Laufzeitinstallation sichern

Eine typische Apigee Hybrid-Installation besteht aus mehreren Pods, wie in der folgenden Tabelle aufgeführt. Jeder dieser Pods erfordert einen spezifischen Zugriff auf Ports. Nicht jeder Pod muss mit jedem anderen Pod kommunizieren. Eine detaillierte Zuordnung dieser internen Verbindungen und der von ihnen verwendeten Sicherheitsprotokolle finden Sie unter Interne Verbindungen.

Pod	Beschreibung
`apigee-logger`	Enthält einen Apigee-Logging-Agent, der Anwendungslogs an Stackdriver sendet.
`apigee-metrics`	Enthält einen Apigee-Messwert-Agent, der Anwendungslogs an Stackdriver sendet.
`apigee-cassandra`	Enthält die Persistenz-Ebene der Hybridlaufzeit.
`apigee-synchronizer`	Synchronisiert die Konfiguration zwischen der Verwaltungs- (Steuerungs-) und der Laufzeitebene (Datenebene).
`apigee-udca`	Ermöglicht die Übertragung von Analysedaten auf die Verwaltungsebene.
`apigee-mart`	Enthält den Apigee Admin API-Endpunkt.
`apigee-runtime`	Enthält das Gateway für die Verarbeitung von API-Anfragen und die Ausführung der Richtlinien.

Google empfiehlt, anhand der folgenden Methoden und Best Practices die Laufzeit-Pods zu härten, zu sichern und zu isolieren:

Methode	Beschreibung
Kubernetes-Sicherheitsübersicht	Lesen Sie das Google Kubernetes Engine (GKE)-Dokument Übersicht über die Sicherheit. In diesem Dokument erhalten Sie einen Überblick über die einzelnen Ebenen Ihrer Kubernetes-Infrastruktur. Außerdem erfahren Sie, wie Sie die Sicherheitsfeatures optimal entsprechend Ihrer Bedürfnisse konfigurieren. Die aktuelle Anleitung zur Sicherung Ihres GKE-Clusters in Google Cloud Engine finden Sie unter Clustersicherheit erhöhen.
Netzwerkrichtlinien	Schränken Sie mithilfe von Netzwerkrichtlinien die Kommunikation zwischen Pods und Pods ein, die auf Elemente außerhalb des Kubernetes-Netzwerks zugreifen. Weitere Informationen finden Sie unter Cluster-Netzwerkrichtlinien erstellen in der GKE-Dokumentation. Eine Netzwerkrichtlinie gibt an, wie Gruppen von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren dürfen. Die Kubernetes-Ressource NetworkPolicy verwendet Labels, um Pods auszuwählen und Regeln zu definieren, die angeben, welcher Traffic für die ausgewählten Pods zulässig ist. Sie können ein CNI-Plug-in (Container Network Interface) implementieren, um Netzwerkrichtlinien zu einer Apigee hybrid-Laufzeitinstallation hinzuzufügen. Mit Netzwerkrichtlinien können Sie Pods von außerhalb des Zugriffs isolieren und den Zugriff auf bestimmte Pods ermöglichen. Für den Einstieg können Sie ein Open-Source-CNI-Plug-in wie Calico verwenden.
GKE Sandbox	Aktivieren Sie GKE Sandbox für die Kubernetes-Cluster, in denen Apigee Hybrid ausgeführt wird. Weitere Informationen finden Sie unter GKE Sandbox. HINWEIS: GKE Sandbox ist die Google-Version des Open-Source-Projekts gVisor, einer Sandbox-Laufzeit, die eine virtualisierte Containerumgebung bereitstellt.

Methode

Beschreibung

Kubernetes-Sicherheitsübersicht

Lesen Sie das Google Kubernetes Engine (GKE)-Dokument Übersicht über die Sicherheit. In diesem Dokument erhalten Sie einen Überblick über die einzelnen Ebenen Ihrer Kubernetes-Infrastruktur. Außerdem erfahren Sie, wie Sie die Sicherheitsfeatures optimal entsprechend Ihrer Bedürfnisse konfigurieren.

Die aktuelle Anleitung zur Sicherung Ihres GKE-Clusters in Google Cloud Engine finden Sie unter Clustersicherheit erhöhen.

Netzwerkrichtlinien

Schränken Sie mithilfe von Netzwerkrichtlinien die Kommunikation zwischen Pods und Pods ein, die auf Elemente außerhalb des Kubernetes-Netzwerks zugreifen. Weitere Informationen finden Sie unter Cluster-Netzwerkrichtlinien erstellen in der GKE-Dokumentation.

Eine Netzwerkrichtlinie gibt an, wie Gruppen von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren dürfen.

Die Kubernetes-Ressource NetworkPolicy verwendet Labels, um Pods auszuwählen und Regeln zu definieren, die angeben, welcher Traffic für die ausgewählten Pods zulässig ist.

Sie können ein CNI-Plug-in (Container Network Interface) implementieren, um Netzwerkrichtlinien zu einer Apigee hybrid-Laufzeitinstallation hinzuzufügen. Mit Netzwerkrichtlinien können Sie Pods von außerhalb des Zugriffs isolieren und den Zugriff auf bestimmte Pods ermöglichen. Für den Einstieg können Sie ein Open-Source-CNI-Plug-in wie Calico verwenden.

GKE Sandbox

Aktivieren Sie GKE Sandbox für die Kubernetes-Cluster, in denen Apigee Hybrid ausgeführt wird. Weitere Informationen finden Sie unter GKE Sandbox.