Configuração de redes avançadas para o AEM as a Cloud Service configuring-advanced-networking

Este artigo apresenta os diferentes recursos avançados de rede no AEM as a Cloud Service, incluindo autoatendimento e provisionamento de API de VPN, portas não padrão e endereços IP de saída dedicados.

Visão geral overview

O AEM as a Cloud Service oferece as seguintes opções avançadas de rede:

Este artigo descreve cada uma dessas opções em detalhes e por que você pode usá-las, antes de descrever como elas são configuradas usando a interface do usuário do Cloud Manager e a API. O artigo termina com alguns casos de uso avançados.

Requisitos e limitações requirements

Ao configurar recursos avançados de rede, as seguintes restrições se aplicam.

Configurando e Ativando a Rede Avançada configuring-enabling

O uso de recursos avançados de rede requer duas etapas:

Ambas as etapas podem ser realizadas usando a interface do usuário do Cloud Manager ou a API do Cloud Manager.

Saída flexível da porta flexible-port-egress

Esse recurso avançado de rede permite configurar o AEM as a Cloud Service para direcionar o tráfego de saída por portas diferentes da HTTP (porta 80) e HTTPS (porta 443), que são abertas por padrão.

Configuração da interface configuring-flexible-port-egress-provision-ui

Um novo registro aparece abaixo do Infraestrutura de rede cabeçalho no painel lateral, incluindo detalhes do tipo de infraestrutura, status, região e ambientes em que foi ativado.

Configuração da API configuring-flexible-port-egress-provision-api

Uma vez por programa, o endpoint /program/<programId>/networkInfrastructures POST é chamado, passando o valor de flexiblePortEgress para o parâmetro e região kind. O endpoint responde com a network_ide outras informações, incluindo o status.

Uma vez chamada, normalmente leva aproximadamente 15 minutos para a infraestrutura de rede ser provisionada. Uma chamada para o Cloud Manager ponto de acesso do GET de infraestrutura de rede mostraria um status de pronto.

Roteamento de tráfego flexible-port-egress-traffic-routing

Para o tráfego http ou https fluindo para portas que não sejam a 80 ou a 443, um proxy deve ser configurado usando as seguintes variáveis de ambiente de host e porta:

Por exemplo, este é um exemplo de código para enviar uma solicitação para o www.example.com:8443:

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Se estiver usando bibliotecas de rede Java™ não padrão, configure proxies usando as propriedades acima para todo o tráfego.

O tráfego não http/s com destinos por meio de portas declaradas no parâmetro portForwards deve fazer referência a uma propriedade chamada AEM_PROXY_HOST, juntamente com a porta mapeada. Por exemplo:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

A tabela abaixo descreve o roteamento de tráfego:

Configuração do Apache/Dispatcher apache-dispatcher

A diretiva mod_proxy da camada do AEM Cloud Service Apache/Dispatcher pode ser configurada usando as propriedades descritas acima.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

Endereço IP de saída dedicado dedicated-egress-ip-address

Um endereço IP dedicado pode melhorar a segurança ao ser integrado a fornecedores SaaS (como um fornecedor de CRM) ou outras integrações fora do AEM as a Cloud Service que oferecem uma inclui na lista de permissões de endereços IP. Ao adicionar o endereço IP dedicado ao incluo na lista de permissões, garante que somente o tráfego da AEM Cloud Service possa fluir para o serviço externo. Além do tráfego de qualquer outro IP permitido.

O mesmo IP dedicado é aplicado a todos os programas em sua Organização Adobe e para todos os ambientes em cada um de seus programas. Aplica-se aos serviços Autor e Publicação.

Sem o recurso de endereço IP dedicado habilitado, o tráfego proveniente do AEM as a Cloud Service flui por meio de um conjunto de IPs compartilhados com outros clientes do AEM as a Cloud Service.

A configuração do endereço IP de saída dedicado é semelhante a saída de porta flexível. A principal diferença é que, após a configuração, o tráfego sempre sairá de um IP dedicado e exclusivo. Para localizar esse IP, use um resolvedor de DNS para identificar o endereço IP associado a p{PROGRAM_ID}.external.adobeaemcloud.com. Não é esperado que o endereço IP mude, mas se precisar mudar, é fornecida uma notificação com antecedência.

Configuração da interface configuring-dedicated-egress-provision-ui

Um novo registro aparece abaixo do Infraestrutura de rede cabeçalho no painel lateral, incluindo detalhes do tipo de infraestrutura, status, região e ambientes em que foi ativado.

Configuração da API configuring-dedicated-egress-provision-api

Uma vez por programa, o endpoint /program/<programId>/networkInfrastructures POST é chamado, passando o valor de dedicatedEgressIp para o parâmetro e região kind. O endpoint responde com a network_ide outras informações, incluindo o status.

