방화벽 요구사항

IBM® API Connect 클라우드의 게이트웨이(DataPower®) 서버와 관리 서버 사이에 필요한 포트 구성을 고려하십시오.

구역 사이에 필요한 포트

다음 네트워크 다이어그램 예제를 통해 IBM API Connect 네트워크에 구성해야 하는 포트에 대해 설명할 수 있습니다. 특정 포트는 네트워크의 다양한 구역(공개 및 개인 모두) 사이의 통신이 가능하도록 구성해야 합니다. [다이어그램의 숫자 위로 마우스를 이동하면 기본 포트 번호를 확인할 수 있으며, 이는 표 1에도 표시됩니다.]

API Connect 네트워크 다이어그램 공용 구역에서 게이트웨이 구역으로의 443 HTTPS 보호 구역에서 게이트웨이 구역으로의 22 SSH, 9090 HTTPS 보호 구역에서 관리 구역으로의 443 HTTPS 보호 구역에서 관리 구역으로의 22 SSH, 443 HTTPS 보호 구역에서 관리 구역으로의 22 SSH, 443 HTTPS 게이트웨이 서버에서 Management 서버로의 2443, 9443 HTTPS Management 서버에서 게이트웨이 서버로의 443, 5550 HTTPS 개발자 포털 서버에 대한 22 SSH 관리 서버 개발자 포털 서버에 대한 2443 HTTPS 관리 서버개발자 포털이 webhook로 등록하기 위해 관리 서버의 포트 2443에 연결합니다. 개발자 포털 서버에서 관리 구역 내 관리 서버로의 443 HTTP 공용 구역에서 개발자 포털 관리 구역으로의 443 HTTPS 보호 구역에서 관리 구역으로의 443 HTTPS 보호 구역 내 22 SSH, 9443 HTTPS(애플리케이션 하위 구역) 보호 구역(애플리케이션 하위 구역) 내 22 SSH, <9440보다 큰 관리 포트> HTTPS 보호 구역 내 9443 HTTPS(애플리케이션 하위 구역) 게이트웨이 구역에서 보호 구역으로의 9443 HTTPS(애플리케이션 하위 구역) 보호 구역에서 관리 구역으로의 9443 HTTPS <9080보다 큰 포트> 게이트웨이 구역에서 보호 구역으로의 HTTP/HTTPS
표 1. 네트워크 다이어그램 키 예제
  사용법 설명 기본 포트 번호
 1  API 요청/응답 - 제공된 API를 호출하는 사용자. 공용 구역에서 게이트웨이 구역으로의 443 HTTPS
 2  DataPower 관리 - 게이트웨이 서버를 관리하고 있는 내부 운영자. 보호 구역에서 게이트웨이 구역으로의 22 SSH, 9090 HTTPS
 3  API Manager - API를 정의 및 모니터링하고 있는 내부 비즈니스 사용자. 보호 구역에서 관리 구역으로의 443 HTTPS
 4  CMC/Management 관리 - 관리 서버를 관리하고 있는 내부 운영자. 보호 구역에서 관리 구역으로의 22 SSH, 443 HTTPS
 5  개발자 포털 관리 – 포털 서버를 관리하고 있는 내부 운영자. 보호 구역에서 관리 구역으로의 22 SSH, 443 HTTPS
 6  구성 가져오기, 분석 푸시 - 게이트웨이 서버가 관리 서버와 통신함 게이트웨이 서버에서 Management 서버로의 2443, 9443 HTTPS
 7  푸시 구성 – 관리 서버가 게이트웨이 서버와 통신함 Management 서버에서 게이트웨이 서버로의 443, 5550 HTTPS
 8  구성/webhook 푸시 - 관리 서버가 개발자 포털에 구성 및 webhook을 푸시합니다. 개발자 포털 서버에 대한 22 SSH 관리 서버.

개발자 포털 서버에 대한 2443 HTTPS 관리 서버

개발자 포털이 webhook로 등록하기 위해 관리 서버의 포트 443에 연결합니다.

