Konfigurera avancerat nätverk för AEM as a Cloud Service configuring-advanced-networking

I den här artikeln beskrivs de olika avancerade nätverksfunktionerna i AEM as a Cloud Service, inklusive självbetjäning och API-etablering av VPN, icke-standardportar och dedikerade IP-adresser.

Ökning overview

AEM as a Cloud Service har följande avancerade nätverksalternativ:

I den här artikeln beskrivs dessa alternativ i detalj och varför du kan använda dem, innan du beskriver hur de konfigureras med användargränssnittet i molnhanteraren och med API:t. Artikeln avslutas med några exempel på avancerad användning.

Krav och begränsningar requirements

När avancerade nätverksfunktioner konfigureras gäller följande begränsningar.

Konfigurera och aktivera avancerat nätverk configuring-enabling

För avancerade nätverksfunktioner krävs två steg:

Båda stegen kan utföras antingen med användargränssnittet i molnhanteraren eller med API:t för molnhanteraren.

Flexibla portägg flexible-port-egress

Med den här avancerade nätverksfunktionen kan du konfigurera AEM as a Cloud Service att utlösa trafik via andra portar än HTTP (port 80) och HTTPS (port 443), som är öppna som standard.

UI-konfiguration configuring-flexible-port-egress-provision-ui

En ny post visas under Nätverksinfrastruktur på sidopanelen med uppgifter om den typ av infrastruktur, status, region och miljö där den har aktiverats.

API-konfiguration configuring-flexible-port-egress-provision-api

POSTEN /program/<programId>/networkInfrastructures slutpunkten anropas, bara värdet för flexiblePortEgress för kind parameter och region. Slutpunkten svarar med network_idoch annan information, inklusive status.

När nätverksinfrastrukturen väl har anropats tar det oftast ca 15 minuter innan den etableras. Ett anrop till Cloud Managers slutpunkt för GET av nätverksinfrastruktur skulle visa status för klar.

Trafikroutning flexible-port-egress-traffic-routing

För http- eller https-trafik som går till andra portar än 80 eller 443 bör en proxy konfigureras med följande värden och portmiljövariabler:

Här följer till exempel exempelkoden som du kan skicka en begäran till www.example.com:8443:

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Om du använder Java™-nätverksbibliotek som inte är standard ska du konfigurera proxies med egenskaperna ovan för all trafik.

Ej http/s-trafik med destinationer via portar som deklarerats i portForwards parametern ska referera till en egenskap som kallas AEM_PROXY_HOST, tillsammans med den mappade porten. Till exempel:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Tabellen nedan beskriver trafikdirigering:

Konfiguration av Apache/Dispatcher apache-dispatcher

AEM Cloud Service Apache/Dispatcher-skiktets mod_proxy -direktivet kan konfigureras med hjälp av de egenskaper som beskrivs ovan.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

IP-adress för dedikerad utpressning dedicated-egress-ip-address

En dedikerad IP-adress kan förbättra säkerheten vid integrering med SaaS-leverantörer (som en CRM-leverantör) eller andra integreringar utanför AEM as a Cloud Service som erbjuder en tillåtelselista av IP-adresser. Genom att lägga till den dedikerade IP-adressen till tillåtelselista säkerställer det att endast trafik från AEM Cloud Service tillåts att flöda in i den externa tjänsten. Detta är utöver trafik från andra IP-adresser som tillåts.

Samma dedikerade IP-adress används för alla program i organisationen Adobe och för alla miljöer i alla program. Det gäller både författartjänster och publiceringstjänster.

Utan den dedikerade IP-adressfunktionen aktiverad flödar trafik från AEM as a Cloud Service genom en uppsättning IP-adresser som delas med andra AEM as a Cloud Service kunder.

Konfigurationen av IP-adressen för den dedikerade IP-adressen liknar den flexibel portutgång. Den största skillnaden är att efter konfigurationen kommer trafiken alltid att gå från en dedikerad, unik IP-adress. Om du vill hitta IP-adressen använder du en DNS-matchare för att identifiera IP-adressen som är associerad med p{PROGRAM_ID}.external.adobeaemcloud.com. IP-adressen förväntas inte ändras, men om den måste ändras visas ett avancerat meddelande.

UI-konfiguration configuring-dedicated-egress-provision-ui

En ny post visas under Nätverksinfrastruktur på sidopanelen med uppgifter om den typ av infrastruktur, status, region och miljö där den har aktiverats.

API-konfiguration configuring-dedicated-egress-provision-api

POSTEN /program/<programId>/networkInfrastructures slutpunkten anropas, bara värdet för dedicatedEgressIp för kind parameter och region. Slutpunkten svarar med network_idoch annan information, inklusive status.

När nätverksinfrastrukturen väl har anropats tar det oftast ca 15 minuter innan den etableras. Ett anrop till Cloud Managers slutpunkt för GET av nätverksinfrastruktur skulle visa status för klar.