Uma vez chamada, normalmente leva aproximadamente 15 minutos para a infraestrutura de rede ser provisionada. Uma chamada para o Cloud Manager ponto de acesso do GET de infraestrutura de rede mostraria um status de pronto.

Roteamento de tráfego dedicated-egress-ip-traffic-routing

O tráfego http ou https passa por um proxy pré-configurado, desde que use propriedades padrão do sistema Java™ para configurações de proxy.

O tráfego não http/s com destinos por meio de portas declaradas no parâmetro portForwards deve fazer referência a uma propriedade chamada AEM_PROXY_HOST, juntamente com a porta mapeada. Por exemplo:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Uso de recursos feature-usage

O recurso é compatível com código Java™ ou bibliotecas que resultam em tráfego de saída, desde que usem propriedades padrão do sistema Java™ para configurações de proxy. Na prática, isso deve incluir as bibliotecas mais comuns.

Abaixo está uma amostra de código:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Algumas bibliotecas exigem configuração explícita para usar as propriedades padrão do sistema Java™ para configurações de proxy.

Um exemplo usando o Apache HttpClient que requer chamadas explícitas ao
HttpClientBuilder.useSystemProperties() ou use
HttpClients.createSystem():

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Considerações sobre depuração debugging-considerations

Para validar se o tráfego está realmente saindo do endereço IP dedicado, como esperado, verifique os logs no serviço de destino, se disponível. Caso contrário, pode ser útil chamar um serviço de depuração como https://ifconfig.me/ip, que retorna o endereço IP de chamada.

VPN (Virtual Private Network) vpn

Uma VPN permite a conexão com uma infraestrutura local ou data center a partir das instâncias de autor, publicação ou pré-visualização. Isso pode ser útil, por exemplo, para proteger o acesso a um banco de dados. Também permite a conexão com fornecedores SaaS, como um fornecedor CRM que oferece suporte a VPN ou à conexão de uma rede corporativa a uma instância as a Cloud Service de autor, pré-visualização ou publicação de AEM.

A maioria dos dispositivos VPN com tecnologia IPSec é compatível. Consulte as informações na Instruções de configuração baseadas em rota coluna em esta lista de dispositivos. Configure o dispositivo conforme descrito na tabela.

Configuração da interface configuring-vpn-ui

Um novo registro aparece abaixo do Infraestrutura de rede cabeçalho no painel lateral, incluindo detalhes do tipo de infraestrutura, status, região e ambientes em que foi ativado.

Configuração da API configuring-vpn-api

Uma vez por programa, o POST /program/<programId>/networkInfrastructures o ponto de extremidade é chamado. Ele passa em uma carga de informações de configuração. Essas informações incluem o valor de vpn para o kind parâmetro, região, espaço de endereço (lista de CIDRs - observe que isso não pode ser modificado posteriormente), resolvedores de DNS (para resolver nomes na rede). Também inclui informações de conexão VPN, como configuração de gateway, chave VPN compartilhada e política de segurança IP. O endpoint responde com a network_ide outras informações, incluindo o status.

Uma vez chamada, normalmente leva de 45 a 60 minutos para a infraestrutura de rede ser provisionada. O método GET na API pode ser chamado para retornar o status, que eventualmente inverte de creating para ready. Consulte a documentação da API para todos os estados.

Roteamento de tráfego vpn-traffic-routing

A tabela abaixo descreve o roteamento de tráfego.

Domínios úteis para configuração vpn-useful-domains-for-configuration

O diagrama abaixo fornece uma representação visual de um conjunto de domínios e IPs associados que são úteis para configuração e desenvolvimento. A tabela abaixo do diagrama descreve esses domínios e IPs.

Restringir VPN a conexões de entrada restrict-vpn-to-ingress-connections

Se você quiser permitir somente o acesso VPN ao AEM, as listas de permissões do ambiente poderão ser configuradas no Cloud Manager para que somente o IP definido por p{PROGRAM_ID}.external.adobeaemcloud.com tenha permissão para se comunicar com o ambiente. Isso pode ser feito da mesma forma que qualquer outro incluo na lista de permissões com base em IP no Cloud Manager.

Se as regras tiverem de ser baseadas em caminho, use as diretivas http padrão no nível do Dispatcher para negar ou permitir determinados IPs. Isso deve garantir que os caminhos desejados também não sejam armazenados em cache na CDN, para que a solicitação sempre chegue à origem.

Exemplo De Configuração Httpd httpd-example

Order deny,allow
Deny from all
Allow from 192.168.0.1
Header always set Cache-Control private

Ativar configurações avançadas de rede em ambientes enabling

Depois de configurar uma opção avançada de rede para um programa, saída de porta flexível, endereço IP de saída dedicadoou VPN, para usá-lo, você deve ativá-lo no nível do ambiente.

