NOTA: Algunos aspectos de este producto están en versión Beta. Las opciones de instalación híbrida son GA. Para unirte al programa Beta, comunícate con tu representante de Apigee.

Usa los Controles del servicio de VPC con Apigee Hybrid y Apigee Hybrid

Apigee se integra a los Controles de servicio de VPC, que te permiten aislar recursos de tus proyectos de Google Cloud. Esto ayuda a evitar filtraciones o robo de datos.

En esta sección, se describe cómo usar los Controles del servicio de VPC con Apigee.

Descripción general

Los Controles del servicio de VPC definen un perímetro de servicio que actúa como un límite entre un proyecto y otros servicios. Los perímetros de servicio son un método a nivel de organización que protegen a los servicios de Google Cloud en los proyectos a fin de mitigar el riesgo de robo de datos.

Los Controles del servicio de VPC también pueden garantizar que los clientes dentro de un perímetro que tengan acceso privado a los recursos no tengan acceso a recursos no autorizados fuera del perímetro.

Para obtener una descripción detallada de los beneficios de los perímetros de servicio, consulta la Descripción general de los Controles del servicio de VPC.

Ten en cuenta lo siguiente cuando uses los Controles del servicio de VPC:

  • Tanto el proyecto de Google Cloud como el entorno de ejecución asociado se incorporan dentro del perímetro de los Controles del servicio de VPC de ese proyecto.
  • La interacción entre servicios dentro de un perímetro se puede restringir mediante la característica de servicios accesibles de red de VPC.

Apigee Hybrid y Apigee Hybrid se integran a los Controles del servicio de VPC. Para obtener una lista completa de los productos que se integran con los Controles del servicio de VPC, consulta Productos compatibles.

Configura los Controles del servicio de VPC con Apigee

El proceso general para configurar los Controles del servicio de VPC con Apigee es el siguiente:

  1. Habilitar los controles del servicio de VPC
  2. Crea un nuevo perímetro de servicio.
  3. Configurar el perímetro de servicio

Estos archivos se describen con más detalle a continuación.

Para configurar los Controles del servicio de VPC con Apigee:

  1. Habilita los Controles del servicio de VPC para la conexión de intercambio de tráfico de tu red a Apigee mediante la ejecución del comando siguiente:

    gcloud beta services vpc-peerings enable-vpc-service-controls \
      --network=NETWORK_NAME --project=PROJECT_ID

    Aquí:

    • NETWORK_NAME es el nombre de tu red de intercambio de tráfico de VPC.

      Si usaste los valores predeterminados durante la configuración de Apigee, el nombre de la red es "DEFAULT". Sin embargo, en entornos de producción, este es el nombre de tu red de intercambio de tráfico personalizada.

    • PROJECT_ID es el nombre del proyecto que creaste durante el proceso de configuración de Apigee.

    Este comando habilita los Controles del servicio de VPC para tu proyecto. Puedes ejecutar este comando varias veces para habilitar los Controles del servicio de VPC en más de un proyecto.

  2. Crea un perímetro nuevo como se describe en la Guía de inicio rápido de los Controles del servicio de VPC. Cuando creas un perímetro, eliges qué proyectos agregar dentro de ese perímetro y qué servicios proteger.

    Para Apigee Hybrid y Apigee Hybrid, Google recomienda que protejas todos los servicios cuando crees un perímetro, incluidas la API de Apigee y la API de Apigee Connect

    Para obtener más información, consulta Crea un perímetro de servicio.

  3. Configura el perímetro de servicio, como se describe en Detalles y configuración del perímetro de servicio.

Configura los Controles del servicio de VPC con Apigee Hybrid

Apigee Hybrid admite los Controles del servicio de VPC, pero hay pasos adicionales que debes realizar. El proceso general para integrar Apigee Hybrid en los Controles del servicio de VPC es el siguiente:

  1. Configura la conectividad privada.
  2. Protege servicios adicionales dentro del perímetro.
  3. Configura un repositorio privado. (Un repositorio privado es un que está dentro del perímetro; no necesita ser un repositorio local siempre que esté dentro del perímetro).
  4. Envía las imágenes de Apigee a tu repositorio privado.
  5. Actualiza las anulaciones para usar el repositorio privado durante el proceso de instalación y configuración híbrida.

