Sécuriser l'installation de l'environnement d'exécution

Une installation type Apigee hybride est composée de plusieurs pods, comme indiqué dans le tableau suivant. Chacun de ces pods nécessite un accès spécifique aux ports, et ces derniers ne doivent pas tous communiquer entre eux. Pour obtenir un plan détaillé de ces connexions internes et des protocoles de sécurité qu'elles utilisent, consultez la section Connexions internes.

Pod Description
apigee-logger Contient un agent Logging Apigee qui envoie des journaux d'application à Stackdriver.
apigee-metrics Contient un agent de métriques Apigee qui envoie des journaux d'application à Stackdriver.
apigee-cassandra Contient la couche de persistance de l'environnement d'exécution hybride.
apigee-synchronizer Synchronise la configuration entre le plan de gestion (contrôle) et le plan d'exécution (données).
apigee-udca Permet de transférer des données d'analyse vers le plan de gestion.
apigee-mart Contient le point de terminaison de l'API d'administration Apigee.
apigee-runtime Contient la passerelle pour le traitement des requêtes API et l'exécution des règles.

Google vous recommande d'appliquer ces méthodes et bonnes pratiques pour renforcer, sécuriser et isoler les pods d'exécution :

Méthode Description
Présentation de la sécurité dans Kubernetes Consultez la présentation sur la sécurité du document Google Kubernetes Engine (GKE). Ce document fournit une vue d'ensemble de chaque couche de votre infrastructure Kubernetes et explique comment configurer ses fonctionnalités de sécurité pour répondre au mieux à vos besoins.

Pour découvrir les conseils actuels de Google Cloud Engine sur le renforcement de votre cluster GKE, consultez la page Renforcer la sécurité du cluster.

Règles de réseau

Utilisez des règles de réseau pour limiter la communication entre les pods et vers les pods qui ont un accès à l'extérieur du réseau Kubernetes. Pour en savoir plus, consultez la section Créer une règle de réseau de cluster dans la documentation de GKE.

Une règle de réseau spécifie les groupes de pods autorisés à communiquer entre eux et avec d'autres points de terminaison du réseau.

La ressource NetworkPolicy Kubernetes utilise des libellés pour sélectionner les pods et définir des règles qui spécifient le trafic autorisé vers les pods sélectionnés.

Vous pouvez mettre en œuvre un plug-in CNI (Container Network Interface) pour ajouter des règles de réseau à une installation d'exécution Apigee hybrid. Les règles de réseau vous permettent d'isoler les pods de l'accès extérieur et d'activer l'accès à des pods spécifiques. Vous pouvez utiliser un plug-in CNI Open Source, tel que Calico, pour commencer.

GKE Sandbox Activez GKE Sandbox pour les clusters Kubernetes exécutant Apigee hybrid. Consultez la section GKE Sandbox pour plus de détails.