專用輸出 IP 位址
瞭解如何設定及使用專用輸出IP位址,此位址允許來自AEM的輸出連線源自於專用IP。
什麼是專用輸出IP位址?
專用輸出IP位址允許來自AEM as a Cloud Service的請求使用專用IP位址,允許外部服務根據此IP位址篩選傳入請求。 如同彈性輸出埠,專用輸出IP可讓您在非標準連線埠上輸出。
Cloud Manager程式只能有 單一 網路基礎結構型別。 在執行下列命令之前,請確定專用輸出IP位址是您AEM as a Cloud Service最適當的網路基礎建設型別。
先決條件
使用Cloud Manager API設定專用輸出IP位址時,需要下列專案:
-
- 組織ID (亦稱為IMS組織ID)
- 使用者端ID (亦稱為API金鑰)
- 存取權杖(亦稱為持有人權杖)
-
Cloud Manager計畫ID
-
Cloud Manager環境ID
如需更多詳細資訊,請觀看以下逐步解說,瞭解如何設定、設定和取得Cloud Manger API認證,以及如何使用這些認證進行Cloud Manager API呼叫。
本教學課程使用curl來進行Cloud Manager API設定。 提供的curl命令採用Linux/macOS語法。 如果使用Windows命令提示字元,請將\分行符號取代為^。
在程式上啟用專用輸出IP位址
首先,在AEM as a Cloud Service上啟用並設定專用輸出IP位址。
專用輸出IP位址可使用Cloud Manager啟用。 下列步驟概述如何使用Cloud Manager在AEM as a Cloud Service上啟用專用輸出IP位址。
-
以Cloud Manager業務負責人身分登入Adobe Experience Manager Cloud Manager。
-
導覽至所需的計畫。
-
在左側功能表中,瀏覽至 服務>網路基礎結構。
-
選取 新增網路基礎結構 按鈕。
-
在 新增網路基礎結構 對話方塊中,選取 專用輸出IP位址 選項,然後選取 區域 以建立專用輸出IP位址。
-
選取 儲存 以確認新增專用輸出IP位址。
-
等候網路基礎結構建立並標示為 就緒。 此程式最多可能需要1小時。
在建立專用輸出IP位址後,您現在可以使用Cloud Manager API進行設定,如下所述。
專用輸出IP位址可使用Cloud Manager API啟用。 下列步驟概述如何使用Cloud Manager API在AEM as a Cloud Service上啟用專用輸出IP位址。
-
首先,使用Cloud Manager API listRegions作業,判斷需要進階網路的地區。 進行後續Cloud Manager API呼叫需要
region name。 通常會使用生產環境所在的區域。在環境的詳細資料底下的Cloud Manager中尋找您的AEM as a Cloud Service環境地區。 Cloud Manager中顯示的地區名稱可以對應到Cloud Manager API中使用的地區代碼。
listRegions HTTP要求
code language-shell $ curl -X GET https://cloudmanager.adobe.io/api/program/{programId}/regions \ -H 'x-gw-ims-org-id: <ORGANIZATION_ID>' \ -H 'x-api-key: <CLIENT_ID>' \ -H 'Authorization: Bearer <ACCESS_TOKEN>' \ -H 'Content-Type: application/json' -
使用Cloud Manager API createNetworkInfrastructure作業,為Cloud Manager程式啟用專用輸出IP位址。 使用從Cloud Manager API
listRegions作業取得的適當region程式碼。createNetworkInfrastructure HTTP要求
code language-shell $ curl -X POST https://cloudmanager.adobe.io/api/program/{programId}/networkInfrastructures \ -H 'x-gw-ims-org-id: <ORGANIZATION_ID>' \ -H 'x-api-key: <CLIENT_ID>' \ -H 'Authorization: Bearer <ACCESS_TOKEN>' \ -H 'Content-Type: application/json' \ -d '{ "kind": "dedicatedEgressIp", "region": "va7" }'等待15分鐘,讓Cloud Manager程式布建網路基礎結構。
-
檢查程式是否已使用Cloud Manager API getNetworkInfrastructure作業,使用先前步驟中從
createNetworkInfrastructureHTTP要求傳回的id,完成 專用輸出IP位址 設定。getNetworkInfrastructure HTTP要求
code language-shell $ curl -X GET https://cloudmanager.adobe.io/api/program/{programId}/networkInfrastructure/{networkInfrastructureId} \ -H 'x-gw-ims-org-id: <ORGANIZATION_ID>' \ -H 'x-api-key: <CLIENT_ID>' \ -H 'Authorization: Bearer <ACCESS_TOKEN>' \ -H 'Content-Type: application/json'確認HTTP回應包含 就緒 的 狀態。 如果尚未準備就緒,請每隔幾分鐘重新檢查一次狀態。
在建立專用輸出IP位址後,您現在可以使用Cloud Manager API進行設定,如下所述。
為每個環境設定專用輸出IP位址代理
-
使用Cloud Manager API enableEnvironmentAdvancedNetworkingConfiguration作業,在每個AEM as a Cloud Service環境中設定 專用輸出IP位址 設定。
enableEnvironmentAdvancedNetworkingConfiguration HTTP要求