Cada uno de estos pasos se describe con más detalle en el siguiente procedimiento.

Para configurar los Controles del servicio de VPC con Apigee Hybrid:

  1. Configura direcciones IP privadas para tus hosts de red híbrida, como se describe en Configura la conectividad privada a las API y los servicios de Google. Esto implica configurar rutas, reglas de firewall y entradas de DNS para permitir que las API de Google accedan a esas IP privadas.
  2. Sigue los pasos en la página sobre cómo configurar los Controles del servicio de VPC con Apigee.

    Durante este proceso, debes asegurarte de proteger los siguientes servicios además de los especificados para Apigee, en tu perímetro:

    • Anthos Service Mesh
    • Cloud Monitoring (Stackdriver)
    • Google Kubernetes Engine (si ejecutas en GKE)
    • Google Container Registry (si lo usas como repositorio local)

    Para agregar estos servicios a tu perímetro, sigue las instrucciones en Detalles y configuración del perímetro de servicio.

  3. Copia las imágenes de Apigee en tu repositorio privado:
    1. Descarga las imágenes firmadas de Apigee desde Docker Hub como se describe aquí. Asegúrate de especificar los últimos números de la versión.

      Por ejemplo:

      docker pull google/apigee-authn-authz:1.3.3
      docker pull google/apigee-mart-server:1.3.3
      docker pull google/apigee-synchronizer:1.3.3
      docker pull google/apigee-runtime:1.3.3
      docker pull google/apigee-hybrid-cassandra-client:1.3.3
      docker pull google/apigee-hybrid-cassandra:1.3.3
      docker pull google/apigee-cassandra-backup-utility:1.3.3
      docker pull google/apigee-udca:1.3.3
      docker pull google/apigee-stackdriver-logging-agent:1.6.8
      docker pull google/apigee-prom-prometheus:v2.9.2
      docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.5
      docker pull google/apigee-connect-agent:1.3.3
      docker pull google/apigee-watcher:1.3.3
      docker pull google/apigee-operators:1.3.3
      docker pull google/apigee-kube-rbac-proxy:v0.4.1
    2. Etiqueta las imágenes.

      En el siguiente ejemplo, se etiquetan las imágenes en un repositorio GCR basado en EE.UU.:

      docker tag google/apigee-authn-authz:1.3.3 us.gcr.io/project_ID/apigee-authn-authz:1.3.3
      docker tag google/apigee-mart-server:1.3.3 us.gcr.io/project_ID/apigee-mart-server:1.3.3
      docker tag google/apigee-synchronizer:1.3.3 us.gcr.io/project_ID/apigee-synchronizer:1.3.3
      docker tag google/apigee-runtime:1.3.3 us.gcr.io/project_ID/apigee-runtime:1.3.3
      docker tag google/apigee-hybrid-cassandra-client:1.3.3 us.gcr.io/project_ID/apigee-hybrid-cassandra-client:1.3.3
      docker tag google/apigee-hybrid-cassandra:1.3.3 us.gcr.io/project_ID/apigee-hybrid-cassandra:1.3.3
      docker tag google/apigee-cassandra-backup-utility:1.3.3 us.gcr.io/project_ID/apigee-cassandra-backup-utility:1.3.3
      docker tag google/apigee-udca:1.3.3 us.gcr.io/project_ID/apigee-udca:1.3.3
      docker tag google/apigee-stackdriver-logging-agent:1.6.8 us.gcr.io/project_ID/apigee-stackdriver-logging-agent:1.6.8
      docker tag google/apigee-prom-prometheus:v2.9.2 us.gcr.io/project_ID/apigee-prom-prometheus:v2.9.2
      docker tag google/apigee-stackdriver-prometheus-sidecar:0.7.5 us.gcr.io/project_ID/apigee-stackdriver-prometheus-sidecar:0.7.5
      docker tag google/apigee-connect-agent:1.3.3 us.gcr.io/project_ID/apigee-connect-agent:1.3.3
      docker tag google/apigee-watcher:1.3.3 us.gcr.io/project_ID/apigee-watcher:1.3.3
      docker tag google/apigee-operators:1.3.3 us.gcr.io/project_ID/apigee-operators:1.3.3
      docker tag google/apigee-kube-rbac-proxy:v0.4.1 us.gcr.io/project_ID/apigee-kube-rbac-proxy:v0.4.1

