保护运行时安装的安全

典型的 Apigee Hybrid 安装由多个 Pod 组成,如下表所示。每个 Pod 都需要具备对端口的特定访问权限,并且每个 Pod 都需要与每个其他 Pod 通信。如需查看这些内部连接及其采用的安全协议的详细映射,请参阅内部连接

Pod 说明
apigee-logger 包含一个 Apigee Logger 代理,用于将应用日志发送到 Cloud Operations。
apigee-metrics 包含一个 Apigee 指标代理,用于将应用日志发送到 Cloud Operations。
apigee-cassandra 包含 Hybrid 运行时永久性层。
apigee-synchronizer 在管理(控制)平面和运行时(数据)平面之间同步配置。
apigee-udca 允许将分析数据传输到管理平面。
apigee-mart 包含 Apigee Administration API 端点。
apigee-runtime 包含用于 API 请求处理和政策执行的网关。

Google 建议您遵循这些方法和最佳做法,以强化、保护和隔离运行时 Pod:

方法 说明
Kubernetes 安全概览 查看 Google Kubernetes Engine (GKE) 文档安全概览。本文档概述了 Kubernetes 基础架构的每一层,并介绍如何配置每一层的安全功能来最符合您的需求。

如需了解 Google Kubernetes Engine 当前强化 GKE 集群的指南,请参阅强化集群的安全性

网络政策

使用网络政策来限制 Pod 与可访问 Kubernetes 网络外部的 Pod 之间的通信。如需了解详情,请参阅 GKE 文档中的创建集群网络政策

网络政策指定 Pod 组可以如何与彼此及其他网络端点进行通信。

Kubernetes NetworkPolicy 资源使用标签选择 Pod 并定义规则,以便指定允许流向选定 Pod 的流量。

您可以实现容器网络接口 (CNI) 插件来向 Apigee Hybrid 运行时安装添加网络政策。利用网络政策,您可以隔离 Pod 使其无法进行外部访问,并且允许访问特定的 Pod。您可以使用开源 CNI 插件(例如 Calico)。