 9  구성 가져오기/API 호출 작성 - 개발자 포털 서버가 구성을 가져오고 REST API를 호출합니다. 개발자 포털 서버에서 관리 구역 내 관리 서버로의 443 HTTPS
 10  개발자 포털개발자 포털에 액세스하고 있는 외부 개발자. 공용 구역에서 개발자 포털 관리 구역으로의 443 HTTPS
 11  API 정의를 관리 서버로 푸시합니다. 마이크로서비스 코드 푸시를 위한 신임 정보를 선택합니다. 보호 구역에서 관리 구역으로의 443 HTTPS
 12  마이크로서비스 Node.js 프로젝트를 Collective 제어기로 푸시합니다. 보호 구역 내 22 SSH, 9443 HTTPS(애플리케이션 하위 구역)
 13  애플리케이션 배치 및 관리 오퍼레이션. 제어기는 멤버 서버와 통신합니다. 보호 구역(애플리케이션 하위 구역) 내 22 SSH, <9440보다 큰 관리 포트> HTTPS
 14  내부 통신. 멤버 서버 대 Collective 제어기. 보호 구역 내 9443 HTTPS(애플리케이션 하위 구역)
 15  장기간 살아 있는 연결에 대한 요청 시 경로 지정 업데이트. 게이트웨이 서버가 Collective 제어기와 통신합니다. 게이트웨이 구역에서 보호 구역으로의 9443 HTTPS(애플리케이션 하위 구역)
 16  내부 통신. API 관리 대 Collective 제어기입니다. 보호 구역에서 관리 구역으로의 9443 HTTPS
 17  애플리케이션 요청 라우팅 - DataPower 대 Collective 멤버 <9080보다 큰 포트> 게이트웨이 구역에서 보호 구역으로의 HTTP/HTTPS
참고:

클라우드 관리자, API 관리자 및 개발자 포털 사용자 인터페이스의 포트 값을 사용자 정의할 수 있습니다. 그러나 클라우드 관리 콘솔(CMC)은 클라우드 관리자 포트 연결이 변경될 때 개발자 포털에 알리지 않습니다. 따라서 기본 포트(443)에서 변경한 경우, 사용자 정의 포트를 지정하기 위해 set_apim_host를 실행해야 합니다. 지시사항은 set_apim_host의 내용을 참조하십시오.

클라우드 관리자에서 정의된 포트를 볼 수 있습니다. 설정 > TLS 프로파일을 클릭하십시오. 자세한 정보는 클라우드 설정 지정을 참조하십시오.

게이트웨이 구역 내의 통신

게이트웨이 구역 내부에서의 통신에 관하여 주목할 중요한 사항이 많이 있습니다.
  • 기본적으로 포트 5550이 사용됩니다.
  • 포트 지정은 각 게이트웨이 서버에 구성할 수 있습니다. 그러나 게이트웨이 서버의 포트를 변경하는 경우, 클라우드 관리자(API Connect에 있는)의 게이트웨이 서버 정의도 변경해야 합니다.
  • 클러스터 내의 모든 게이트웨이 서버에 대해 동일한 포트를 사용하는 것이 좋습니다.
  • 게이트웨이 서버는 호출 개수를 동기화하기 위해 서로 통신합니다.
  • 게이트웨이 클러스터의 모든 게이트웨이 서버는 동일한 게이트웨이 클러스터에 있는 다른 모든 게이트웨이 서버에 접근할 수 있어야 합니다.
  • 게이트웨이 클러스터의 게이트웨이 서버는 다른 게이트웨이 클러스터의 게이트웨이 서버와 직접 통신하지 않습니다.
  • 모든 게이트웨이 서버는 모든 관리 서버에 도달할 수 있어야 합니다.

관리 구역 내의 통신

관리 구역은 클라우드 구성을 저장하고 통신을 제어하는 API Connect 관리 서버의 콜렉션을 포함하는 영역을 나타냅니다.

