Configura puertos y firewalls

Comprender qué puertos usa el plano de entorno de ejecución híbrido es importante para las implementaciones empresariales. En esta sección, se describen los puertos usados para comunicaciones seguras dentro del plano del entorno de ejecución, además de los puertos externos que se usan para las comunicaciones con los servicios externos.

Conexiones internas

La comunicación entre el plano de entorno de ejecución y el plano de administración se protege con TLS unidireccional y OAuth 2.0. Los servicios individuales usan diferentes protocolos, según el servicio con el que se comunican.

En la siguiente imagen, se muestran los puertos y los canales de comunicación dentro del plano del entorno de ejecución híbrido:

Muestra conexiones entre componentes internos en el plano del entorno de ejecución híbrido.

En la siguiente tabla, se describen los puertos y canales de comunicación dentro del plano del entorno de ejecución híbrido:

Conexiones internas
Fuente Destino Protocolo/puertos Protocolo de seguridad Descripción
MART Cassandra TCP/9042
TCP/9142
mTLS Envía datos para la persistencia
Ingress de MART Istio de Istio MART TCP/8443 TLS Las solicitudes del plano de administración pasan por la entrada de Istio de MART
Entrada de Istio predeterminada Message Processor TCP/8443 TLS (certificado autofirmado generado por Apigee) Procesa solicitudes entrantes a la API
Message Processor Cassandra TCP/9042
TCP/9142
mTLS Envía datos para la persistencia
Message Processor fluentd (Analytics) TCP/20001 mTLS Transmite datos al pod de recopilación de datos
Cassandra Cassandra TCP/7001 mTLS Comunicaciones del clúster dentro de los nodos Ten en cuenta que también puedes dejar el puerto 7000 abierto para la configuración de firewall como una opción de copia de seguridad para solucionar problemas posibles.
Prometheus Cassandra TCP/7070 (HTTPS) TLS Extrae datos de métricas de varios servicios
MART TCP/8843 (HTTPS) TLS
Message Processor TCP/8843 (HTTPS) TLS
Sincronizador TCP/8843 (HTTPS) TLS
UDCA TCP/7070 (HTTPS) TLS

Conexiones externas

A fin de configurar de forma adecuada tu firewall de red, debes conocer los puertos de entrada y salida que usa el entorno híbrido para comunicarse con servicios externos.

En la siguiente imagen, se muestran los puertos utilizados para comunicaciones externas con el plano del entorno de ejecución híbrido:

Muestra conexiones con servicios externos desde el plano del entorno de ejecución híbrido.

En la tabla siguiente, se describen los puertos usados para comunicaciones externas con el plano del entorno de ejecución híbrido:

Conexiones externas
Fuente Destino Protocolo/puertos Protocolo de seguridad Descripción
Conexiones entrantes (expuestas externamente)
Servicios de Apigee Ingress de MART Istio de Istio TCP/443 OAuth por TLS 1.2 Llamadas a la API híbrida desde el plano administrativo
Aplicaciones de cliente Entrada de Istio predeterminada TCP/* Ninguna/OAuth mediante TLS 1.2 Solicitudes a la API desde apps externas
Conexiones salientes
Message Processor Servicios de backend TCP/*
UDP/*
Ninguna/OAuth mediante TLS 1.2 Envía solicitudes a hosts definidos por el cliente
Sincronizador Servicios de Apigee TCP/443 OAuth por TLS 1.2 Recupera datos de configuración y se conecta a apigee.googleapis.com
GCP Se conecta con iamcredentials.googleapis.com para la autorización.
UDCA (Analytics) Servicios de Apigee (UAP) TCP/443 OAuth por TLS 1.2 Envía datos a UAP en el plano de administración y a GCP; se conecta a apigee.googleapis.com y storage.googleapis.com
Métricas de Prometheus GCP (Stackdriver) TCP/443 TLS Envía datos a Stackdriver en el plano de administración; se conecta a monitoring.googleapis.com
fluentd (Logging) GCP (Stackdriver) TCP/443 TLS Envía datos a Stackdriver en el plano de administración; se conecta a logging.googleapis.com
MART GCP TCP/443 OAuth por TLS 1.2 Se conecta con iamcredentials.googleapis.com para la autorización.
* indica que el puerto es configurable. Apigee recomienda usar 443.

No debes permitir conexiones externas para las direcciones IP específicas asociadas con *.googleapis.com. Las direcciones IP pueden cambiar, ya que el dominio se resuelve en varias direcciones.