Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan penginstalan runtime

Penginstalan Apigee hybrid standar terdiri dari beberapa pod, seperti yang tercantum dalam tabel berikut. Setiap pod ini memerlukan akses khusus ke port, dan tidak semua pod perlu berkomunikasi dengan setiap pod lainnya. Untuk peta mendetail tentang koneksi internal ini dan protokol keamanan yang digunakannya, lihat Koneksi internal.

Pod	Deskripsi
`apigee-logger`	Berisi agen logger Apigee yang mengirim log aplikasi ke Stackdriver.
`apigee-metrics`	Berisi agen metrik Apigee yang mengirim log aplikasi ke Stackdriver.
`apigee-cassandra`	Berisi lapisan persistensi runtime hybrid.
`apigee-synchronizer`	Menyinkronkan konfigurasi antara bidang pengelolaan (kontrol) dan bidang runtime (data).
`apigee-udca`	Memungkinkan transfer data analisis ke bidang pengelolaan.
`apigee-mart`	Berisi endpoint API administratif Apigee.
`apigee-runtime`	Berisi gateway untuk pemrosesan permintaan API dan eksekusi kebijakan.

Google merekomendasikan agar Anda mengikuti metode dan praktik terbaik ini untuk meningkatkan keamanan, mengamankan, dan mengisolasi pod runtime:

Metode	Deskripsi
Ringkasan keamanan Kubernetes	Tinjau dokumen Google Kubernetes Engine (GKE) Ringkasan keamanan. Dokumen ini memberikan ringkasan setiap lapisan infrastruktur Kubernetes Anda, dan menjelaskan cara mengonfigurasi fitur keamanannya agar sesuai dengan kebutuhan Anda. Untuk panduan Google Cloud Engine saat ini guna melakukan hardening cluster GKE, lihat Melakukan hardening pada keamanan cluster Anda.
Kebijakan jaringan	Gunakan kebijakan jaringan untuk membatasi komunikasi antar-Pod dan ke pod yang memiliki akses di luar jaringan Kubernetes. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan jaringan cluster dalam dokumentasi GKE. Kebijakan jaringan adalah spesifikasi pemberian izin pada grup pod untuk berkomunikasi satu sama lain dan dengan endpoint jaringan lainnya. Resource NetworkPolicy Kubernetes menggunakan label untuk memilih pod dan menentukan aturan yang menentukan traffic yang diizinkan ke pod yang dipilih. Anda dapat menerapkan plugin Container Network Interface (CNI) untuk menambahkan kebijakan jaringan ke penginstalan runtime hybrid Apigee. Kebijakan jaringan memungkinkan Anda mengisolasi pod dari akses luar dan mengaktifkan akses ke pod tertentu. Anda dapat menggunakan plugin CNI open source, seperti Calico untuk memulai.
GKE Sandbox	Aktifkan GKE Sandbox untuk cluster Kubernetes yang menjalankan Apigee hybrid. Lihat GKE Sandbox untuk mengetahui detailnya. CATATAN: GKE Sandbox adalah versi Google dari project open source gVisor, runtime sandbox yang menyediakan lingkungan container virtual.

Metode

Deskripsi

Ringkasan keamanan Kubernetes

Tinjau dokumen Google Kubernetes Engine (GKE) Ringkasan keamanan. Dokumen ini memberikan ringkasan setiap lapisan infrastruktur Kubernetes Anda, dan menjelaskan cara mengonfigurasi fitur keamanannya agar sesuai dengan kebutuhan Anda.

Untuk panduan Google Cloud Engine saat ini guna melakukan hardening cluster GKE, lihat Melakukan hardening pada keamanan cluster Anda.

Kebijakan jaringan

Gunakan kebijakan jaringan untuk membatasi komunikasi antar-Pod dan ke pod yang memiliki akses di luar jaringan Kubernetes. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan jaringan cluster dalam dokumentasi GKE.

Kebijakan jaringan adalah spesifikasi pemberian izin pada grup pod untuk berkomunikasi satu sama lain dan dengan endpoint jaringan lainnya.

Resource NetworkPolicy Kubernetes menggunakan label untuk memilih pod dan menentukan aturan yang menentukan traffic yang diizinkan ke pod yang dipilih.

Anda dapat menerapkan plugin Container Network Interface (CNI) untuk menambahkan kebijakan jaringan ke penginstalan runtime hybrid Apigee. Kebijakan jaringan memungkinkan Anda mengisolasi pod dari akses luar dan mengaktifkan akses ke pod tertentu. Anda dapat menggunakan plugin CNI open source, seperti Calico untuk memulai.

GKE Sandbox

Aktifkan GKE Sandbox untuk cluster Kubernetes yang menjalankan Apigee hybrid. Lihat GKE Sandbox untuk mengetahui detailnya.