保护运行时安装的安全

典型的 Apigee Hybrid 安装由多个 Pod 组成，如下表所示。每个 Pod 都需要具备对端口的特定访问权限，并且每个 Pod 都需要与每个其他 Pod 通信。如需查看这些内部连接及其采用的安全协议的详细映射，请参阅内部连接。

Pod	说明
apigee-logger	包含一个 Apigee 日志记录器代理，用于将应用日志发送到 Stackdriver。
apigee-metrics	包含一个 Apigee 指标代理，用于将应用日志发送到 Stackdriver。
apigee-cassandra	包含 Hybrid 运行时永久性层。
apigee-synchronizer	在管理（控制）平面和运行时（数据）平面之间同步配置。
apigee-udca	允许将分析数据传输到管理平面。
apigee-mart	包含 Apigee Administration API 端点。
apigee-runtime	包含用于 API 请求处理和政策执行的网关。

Google 建议您遵循这些方法和最佳做法，以强化、保护和隔离运行时 Pod：

方法	说明
Kubernetes 安全概览	查看 Google Kubernetes Engine (GKE) 文档安全概览。本文档概述了 Kubernetes 基础架构的每一层，并介绍如何配置每一层的安全功能来最符合您的需求。 如需了解 Google Cloud Engine 强化 GKE 集群安全性的当前指南，请参阅强化集群的安全性。
网络政策	使用网络政策来限制 Pod 与可访问 Kubernetes 网络外部的 Pod 之间的通信。如需了解详情，请参阅 GKE 文档中的创建集群网络政策。 网络政策指定 Pod 组可以如何与彼此及其他网络端点进行通信。 Kubernetes NetworkPolicy 资源使用标签选择 Pod 并定义规则，以便指定允许流向选定 Pod 的流量。 您可以实现容器网络接口 (CNI) 插件来向 Apigee Hybrid 运行时安装添加网络政策。利用网络政策，您可以隔离 Pod 使其无法进行外部访问，并且允许访问特定的 Pod。您可以使用开源 CNI 插件（例如 Calico）。
GKE Sandbox	为运行 Apigee Hybrid 的 Kubernetes 集群启用 GKE Sandbox。如需了解详情，请参阅 GKE Sandbox。