Entender quais portas o plano do ambiente de execução híbrido usa é importante para implementações empresariais. Esta seção descreve as portas usadas para comunicações seguras no plano do ambiente de execução e as portas externas usadas para comunicações com serviços externos.
Conexões internas
A comunicação entre o plano do ambiente de execução e o plano de gerenciamento é protegida com o TLS unidirecional e o OAuth 2.0. Cada serviço usa protocolos diferentes, dependendo do serviço com o qual estão se comunicando.
A imagem a seguir mostra as portas e os canais de comunicação no plano do ambiente de execução híbrido:
A tabela a seguir descreve as portas e os canais de comunicação no plano do ambiente de execução híbrido:
Conexões internas | |||||
---|---|---|---|---|---|
Fonte | Destino | Protocolo/porta(s) | Protocolo de segurança | Descrição | |
MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | Envia dados para persistência | |
Entrada do Istio do MART | MART | TCP/8443 | TLS | Solicitações do plano de gerenciamento passam pela Entrada do Istio do MART | |
Entrada padrão do Istio | Processador de mensagens | TCP/8443 | TLS (certificado autoassinado gerado pela Apigee) | Processa solicitações de API recebidas | |
Processador de mensagens | Cassandra | TCP/9042 TCP/9142 |
mTLS | Envia dados para persistência | |
Processador de mensagens | fluentd (Analytics) | TCP/20001 | mTLS | Faz streaming dos dados para o pod de coleta de dados | |
Cassandra | Cassandra | TCP/7001 | mTLS | Comunicação do cluster intranós. Também é possível deixar a porta 7000 aberta para a configuração do firewall como uma opção de backup para uma possível solução de problemas. | |
Prometheus | Cassandra | TCP/7070 (HTTPS) | TLS | Extrai dados de métricas de vários serviços | |
MART | TCP/8843 (HTTPS) | TLS | |||
Processador de mensagens | TCP/8843 (HTTPS) | TLS | |||
Sincronizador | TCP/8843 (HTTPS) | TLS | |||
UDCA | TCP/7070 (HTTPS) | TLS |
Conexões externas
Para configurar corretamente o firewall da rede, é preciso saber as portas de entrada e saída usadas pelo ambiente híbrido para se comunicar com os serviços externos.
A imagem a seguir mostra as portas usadas para comunicações externas com o plano do ambiente de execução híbrido:
A tabela a seguir descreve as portas usadas para comunicações externas com o plano do ambiente de execução híbrido:
Conexões externas | |||||
---|---|---|---|---|---|
Fonte | Destino | Protocolo/porta(s) | Protocolo de segurança | Descrição | |
Conexões de entrada (expostas externamente) | |||||
Serviços da Apigee | Entrada do Istio do MART | TCP/443 | OAuth por TLS 1.2 | Chamadas de API híbridas do plano de gerenciamento | |
Aplicativos clientes | Entrada padrão do Istio | TCP/* | Nenhum/OAuth por TLS 1.2 | Solicitações de API de aplicativos externos | |
Conexões de saída | |||||
Processador de mensagens | Serviços de back-end | TCP/* UDP/* |
Nenhum/OAuth por TLS 1.2 | Envia solicitações para hosts definidos pelo cliente | |
Sincronizador | Serviços da Apigee | TCP/443 | OAuth por TLS 1.2 | Busca dados de configuração e conecta-se a apigee.googleapis.com |
|
GCP | Conecta-se a iamcredentials.googleapis.com para autorização |
||||
UDCA (Analytics) | Serviços da Apigee (UAP) | TCP/443 | OAuth por TLS 1.2 | Envia dados para o UAP no plano de gerenciamento e para o GCP; conecta-se a apigee.googleapis.com e storage.googleapis.com |
|
Prometheus (métricas) | GCP (Stackdriver) | TCP/443 | TLS | Envia dados ao Stackdriver no plano de gerenciamento e conecta-se a monitoring.googleapis.com |
|
fluentd (Logging) | GCP (Stackdriver) | TCP/443 | TLS | Envia dados ao Stackdriver no plano de gerenciamento e conecta-se a logging.googleapis.com |
|
MART | GCP | TCP/443 | OAuth por TLS 1.2 | Conecta-se a iamcredentials.googleapis.com para autorização |
|
* indica que a porta é configurável. A Apigee recomenda o uso da 443. |
Não permita conexões externas com endereços IP específicos associados a *.googleapis.com
. Os endereços IP podem mudar, já que o domínio é resolvido para vários endereços.