Uso de portas seguras

Entender quais portas o plano do ambiente de execução híbrido usa é importante para implementações empresariais. Esta seção descreve as portas usadas para comunicações seguras no plano do ambiente de execução e as portas externas usadas para comunicações com serviços externos.

Conexões internas

A comunicação entre o plano do ambiente de execução e o plano de gerenciamento é protegida com o TLS unidirecional e o OAuth 2.0. Cada serviço usa protocolos diferentes, dependendo do serviço com o qual estão se comunicando.

Os certificados usados para a comunicação entre componentes são gerados pelo gerenciador de certificados da Apigee. Não é necessário fornecer um certificado ou gerenciá-lo.

A imagem a seguir mostra as portas e os canais de comunicação no plano do ambiente de execução híbrido:

Mostra as conexões entre os componentes internos no plano do ambiente de execução híbrido.

A tabela a seguir descreve as portas e os canais de comunicação no plano do ambiente de execução híbrido:

Conexões internas
Fonte Destino Protocolo/porta(s) Protocolo de segurança Descrição
MART Cassandra TCP/9042
TCP/9142
mTLS Envia dados para persistência.
Apigee Connect MART TCP/8443 TLS As solicitações do plano de gerenciamento passam pelo Apigee Connect. O Apigee Connect inicia a conexão.
Entrada padrão do Istio Processador de mensagens TCP/8443 TLS (certificado autoassinado gerado pela Apigee) Processa solicitações de API recebidas.
processador de mensagens Cassandra TCP/9042
TCP/9142
mTLS Envia dados para persistência.
processador de mensagens fluentd (análise / geração de registros) TCP/20001 mTLS Faz streaming dos dados para o pod de coleta de dados.
Cassandra Cassandra TCP/7001
TCP/7199
mTLS Comunicação do cluster intranós.
Cassandra Cassandra TCP/7001 mTLS Comunicações entre regiões.
Sincronizador Cassandra TCP/9042
TCP/9142
mTLS Envia dados para persistência.
Prometheus (métricas) Cassandra TCP/7070 (HTTPS) TLS Extrai dados de métricas de vários serviços.
MART TCP/8843 (HTTPS) TLS
Processador de mensagens TCP/8843 (HTTPS) TLS
Sincronizador TCP/8843 (HTTPS) TLS
UDCA TCP/7070 (HTTPS) TLS
Watcher Pods de entrada TCP/8843 TLS Enquetes para receber o status da implantação.

Conexões externas

Para configurar corretamente o firewall da rede, é preciso saber as portas de entrada e saída usadas pelo ambiente híbrido para se comunicar com os serviços externos.

A imagem a seguir mostra as portas usadas para comunicações externas com o plano do ambiente de execução híbrido:

Mostra conexões com serviços externos do plano do ambiente de execução híbrido

A tabela a seguir descreve as portas usadas para comunicações externas com o plano do ambiente de execução híbrido:

Conexões externas
Fonte Destino Protocolo/porta(s) Protocolo de segurança Descrição
Conexões de entrada (expostas externamente)
OPCIONAL: Serviços da Apigee
Somente se não estiver usando o Apigee Connect (recomendado). Consulte Conexões bidirecionais abaixo.
Entrada do Istio do MART TCP/443 OAuth por TLS 1.2 Chamadas de API híbridas do plano de gerenciamento.
Aplicativos clientes Entrada padrão do Istio TCP/* Nenhum/OAuth por TLS 1.2 Solicitações de API de apps externos.
Conexões de saída
Processador de mensagens Serviços de back-end TCP/*
UDP/*
Nenhum/OAuth por TLS 1.2 Envia solicitações para hosts definidos pelo cliente.
Sincronizador Serviços da Apigee TCP/443 OAuth por TLS 1.2 Busca dados de configuração e conecta-se a apigee.googleapis.com.
Google Cloud Conecta-se a iamcredentials.googleapis.com para autorização.
UDCA (Analytics) Serviços da Apigee (UAP) TCP/443 OAuth por TLS 1.2 Envia dados para o UAP no plano de gerenciamento e para o Google Cloud e conecta-se a apigee.googleapis.com e storage.googleapis.com.
Apigee Connect Serviços da Apigee TCP/443 TLS Estabelece a conexão com o plano de gerenciamento e conecta-se a apigeeconnect.googleapis.com.
Prometheus (métricas) Google Cloud (Operações do Cloud) TCP/443 TLS Envia dados para o Cloud Operations no plano de gerenciamento e conecta-se a monitoring.googleapis.com.
fluentd (logging) Google Cloud (Operações do Cloud) TCP/443 TLS Envia dados para o Cloud Operations no plano de gerenciamento e conecta-se a logging.googleapis.com
MART Google Cloud TCP/443 OAuth por TLS 1.2 Conecta-se a iamcredentials.googleapis.com para autorização.
processador de mensagens Back-end de rastreamento distribuído http ou https TLS (configurável) (Opcional) Comunica informações de rastreamento ao serviço de back-end de rastreamento distribuído. Configure o serviço e o protocolo na API TraceConfig. O back-end de rastreamento distribuído geralmente é Cloud Trace ou Jaeger.
Conexões bidirecionais
Apigee Connect Serviços da Apigee TCP/443 TLS Comunica dados de gerenciamento entre o plano de gerenciamento e a API Management para dados do ambiente de execução (MART) no plano de execução. A Apigee Connect inicia a conexão e se conecta a apigeeconnect.googleapis.com. Portanto, você não precisa configurar seu firewall para conectividade de entrada.
* indica que a porta é configurável. A Apigee recomenda o uso da porta 443.

Não permita conexões externas com endereços IP específicos associados a *.googleapis.com. Os endereços IP podem mudar, já que o domínio é resolvido para vários endereços.