관리 구역 내의 통신에 관해 주의해야 할 중요한 사항이 많이 있습니다.
  • 포트 11526 및 21526은 구성 데이터(조직, 사용자 및 제품 포함)를 동기화하는 데 사용됩니다.
  • 포트 9600은 분석 데이터를 복제하는 데 사용됩니다.
  • 포트 443 및 9022는 토폴로지를 관리하는 데 사용됩니다.
  • 포트 2443은 관리 서버와 개발자 포털 사이에서 HTTPS 컨텐츠를 통신하는 데 사용됩니다.
  • 포트 22는 관리 서버와 개발자 포털 사이에서 구성을 통신하는 데 사용됩니다.
  • 모든 관리 서버는 모든 기타 관리 서버에 도달할 수 있어야 합니다.
  • 모든 관리 서버는 모든 게이트웨이 서버에 도달할 수 있어야 합니다.

개발자 포털 구역 내부의 통신

개발자 포털 구역은 개발자 포털 서버의 콜렉션을 포함하는 영역을 나타냅니다.

  • 포트 3306, 4567, 4568, 4444, 30865는 모두 클러스터에 있는 개발자 포털 노드 사이의 통신을 사용으로 설정하는 데 사용됩니다.
  • 열기 포트 22는 SSH를 통한 개발자 포털 노드 간 통신을 허용하는 데 사용됩니다. 포트 22는 인바운드 포트입니다.
  • 모든 개발자 포털 노드는 머신이 웹 트래픽을 서비스할 수 있도록 포트 443과 80을 열어야 합니다. 포트 443은 인바운드 포트입니다.
  • 포트 2443은 아웃바운드 포트이며, 백그라운드 동기화 및 웹후크 기능을 사용 가능하게 합니다. 해당 포트를 열면 개발자 포털이 연관된 API Manager에서 API를 가져올 수 있습니다.

공통 아웃바운드 포트

엔터프라이즈에 적합한 모든 서버에 해당 포트를 구성하십시오.
  • 25 SMTP(관리 서버 전용, 구성 가능)
  • 53 DNS(이름 분석)
  • 123 NTP(클럭 동기화)
  • 162 SNMP 트랩(현재 게이트웨이 서버 전용)
  • 389 LDAP(구성 가능)

이더넷 인터페이스 사용법

네트워크 트래픽을 분리하기 위해 게이트웨이 서버가 설치된 DataPower 어플라이언스에서 둘 이상의 이더넷 인터페이스를 사용할 수 있습니다. 예를 들어 내부 IBM API Connect 통신에 하나의 인터페이스를 사용하고 수신 API 호출 처리에 다른 인터페이스를 사용할 수 있습니다.

클라우드 관리자 UI의 클러스터에 게이트웨이 서버를 추가하는 경우 수신 API 호출 처리에 사용되는 인터페이스의 이름을 지정하십시오. 네트워크 관리자에게 문의하여 이 트래픽을 수신하는 IP 주소를 알아보고 해당 IP 주소에 구성되는 인터페이스를 지정하십시오. 관리 액세스에 전용 인터페이스를 사용하는 경우(예: mgt0), 게이트웨이 서버를 추가할 때 관리 IP 주소를 지정해야 합니다. 자세한 정보는 게이트웨이 서버 추가를 참조하십시오.

API Connect에서 webhook 통신

webhook는 등록 서비스이며 개발자 포털이 발생하는 이벤트로 등록되도록 관리 노드에 메시지를 보냅니다. 개발자 포털이 webhook로 등록하기 위해 관리 서버의 포트 443에 연결합니다.

이벤트가 발생할 때 관리 서버가 개발자 포털에 접속하여 이벤트가 발생했으며 이벤트 데이터 전송이 계속 진행됨을 알립니다. 이벤트 데이터는 포트 2443의 개발자 포털로 전송됩니다.

상위 주제: 클라우드 플랜
관련 태스크:
IBM API Connect 설치
관련 참조:
IBM API Connect 버전 5.0 요구사항
IBM API Connect 토폴로지
시간소인 아이콘 마지막 업데이트 날짜: 2017년 11월 6일