Vorheriges Thema: Erforderliche Aktivitäten nach der Installation

Nächstes Thema: Anhang: Deinstallieren von CA Business Service Insight

Ports und Protokolle

BSI ist eine mehrstufige Anwendung, die für eine beliebige Anzahl von Servern bereitgestellt werden kann. Die Zahl kann von einem einzigen Server (eigenständige Bereitstellung) bis zu vielen reichen (dreistufig oder höher für Hochverfügbarkeitsbereitstellungen oder für mehrere Instanzen von Anwendungsservern).

Bei einer Bereitstellung mit einem einzelnen Server ist die Kommunikation zwischen Prozessen nicht unbedingt relevant. Je höher die Anzahl von Servern ist, desto wichtiger ist es jedoch, die Kommunikation zwischen Prozessen zu verstehen, um ihre Durchführbarkeit und somit eine stabile Anwendungs-Performance sicherzustellen.

Die meisten Bereitstellungen in Unternehmensumgebungen verwenden das standardmäßige dreistufige Modell, in dem aus verschiedenen Ursachen oftmals Firewalls zwischen physischen Servern vorhanden sind. Dieser Abschnitt beschreibt Kommunikationsvorgänge, die in CA Business Service Insight verwendet werden. Der Abschnitt behandelt die verschiedenen Kommunikationsprotokolle und -ports ausführlich, um eine unkomplizierte Konfiguration von Firewalls zu ermöglichen.

Dieses Kapitel enthält folgende Themen:

Architektur

Details zu Kommunikationen

Zusätzliche Kommunikationen (Optional)

Architektur

Das Diagramm veranschaulicht ein typisches Bereitstellungsszenario, in dem jede logische Anwendungsebene durch eine Firewall (FW) abgetrennt ist. Jede logische Ebene befindet sich in ihrer eigenen Zone, ähnlich der Konfiguration in einer Unternehmensumgebung.

CCE--INS--82--BSI-Ports und Protokolle

Die folgende Tabelle beschreibt alle Prozesse, die für Kommunikationsvorgänge der einzelnen Zonen relevant sind.

Zone

Prozesskomponente

Erklärung

Web

IIS-Webserver

Liefert Webinhalte an Client-Browser und ruft Daten von der Datenbank ab.

COM+-Komponenten

Führt Aktionen auf der DB durch, ruft Daten ab und sendet SMTP-Meldungen.

API

Verarbeitet eingehende Webservice-Anfragen.

Authentifizierungsdienst (SSO/LDAP)

Verarbeitet externe Authentifizierungsanfragen.

Anwendung

Adapter-Listener-Dienst

Verarbeitet eingehende Adapter-Verbindungen von Adapter-Instanzen.

Adapter-Bereitstellungsservice

Stellt lokal bereitgestellte “verwaltete” Adapter bereit und steuert sie.

Protokollserver

Protokolliert alle eingehenden Meldungen von CA Business Service Insight-COM+-Komponenten und Anwendungsdiensten (TaskHost, Alarme usw.).

Dashboard-Service

Aktualisiert den Status und die Ergebnisse der Dashboard-Komponenten.

ACE-Engine (PSL)

Berechnet alle Service Level-Ergebnisse und liefert Informationen für andere abhängige Anwendungsdienste (Dashboard, Alarme usw.).

ACE2-Engine

Berechnet alle Service Level-Ergebnisse und liefert Informationen für andere abhängige Anwendungsdienste (Dashboard, Alarme usw.).

Alarm-Service des Berichtsplaner-Service (SMTP)

Sendet SMTP-Meldungen vom Anwendungsserver.

Adapter-Instanzen

Stellt eine Verbindung mit den Datenquellen her und verarbeitet die Sammlung der Rohdaten über den Adapter-Listener-Service (bei Bereitstellung auf dem Anwendungsserver)

Datenbank

Oracle-Datenbank

Speichert und verwaltet alle Anwendungsdaten.

Datenbank-Listener

Verarbeitet eingehende Verbindungen zur Datenbank.

Extern

Adapter-Instanzen

Stellt eine Verbindung mit den Datenquellen her und verarbeitet die Sammlung der Rohdaten über den Adapter-Listener-Service (bei Remote-Bereitstellung)

Adapter-Bereitstellungsservice

Stellt per Remote-Zugriff bereitgestellte “verwaltete” Adapter bereit und steuert sie. Stellen Sie den Service auf jeweils demselben Rechner wie die einzelnen bereitgestellten Adapter bereit.

 

 

 

Details zu Kommunikationen

Dieser Abschnitt enthält Details zu allen Kommunikationsvorgängen, die zwischen den Komponenten der Anwendung auftreten.

Prozess (Quelle)

Anz. der FW

Ziel

Protokoll

Standardports

Richtung

Veränderbar

Ursprungs-Webzone

IIS-Webserver

2

Protokollserver (Anwendungsserver)

TCP

4040

Out

Y

IIS-Webserver

2

Adapter-Bereitstellungsservice (Anwendungsserver)

TCP

1008

Beides

Y

IIS-Webserver

2

Dashboard-Service (Anwendungsserver)

.Net Remoting

8004

Beides

Y

IIS-Webserver

5

Authentifizierungs-Webservice (Extern)

SOAP/
HTTP

4515

Beides

Y

IIS-Webserver-E-Mail

5

SMTP-Server (Extern)

SMTP

25

Out

N

COM+-Komponenten

4

Datenbankserver

TCP (SQL *Net)

1521

Beides

Y

SMI

 

 

 

 

 

 

Oblisync

 

 

 

Siehe Hinweis.

