Utilisation des ports sécurisés

Comprendre quels ports sont utilisés par le plan d'exécution hybride est important pour les mises en œuvre en entreprise. Cette section décrit les ports utilisés pour les communications sécurisées dans le plan d'exécution, ainsi que les ports externes utilisés pour les communications avec les services externes.

Connexions internes

La communication entre le plan d'exécution et le plan de gestion est sécurisée avec les protocoles TLS à sens unique et OAuth 2.0. Les services individuels utilisent différents protocoles, en fonction du service avec lequel ils communiquent.

Les certificats utilisés pour la communication au sein des composants sont générés par le gestionnaire de certificats d'Apigee. Vous n'avez pas besoin de fournir de certificat ni d'en gérer.

L'image suivante illustre les ports et les canaux de communication dans le plan d'exécution hybride :

Affiche les connexions entre les composants internes du plan d'exécution hybride

Le tableau suivant décrit les ports et les canaux de communication du plan d'exécution hybride :

Connexions internes
Source Destination Protocole/ports Protocole de sécurité Description
MART Cassandra TCP/9042
TCP/9142
mTLS Envoie des données pour la persistance.
Apigee Connect MART TCP/8443 TLS Les requêtes du plan de gestion passent par Apigee Connect. Apigee Connect lance la connexion.
Istio Ingress par défaut Processeur de messages TCP/8443 TLS (certificat généré par Apigee et autosigné) Traite les requêtes API entrantes.
Processeur de messages Cassandra TCP/9042
TCP/9142
mTLS Envoie des données pour la persistance.
Processeur de messages fluentd (analyses/journalisation) TCP/20001 mTLS Diffuse des données vers le pod de collecte de données.
Cassandra Cassandra TCP/7001
TCP/7199
mTLS Communications entre clusters intranœud.
Cassandra Cassandra TCP/7001 mTLS Communications interrégionales.
Synchronisateur Cassandra TCP/9042
TCP/9142
mTLS Envoie des données pour la persistance.
Prometheus (métriques) Cassandra TCP/7070 (HTTPS) TLS Extrait les données de métriques de divers services.
MART TCP/8843 (HTTPS) TLS
Processeur de messages TCP/8843 (HTTPS) TLS
Synchronisateur TCP/8843 (HTTPS) TLS
UDCA TCP/7070 (HTTPS) TLS
Watcher Séries d'annonces d'Ingress TCP/8843 TLS Interrogations visant à obtenir l'état du déploiement.

Connexions externes

Pour configurer correctement votre pare-feu de réseau, vous devez connaître les ports entrants et sortants utilisés par le système hybride pour communiquer avec les services externes.

L'image suivante montre les ports utilisés pour les communications externes avec le plan d'exécution hybride :

Affiche les connexions avec dles services externes du plan d'exécution hybride

Le tableau suivant décrit les ports utilisés pour les communications externes avec le plan d'exécution hybride :

Connexions externes
Source Destination Protocole/ports Protocole de sécurité Description
Connexions entrantes (exposées en externe)
Applications clientes Istio Ingress par défaut TCP/* Aucun/OAuth via TLS 1.2 Requêtes API à partir d'applications externes.
Connexions sortantes
Processeur de messages Services backend TCP/*
UDP/*
Aucun/OAuth via TLS 1.2 Envoi des requêtes aux hôtes définis par le client.
Synchronisateur Services Apigee TCP/443 OAuth via TLS 1.2 Extrait les données de configuration, se connecte à apigee.googleapis.com.
Google Cloud Se connecte à iamcredentials.googleapis.com aux fins de l'autorisation.
UDCA (analyse) Services Apigee (UAP) TCP/443 OAuth via TLS 1.2 Envoie des données à l'UAP dans le plan de gestion et vers Google Cloud, se connecte à apigee.googleapis.com et à storage.googleapis.com.
Apigee Connect Services Apigee TCP/443 TLS Établit la connexion avec le plan de gestion ; se connecte à apigeeconnect.googleapis.com.
Prometheus (métriques) Google Cloud (Cloud Operations) TCP/443 TLS Envoie des données à Cloud Operations dans le plan de gestion, se connecte à monitoring.googleapis.com.
fluentd (journalisation) Google Cloud (Cloud Operations) TCP/443 TLS Envoie des données à Cloud Operations dans le plan de gestion, se connecte à logging.googleapis.com.
MART Google Cloud TCP/443 OAuth via TLS 1.2 Se connecte à iamcredentials.googleapis.com aux fins de l'autorisation.
Processeur de messages Backend de traces distribuées http ou https TLS (configurable) (Facultatif) Communique les informations de trace au service backend de traçage distribué. Configurez le service et le protocole dans l'API TraceConfig. Le backend de traçage distribué est généralement Cloud Trace ou Jaeger.
Connexions bidirectionnelles
Apigee Connect Services Apigee TCP/443 TLS Communication des données de gestion entre le plan de gestion et l'API Management pour les données d'exécution (MART) du plan d'exécution. Apigee Connect lance la connexion ; se connecte à apigeeconnect.googleapis.com. Par conséquent, vous n'avez pas besoin de configurer votre pare-feu pour la connectivité entrante.
* indique que le port est configurable. Apigee recommande d'utiliser le port 443.

Vous ne devez pas autoriser les connexions externes pour des adresses IP spécifiques associées à *.googleapis.com. Les adresses IP peuvent changer, le domaine étant actuellement associé à plusieurs adresses.