|
|
|
BSI ist eine mehrstufige Anwendung, die für eine beliebige Anzahl von Servern bereitgestellt werden kann. Die Zahl kann von einem einzigen Server (eigenständige Bereitstellung) bis zu vielen reichen (dreistufig oder höher für Hochverfügbarkeitsbereitstellungen oder für mehrere Instanzen von Anwendungsservern).
Bei einer Bereitstellung mit einem einzelnen Server ist die Kommunikation zwischen Prozessen nicht unbedingt relevant. Je höher die Anzahl von Servern ist, desto wichtiger ist es jedoch, die Kommunikation zwischen Prozessen zu verstehen, um ihre Durchführbarkeit und somit eine stabile Anwendungs-Performance sicherzustellen.
Die meisten Bereitstellungen in Unternehmensumgebungen verwenden das standardmäßige dreistufige Modell, in dem aus verschiedenen Ursachen oftmals Firewalls zwischen physischen Servern vorhanden sind. Dieser Abschnitt beschreibt Kommunikationsvorgänge, die in CA Business Service Insight verwendet werden. Der Abschnitt behandelt die verschiedenen Kommunikationsprotokolle und -ports ausführlich, um eine unkomplizierte Konfiguration von Firewalls zu ermöglichen.
Dieses Kapitel enthält folgende Themen:
Zusätzliche Kommunikationen (Optional)
Das Diagramm veranschaulicht ein typisches Bereitstellungsszenario, in dem jede logische Anwendungsebene durch eine Firewall (FW) abgetrennt ist. Jede logische Ebene befindet sich in ihrer eigenen Zone, ähnlich der Konfiguration in einer Unternehmensumgebung.
Die folgende Tabelle beschreibt alle Prozesse, die für Kommunikationsvorgänge der einzelnen Zonen relevant sind.
|
Zone |
Prozesskomponente |
Erklärung |
|
|
Web |
IIS-Webserver |
Liefert Webinhalte an Client-Browser und ruft Daten von der Datenbank ab. |
|
|
COM+-Komponenten |
Führt Aktionen auf der DB durch, ruft Daten ab und sendet SMTP-Meldungen. |
||
|
API |
Verarbeitet eingehende Webservice-Anfragen. |
||
|
Authentifizierungsdienst (SSO/LDAP) |
Verarbeitet externe Authentifizierungsanfragen. |
||
|
Anwendung |
Adapter-Listener-Dienst |
Verarbeitet eingehende Adapter-Verbindungen von Adapter-Instanzen. |
|
|
Adapter-Bereitstellungsservice |
Stellt lokal bereitgestellte “verwaltete” Adapter bereit und steuert sie. |
||
|
Protokollserver |
Protokolliert alle eingehenden Meldungen von CA Business Service Insight-COM+-Komponenten und Anwendungsdiensten (TaskHost, Alarme usw.). |
||
|
Dashboard-Service |
Aktualisiert den Status und die Ergebnisse der Dashboard-Komponenten. |
||
|
ACE-Engine (PSL) |
Berechnet alle Service Level-Ergebnisse und liefert Informationen für andere abhängige Anwendungsdienste (Dashboard, Alarme usw.). |
||
|
ACE2-Engine |
Berechnet alle Service Level-Ergebnisse und liefert Informationen für andere abhängige Anwendungsdienste (Dashboard, Alarme usw.). |
||
|
Alarm-Service des Berichtsplaner-Service (SMTP) |
Sendet SMTP-Meldungen vom Anwendungsserver. |
||
|
Adapter-Instanzen |
Stellt eine Verbindung mit den Datenquellen her und verarbeitet die Sammlung der Rohdaten über den Adapter-Listener-Service (bei Bereitstellung auf dem Anwendungsserver) |
||
|
Datenbank |
Oracle-Datenbank |
Speichert und verwaltet alle Anwendungsdaten. |
|
|
Datenbank-Listener |
Verarbeitet eingehende Verbindungen zur Datenbank. |
||
|
Extern |
Adapter-Instanzen |
Stellt eine Verbindung mit den Datenquellen her und verarbeitet die Sammlung der Rohdaten über den Adapter-Listener-Service (bei Remote-Bereitstellung) |
|
|
Adapter-Bereitstellungsservice |
Stellt per Remote-Zugriff bereitgestellte “verwaltete” Adapter bereit und steuert sie. Stellen Sie den Service auf jeweils demselben Rechner wie die einzelnen bereitgestellten Adapter bereit. |
||
|
|
|||
|
|
|||
|
|
Dieser Abschnitt enthält Details zu allen Kommunikationsvorgängen, die zwischen den Komponenten der Anwendung auftreten.
