Configurazione delle porte e dei firewall

Comprendere quali porte utilizza il piano di runtime ibrido è importante per le aziende implementazioni. Questa sezione descrive le porte utilizzate per le comunicazioni sicure all'interno oltre che dalle porte esterne utilizzate per le comunicazioni con i servizi esterni.

Connessioni interne

La comunicazione tra il piano di runtime e il piano di gestione è protetta con TLS unidirezionale e OAuth 2.0. I singoli servizi utilizzano protocolli diversi, a seconda del servizio con cui comunicano.

L'immagine seguente mostra le porte e i canali di comunicazione all'interno del piano di runtimeibrido:

Mostra connessioni
tra i componenti interni del piano di runtime ibrido

La tabella seguente descrive le porte e i canali di comunicazione all'interno del runtime ibrido aereo:

Connessioni interne
Origine Destinazione Protocollo/porte Protocollo di sicurezza Descrizione
MART Cassandra TCP/9042
TCP/9142
mTLS Invia dati per la persistenza
Ingress Istio di MART MART TCP/8443 TLS Le richieste dal management plane passano dall'ingresso Istio MART
Ingress Istio predefinito processore di messaggi TCP/8443 TLS (certificato autofirmato, generato da Apigee) Elabora le richieste API in arrivo
processore di messaggi Cassandra TCP/9042
TCP/9142
mTLS Invia dati per la persistenza
processore di messaggi fluentd (Analytics) TCP/20001 mTLS Trasmette i dati nel pod di raccolta dati
Cassandra Cassandra TCP/7001 mTLS Comunicazioni all'interno del cluster dei nodi. Tieni presente che puoi anche lasciare aperta la porta 7000 la configurazione del firewall come opzione di backup per la potenziale risoluzione dei problemi.
Prometheus Cassandra TCP/7070 (HTTPS) TLS Estrae i dati delle metriche da vari servizi
MART TCP/8843 (HTTPS) TLS
Processore di messaggi TCP/8843 (HTTPS) TLS
Sincronizzatore TCP/8843 (HTTPS) TLS
UDCA TCP/7070 (HTTPS) TLS

Connessioni esterne

Per configurare correttamente il firewall di rete, devi conoscere le porte in entrata e in uscita utilizzata da un modello ibrido per comunicare con servizi esterni.

L'immagine seguente mostra le porte utilizzate per le comunicazioni esterne con il runtime ibrido aereo:

Mostra le connessioni con i servizi esterni dal piano di runtime ibrido

La tabella seguente descrive le porte utilizzate per le comunicazioni esterne con il runtime ibrido aereo:

Connessioni esterne
Origine Destinazione Protocollo/porte Protocollo di sicurezza Descrizione
Connessioni in entrata (esposte all'esterno)
Servizi Apigee Ingress Istio di MART TCP/443 OAuth su TLS 1.2 Chiamate API ibride dal piano di gestione
App client Ingress Istio predefinito TCP/* Nessuno/OAuth tramite TLS 1.2 Richieste API da app esterne
Connessioni in uscita
Processore di messaggi Servizi di backend TCP/*
UDP/*
Nessuno/OAuth tramite TLS 1.2 Invia richieste agli host definiti dal cliente
Sincronizzatore Servizi Apigee TCP/443 OAuth su TLS 1.2 Recupera i dati di configurazione; si connette a apigee.googleapis.com
Google Cloud Si connette a iamcredentials.googleapis.com per l'autorizzazione
UDCA (Analytics) Apigee Services (UAP) TCP/443 OAuth su TLS 1.2 Invia i dati all'UAP nel piano di gestione e alla piattaforma Google Cloud; si connette a apigee.googleapis.com e storage.googleapis.com
Prometheus (metriche) Google Cloud (Stackdriver) TCP/443 TLS Invia i dati a Stackdriver nel piano di gestione; si connette a monitoring.googleapis.com
fluentd (Logging) Google Cloud (Stackdriver) TCP/443 TLS Invia i dati a Stackdriver nel piano di gestione; si connette a logging.googleapis.com
MART Google Cloud TCP/443 OAuth su TLS 1.2 Si connette a iamcredentials.googleapis.com per l'autorizzazione
* indica che la porta è configurabile. Apigee consiglia di utilizzare 443.

Non devi consentire connessioni esterne per indirizzi IP specifici associati a *.googleapis.com. Gli indirizzi IP possono cambiare poiché il dominio attualmente risolve più indirizzi.