Una instalación típica de Apigee hybrid se compone de varios pods, como se indica en la siguiente tabla.
Cada uno de estos pods requiere un acceso específico a los puertos y no todos los pods necesitan comunicarse entre sí. Para ver un mapa detallado de estas conexiones internas y los protocolos de seguridad que utilizan, consulta Conexiones internas.
Pod
Descripción
apigee-logger
Contiene un agente de registro de Apigee que envía registros de aplicaciones a Stackdriver.
apigee-metrics
Contiene un agente de métricas de Apigee que envía registros de aplicaciones a Stackdriver.
apigee-cassandra
Contiene la capa de persistencia del entorno de ejecución híbrido.
apigee-synchronizer
Sincroniza la configuración entre el plano de gestión (control) y el plano de tiempo de ejecución (datos).
apigee-udca
Permite transferir datos analíticos al plano de gestión.
apigee-mart
Contiene el endpoint de la API administrativa de Apigee.
apigee-runtime
Contiene la pasarela para el procesamiento de solicitudes de API y la ejecución de políticas.
Google recomienda que sigas estos métodos y prácticas recomendadas para reforzar, proteger y aislar los pods de tiempo de ejecución:
Método
Descripción
Descripción general de la seguridad de Kubernetes
Consulta el documento
Descripción general de la seguridad de Google Kubernetes Engine (GKE). En este documento se ofrece una descripción general de cada una de las capas que componen la infraestructura de Kubernetes y se explica cómo puedes configurar sus funciones de seguridad para que se adapten mejor a tus necesidades.
Para consultar las directrices actuales de Google Cloud Engine sobre cómo reforzar la seguridad de tu clúster de GKE, consulta el artículo
Reforzar la seguridad del clúster.
Políticas de red
Usa políticas de red para restringir la comunicación entre pods y con pods que tengan acceso fuera de la red de Kubernetes. Para obtener más información, consulta el artículo
Crear una política de red de clúster en la documentación de GKE.
Una política de red es una especificación de cómo los grupos de pods pueden comunicarse entre sí y con otros endpoints de la red.
El recurso NetworkPolicy de Kubernetes
usa etiquetas para seleccionar pods y definir reglas que especifican qué tráfico se permite a los pods seleccionados.
Puedes implementar un complemento de interfaz de red de contenedor (CNI) para añadir políticas de red a una instalación del entorno de ejecución de Apigee hybrid. Las políticas de red te permiten aislar los pods del acceso externo y habilitar el acceso a pods específicos. Puedes usar un complemento CNI de código abierto, como Calico, para empezar.
GKE Sandbox
Habilita GKE Sandbox en los clústeres de Kubernetes que ejecutan Apigee
hybrid. Consulta GKE Sandbox para obtener más información.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-08 (UTC)."],[[["\u003cp\u003eThis Apigee hybrid documentation version 1.1 is end-of-life and requires an upgrade to a newer version.\u003c/p\u003e\n"],["\u003cp\u003eAn Apigee hybrid installation consists of multiple pods, each with specific port access requirements and varying communication needs.\u003c/p\u003e\n"],["\u003cp\u003eThe runtime pods can be secured and isolated by following the recommended practices such as reviewing the GKE security overview, utilizing network policies, and enabling GKE Sandbox.\u003c/p\u003e\n"],["\u003cp\u003eNetwork policies help in restricting pod-to-pod communication and controlling access outside the Kubernetes network, and they can be implemented using Container Network Interface (CNI) plugins.\u003c/p\u003e\n"],["\u003cp\u003eGKE Sandbox, based on the open-source gVisor project, provides a virtualized container environment to further enhance the security of Kubernetes clusters running Apigee hybrid.\u003c/p\u003e\n"]]],[],null,["# Securing the runtime installation\n\n| You are currently viewing version 1.1 of the Apigee hybrid documentation. **This version is end of life.** You should upgrade to a newer version. For more information, see [Supported versions](/apigee/docs/hybrid/supported-platforms#supported-versions).\nA typical Apigee hybrid installation is made of multiple pods, as listed in the following table. Each of these pods require specific access to ports, and not every pod needs to communicate with every other pod. For a detailed map of these internal connections and the security protocols they employ, see [Internal connections](/apigee/docs/hybrid/v1.1/ports#internal).\n\n\u003cbr /\u003e\n\n\nGoogle recommends that you follow these methods and best practices to harden,\nsecure, and isolate the runtime\npods:"]]
