Konfigurera avancerat nätverk för AEM as a Cloud Service configuring-advanced-networking

I den här artikeln beskrivs de avancerade nätverksfunktionerna i AEM as a Cloud Service. Dessa funktioner omfattar självbetjäning och API-etablering av VPN, icke-standardportar och dedikerade IP-adresser för utgångar.

Förutom den här dokumentationen finns det också en serie självstudiekurser som hjälper dig igenom de olika avancerade nätverksalternativen. Se Avancerade nätverk.

curl -X POST https://cloudmanager.adobe.io/api/program/{PROGRAM_ID}/environment/{ENV_ID}/vpn \
   -H "Authorization: Bearer {ACCESS_TOKEN}" \
   -H "x-api-key: {API_KEY}" \
   -H "Content-Type: application/json" \
   -d '{
       "providerId": "aws",
       "portMappings": [
           {
               "name": "SSH",
               "protocol": "TCP",
               "port": 22
           }
       ]
   }'

Ökning overview

AEM as a Cloud Service erbjuder följande avancerade nätverksalternativ:

I den här artikeln beskrivs dessa alternativ i detalj och varför du kan använda dem, innan du beskriver hur de konfigureras med Cloud Manager-gränssnittet och med API:t. Artikeln avslutas med några exempel på avancerad användning.

Krav och begränsningar requirements

När avancerade nätverksfunktioner konfigureras gäller följande begränsningar.

Konfigurera och aktivera avancerat nätverk configuring-enabling

För avancerade nätverksfunktioner krävs två steg:

Båda stegen kan utföras med Cloud Manager-gränssnittet eller Cloud Manager-API:t.

Flexibla portägg flexible-port-egress

Med den här avancerade nätverksfunktionen kan du konfigurera AEM as a Cloud Service att utlösa trafik via andra portar än HTTP (port 80) och HTTPS (port 443), som är öppna som standard.

UI-konfiguration configuring-flexible-port-egress-provision-ui

En ny post visas under rubriken Nätverksinfrastruktur på sidopanelen. Den innehåller information om t.ex. typ av infrastruktur, status, region och de miljöer där den är aktiverad.

API-konfiguration configuring-flexible-port-egress-provision-api

När POST /program/<programId>/networkInfrastructures-slutpunkten har anropats per program skickas värdet flexiblePortEgress för parametern och regionen kind. Slutpunkten svarar med network_id och annan information, inklusive status.

När nätverksinfrastrukturen väl har anropats tar det oftast ca 15 minuter innan den etableras. Ett anrop till Cloud Manager nätverksinfrastruktur GET-slutpunkten skulle visa statusen ready.

Trafikroutning flexible-port-egress-traffic-routing

För http- eller https-trafik som går till andra portar än 80 eller 443 bör en proxy konfigureras med följande värden och portmiljövariabler:

Här följer exempelkoden som skickar en begäran till www.example.com:8443:

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

Om du använder Java™-nätverksbibliotek som inte är standard ska du konfigurera proxies med egenskaperna ovan för all trafik.

Icke-http/s-trafik med mål via portar som deklarerats i parametern portForwards ska referera till egenskapen AEM_PROXY_HOST, tillsammans med den mappade porten. Till exempel:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Tabellen nedan beskriver trafikdirigering:

Konfiguration av Apache/Dispatcher apache-dispatcher

AEM Cloud Service Apache/Dispatcher-skiktets mod_proxy-direktiv kan konfigureras med de egenskaper som beskrivs ovan.

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

IP-adress för dedikerad utpressning dedicated-egress-ip-address

En dedikerad IP-adress kan förbättra säkerheten vid integrering med SaaS-leverantörer (som en CRM-leverantör) eller andra integreringar utanför AEM as a Cloud Service som erbjuder en tillåtelselista av IP-adresser. Genom att lägga till den dedikerade IP-adressen i tillåtelselista säkerställer det att endast trafik från AEM Cloud-tjänsten tillåts att flöda in i den externa tjänsten. Detta tillvägagångssätt är utöver trafik från andra IP-adresser som tillåts.

Samma dedikerade IP-adress används för alla miljöer i ett program och gäller både för författartjänster och publiceringstjänster.

Utan den dedikerade IP-adressfunktionen aktiverad flödar trafiken från AEM as a Cloud Service via en delad uppsättning IP-adresser. Dessa IP-adresser används av andra AEM as a Cloud Service-kunder.

Konfigurationen av en dedikerad IP-adress för utgångar liknar flexibel portutgång. Den största skillnaden är att efter konfigurationen kommer trafiken alltid att gå från en dedikerad, unik IP-adress. Om du vill hitta IP-adressen använder du en DNS-matchare för att identifiera IP-adressen som är associerad med p{PROGRAM_ID}.external.adobeaemcloud.com. IP-adressen förväntas inte ändras, men om den måste ändras visas ett avancerat meddelande.

