Comprender qué puertos usa el plano de entorno de ejecución híbrido es importante para las implementaciones empresariales. En esta sección, se describen los puertos usados para comunicaciones seguras dentro del plano del entorno de ejecución, además de los puertos externos que se usan para las comunicaciones con los servicios externos.
Conexiones internas
La comunicación entre el plano de entorno de ejecución y el plano de administración se protege con TLS unidireccional y OAuth 2.0. Los servicios individuales usan diferentes protocolos, según el servicio con el que se comunican.
En la siguiente imagen, se muestran los puertos y los canales de comunicación dentro del plano del entorno de ejecución híbrido:
En la siguiente tabla, se describen los puertos y canales de comunicación dentro del plano del entorno de ejecución híbrido:
Conexiones internas | |||||
---|---|---|---|---|---|
Fuente | Destino | Protocolo/puertos | Protocolo de seguridad | Descripción | |
MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | Envía datos para la persistencia | |
Ingress de MART Istio de Istio | MART | TCP/8443 | TLS | Las solicitudes del plano de administración pasan por la entrada de Istio de MART | |
Entrada de Istio predeterminada | Message Processor | TCP/8443 | TLS (certificado autofirmado generado por Apigee) | Procesa solicitudes entrantes a la API | |
Message Processor | Cassandra | TCP/9042 TCP/9142 |
mTLS | Envía datos para la persistencia | |
Message Processor | fluentd (Analytics) | TCP/20001 | mTLS | Transmite datos al pod de recopilación de datos | |
Cassandra | Cassandra | TCP/7001 | mTLS | Comunicaciones del clúster dentro de los nodos Ten en cuenta que también puedes dejar el puerto 7000 abierto para la configuración de firewall como una opción de copia de seguridad para solucionar problemas posibles. | |
Prometheus | Cassandra | TCP/7070 (HTTPS) | TLS | Extrae datos de métricas de varios servicios | |
MART | TCP/8843 (HTTPS) | TLS | |||
Message Processor | TCP/8843 (HTTPS) | TLS | |||
Sincronizador | TCP/8843 (HTTPS) | TLS | |||
UDCA | TCP/7070 (HTTPS) | TLS |
Conexiones externas
A fin de configurar de forma adecuada tu firewall de red, debes conocer los puertos de entrada y salida que usa el entorno híbrido para comunicarse con servicios externos.
En la siguiente imagen, se muestran los puertos utilizados para comunicaciones externas con el plano del entorno de ejecución híbrido:
En la tabla siguiente, se describen los puertos usados para comunicaciones externas con el plano del entorno de ejecución híbrido:
Conexiones externas | |||||
---|---|---|---|---|---|
Fuente | Destino | Protocolo/puertos | Protocolo de seguridad | Descripción | |
Conexiones entrantes (expuestas externamente) | |||||
Servicios de Apigee | Ingress de MART Istio de Istio | TCP/443 | OAuth por TLS 1.2 | Llamadas a la API híbrida desde el plano administrativo | |
Aplicaciones de cliente | Entrada de Istio predeterminada | TCP/* | Ninguna/OAuth mediante TLS 1.2 | Solicitudes a la API desde apps externas | |
Conexiones salientes | |||||
Message Processor | Servicios de backend | TCP/* UDP/* |
Ninguna/OAuth mediante TLS 1.2 | Envía solicitudes a hosts definidos por el cliente | |
Sincronizador | Servicios de Apigee | TCP/443 | OAuth por TLS 1.2 | Recupera datos de configuración y se conecta a apigee.googleapis.com |
|
GCP | Se conecta con iamcredentials.googleapis.com para la autorización. |
||||
UDCA (Analytics) | Servicios de Apigee (UAP) | TCP/443 | OAuth por TLS 1.2 | Envía datos a UAP en el plano de administración y a GCP; se conecta a apigee.googleapis.com y storage.googleapis.com |
|
Métricas de Prometheus | GCP (Stackdriver) | TCP/443 | TLS | Envía datos a Stackdriver en el plano de administración; se conecta a monitoring.googleapis.com |
|
fluentd (Logging) | GCP (Stackdriver) | TCP/443 | TLS | Envía datos a Stackdriver en el plano de administración; se conecta a logging.googleapis.com |
|
MART | GCP | TCP/443 | OAuth por TLS 1.2 | Se conecta con iamcredentials.googleapis.com para la autorización. |
|
* indica que el puerto es configurable. Apigee recomienda usar 443. |
No debes permitir conexiones externas para las direcciones IP específicas asociadas con *.googleapis.com
. Las direcciones IP pueden cambiar, ya que el dominio se resuelve en varias direcciones.