런타임 설치 보안

일반적인 Apigee Hybrid 설치는 다음 표에 나열된 여러 pod로 구성됩니다. 이러한 각 pod에는 포트에 대한 특정 액세스 권한이 필요하며 모든 pod가 다른 모든 pod와 통신할 필요는 없습니다. 이러한 내부 연결과 연결에서 사용하는 보안 프로토콜에 대한 자세한 매핑은 내부 연결을 참조하세요.

pod 설명
apigee-logger 애플리케이션 로그를 Stackdriver로 보내는 Apigee Logger 에이전트가 포함되어 있습니다.
apigee-metrics 애플리케이션 로그를 Stackdriver로 전송하는 Apigee 측정항목 에이전트가 포함됩니다.
apigee-cassandra 하이브리드 런타임 지속 레이어를 포함합니다.
apigee-synchronizer 관리(제어) 영역과 런타임(데이터) 영역 간에 구성을 동기화합니다.
apigee-udca 분석 데이터를 관리 영역으로 전송할 수 있습니다.
apigee-mart Apigee 관리 API 엔드포인트가 포함됩니다.
apigee-runtime API 요청 처리 및 정책 실행을 위한 게이트웨이가 포함됩니다.

Google에서는 런타임 pod를 강화, 보호, 격리하는 다음의 방법과 권장사항을 따르는 것을 권장합니다.

메서드 설명
Kubernetes 보안 개요 Google Kubernetes Engine(GKE) 문서 보안 개요를 검토합니다. 이 문서는 Kubernetes 인프라의 각 레이어를 간단히 설명하고 필요에 가장 적합하게 보안 기능을 구성하는 방법을 보여 줍니다.

GKE 클러스터 강화에 대한 Google Cloud Engine의 최신 가이드는 클러스터 보안 강화에서 확인하세요.

네트워크 정책

네트워크 정책을 사용하여 pod와 Kubernetes 네트워크 외부에서 액세스할 수 있는 pod 간에 통신을 제한합니다. 자세한 내용은 GKE 문서의 클러스터 네트워크 정책 만들기를 참조하세요.

네트워크 정책은 pod 그룹이 서로 통신하고 다른 네트워크 엔드포인트와 통신하는 방법을 지정합니다.

Kubernetes NetworkPolicy 리소스는 라벨을 사용하여 pod를 선택하고 선택한 pod에 허용되는 트래픽 지정 규칙을 정의합니다.

컨테이너 네트워크 인터페이스(CNI) 플러그인을 구현하여 Apigee Hybrid 런타임 설치에 네트워크 정책을 추가할 수 있습니다. 네트워크 정책을 사용하면 pod를 외부에서 액세스로부터 격리하고 특정 pod에 대한 액세스를 사용 설정할 수 있습니다. Calico와 같은 오픈소스 CNI 플러그인을 사용하여 시작할 수 있습니다.

GKE Sandbox Apigee Hybrid를 실행하는 Kubernetes 클러스터에 GKE Sandbox를 사용 설정합니다. 자세한 내용은 GKE Sandbox를 참조하세요.