UI-konfiguration configuring-dedicated-egress-provision-ui

En ny post visas under rubriken Nätverksinfrastruktur på sidopanelen. Den innehåller information om t.ex. typ av infrastruktur, status, region och de miljöer där den är aktiverad.

API-konfiguration configuring-dedicated-egress-provision-api

När POST /program/<programId>/networkInfrastructures-slutpunkten har anropats per program skickas värdet dedicatedEgressIp för parametern och regionen kind. Slutpunkten svarar med network_id och annan information, inklusive status.

När nätverksinfrastrukturen väl har anropats tar det oftast ca 15 minuter innan den etableras. Ett anrop till Cloud Manager nätverksinfrastruktur GET-slutpunkten skulle visa statusen ready.

Trafikroutning dedicated-egress-ip-traffic-routing

Http- och https-trafik går genom en förkonfigurerad proxy, förutsatt att de använder Java™-standardegenskaper för proxykonfigurationer.

Icke-http/s-trafik med mål via portar som deklarerats i parametern portForwards ska referera till egenskapen AEM_PROXY_HOST, tillsammans med den mappade porten. Till exempel:

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

Funktionsanvändning feature-usage

Funktionen är kompatibel med Java™-kod eller bibliotek som resulterar i utgående trafik, förutsatt att de använder Java™-standardegenskaper för proxykonfigurationer. I praktiken bör detta tillvägagångssätt omfatta de vanligaste biblioteken.

Nedan visas ett kodexempel:

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

Vissa bibliotek kräver explicit konfiguration för att använda Java™-standardegenskaper för proxykonfigurationer.

Ett exempel med Apache HttpClient som kräver explicita anrop till
HttpClientBuilder.useSystemProperties() eller använd
HttpClients.createSystem():

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

Felsökningsöverväganden debugging-considerations

Kontrollera loggarna i måltjänsten om de är tillgängliga för att verifiera att trafiken faktiskt är utgående från den förväntade dedikerade IP-adressen. Annars kan det vara praktiskt att ringa ut till en felsökningstjänst som https://ifconfig.me/ip som returnerar den anropande IP-adressen.

VPN (Virtual Private Network) vpn

Med ett VPN kan du ansluta till en lokal infrastruktur eller ett datacenter från författaren, publiceringen eller förhandsgranskningsinstanserna. Den här möjligheten kan till exempel vara användbar för att säkra åtkomsten till en databas. Det gör det även möjligt att ansluta till SaaS-leverantörer, t.ex. en CRM-leverantör som stöder VPN.

De flesta VPN-enheter med IPSec-teknik stöds. Läs informationen i kolumnen RouteBased configuration instructions i den här listan över enheter. Konfigurera enheten enligt beskrivningen i tabellen.

UI-konfiguration configuring-vpn-ui

En ny post visas under rubriken Nätverksinfrastruktur på sidopanelen. Den innehåller information om t.ex. typ av infrastruktur, status, region och de miljöer där den är aktiverad.

API-konfiguration configuring-vpn-api

En gång per program anropas slutpunkten POST /program/<programId>/networkInfrastructures. Den skickar en nyttolast med konfigurationsinformation. Den informationen innehåller värdet vpn för parametern kind, regionen, adressutrymmet (listan över CIDR - observera att det här värdet inte kan ändras senare), DNS-matchare (för att matcha namn i nätverket). Den innehåller även VPN-anslutningsinformation som gatewaykonfiguration, delad VPN-nyckel och IP-säkerhetsprincipen. Slutpunkten svarar med network_id och annan information, inklusive status.

När det anropats tar det oftast mellan 45 och 60 minuter innan nätverksinfrastrukturen etableras. GET-metoden i API:t kan anropas för att returnera statusen, som till slut ändras från creating till ready. Läs API-dokumentationen för alla lägen.

Trafikroutning vpn-traffic-routing

Tabellen nedan beskriver trafikdirigering.

Användbara domäner för konfiguration vpn-useful-domains-for-configuration

Bilden nedan visar en visuell representation av en uppsättning domäner och associerade IP-adresser som är användbara för konfiguration och utveckling. Tabellen längre ned i diagrammet beskriver dessa domäner och IP-adresser.

Aktivera avancerade nätverkskonfigurationer i miljöer enabling

När du har konfigurerat ett avancerat nätverksalternativ för ett program, oavsett om det är flexibel portutgång, dedikerad IP-adress eller VPN, måste du aktivera det på miljönivå.