|
Prozess (Quelle) |
Anz. der FW |
Ziel |
Protokoll |
Standardports |
Richtung |
Veränderbar |
|
|
Ursprungs-Webzone |
|||||||
|
IIS-Webserver |
2 |
Protokollserver (Anwendungsserver) |
TCP |
4040 |
Out |
Y |
|
|
IIS-Webserver |
2 |
Adapter-Bereitstellungsservice (Anwendungsserver) |
TCP |
1008 |
Beides |
Y |
|
|
IIS-Webserver |
2 |
Dashboard-Service (Anwendungsserver) |
.Net Remoting |
8004 |
Beides |
Y |
|
|
IIS-Webserver |
5 |
Authentifizierungs-Webservice (Extern) |
SOAP/ |
4515 |
Beides |
Y |
|
|
IIS-Webserver-E-Mail |
5 |
SMTP-Server (Extern) |
SMTP |
25 |
Out |
N |
|
|
COM+-Komponenten |
4 |
Datenbankserver |
TCP (SQL *Net) |
1521 |
Beides |
Y |
|
|
SMI |
|
|
|
|
|
|
|
|
Oblisync |
|
|
|
Siehe Hinweis. |
|
|
|
|
MSMQ-Komponenten |
2 |
MSMQ Server |
TCP |
1801 |
Beides |
N |
|
|
|
|
|
RPC |
135, 2010*, 2103*, 2105* |
Beides |
N |
|
|
UDP |
3527, 1801 |
Beides |
N |
||||
|
Prozess (Quelle) |
Anz. der FW |
Ziel |
Protokoll |
Standardports |
Richtung |
Änderung |
|
|
Ursprungs-Anwendungszone |
|||||||
|
Berichtsplaner & Alarm-Services |
5 |
SMTP-Server (Extern) |
SMTPR |
25 |
Out |
N |
|
|
Alle Guarantee-Services (Alarm, Dashboard) |
3 |
Datenbankserver |
TCP (SQL *Net) |
1521 |
Beides |
Y |
|
|
Adapter (lokale Host) |
5 |
Externe Datenquellen |
TCP / Datei |
|
Beides |
Y |
|
|
Adapter (Remote-Host) |
5 |
Externe Datenquellen |
TCP |
|
Beides |
Y |
|
|
Adapter-Listener |
5 |
Remote-Adapter-Instanz |
TCP |
|
Beides |
Y |
|
|
JBoss-Komponenten für ACE2 \ Oblisync |
3 |
Datenbankserver |
TCP (SQL *Net) |
1521 (siehe Hinweis). |
Beides |
Y |
|
|
MSMQ-Komponenten |
2 |
MSMQ Server |
TCP |
1801 |
Beides |
N |
|
|
|
|||||||
|
RPC |
135, 2101*, 2103*, 2105* |
Beides |
* Sie können Portnummern um 11 erhöhen, wenn beim Initialisieren von Message Queuing der RCP-Port ausgewählt ist. Meldungen der Nachrichtenwarteschlange fragen bei der Verbindung Port 135 ab, um 2xxx-Ports zu entdecken. |
||||
|
UDP |
3527, 1801 |
Beides |
N |
||||
|
Prozess (Quelle) |
Anz. der FW |
Ziel |
Protokoll |
Standardports |
Richtung |
Änderung |
|
|
Externe Ursprungs-Zone |
|||||||
|
Client-PC (Extern) |
1 |
IIS (Webserver) |
HTTP (oder HTTPS) |
80 (443) |
Beides |
Y |
|
|
Adapter-Instanz (Remote-Host) |
5 |
Adapter-Listener (Anwendungsserver) |
TCP |
Anwenderspezifisch ** |
Beides |
Y |
|
|
Externe aufrufende Anwendung / Server |
5 |
API-Service (Webserver) |
SOAP / HTTP |
80 |
Beides |
Y |
|
Hinweis: ** Adapter müssen entsprechend den Anforderungen dieser Datenquelle mit externen Anwendungen verbunden werden (SQL oder dateibasierter Zugriff).