Trafikroutning dedicated-egress-ip-traffic-routing

Http- och https-trafik går genom en förkonfigurerad proxy, förutsatt att de använder Java™-standardegenskaper för proxykonfigurationer.

Ej http/s-trafik med destinationer via portar som deklarerats i portForwards parametern ska referera till en egenskap som kallas AEM_PROXY_HOST, tillsammans med den mappade porten. Till exempel:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Funktionsanvändning feature-usage

Funktionen är kompatibel med Java™-kod eller bibliotek som resulterar i utgående trafik, förutsatt att de använder Java™-standardegenskaper för proxykonfigurationer. I praktiken bör detta omfatta de vanligaste biblioteken.

Nedan visas ett kodexempel:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Vissa bibliotek kräver explicit konfiguration för att använda Java™-standardegenskaper för proxykonfigurationer.

Ett exempel med Apache HttpClient som kräver explicita anrop till
HttpClientBuilder.useSystemProperties() eller använda
HttpClients.createSystem():

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Felsökningsöverväganden debugging-considerations

Kontrollera loggarna i måltjänsten om de är tillgängliga för att verifiera att trafiken faktiskt är utgående från den förväntade dedikerade IP-adressen. I annat fall kan det vara praktiskt att ringa ut till en felsökningstjänst som https://ifconfig.me/ip, som returnerar den anropande IP-adressen.

VPN (Virtual Private Network) vpn

Med ett VPN kan du ansluta till en lokal infrastruktur eller ett datacenter från författaren, publiceringen eller förhandsgranskningsinstanserna. Detta kan till exempel vara användbart för att skydda åtkomsten till en databas. Det gör det även möjligt att ansluta till SaaS-leverantörer, t.ex. en CRM-leverantör som stöder VPN eller ansluter från ett företagsnätverk till AEM as a Cloud Service författare, förhandsgranskning eller publiceringsinstans.

De flesta VPN-enheter med IPSec-teknik stöds. Läs informationen i RouteBased configuration instructions kolumn i den här listan över enheter. Konfigurera enheten enligt beskrivningen i tabellen.

UI-konfiguration configuring-vpn-ui

En ny post visas under Nätverksinfrastruktur på sidopanelen med uppgifter om den typ av infrastruktur, status, region och miljö där den har aktiverats.

API-konfiguration configuring-vpn-api

POSTEN /program/<programId>/networkInfrastructures slutpunkten anropas. Den skickar en nyttolast med konfigurationsinformation. Denna information innehåller värdet av vpn för kind parameter, region, adressutrymme (lista med CIDR - observera att detta inte kan ändras senare), DNS-matchare (för att matcha namn i nätverket). Den innehåller även VPN-anslutningsinformation som gatewaykonfiguration, delad VPN-nyckel och IP-säkerhetsprincipen. Slutpunkten svarar med network_idoch annan information, inklusive status.

När den anropats tar det oftast från 45 till 60 minuter innan nätverksinfrastrukturen etableras. GET-metoden i API kan anropas för att returnera statusen, som så småningom kommer från creating till ready. Läs API-dokumentationen för alla lägen.

Trafikroutning vpn-traffic-routing

Tabellen nedan beskriver trafikdirigering.

Användbara domäner för konfiguration vpn-useful-domains-for-configuration

Bilden nedan visar en visuell representation av en uppsättning domäner och associerade IP-adresser som är användbara för konfiguration och utveckling. Tabellen längre ned i diagrammet beskriver dessa domäner och IP-adresser.

Begränsa VPN till ingångsanslutningar restrict-vpn-to-ingress-connections

Om du bara vill tillåta VPN-åtkomst till AEM kan tillåtelselista konfigureras i Cloud Manager så att endast IP-adressen som definieras av p{PROGRAM_ID}.external.adobeaemcloud.com får tala med miljön. Detta kan göras på samma sätt som andra IP-baserade tillåtelselista i Cloud Manager.

Om reglerna måste vara sökvägsbaserade kan du använda http-standarddirektiv på Dispatcher-nivå för att neka eller tillåta vissa IP-adresser. De bör se till att de önskade sökvägarna inte heller är tillgängliga vid CDN så att begäran alltid kommer till ursprungsläget.

Exempel på Httpd-konfiguration httpd-example

Order deny,allow
Deny from all
Allow from 192.168.0.1
Header always set Cache-Control private

Aktivera avancerade nätverkskonfigurationer i miljöer enabling

När du har konfigurerat ett avancerat nätverksalternativ för ett program, oavsett om flexibel portutgång, dedikerad IP-adress för egress, eller VPNmåste du aktivera den på miljönivå för att kunna använda den.

När du aktiverar en avancerad nätverkskonfiguration för en miljö kan du även aktivera valfri portvidarebefordring och icke-proxyvärdar. Parametrar kan konfigureras per miljö för att ge flexibilitet.