När du aktiverar en avancerad nätverkskonfiguration för en miljö kan du även aktivera valfri portvidarebefordring och icke-proxyvärdar. Parametrar kan konfigureras per miljö för att ge flexibilitet.

Aktivera med användargränssnittet enabling-ui

Den avancerade nätverkskonfigurationen används i den valda miljön. På fliken Miljö kan du se information om den konfiguration som har tillämpats på den valda miljön och deras status.

Aktivera med API enabling-api

Om du vill aktivera en avancerad nätverkskonfiguration för en miljö måste slutpunkten PUT /program/<program_id>/environment/<environment_id>/advancedNetworking anropas per miljö.

API:t ska svara på bara några sekunder, vilket anger statusen updating. Efter cirka 10 minuter visas statusen ready för ett anrop till GET-slutpunkten för Cloud Manager-miljön, vilket anger att miljöuppdateringen tillämpas.

Det går att uppdatera portvidarebefordringsregler per miljö genom att anropa slutpunkten PUT /program/{programId}/environment/{environmentId}/advancedNetworking och inkludera hela uppsättningen konfigurationsparametrar, i stället för en delmängd.

Dedikerad IP-adress för utgångar och avancerade VPN-nätverkstyper har stöd för en nonProxyHosts-parameter. Med det här stödet kan du deklarera en uppsättning värdar som ska dirigeras via ett delat IP-adressintervall i stället för via den dedikerade IP-adressen. URL:erna för nonProxyHost kan följa mönstren för example.com eller *.example.com, där jokertecknet bara stöds i början av domänen.

Även om det inte finns några trafikroutningsregler för miljön (värdar eller bypass) måste PUT /program/<program_id>/environment/<environment_id>/advancedNetworking fortfarande anropas, bara med en tom nyttolast.

Redigera och ta bort avancerade nätverkskonfigurationer i miljöer editing-deleting-environments

När du har aktiverat avancerade nätverkskonfigurationer för miljöer kan du uppdatera informationen om dessa konfigurationer eller ta bort dem.

Redigera eller ta bort med användargränssnittet editing-ui

Ändringarna återspeglas på fliken Miljö.

Redigera eller ta bort med API:t editing-api

Anropa DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]() om du vill ta bort avancerade nätverk för en viss miljö.

Redigera och ta bort nätverksinfrastruktur för ett program editing-deleting-program

När nätverksinfrastrukturen har skapats för ett program kan endast begränsade egenskaper redigeras. Om du inte längre behöver det kan du ta bort den avancerade nätverksinfrastrukturen för hela programmet.

Redigera och ta bort med användargränssnittet delete-ui

Ändringarna återspeglas på fliken Miljö.

Redigera och ta bort med API:t delete-api

Anropa DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID} om du vill ta bort nätverksinfrastrukturen för ett program.

Ändra ett programs avancerade nätverksinfrastrukturtyp changing-program

Det är bara möjligt att ha en typ av avancerad nätverksinfrastruktur konfigurerad för ett program åt gången. Den avancerade nätverksinfrastrukturen måste antingen vara flexibel portutgång, dedikerad IP-adress för utgångar eller VPN.

Om du bestämmer dig för att du behöver en annan avancerad nätverksinfrastrukturtyp än den du redan har konfigurerat, tar du bort den befintliga och skapar en annan. Gör följande:

Avancerad nätverkskonfiguration för andra publiceringsregioner advanced-networking-configuration-for-additional-publish-regions

När ytterligare en region läggs till i en miljö med avancerade nätverk redan konfigurerade, följer trafiken från den extra publiceringsregionen de befintliga reglerna. Som standard dirigeras matchande trafik genom den primära regionen. Om den primära regionen blir otillgänglig tas emellertid den avancerade nätverkstrafiken bort om avancerade nätverk inte har aktiverats i den extra regionen. Om du vill optimera fördröjningen och öka tillgängligheten om någon av regionerna skulle råka ut för ett driftstopp är det nödvändigt att aktivera avancerade nätverk för de ytterligare publiceringsregionerna. Två olika scenarier beskrivs i följande avsnitt.

Dedikerade IP-adresser för Egress additional-publish-regions-dedicated-egress

Avancerade nätverk är redan aktiverade i den primära regionen already-enabled

Om en avancerad nätverkskonfiguration redan är aktiverad i den primära regionen gör du så här:

Avancerade nätverk har ännu inte konfigurerats i någon region not-yet-configured

Proceduren liknar oftast de föregående instruktionerna. Om produktionsmiljön ännu inte har aktiverats för avancerade nätverk finns det dock en möjlighet att testa konfigurationen genom att först aktivera den i en staging-miljö:

VPN vpn-regions

Proceduren är nästan identisk med de dedikerade IP-adressinstruktionerna för utgångar. Den enda skillnaden är att egenskapen region har konfigurerats på ett annat sätt än den primära regionen. Du kan också konfigurera fältet connections.gateway om du vill. Konfigurationen kan dirigera till en annan VPN-slutpunkt som hanteras av din organisation, geografiskt närmare den nya regionen.