code language-shell $ curl -X PUT https://cloudmanager.adobe.io/api/program/{programId}/environment/{environmentId}/advancedNetworking \ -H 'x-gw-ims-org-id: <ORGANIZATION_ID>' \ -H 'x-api-key: <CLIENT_ID>' \ -H 'Authorization: Bearer <ACCESS_TOKEN>' \ -H 'Content-Type: application/json' \ -d @./dedicated-egress-ip-address.json在
dedicated-egress-ip-address.json中定義JSON引數,並透過... -d @./dedicated-egress-ip-address.json提供給curl。下載範例dedicated-egress-ip-address.json。 這個檔案只是範例。 根據enableEnvironmentAdvancedNetworkingConfiguration中記錄的選用/必要欄位,視需要設定您的檔案。
code language-json { "nonProxyHosts": [ "example.net", "*.example.org", ], "portForwards": [ { "name": "mysql.example.com", "portDest": 3306, "portOrig": 30001 }, { "name": "smtp.sendgrid.net", "portDest": 465, "portOrig": 30002 } ] }專用輸出IP位址設定的HTTP簽章僅與彈性輸出連線埠不同,因為它也支援選用的
nonProxyHosts設定。nonProxyHosts宣告了一組主機,應該透過預設共用IP位址範圍而不是專用輸出IP路由連線埠80或443。nonProxyHosts可能很有用,因為通過共用IP的流量已由Adobe自動最佳化。對於每個
portForwards對應,進階網路會定義下列轉送規則:table 0-row-5 1-row-5 Proxy主機 Proxy連線埠 外部主機 外部連線埠 AEM_PROXY_HOSTportForwards.portOrig→ portForwards.nameportForwards.portDest -
對於每個環境,請使用Cloud Manager API getEnvironmentAdvancedNetworkingConfiguration作業來驗證輸出規則是否有效。
getEnvironmentAdvancedNetworkingConfiguration HTTP要求
code language-shell $ curl -X GET https://cloudmanager.adobe.io/api/program/{programId}/environment/{environmentId}/advancedNetworking \ -H 'x-gw-ims-org-id: <ORGANIZATION_ID>' \ -H 'x-api-key: <CLIENT_ID>' \ -H 'Authorization: <YOUR_TOKEN>' \ -H 'Content-Type: application/json' -
可以使用Cloud Manager API enableEnvironmentAdvancedNetworkingConfiguration作業更新專用輸出IP位址設定。 請記住,
enableEnvironmentAdvancedNetworkingConfiguration是PUT作業,因此每次呼叫此作業時,都必須提供所有規則。 -
在主機
p{programId}.external.adobeaemcloud.com上使用DNS解析程式(例如DNSChecker.org),或從命令列執行dig,取得 專用輸出IP位址。code language-shell $ dig +short p{programId}.external.adobeaemcloud.com主機名稱不可以是
pinged,因為它是輸出,不是 和輸入。請注意,專用輸出IP位址由方案中的所有AEM as a Cloud Service環境共用。
-
現在,您可以在自訂AEM程式碼和設定中使用專用輸出IP位址。 使用專用輸出IP位址時,AEM as a Cloud Service連線的外部服務通常設定為只允許來自此專用IP位址的流量。
透過專用輸出IP位址連線到外部服務
在啟用專用輸出IP位址的情況下,AEM程式碼和設定可以使用專用輸出IP來呼叫外部服務。 AEM處理外部呼叫的方式有兩種:
- 對外部服務的HTTP/HTTPS呼叫
- 包括對標準80或443連線埠以外的連線埠上執行的服務發出的HTTP/HTTPS呼叫。
- 對外部服務的非HTTP/HTTPS呼叫
- 包括任何非HTTP呼叫,例如與郵件伺服器、SQL資料庫或服務之間的連線,這些服務會在其他非HTTP/HTTPS通訊協定上執行。
預設允許來自標準連線埠(80/443)上AEM的HTTP/HTTPS請求,但如果未依照以下所述正確設定,則這些請求不會使用專用輸出IP位址。
HTTP/HTTPS
從AEM建立HTTP/HTTPS連線時,若使用專用輸出IP位址,HTTP/HTTPS連線會自動使用專用輸出IP位址代理出AEM。 不需要其他程式碼或設定即可支援HTTP/HTTPS連線。
程式碼範例
與外部服務的非HTTP/HTTPS連線
建立非HTTP/HTTPS連線時(例如 AEM SQL、SMTP等),必須透過AEM提供的特殊主機名稱進行連線。
AEM_PROXY_HOSTSystem.getenv("AEM_PROXY_HOST")$[env:AEM_PROXY_HOST]接著會透過AEM_PROXY_HOST與對應的連線埠(portForwards.portOrig)呼叫與外部服務的連線,AEM會路由傳送到對應的外部主機名稱(portForwards.name)與連線埠(portForwards.portDest)。
AEM_PROXY_HOSTportForwards.portOrigportForwards.nameportForwards.portDest
