grens nog van toepassing zijn?

Ja, is de grens nog van toepassing als het gebruiken van een specifieke uitgang IP.