NAT防火墙后面的Apache Geode

Question

我们有一个Geode定位器和服务器运行在NAT防火墙后面的一台机器上。我用A.B.C.D替换了防火墙的IP地址，用W.X.Y.Z替换了运行Geode定位器的机器的内部IP地址。

以前，运行Geode的机器只启用了Windows防火墙，并设置了一个入站规则，允许从我们白化的远程IP地址传输到端口10334、1099和40404。此设置允许我们从已白名单的远程IP地址连接到Geode定位器。

但是，一旦我们将同一台计算机放置在NAT防火墙之后，并配置了在Windows防火墙下设置的相同规则，我们就无法再从白名单上的远程IP地址连接到定位器。我们白色显示的IP地址用于防火墙以外的计算机。

例如，当我们尝试通过gfsh连接到定位器时，它给了我们一个java连接异常，如图1所示，它似乎能够连接到运行在10334上的定位器，但未能通过运行Geode定位器的机器的内部IP地址来连接端口1099上的JMX管理器。

在第二次尝试中，我们尝试为JMX管理器标记指定防火墙的IP地址，但是得到了一个稍微不同的连接异常，如图1所示。

在图3中，我们还从端口1099上的白名单IP地址中运行了两个Wireshark捕获，其中一个Geode定位器仅位于图2的窗口防火墙后面，另一个位于NAT防火墙(A.B.C.D)后面。我们注意到在捕获NAT防火墙时，它无法建立RMI流，我们认为这是gfsh上出现异常的原因。

我们是否需要使用特定设置启动定位器才能使其工作，还是与允许NAT防火墙上的RMI流量/流有关？请在图4中找到Geode定位器使用的设置。在Gemfire属性文件中，我们将服务器绑定地址和jmx管理器绑定地址标记设置为机器的内部IP地址(W.X.Y.Z)。

图1

​

图2- Wireshark从远程计算机捕获到Windows Defender防火墙后面的Geode定位器

​

图3- Wireshark从远程计算机捕获NAT防火墙后的Geode定位器

​

图4

​

Answer 1

您可能需要设置jmx-manager-hostname-for客户端属性来指向防火墙的IP地址。我认为当gfsh连接时，它首先(10334)实际连接到定位器端口，然后发现JMX管理器地址和端口并连接到该端口。

还有一种方法可以让gfsh通过http - https://geode.apache.org/docs/guide/114/configuring/cluster_config/gfsh_remote.html进行连接。如果无法让JMX工作，您可以尝试这样做。但是，它确实需要启动管理http服务。