ハイブリッド ランタイム プレーンが使用するポートを理解することは、エンタープライズの実装で重要な作業になります。このセクションでは、ランタイム プレーン内でセキュア通信に使用するポートと、外部サービスとの通信に使用する外部ポートについて説明します。
内部接続
ランタイム プレーンと管理プレーン間の通信は、TLS 1-way と OAuth 2.0 で保護されます。個々のサービスは、通信するサービスによって異なるプロトコルを使用します。
次の図は、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示しています。
以下の表に、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示します。
| 内部接続 | |||||
|---|---|---|---|---|---|
| 送信元 | 送信先 | プロトコル / ポート | セキュリティ プロトコル | 説明 | |
| MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | 永続性のためにデータを送信します。 | |
| MART Istio Ingress | MART | TCP/8443 | TLS | 管理プレーンからのリクエストは、MART Istio Ingress を経由します。 | |
| デフォルトの Istio Ingress | Message Processor | TCP/8443 | TLS(Apigee 生成の自己署名証明書) | 受信 API リクエストを処理します。 | |
| Message Processor | Cassandra | TCP/9042 TCP/9142 |
mTLS | 永続性のためにデータを送信します。 | |
| Message Processor | fluentd(Analytics) | TCP/20001 | mTLS | データをデータ収集 Pod にストリーミングします。 | |
| Cassandra | Cassandra | TCP/7001 | mTLS | ノード内クラスタ通信潜在的なトラブルシューティングのバックアップ オプションとして、ポート 7000 をファイアウォール構成用に開いたままにすることもできます。 | |
| Prometheus | Cassandra | TCP/7070(HTTPS) | TLS | さまざまなサービスから指標データを取得します。 | |
| MART | TCP/8843(HTTPS) | TLS | |||
| Message Processor | TCP/8843(HTTPS) | TLS | |||
| Synchronizer | TCP/8843(HTTPS) | TLS | |||
| UDCA | TCP/7070(HTTPS) | TLS | |||
外部接続
ネットワーク ファイアウォールを適切に構成するには、ハイブリッドが外部サービスとの通信に使用する受信ポートと送信ポートを確認しておく必要があります。
次の図に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。
次の表に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。
| 外部接続 | |||||
|---|---|---|---|---|---|
| 送信元 | 送信先 | プロトコル / ポート | セキュリティ プロトコル | 説明 | |
| 受信接続(外部に公開) | |||||
| Apigee サービス | MART Istio Ingress | TCP/443 | OAuth over TLS 1.2 | 管理プレーンからの Hybrid API 呼び出し | |
| クライアント アプリ | デフォルトの Istio Ingress | TCP/* | なし / OAuth over TLS 1.2 / mTLS | 外部アプリからの API リクエスト | |
| 送信接続 | |||||
| Message Processor | バックエンド サービス | TCP/* UDP/* |
なし / OAuth over TLS 1.2 | ユーザー定義のホストにリクエストを送信します。 | |
| Synchronizer | Apigee サービス | TCP/443 | OAuth over TLS 1.2 | 構成データを取得し、apigee.googleapis.com に接続します。 |
|
| GCP | 認可のため iamcredentials.googleapis.com に接続します。 |
||||
| UDCA(Analytics) | Apigee サービス(UAP) | TCP/443 | OAuth over TLS 1.2 | 管理プレーンの UAP と GCP にデータを送信します。apigee.googleapis.com と storage.googleapis.com に接続します。 |
|
| Prometheus(指標) | GCP(Stackdriver) | TCP/443 | TLS | 管理プレーンの Stackdriver にデータを送信します。monitoring.googleapis.com に接続します。 |
|
| fluentd(ロギング) | GCP(Stackdriver) | TCP/443 | TLS | 管理プレーンの Stackdriver にデータを送信します。logging.googleapis.com に接続します。 |
|
| MART | GCP | TCP/443 | OAuth over TLS 1.2 | 認可のため iamcredentials.googleapis.com に接続します。 |
|
| * はポートが構成可能であることを示します。443 の使用をおすすめします。 | |||||
*.googleapis.com に関連付けられた特定の IP アドレスへの外部接続は許可しないでください。現在、ドメインは複数のアドレスに解決されるため、IP アドレスが変わる可能性があります。