Hinweis: ++ Adapter kommunizieren entsprechend innerhalb von CA Business Service Insight definierter Ports (der Adapterassistent weist standardmäßig automatisch Ports von 6201 aufwärts zu). Außerdem kann konfiguriert werden, ob Kommunikationsvorgänge anfänglich entweder von der Adapter-Instanz oder vom Adapter-Listener starten (Adapter->Listener oder Listener->Adapter). Die anfängliche Konfiguration ist wichtig für Firewall-Konfigurationen, wenn die Funktion "Port Triggering" verwendet wird.
Für ACE2 und Oblisync (beide auf JBoss ausgeführt ) sind auch folgende Ports erforderlich:
|
ACE2-Prozesse |
Port |
Oblisync-Prozesse |
Port |
|
messaging |
5645 |
http |
8180 |
|
messaging-throughput: |
5655 |
messaging |
5545 |
|
remoting |
4657 |
messaging-throughput: |
5555 |
|
|
|
remoting |
4547 |
|
Optional (für die Verwendung der JBoss-Webkonsole) |
|
Optional (für die Verwendung der JBoss-Webkonsole) |
|
|
Management - systemeigen |
10199 |
Management - systemeigen |
10099 |
|
management-http |
10190 |
management-http |
10090 |
|
management-https |
9643 |
management-https |
9543 |
|
http |
8280 |
https |
8543 |
|
https |
8643 |
|
|
Diese Ports und Kommunikationsvorgänge werden üblicherweise verwendet, um auf CA Business Service Insight-Server zuzugreifen. Die Ports ermöglichen einfachen Zugriff für Entwicklung und Support sowie für die Übertragung von Dateien mit Quelldaten.
|
Prozess (Quelle) |
Anz. der FW |
Ziel |
Protokoll |
Standardports |
Richtung |
Veränderbar |
|---|---|---|---|---|---|---|
|
Externe Ursprungs-Zone |
||||||
|
Client-PC (Extern) Remote-Desktop |
1 |
Webserver und Anwendungsserver |
RDP |
3389 |
Beides |
Y |
|
Client-PC (Extern) - Dateisystem / Freigegeben ++ |
1 |
Webserver und Anwendungsserver |
NetBios / Samba über IP |
137, 138, 139, 445 |
Beides |
Y |
|
Client-PC (Extern) FTP / SFTP ** |
1 |
Webserver und Anwendungsserver |
FTP / SFTP |
21/22 |
Beides |
Y |
Hinweis: ** FTP und SFTP benötigen die Installation einer separaten Anwendungssoftware, die nicht Bestandteil des BSI-Produkts ist. SFTP wird normalerweise über SSH auf Port 22 ausgeführt.
Hinweis: ++ Diese Ports ermöglichen Dateisystemzugriff auf Rechner und dürfen nur auf vertrauenswürdigen Bereichen bereitgestellt werden, da sie potenzielle Sicherheitslöcher verursachen.
| Copyright © 2012 CA. Alle Rechte vorbehalten. | Senden Sie CA Technologies eine E-Mail zu diesem Thema. |