Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan penginstalan runtime

Penginstalan hybrid Apigee standar dibuat dari beberapa pod, seperti yang tercantum dalam tabel berikut. Setiap pod ini memerlukan akses khusus ke port, dan tidak setiap pod perlu berkomunikasi dengan setiap pod lainnya. Untuk peta mendetail tentang koneksi internal ini dan protokol keamanan yang digunakan, lihat Koneksi internal.

Pod	Deskripsi
`apigee-logger`	Berisi agen logger Apigee yang mengirim log aplikasi ke Stackdriver.
`apigee-metrics`	Berisi agen metrik Apigee yang mengirim log aplikasi ke Stackdriver.
`apigee-cassandra`	Berisi lapisan persistensi runtime hybrid.
`apigee-synchronizer`	Menyinkronkan konfigurasi antara bidang pengelolaan (kontrol) dan bidang runtime (data).
`apigee-udca`	Mengizinkan transfer data analisis ke bidang pengelolaan.
`apigee-mart`	Berisi endpoint API administratif Apigee.
`apigee-runtime`	Berisi gateway untuk pemrosesan permintaan API dan eksekusi kebijakan.

Google merekomendasikan agar Anda mengikuti metode dan praktik terbaik berikut untuk melakukan hardening, mengamankan, dan mengisolasi pod runtime:

Metode	Deskripsi
Ringkasan keamanan Kubernetes	Tinjau dokumen Google Kubernetes Engine (GKE) Ringkasan keamanan. Dokumen ini memberikan ringkasan setiap lapisan infrastruktur Kubernetes Anda, dan menjelaskan cara mengonfigurasi fitur keamanannya agar sesuai dengan kebutuhan Anda. Untuk mengetahui panduan Google Cloud Engine saat ini terkait hardening cluster GKE, lihat Melakukan hardening pada keamanan cluster.
Kebijakan jaringan	Gunakan kebijakan jaringan untuk membatasi komunikasi antara Pod dan ke pod yang memiliki akses di luar jaringan Kubernetes. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan jaringan cluster dalam dokumentasi GKE. Kebijakan jaringan merupakan spesifikasi terkait cara grup pod diizinkan untuk berkomunikasi satu sama lain dan dengan endpoint jaringan lainnya. Resource NetworkPolicy Kubernetes menggunakan label untuk memilih pod dan menentukan aturan yang menentukan traffic yang diizinkan ke pod yang dipilih. Anda dapat mengimplementasikan plugin Container Network Interface (CNI) untuk menambahkan kebijakan jaringan ke penginstalan runtime hybrid Apigee. Dengan kebijakan jaringan, Anda dapat mengisolasi pod dari akses luar dan mengaktifkan akses ke pod tertentu. Anda dapat menggunakan plugin CNI open source, seperti Calico untuk memulai.
GKE Sandbox	Aktifkan GKE Sandbox untuk cluster Kubernetes yang menjalankan Apigee Hybrid. Lihat GKE Sandbox untuk mengetahui detailnya. CATATAN: GKE Sandbox adalah versi Google untuk project open source gVisor, runtime sandbox yang menyediakan lingkungan container virtual.

Metode

Deskripsi

Ringkasan keamanan Kubernetes

Tinjau dokumen Google Kubernetes Engine (GKE) Ringkasan keamanan. Dokumen ini memberikan ringkasan setiap lapisan infrastruktur Kubernetes Anda, dan menjelaskan cara mengonfigurasi fitur keamanannya agar sesuai dengan kebutuhan Anda.

Untuk mengetahui panduan Google Cloud Engine saat ini terkait hardening cluster GKE, lihat Melakukan hardening pada keamanan cluster.

Kebijakan jaringan

Gunakan kebijakan jaringan untuk membatasi komunikasi antara Pod dan ke pod yang memiliki akses di luar jaringan Kubernetes. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan jaringan cluster dalam dokumentasi GKE.

Kebijakan jaringan merupakan spesifikasi terkait cara grup pod diizinkan untuk berkomunikasi satu sama lain dan dengan endpoint jaringan lainnya.

Resource NetworkPolicy Kubernetes menggunakan label untuk memilih pod dan menentukan aturan yang menentukan traffic yang diizinkan ke pod yang dipilih.

Anda dapat mengimplementasikan plugin Container Network Interface (CNI) untuk menambahkan kebijakan jaringan ke penginstalan runtime hybrid Apigee. Dengan kebijakan jaringan, Anda dapat mengisolasi pod dari akses luar dan mengaktifkan akses ke pod tertentu. Anda dapat menggunakan plugin CNI open source, seperti Calico untuk memulai.

GKE Sandbox

Aktifkan GKE Sandbox untuk cluster Kubernetes yang menjalankan Apigee Hybrid. Lihat GKE Sandbox untuk mengetahui detailnya.