Sécuriser l'installation de l'environnement d'exécution

Une installation type Apigee hybrid est composée de plusieurs pods, comme indiqué dans le tableau suivant. Chacun de ces pods nécessite un accès spécifique aux ports, et ces derniers ne doivent pas tous communiquer entre eux. Pour obtenir un plan détaillé de ces connexions internes et des protocoles de sécurité qu'elles utilisent, consultez la section Connexions internes.

Pod	Description
`apigee-logger`	Contient un agent Logging Apigee qui envoie des journaux d'application à Stackdriver.
`apigee-metrics`	Contient un agent de métriques Apigee qui envoie des journaux d'application à Stackdriver.
`apigee-cassandra`	Contient la couche de persistance de l'environnement d'exécution hybride.
`apigee-synchronizer`	Synchronise la configuration entre le plan de gestion (contrôle) et le plan d'exécution (données).
`apigee-udca`	Permet de transférer des données d'analyse vers le plan de gestion.
`apigee-mart`	Contient le point de terminaison de l'API d'administration Apigee.
`apigee-runtime`	Contient la passerelle pour le traitement des requêtes API et l'exécution des règles.

Google vous recommande d'appliquer ces méthodes et bonnes pratiques pour renforcer, sécuriser et isoler les pods d'exécution :

Méthode	Description
Présentation de la sécurité dans Kubernetes	Consultez la présentation sur la sécurité du document Google Kubernetes Engine (GKE). Ce document fournit une vue d'ensemble de chaque couche de votre infrastructure Kubernetes et explique comment configurer ses fonctionnalités de sécurité pour répondre au mieux à vos besoins. Pour découvrir les conseils actuels de Google Cloud Engine sur le renforcement de votre cluster GKE, consultez la page Renforcer la sécurité du cluster.
Règles de réseau	Utilisez des règles de réseau pour limiter la communication entre les pods et vers les pods qui ont un accès à l'extérieur du réseau Kubernetes. Pour en savoir plus, consultez la section Créer une règle de réseau de cluster dans la documentation de GKE. Une règle de réseau spécifie les groupes de pods autorisés à communiquer entre eux et avec d'autres points de terminaison du réseau. La ressource NetworkPolicy Kubernetes utilise des libellés pour sélectionner les pods et définir des règles qui spécifient le trafic autorisé vers les pods sélectionnés. Vous pouvez mettre en œuvre un plug-in CNI (Container Network Interface) pour ajouter des règles de réseau à une installation d'exécution Apigee hybrid. Les règles de réseau vous permettent d'isoler les pods de l'accès extérieur et d'activer l'accès à des pods spécifiques. Vous pouvez utiliser un plug-in CNI Open Source, tel que Calico, pour commencer.
GKE Sandbox	Activez GKE Sandbox pour les clusters Kubernetes exécutant Apigee hybrid. Consultez la section GKE Sandbox pour plus de détails. REMARQUE : GKE Sandbox est la version Google du projet Open Source gVisor, un environnement d'exécution de bac à sable qui fournit un environnement de conteneur virtualisé.

Méthode

Description

Présentation de la sécurité dans Kubernetes

Consultez la présentation sur la sécurité du document Google Kubernetes Engine (GKE). Ce document fournit une vue d'ensemble de chaque couche de votre infrastructure Kubernetes et explique comment configurer ses fonctionnalités de sécurité pour répondre au mieux à vos besoins.

Pour découvrir les conseils actuels de Google Cloud Engine sur le renforcement de votre cluster GKE, consultez la page Renforcer la sécurité du cluster.

Règles de réseau

Utilisez des règles de réseau pour limiter la communication entre les pods et vers les pods qui ont un accès à l'extérieur du réseau Kubernetes. Pour en savoir plus, consultez la section Créer une règle de réseau de cluster dans la documentation de GKE.

Une règle de réseau spécifie les groupes de pods autorisés à communiquer entre eux et avec d'autres points de terminaison du réseau.

La ressource NetworkPolicy Kubernetes utilise des libellés pour sélectionner les pods et définir des règles qui spécifient le trafic autorisé vers les pods sélectionnés.

Vous pouvez mettre en œuvre un plug-in CNI (Container Network Interface) pour ajouter des règles de réseau à une installation d'exécution Apigee hybrid. Les règles de réseau vous permettent d'isoler les pods de l'accès extérieur et d'activer l'accès à des pods spécifiques. Vous pouvez utiliser un plug-in CNI Open Source, tel que Calico, pour commencer.

GKE Sandbox

Activez GKE Sandbox pour les clusters Kubernetes exécutant Apigee hybrid. Consultez la section GKE Sandbox pour plus de détails.