Ao habilitar uma configuração avançada de rede para um ambiente, você também pode habilitar o encaminhamento de portas opcional e hosts não proxy. Os parâmetros são configuráveis por ambiente para oferecer flexibilidade.

Ativação do uso da interface enabling-ui

A configuração avançada de rede é aplicada ao ambiente selecionado. De volta ao Ambientes você poderá ver os detalhes da configuração aplicada ao ambiente selecionado e seus status.

Ativação do uso da API enabling-api

Para habilitar uma configuração avançada de rede para um ambiente, a variável PUT /program/<program_id>/environment/<environment_id>/advancedNetworking O endpoint deve ser chamado por ambiente.

A API deve responder em apenas alguns segundos, indicando um status de updating. Após cerca de 10 minutos, uma chamada para o GET de ambiente do Cloud Manager mostra um status de ready, indicando que a atualização do ambiente foi aplicada.

As regras de encaminhamento de porta por ambiente podem ser atualizadas chamando o PUT /program/{programId}/environment/{environmentId}/advancedNetworking e incluindo o conjunto completo de parâmetros de configuração, em vez de um subconjunto.

Endereço IP de saída dedicado e tipos avançados de rede VPN suportam um nonProxyHosts parâmetro. Isso permite declarar um conjunto de hosts que devem rotear por um intervalo de endereços IPs compartilhados em vez do IP dedicado. Os URLs nonProxyHost podem seguir os padrões example.com ou *.example.com, em que o curinga é compatível somente no início do domínio.

Mesmo se não houver regras de roteamento de tráfego de ambiente (hosts ou ignoradas), PUT /program/<program_id>/environment/<environment_id>/advancedNetworking ainda deve ser chamado, apenas com uma carga vazia.

Editar e excluir configurações avançadas de rede em ambientes editing-deleting-environments

Depois possibilitando configurações avançadas de rede para ambientes, você pode atualizar os detalhes dessas configurações ou excluí-las.

Edição ou exclusão usando a interface do editing-ui

As alterações refletem-se no Ambientes guia.

Edição ou exclusão usando a API editing-api

Para excluir a rede avançada de um ambiente específico, chame DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]().

Editar e excluir a infraestrutura de rede de um programa editing-deleting-program

Depois que a infraestrutura de rede é criada para um programa, somente as propriedades limitadas podem ser editadas. Se não precisar mais dela, você poderá excluir a infraestrutura de rede avançada de todo o programa.

Edição e exclusão com a interface delete-ui

As alterações refletem-se no Ambientes guia.

Edição e exclusão com a API delete-api

Para excluir a infraestrutura de rede de um programa, chame DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID}.

Alterando o Tipo de Infraestrutura Avançada de Rede de um Programa changing-program

Só é possível ter um tipo de infraestrutura avançada de rede configurada para um programa de cada vez. A infraestrutura avançada de rede deve ter saída de porta flexível, endereço IP de saída dedicado ou VPN.

Se você decidir que precisa de outro tipo de infraestrutura de rede avançada além daquele que você já configurou, exclua o existente e crie outro. Faça o seguinte:

Configuração avançada de rede para outras regiões de publicação advanced-networking-configuration-for-additional-publish-regions

Quando uma região adicional é adicionada a um ambiente que já tem rede avançada configurada, o tráfego da região de publicação adicional que corresponde às regras de rede avançadas é roteado pela região primária por padrão. No entanto, se a região primária ficar indisponível, o tráfego de rede avançada será interrompido se a rede avançada não tiver sido habilitada na região adicional. Se você quiser otimizar a latência e aumentar a disponibilidade caso uma das regiões sofra uma interrupção, será necessário ativar a rede avançada para as regiões de publicação adicionais. Dois cenários diferentes são descritos nas seções a seguir.

Endereço IP de saída dedicado additional-publish-regions-dedicated-egress

Rede avançada já habilitada na região principal already-enabled

Se uma configuração de rede avançada já estiver habilitada na região principal, siga estas etapas:

Rede avançada ainda não configurada em nenhuma região not-yet-configured

O procedimento é basicamente semelhante às instruções anteriores. No entanto, se o ambiente de produção ainda não tiver sido habilitado para redes avançadas, haverá uma oportunidade de testar a configuração, primeiro habilitando-a em um ambiente de preparo:

VPN vpn-regions

O procedimento é quase idêntico às instruções fornecidas para endereços IP de saída dedicados. A única diferença é que, além de a propriedade region ser configurada de forma diferente da região principal, a variável connections.gateway opcionalmente, o campo pode ser configurado. A configuração pode rotear para um terminal VPN diferente operado por sua organização, geograficamente mais próximo da nova região.