Felsökning

Observera att följande punkter är informativa riktlinjer och innehåller bästa praxis för felsökning. Dessa rekommendationer är avsedda att bidra till att effektivt diagnostisera och lösa problem.

Anslutningspoolning connection-pooling-advanced-networking

Anslutningspoolning är en teknik som är anpassad för att skapa och underhålla en databas med anslutningar som är redo för omedelbar användning av alla trådar som kan behöva dem. Många sammanfogningstekniker finns på olika onlineplattformar och resurser, var och en med sina unika fördelar och överväganden. Adobe uppmuntrar kunderna att undersöka dessa metoder för att identifiera den som är mest kompatibel med systemets arkitektur.

Att införa en lämplig strategi för sammanfogning av anslutningar är en proaktiv åtgärd för att korrigera en vanlig tillsyn i systemkonfigurationen, vilket ofta leder till sämre prestanda. Genom att upprätta en anslutningspool på rätt sätt kan Adobe Experience Manager (AEM) effektivisera externa samtal. Det här tillvägagångssättet minskar inte bara resursförbrukningen utan minskar också risken för tjänstavbrott och minskar sannolikheten för att stöta på misslyckade begäranden vid kommunikation med servrar i tidigare led.

Utifrån denna information rekommenderar Adobe att du granskar din nuvarande AEM-konfiguration. Överväg också att avsiktligt använda anslutningspoolning tillsammans med de avancerade nätverksinställningarna. Genom att hantera antalet parallella anslutningar och minska antalet inaktuella anslutningar kan du optimera nätverkets prestanda. Dessa åtgärder minskar risken för att proxyservrar når sina anslutningsgränser. Denna strategiska implementering är därför avsedd att minska sannolikheten för att begäranden inte når externa slutpunkter.

Vanliga frågor om anslutningsgränser

När du använder avancerade nätverk är antalet anslutningar begränsat för att säkerställa stabilitet i olika miljöer och för att förhindra att lägre miljöer tömmer de tillgängliga anslutningarna.

Anslutningarna är begränsade till 1000 per AEM-instans och du får varningar när antalet är 750.

Gäller anslutningsgränsen endast utgående trafik från icke-standardportar eller all utgående trafik?

Gränsen gäller endast för anslutningar som använder avancerade nätverk (utgångar på portar som inte är standard, som använder dedikerad IP-adress eller VPN).

Antalet utgående anslutningar verkar inte öka nämnvärt. Varför tas meddelandet emot nu?

Om kunden skapar anslutningar dynamiskt (t.ex. en eller flera för varje begäran) kan en ökning av trafiken leda till att anslutningarna krymper.

Kan en liknande situation ha inträffat tidigare utan att utlösa en varning?

Varningar skickas endast när den mjuka gränsen nås.

Vad händer om maxgränsen nås?

När den hårda gränsen har nåtts tas nya utgångsanslutningar från AEM via avancerade nätverk (egress på portar som inte är standard, som använder dedikerad IP-adress eller VPN) bort för att skydda mot DoS-attacker.

Kan gränsen höjas?

Nej, om du har ett stort antal anslutningar kan det få en avsevärd prestandapåverkan och en DoS-funktion över brädor och miljöer.

Stängs anslutningarna automatiskt av AEM-systemet efter en viss period?

Ja, anslutningarna stängs på JVM-nivå och vid olika punkter i nätverksinfrastrukturen. Arbetsflödet är dock för sent för alla produktionstjänster. Anslutningar bör stängas explicit när de inte längre behövs eller återställs till poolen när anslutningspoolen används. I annat fall är resursförbrukningen för hög och kan leda till att resurser överbelastas.

Om den maximala anslutningsgränsen uppnås, påverkar den några licenser och leder till extra kostnader?

Nej, det finns ingen licens eller kostnad kopplad till den här gränsen. Det är en teknisk gräns.

Hur nära är den aktuella användningen till gränsen? Vad är den högsta tillåtna gränsen?

Varningen utlöses när anslutningarna överskrider 750. Maxgränsen är 1 000 anslutningar per AEM-instans.

Gäller denna gräns VPN?

Ja, gränsen gäller för anslutningar som använder avancerade nätverk, inklusive VPN.

Gäller begränsningen fortfarande när en dedikerad spärr-IP används?

Ja, gränsen gäller fortfarande om en dedikerad IP-adress används.