保護執行階段安裝

一般 Apigee Hybrid 安裝作業會由多個 Pod 組成,如下表所列。每個 Pod 都需要特定的通訊埠存取權,但並非每個 Pod 都需要與其他 Pod 通訊。如需這些內部連線和採用的安全性通訊協定詳細對照表,請參閱「內部連線」。

Pod 說明
apigee-logger 包含 Apigee 記錄器代理程式,可將應用程式記錄傳送至 Stackdriver。
apigee-metrics 包含 Apigee 指標代理程式,可將應用程式記錄傳送至 Stackdriver。
apigee-cassandra 包含混合式執行階段持久層。
apigee-synchronizer 同步處理管理 (控管) 層和執行階段 (資料) 層之間的設定。
apigee-udca 允許將分析資料傳輸至管理層面。
apigee-mart 包含 Apigee 管理 API 端點。
apigee-runtime 包含 API 要求處理和政策執行作業的閘道。

Google 建議您遵循下列方法和最佳做法,強化、保護及隔離執行階段 Pod:

方法 說明
Kubernetes 安全性總覽 請參閱 Google Kubernetes Engine (GKE) 說明文件「 安全性總覽」。本說明文件會大概介紹 Kubernetes 基礎架構的各個層級,並說明如何設定最適合您需求的安全功能。

如要瞭解 Google Cloud Engine 目前針對強化 GKE 叢集所提供的指南,請參閱「 強化叢集的安全性」。
網路政策

使用網路政策限制 Pod 之間的通訊,以及與可存取 Kubernetes 網路以外的 Pod 之間的通訊。詳情請參閱 GKE 說明文件中的「 建立叢集網路政策」一節。

網路政策規範 pod 群在那些情形下,允許與彼此及其他網路端點進行通訊。

Kubernetes NetworkPolicy 資源會使用標籤選取 Pod,並定義規則,指定哪些流量可傳送至所選 Pod。

您可以實作 Container Network Interface (CNI) 外掛程式,將網路政策新增至 Apigee Hybrid 執行階段安裝作業。網路政策可讓您將 Pod 與外部存取權隔離,並啟用特定 Pod 的存取權。您可以使用開放原始碼 CNI 外掛程式 (例如 Calico) 開始使用。
GKE Sandbox 為執行 Apigee hybrid 的 Kubernetes 叢集啟用 GKE Sandbox。詳情請參閱 GKE Sandbox