Uma instalação típica da Apigee híbrida é composta de vários pods, conforme listado
na tabela a seguir
Cada um desses pods requer acesso específico às portas, e nem todos os pods precisam se comunicar
com todos os outros pods. Para uma visão detalhada dessas conexões internas e dos protocolos
de segurança que elas utilizam, consulte Conexões internas.
Pod
Descrição
apigee-logger
Contém um agente logger da Apigee que envia registros de aplicativos para o Stackdriver.
apigee-metrics
Contém um agente de métricas da Apigee que envia registros de aplicativo para o Stackdriver.
apigee-cassandra
Contém a camada de persistência de ambiente de execução híbrido.
apigee-synchronizer
Sincroniza a configuração entre o plano de gerenciamento (controle) e o plano de ambiente
de execução (dados).
apigee-udca
Permite a transferência de dados de análise para o plano de gerenciamento.
apigee-mart
Contém o endpoint da API administrativa da Apigee.
apigee-runtime
Contém o gateway para o processamento da solicitação de API e a execução de políticas.
O Google recomenda que você siga esses métodos e práticas recomendadas para aumentar a proteção
e isolar os pods do ambiente de
execução:
Método
Descrição
Visão geral da segurança do Kubernetes
Leia o documento
Visão geral da segurança do Google Kubernetes Engine (GKE). Neste documento, você terá uma visão geral de cada camada da sua infraestrutura
do Kubernetes e explicaremos como configurar os recursos de segurança para atender melhor
às suas necessidades.
Use políticas de rede para restringir a comunicação entre pods e os pods que têm acesso
fora da rede do Kubernetes. Para mais informações, consulte
Como criar uma política de rede de cluster na documentação do GKE.
Uma política de rede é uma especificação de como grupos de pods podem
se comunicar uns com os outros e com outros endpoints da rede.
O recurso
NetworkPolicy
do Kubernetes usa rótulos para selecionar pods e definir
regras que especificam qual tráfego é permitido para os pods selecionados.
É possível implementar um plug-in de interface de rede de contêiner (CNI, na sigla em inglês) para adicionar políticas de rede a
uma instalação de ambiente de execução da Apigee híbrida. Com as políticas de rede, é possível isolar os pods do acesso externo
e permitir o acesso a pods específicos. Para começar, use um plug-in CNI de código aberto, como o Calico.
GKE Sandbox
Ative o GKE Sandbox nos clusters do Kubernetes que executam a Apigee híbrida. Consulte GKE Sandbox para detalhes.