Penggunaan port yang aman

Memahami port mana yang digunakan bidang runtime hybrid penting bagi perusahaan implementasi yang tepat. Bagian ini menjelaskan porta yang digunakan untuk komunikasi aman di dalam bidang runtime serta port eksternal yang digunakan untuk komunikasi dengan layanan eksternal.

Koneksi internal

Komunikasi antara bidang runtime dan bidang pengelolaan diamankan dengan TLS 1 arah dan OAuth 2.0. Layanan individu menggunakan protokol yang berbeda, tergantung pada layanan mana yang mereka komunikasikan kami.

Sertifikat yang digunakan untuk komunikasi intra-komponen dihasilkan oleh sertifikat Apigee Google. Anda tidak perlu memberikan sertifikat atau mengelolanya.

Gambar berikut menampilkan port dan saluran komunikasi dalam runtime hybrid pesawat:

Menampilkan koneksi
antar-komponen internal pada bidang runtime hybrid

Tabel berikut menjelaskan port dan saluran komunikasi dalam runtime hybrid pesawat:

Koneksi Internal
Sumber Tujuan Protokol/Port Protokol keamanan Deskripsi
MART Cassandra TCP/9042
TCP/9142
mTLS Mengirim data untuk persistensi.
Apigee Connect MART TCP/8443 TLS Permintaan dari bidang pengelolaan melalui Apigee Connect. Apigee Connect memulai dengan koneksi yang mereka miliki dari mana pun.
Ingress Istio Default Message Processor TCP/8443 TLS (sertifikat yang ditandatangani sendiri oleh Apigee) Memproses permintaan API yang masuk.
Message Processor Cassandra TCP/9042
TCP/9142
mTLS Mengirim data untuk persistensi.
Message Processor mahir (analitik / logging) TCP/20001 mTLS Melakukan streaming data ke pod pengumpulan data.
Cassandra Cassandra TCP/7001
TCP/7199
mTLS Komunikasi cluster intranode.
Cassandra Cassandra TCP/7001 mTLS Komunikasi antar-region.
Penyelaras Cassandra TCP/9042
TCP/9142
mTLS Mengirim data untuk persistensi.
Prometheus (metrik) Cassandra TCP/7070 (HTTPS) TLS Menghapus data metrik dari berbagai layanan.
MART TCP/8843 (HTTPS) TLS
Pemroses Pesan TCP/8843 (HTTPS) TLS
Penyelaras TCP/8843 (HTTPS) TLS
UDCA TCP/7070 (HTTPS) TLS
Pengamat Pemroses Pesan TCP/8843 TLS Polling untuk mendapatkan status deployment.

Sambungan eksternal

Untuk mengonfigurasi firewall jaringan dengan tepat, Anda harus mengetahui porta masuk dan keluar yang digunakan oleh hybrid untuk berkomunikasi dengan layanan eksternal.

Gambar berikut menampilkan port yang digunakan untuk komunikasi eksternal dengan runtime hybrid pesawat:

Menampilkan koneksi
dengan layanan eksternal dari bidang runtime hybrid

Tabel berikut menjelaskan port yang digunakan untuk komunikasi eksternal dengan runtime hybrid pesawat:

Koneksi Eksternal
Sumber Tujuan Protokol/Port {i>Security Protocol<i} Deskripsi
Koneksi Masuk (ditampilkan secara eksternal)
Aplikasi Klien Ingress Istio Default TCP/* Tidak Ada/OAuth melalui TLS 1.2 Permintaan API dari aplikasi eksternal.
Koneksi Keluar
Pemroses Pesan Layanan backend TCP/*
UDP/*
Tidak Ada/OAuth melalui TLS 1.2 Mengirim permintaan ke host yang ditentukan pelanggan.
Penyelaras Layanan Apigee TCP/443 OAuth melalui TLS 1.2 Mengambil data konfigurasi; terhubung ke apigee.googleapis.com.
Google Cloud Menghubungkan ke iamcredentials.googleapis.com untuk otorisasi.
UDCA (Analytics) Layanan Apigee (UAP) TCP/443 OAuth melalui TLS 1.2 Mengirim data ke UAP di bidang pengelolaan dan ke Google Cloud; terhubung ke apigee.googleapis.com dan storage.googleapis.com.
Apigee Connect Layanan Apigee TCP/443 TLS Menetapkan koneksi dengan bidang manajemen; terhubung ke apigeeconnect.googleapis.com.
Prometheus (metrik) Google Cloud (Operasi Cloud) TCP/443 TLS Mengirim data ke Cloud Operations di bidang pengelolaan; terhubung ke monitoring.googleapis.com.
lancar (logging) Google Cloud (Operasi Cloud) TCP/443 TLS Mengirim data ke Cloud Operations di bidang pengelolaan; terhubung ke logging.googleapis.com
MART Google Cloud TCP/443 OAuth melalui TLS 1.2 Menghubungkan ke iamcredentials.googleapis.com untuk otorisasi.
Message Processor Backend Trace Terdistribusi http atau https TLS (dapat dikonfigurasi) (Opsional) Menyampaikan informasi rekaman aktivitas ke layanan backend Distributed Trace. Konfigurasikan dan protokol di TraceConfig API. Backend untuk Distributed Trace biasanya adalah Cloud Trace atau Jaeger.
Koneksi Dua Arah
Apigee Connect Layanan Apigee TCP/443 TLS Mengomunikasikan data manajemen antara bidang pengelola dan Management API untuk data runtime (MART) di bidang runtime. Apigee Connect memulai koneksi; terhubung ke apigeeconnect.googleapis.com. Oleh karena itu, Anda tidak perlu mengonfigurasi {i>firewall<i} untuk konektivitas masuk.
* menunjukkan bahwa port dapat dikonfigurasi. Apigee merekomendasikan penggunaan port 443.

Anda tidak boleh mengizinkan koneksi eksternal untuk alamat IP tertentu yang terkait dengan *.googleapis.com. Alamat IP dapat berubah karena domain saat ini di-resolve menjadi memiliki lebih dari satu alamat.