      Si bien no es obligatorio, Google recomienda que incluyas el ID del proyecto o cualquier otro valor de identificación en la ruta del repositorio para cada imagen.

    3. Envía las imágenes a tu repositorio privado.

      En el siguiente ejemplo, se envían las imágenes a un repositorio GCR de EE.UU.:

      docker push us.gcr.io/project_ID/apigee-authn-authz:1.3.3
      docker push us.gcr.io/project_ID/apigee-mart-server:1.3.3
      docker push us.gcr.io/project_ID/apigee-synchronizer:1.3.3
      docker push us.gcr.io/project_ID/apigee-runtime:1.3.3
      docker push us.gcr.io/project_ID/apigee-hybrid-cassandra-client:1.3.3
      docker push us.gcr.io/project_ID/apigee-hybrid-cassandra:1.3.3
      docker push us.gcr.io/project_ID/apigee-cassandra-backup-utility:1.3.3
      docker push us.gcr.io/project_ID/apigee-cassandra-backup-utility:1.3.3
      docker push us.gcr.io/project_ID/apigee-udca:1.3.3
      docker push us.gcr.io/project_ID/apigee-stackdriver-logging-agent:1.6.8
      docker push us.gcr.io/project_ID/apigee-prom-prometheus:v2.9.2
      docker push us.gcr.io/project_ID/apigee-stackdriver-prometheus-sidecar:0.7.5
      docker push us.gcr.io/project_ID/apigee-connect-agent1.3.3
      docker push us.gcr.io/project_ID/apigee-watcher1.3.3
      docker push us.gcr.io/project_ID/apigee-operators1.3.3
      docker push us.gcr.io/project_ID/apigee-kube-rbac-proxy:v0.4.1

      Si bien no es obligatorio, Google recomienda que incluyas el ID del proyecto o cualquier otro valor de identificación en la ruta del repositorio para cada imagen.

  4. Actualiza tu archivo de anulaciones para dirigir las URL de imagen a tu repositorio privado, como se describe en Especifica las anulaciones de configuración.

    Debes cambiar las URL de imagen de los siguientes componentes:

    Nombre del componente (en el archivo de anulación) URL de la imagen
    authz your_private_repo/apigee-authn-authz
    mart your_private_repo/apigee-mart-server
    synchronizer your_private_repo/apigee-synchronizer
    runtime your_private_repo/apigee-runtime
    cassandra your_private_repo/apigee-hybrid-cassandra

    auth: your_private_repo/apigee-hybrid-cassandra-client
    backup: your_private_repo/apigee-cassandra-backup-utility
    restore: your_private_repo/apigee-cassandra-backup-utility
    udca your_private_repo/apigee-udca

    fluentd: your_private_repo/apigee-stackdriver-logging-agent
    logger your_private_repo/apigee-stackdriver-logging-agent
    metrics your_private_repo/apigee-prom-prometheus

    sdSidecar: your_private_repo/apigee-stackdriver-prometheus-sidecar
    connectAgent your_private_repo/apigee-connect-agent
    watcher your_private_repo/apigee-watcher
    ao your_private_repo/apigee-operators
    kubeRBACProxy your_private_repo/apigee-kube-rbac-proxy

  5. Aplica los cambios con las imágenes nuevas en GCR, como se describe en Aplica la configuración al clúster.

Limitaciones

Las integraciones de Apigee con los Controles del servicio de VPC tienen las siguientes limitaciones:

  • Si usas portales, debes usar Drupal. No puedes usar portales integrados.
  • Debes implementar portales de Drupal dentro del perímetro de servicio.