Sécuriser l'installation de l'environnement d'exécution

Une installation type Apigee hybrid est composée de plusieurs pods, comme indiqué dans le tableau suivant. Chacun de ces pods nécessite un accès spécifique aux ports. De plus, les pods ne doivent pas tous communiquer avec l'ensemble de leurs homologues. Pour obtenir un plan détaillé de ces connexions internes et des protocoles de sécurité qu'elles utilisent, consultez Connexions internes.

Pod Description
apigee-logger Contient un agent de logger Apigee qui envoie des journaux d'application à Cloud Operations.
apigee-metrics Contient un agent de métriques Apigee qui envoie des journaux d'application à Cloud Operations.
apigee-cassandra Contient la couche de persistance de l'environnement d'exécution hybride.
apigee-synchronizer Synchronise la configuration entre le plan de gestion (contrôle) et le plan d'exécution (données).
apigee-udca Permet de transférer des données d'analyse vers le plan de gestion.
apigee-mart Contient le point de terminaison de l'API d'administration Apigee.
apigee-runtime Contient la passerelle pour le traitement des requêtes API et l'exécution des règles.

Google vous recommande d'appliquer ces méthodes et bonnes pratiques pour renforcer, sécuriser et isoler les pods d'exécution :

Méthode Description
Présentation de la sécurité dans Kubernetes Consultez le document Présentation de la sécurité concernant Google Kubernetes Engine (GKE). Ce document fournit une vue d'ensemble de chaque couche de votre infrastructure Kubernetes et montre comment vous pouvez configurer ses fonctionnalités de sécurité pour répondre au mieux à vos besoins.

Pour découvrir les conseils actuels de Google Kubernetes Engine sur le renforcement de votre cluster GKE, consultez Renforcer la sécurité d'un cluster.

Règles de réseau

Utilisez des règles de réseau pour limiter la communication entre les pods ainsi que vers les pods qui ont un accès à l'extérieur du réseau Kubernetes. Pour en savoir plus, consultez Créer une règle de réseau de cluster dans la documentation de GKE.

Une règle de réseau spécifie comment les groupes de pods sont autorisés à communiquer entre eux et avec d'autres points de terminaison du réseau.

La ressource NetworkPolicy Kubernetes utilise des étiquettes pour sélectionner les pods et définir des règles qui spécifient le trafic autorisé vers les pods sélectionnés.

Vous pouvez implémenter un plug-in CNI (Container Network Interface) pour ajouter des règles de réseau à une installation d'environnement d'exécution Apigee hybrid. Les règles de réseau vous permettent d'isoler les pods de l'accès extérieur et d'activer l'accès à des pods spécifiques. Vous pouvez utiliser un plug-in CNI Open Source, tel que Calico, pour commencer.