 

 

MSMQ-Komponenten

2

MSMQ Server

TCP

1801

Beides

N

 

 

 

RPC

135, 2010*, 2103*, 2105*

Beides

N

UDP

3527, 1801

Beides

N

Prozess (Quelle)

Anz. der FW

Ziel

Protokoll

Standardports

Richtung

Änderung
able

Ursprungs-Anwendungszone

Berichtsplaner & Alarm-Services

5

SMTP-Server (Extern)

SMTPR

25

Out

N

Alle Guarantee-Services (Alarm, Dashboard)

3

Datenbankserver

TCP (SQL *Net)

1521

Beides

Y

Adapter (lokale Host)

5

Externe Datenquellen

TCP / Datei

 

Beides

Y

Adapter (Remote-Host)

5

Externe Datenquellen

TCP

 

Beides

Y

Adapter-Listener

5

Remote-Adapter-Instanz

TCP

 

Beides

Y

JBoss-Komponenten für ACE2 \ Oblisync

3

Datenbankserver

TCP (SQL *Net)

1521 (siehe Hinweis).

Beides

Y

MSMQ-Komponenten

2

MSMQ Server

TCP

1801

Beides

N

 

RPC

135, 2101*, 2103*, 2105*

Beides

* Sie können Portnummern um 11 erhöhen, wenn beim Initialisieren von Message Queuing der RCP-Port ausgewählt ist. Meldungen der Nachrichtenwarteschlange fragen bei der Verbindung Port 135 ab, um 2xxx-Ports zu entdecken.

UDP

3527, 1801

Beides

N

Prozess (Quelle)

Anz. der FW

Ziel

Protokoll

Standardports

Richtung

Änderung
able

Externe Ursprungs-Zone

Client-PC (Extern)

1

IIS (Webserver)

HTTP (oder HTTPS)

80 (443)

Beides

Y

Adapter-Instanz (Remote-Host)

5

Adapter-Listener (Anwendungsserver)

TCP

Anwenderspezifisch **

Beides

Y

Externe aufrufende Anwendung / Server

5

API-Service (Webserver)

SOAP / HTTP

80

Beides

Y

Hinweis: ** Adapter müssen entsprechend den Anforderungen dieser Datenquelle mit externen Anwendungen verbunden werden (SQL oder dateibasierter Zugriff).

Hinweis: ++ Adapter kommunizieren entsprechend innerhalb von CA Business Service Insight definierter Ports (der Adapterassistent weist standardmäßig automatisch Ports von 6201 aufwärts zu). Außerdem kann konfiguriert werden, ob Kommunikationsvorgänge anfänglich entweder von der Adapter-Instanz oder vom Adapter-Listener starten (Adapter->Listener oder Listener->Adapter). Die anfängliche Konfiguration ist wichtig für Firewall-Konfigurationen, wenn die Funktion "Port Triggering" verwendet wird.

ACE2 & Oblisync

Für ACE2 und Oblisync (beide auf JBoss ausgeführt ) sind auch folgende Ports erforderlich:

ACE2-Prozesse

Port

Oblisync-Prozesse

Port

messaging

5645

http

8180

messaging-throughput:

5655

messaging

5545

remoting

4657

messaging-throughput:

5555

 

 

remoting

4547

Optional (für die Verwendung der JBoss-Webkonsole)

 

Optional (für die Verwendung der JBoss-Webkonsole)

 

Management - systemeigen

10199

Management - systemeigen

10099

management-http

10190

management-http

10090

management-https

9643

management-https

9543

http

8280

https

8543

https

8643

 

 

Zusätzliche Kommunikationen (Optional)

Diese Ports und Kommunikationsvorgänge werden üblicherweise verwendet, um auf CA Business Service Insight-Server zuzugreifen. Die Ports ermöglichen einfachen Zugriff für Entwicklung und Support sowie für die Übertragung von Dateien mit Quelldaten.

Prozess (Quelle)

Anz. der FW

Ziel

Protokoll

Standardports

Richtung

Veränderbar

Externe Ursprungs-Zone

Client-PC (Extern) Remote-Desktop

1

Webserver und Anwendungsserver

RDP

3389

Beides

Y

Client-PC (Extern) - Dateisystem / Freigegeben ++

1

Webserver und Anwendungsserver

NetBios / Samba über IP

137, 138, 139, 445

Beides

Y

Client-PC (Extern) FTP / SFTP **

1

Webserver und Anwendungsserver

FTP / SFTP

21/22

Beides

Y

Hinweis: ** FTP und SFTP benötigen die Installation einer separaten Anwendungssoftware, die nicht Bestandteil des BSI-Produkts ist. SFTP wird normalerweise über SSH auf Port 22 ausgeführt.

Hinweis: ++ Diese Ports ermöglichen Dateisystemzugriff auf Rechner und dürfen nur auf vertrauenswürdigen Bereichen bereitgestellt werden, da sie potenzielle Sicherheitslöcher verursachen.