Laufzeitinstallation sichern

Eine typische Apigee Hybrid-Installation besteht aus mehreren Pods, wie in der folgenden Tabelle aufgeführt. Jeder dieser Pods erfordert einen spezifischen Zugriff auf Ports. Nicht jeder Pod muss mit jedem anderen Pod kommunizieren. Eine detaillierte Zuordnung dieser internen Verbindungen und der von ihnen verwendeten Sicherheitsprotokolle finden Sie unter Interne Verbindungen.

Pod Beschreibung
apigee-logger Enthält einen Apigee-Logging-Agent, der Anwendungslogs an Stackdriver sendet.
apigee-metrics Enthält einen Apigee-Messwert-Agent, der Anwendungslogs an Stackdriver sendet.
apigee-cassandra Enthält die Persistenz-Ebene der Hybridlaufzeit.
apigee-synchronizer Synchronisiert die Konfiguration zwischen der Verwaltungs- (Steuerungs-) und der Laufzeitebene (Datenebene).
apigee-udca Ermöglicht die Übertragung von Analysedaten auf die Verwaltungsebene.
apigee-mart Enthält den Apigee Admin API-Endpunkt.
apigee-runtime Enthält das Gateway für die Verarbeitung von API-Anfragen und die Ausführung der Richtlinien.

Google empfiehlt, anhand der folgenden Methoden und Best Practices die Laufzeit-Pods zu härten, zu sichern und zu isolieren:

Methode Beschreibung
Kubernetes-Sicherheitsübersicht Lesen Sie das Google Kubernetes Engine (GKE)-Dokument Übersicht über die Sicherheit. In diesem Dokument erhalten Sie einen Überblick über die einzelnen Ebenen Ihrer Kubernetes-Infrastruktur. Außerdem erfahren Sie, wie Sie die Sicherheitsfeatures optimal entsprechend Ihrer Bedürfnisse konfigurieren.

Die aktuelle Anleitung zur Sicherung Ihres GKE-Clusters in Google Cloud Engine finden Sie unter Clustersicherheit erhöhen.

Netzwerkrichtlinien

Schränken Sie mithilfe von Netzwerkrichtlinien die Kommunikation zwischen Pods und Pods ein, die auf Elemente außerhalb des Kubernetes-Netzwerks zugreifen. Weitere Informationen finden Sie unter Cluster-Netzwerkrichtlinien erstellen in der GKE-Dokumentation.

Eine Netzwerkrichtlinie gibt an, wie Gruppen von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren dürfen.

Die Kubernetes-Ressource NetworkPolicy verwendet Labels, um Pods auszuwählen und Regeln zu definieren, die angeben, welcher Traffic für die ausgewählten Pods zulässig ist.

Sie können ein CNI-Plug-in (Container Network Interface) implementieren, um Netzwerkrichtlinien zu einer Apigee hybrid-Laufzeitinstallation hinzuzufügen. Mit Netzwerkrichtlinien können Sie Pods von außerhalb des Zugriffs isolieren und den Zugriff auf bestimmte Pods ermöglichen. Für den Einstieg können Sie ein Open-Source-CNI-Plug-in wie Calico verwenden.

GKE Sandbox Aktivieren Sie GKE Sandbox für die Kubernetes-Cluster, in denen Apigee Hybrid ausgeführt wird. Weitere Informationen finden Sie unter GKE Sandbox.