Aktivera med användargränssnittet enabling-ui

Den avancerade nätverkskonfigurationen används i den valda miljön. Tillbaka till Miljö kan du se information om konfigurationen som används i den valda miljön och deras status.

Aktivera med API enabling-api

Om du vill aktivera en avancerad nätverkskonfiguration för en miljö PUT /program/<program_id>/environment/<environment_id>/advancedNetworking slutpunkten måste anropas per miljö.

API:t bör svara på bara några sekunder, vilket anger statusen updating. Efter cirka 10 minuter visas statusen för ett anrop till Cloud Managers GET-slutpunkt ready, vilket anger att uppdateringen av miljön tillämpas.

Portvidarebefordringsregler per miljö kan uppdateras genom att anropa PUT /program/{programId}/environment/{environmentId}/advancedNetworking slutpunkt och inkludera hela uppsättningen konfigurationsparametrar i stället för en delmängd.

Dedikerad IP-adress för utgångar och avancerade VPN-nätverkstyper stöder en nonProxyHosts parameter. Detta gör att du kan deklarera en uppsättning värdar som ska dirigeras via ett delat IP-adressintervall i stället för den dedikerade IP-adressen. The nonProxyHost URL:er kan följa mönstren för example.com eller *.example.com, där jokertecknet bara stöds i början av domänen.

Även om det inte finns några trafikdirigeringsregler för miljön (värdar eller bypass), PUT /program/<program_id>/environment/<environment_id>/advancedNetworking måste fortfarande anropas, bara med en tom nyttolast.

Redigera och ta bort avancerade nätverkskonfigurationer i miljöer editing-deleting-environments

Efter möjliggör avancerade nätverkskonfigurationer för miljöer, du kan uppdatera informationen om dessa konfigurationer eller ta bort dem.

Redigera eller ta bort med användargränssnittet editing-ui

Ändringarna återspeglas på Miljö -fliken.

Redigera eller ta bort med API:t editing-api

Om du vill ta bort avancerade nätverk för en viss miljö anropar du DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]().

Redigera och ta bort nätverksinfrastruktur för ett program editing-deleting-program

När nätverksinfrastrukturen har skapats för ett program kan endast begränsade egenskaper redigeras. Om du inte längre behöver det kan du ta bort den avancerade nätverksinfrastrukturen för hela programmet.

Redigera och ta bort med användargränssnittet delete-ui

Ändringarna återspeglas på Miljö -fliken.

Redigera och ta bort med API:t delete-api

Till delete nätverksinfrastrukturen för ett program, anropa DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID}.

Ändra ett programs avancerade nätverksinfrastrukturtyp changing-program

Det är bara möjligt att ha en typ av avancerad nätverksinfrastruktur konfigurerad för ett program åt gången. Den avancerade nätverksinfrastrukturen måste antingen ha flexibel portutgång, dedikerad IP-adress för utgångar eller VPN.

Om du bestämmer dig för att du behöver en annan avancerad nätverksinfrastrukturtyp än den du redan har konfigurerat, tar du bort den befintliga och skapar en annan. Gör följande:

Avancerad nätverkskonfiguration för andra publiceringsregioner advanced-networking-configuration-for-additional-publish-regions

När ytterligare en region läggs till i en miljö som redan har avancerade nätverk konfigurerade, dirigeras trafik från den extra publiceringsregionen som matchar de avancerade nätverksreglerna genom den primära regionen som standard. Om den primära regionen blir otillgänglig tas emellertid den avancerade nätverkstrafiken bort om avancerade nätverk inte har aktiverats i den extra regionen. Om du vill optimera fördröjningen och öka tillgängligheten om någon av regionerna skulle råka ut för ett driftstopp är det nödvändigt att aktivera avancerade nätverk för de ytterligare publiceringsregionerna. Två olika scenarier beskrivs i följande avsnitt.

Dedikerade IP-adresser för Egress additional-publish-regions-dedicated-egress

Avancerade nätverk är redan aktiverade i den primära regionen already-enabled

Om en avancerad nätverkskonfiguration redan är aktiverad i den primära regionen gör du så här:

Avancerade nätverk har ännu inte konfigurerats i någon region not-yet-configured

Proceduren liknar oftast de föregående instruktionerna. Om produktionsmiljön ännu inte har aktiverats för avancerade nätverk finns det dock en möjlighet att testa konfigurationen genom att först aktivera den i en staging-miljö:

VPN vpn-regions

Proceduren är nästan identisk med de dedikerade IP-adressinstruktionerna för utgångar. Den enda skillnaden är att förutom att egenskapen region konfigureras på ett annat sätt än den primära regionen är connections.gateway -fältet kan konfigureras om så önskas. Konfigurationen kan dirigera till en annan VPN-slutpunkt som hanteras av din organisation, geografiskt närmare den nya regionen.