Memahami port mana yang digunakan bidang runtime hybrid penting bagi perusahaan implementasi yang tepat. Bagian ini menjelaskan porta yang digunakan untuk komunikasi aman di dalam bidang runtime serta port eksternal yang digunakan untuk komunikasi dengan layanan eksternal.
Koneksi internal
Komunikasi antara bidang runtime dan bidang pengelolaan diamankan dengan TLS 1 arah dan OAuth 2.0. Layanan individu menggunakan protokol yang berbeda, tergantung pada layanan mana yang mereka komunikasikan kami.
Sertifikat yang digunakan untuk komunikasi intra-komponen dihasilkan oleh sertifikat Apigee Google. Anda tidak perlu memberikan sertifikat atau mengelolanya.
Gambar berikut menampilkan port dan saluran komunikasi dalam runtime hybrid pesawat:
Tabel berikut menjelaskan port dan saluran komunikasi dalam runtime hybrid pesawat:
Koneksi Internal | |||||
---|---|---|---|---|---|
Sumber | Tujuan | Protokol/Port | Protokol keamanan | Deskripsi | |
MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | Mengirim data untuk persistensi. | |
Apigee Connect | MART | TCP/8443 | TLS | Permintaan dari bidang pengelolaan melalui Apigee Connect. Apigee Connect memulai dengan koneksi yang mereka miliki dari mana pun. | |
Ingress Istio Default | Message Processor | TCP/8443 | TLS (sertifikat yang ditandatangani sendiri oleh Apigee) | Memproses permintaan API yang masuk. | |
Message Processor | Cassandra | TCP/9042 TCP/9142 |
mTLS | Mengirim data untuk persistensi. | |
Message Processor | mahir (analitik / logging) | TCP/20001 | mTLS | Melakukan streaming data ke pod pengumpulan data. | |
Cassandra | Cassandra | TCP/7001 TCP/7199 |
mTLS | Komunikasi cluster intranode. | |
Cassandra | Cassandra | TCP/7001 | mTLS | Komunikasi antar-region. | |
Penyelaras | Cassandra | TCP/9042 TCP/9142 |
mTLS | Mengirim data untuk persistensi. | |
Prometheus (metrik) | Cassandra | TCP/7070 (HTTPS) | TLS | Menghapus data metrik dari berbagai layanan. | |
MART | TCP/8843 (HTTPS) | TLS | |||
Pemroses Pesan | TCP/8843 (HTTPS) | TLS | |||
Penyelaras | TCP/8843 (HTTPS) | TLS | |||
UDCA | TCP/7070 (HTTPS) | TLS | |||
Pengamat | Pemroses Pesan | TCP/8843 | TLS | Polling untuk mendapatkan status deployment. |
Sambungan eksternal
Untuk mengonfigurasi firewall jaringan dengan tepat, Anda harus mengetahui porta masuk dan keluar yang digunakan oleh hybrid untuk berkomunikasi dengan layanan eksternal.
Gambar berikut menampilkan port yang digunakan untuk komunikasi eksternal dengan runtime hybrid pesawat:
Tabel berikut menjelaskan port yang digunakan untuk komunikasi eksternal dengan runtime hybrid pesawat:
Koneksi Eksternal | |||||
---|---|---|---|---|---|
Sumber | Tujuan | Protokol/Port | {i>Security Protocol<i} | Deskripsi | |
Koneksi Masuk (ditampilkan secara eksternal) | |||||
OPSIONAL: Layanan Apigee Hanya jika tidak menggunakan Apigee Connect (direkomendasikan). Lihat Koneksi Dua Arah di bawah ini. |
Ingress Istio MART | TCP/443 | OAuth melalui TLS 1.2 | Panggilan Hybrid API dari bidang pengelolaan. | |
Aplikasi Klien | Ingress Istio Default | TCP/* | Tidak Ada/OAuth melalui TLS 1.2 | Permintaan API dari aplikasi eksternal. | |
Koneksi Keluar | |||||
Pemroses Pesan | Layanan backend | TCP/* UDP/* |
Tidak Ada/OAuth melalui TLS 1.2 | Mengirim permintaan ke host yang ditentukan pelanggan. | |
Penyelaras | Layanan Apigee | TCP/443 | OAuth melalui TLS 1.2 | Mengambil data konfigurasi; terhubung ke
apigee.googleapis.com . |
|
Google Cloud | Menghubungkan ke iamcredentials.googleapis.com untuk
otorisasi. |
||||
UDCA (Analytics) | Layanan Apigee (UAP) | TCP/443 | OAuth melalui TLS 1.2 | Mengirim data ke UAP di bidang pengelolaan dan ke Google Cloud; terhubung ke
apigee.googleapis.com dan
storage.googleapis.com . |
|
Apigee Connect | Layanan Apigee | TCP/443 | TLS | Menetapkan koneksi dengan bidang manajemen; terhubung ke
apigeeconnect.googleapis.com . |
|
Prometheus (metrik) | Google Cloud (Operasi Cloud) | TCP/443 | TLS | Mengirim data ke Cloud Operations di bidang pengelolaan; terhubung ke
monitoring.googleapis.com . |
|
lancar (logging) | Google Cloud (Operasi Cloud) | TCP/443 | TLS | Mengirim data ke Cloud Operations di bidang pengelolaan; terhubung ke
logging.googleapis.com |
|
MART | Google Cloud | TCP/443 | OAuth melalui TLS 1.2 | Menghubungkan ke iamcredentials.googleapis.com untuk otorisasi. |
|
Message Processor | Backend Trace Terdistribusi | http atau https | TLS (dapat dikonfigurasi) | (Opsional) Menyampaikan informasi rekaman aktivitas ke layanan backend Distributed Trace. Konfigurasikan dan protokol di TraceConfig API. Backend untuk Distributed Trace biasanya adalah Cloud Trace atau Jaeger. | |
Koneksi Dua Arah | |||||
Apigee Connect | Layanan Apigee | TCP/443 | TLS | Mengomunikasikan data manajemen antara bidang pengelola dan Management API untuk
data runtime (MART) di bidang runtime. Apigee Connect memulai koneksi;
terhubung ke apigeeconnect.googleapis.com . Oleh karena itu, Anda
tidak perlu mengonfigurasi {i>firewall<i} untuk konektivitas masuk. |
|
* menunjukkan bahwa port dapat dikonfigurasi. Apigee merekomendasikan penggunaan port 443. |
Anda tidak boleh mengizinkan koneksi eksternal untuk alamat IP tertentu yang terkait dengan
*.googleapis.com
. Alamat IP dapat berubah karena domain saat ini di-resolve menjadi
memiliki lebih dari satu alamat.