Como proteger a instalação do ambiente de execução

Uma instalação típica da Apigee híbrida é composta de vários pods, conforme listado na tabela a seguir Cada um desses pods requer acesso específico às portas, e nem todos os pods precisam se comunicar com todos os outros pods. Para uma visão detalhada dessas conexões internas e dos protocolos de segurança que elas utilizam, consulte Conexões internas.

Pod	Descrição
`apigee-logger`	Contém um agente logger da Apigee que envia registros de aplicativos para o Stackdriver.
`apigee-metrics`	Contém um agente de métricas da Apigee que envia registros de aplicativo para o Stackdriver.
`apigee-cassandra`	Contém a camada de persistência de ambiente de execução híbrido.
`apigee-synchronizer`	Sincroniza a configuração entre o plano de gerenciamento (controle) e o plano de ambiente de execução (dados).
`apigee-udca`	Permite a transferência de dados de análise para o plano de gerenciamento.
`apigee-mart`	Contém o endpoint da API administrativa da Apigee.
`apigee-runtime`	Contém o gateway para o processamento da solicitação de API e a execução de políticas.

O Google recomenda que você siga esses métodos e práticas recomendadas para aumentar a proteção e isolar os pods do ambiente de execução:

Método	Descrição
Visão geral da segurança do Kubernetes	Leia o documento Visão geral da segurança do Google Kubernetes Engine (GKE). Neste documento, você terá uma visão geral de cada camada da sua infraestrutura do Kubernetes e explicaremos como configurar os recursos de segurança para atender melhor às suas necessidades. Para as orientações atuais do Google Cloud Engine sobre como proteger seu cluster do GKE, consulte Como aumentar a segurança do cluster.
Políticas de rede	Use políticas de rede para restringir a comunicação entre pods e os pods que têm acesso fora da rede do Kubernetes. Para mais informações, consulte Como criar uma política de rede de cluster na documentação do GKE. Uma política de rede é uma especificação de como grupos de pods podem se comunicar uns com os outros e com outros endpoints da rede. O recurso NetworkPolicy do Kubernetes usa rótulos para selecionar pods e definir regras que especificam qual tráfego é permitido para os pods selecionados. É possível implementar um plug-in de interface de rede de contêiner (CNI, na sigla em inglês) para adicionar políticas de rede a uma instalação de ambiente de execução da Apigee híbrida. Com as políticas de rede, é possível isolar os pods do acesso externo e permitir o acesso a pods específicos. Para começar, use um plug-in CNI de código aberto, como o Calico.
GKE Sandbox	Ative o GKE Sandbox nos clusters do Kubernetes que executam a Apigee híbrida. Consulte GKE Sandbox para detalhes. OBSERVAÇÃO: o GKE Sandbox é a versão do Google do projeto de código aberto gVisor (em inglês), um ambiente de execução de sandbox que fornece um ambiente de contêiner virtualizado.

Método

Descrição

Visão geral da segurança do Kubernetes

Leia o documento Visão geral da segurança do Google Kubernetes Engine (GKE). Neste documento, você terá uma visão geral de cada camada da sua infraestrutura do Kubernetes e explicaremos como configurar os recursos de segurança para atender melhor às suas necessidades.

Para as orientações atuais do Google Cloud Engine sobre como proteger seu cluster do GKE, consulte Como aumentar a segurança do cluster.

Políticas de rede

Use políticas de rede para restringir a comunicação entre pods e os pods que têm acesso fora da rede do Kubernetes. Para mais informações, consulte Como criar uma política de rede de cluster na documentação do GKE.

Uma política de rede é uma especificação de como grupos de pods podem se comunicar uns com os outros e com outros endpoints da rede.

O recurso NetworkPolicy do Kubernetes usa rótulos para selecionar pods e definir regras que especificam qual tráfego é permitido para os pods selecionados.

É possível implementar um plug-in de interface de rede de contêiner (CNI, na sigla em inglês) para adicionar políticas de rede a uma instalação de ambiente de execução da Apigee híbrida. Com as políticas de rede, é possível isolar os pods do acesso externo e permitir o acesso a pods específicos. Para começar, use um plug-in CNI de código aberto, como o Calico.

GKE Sandbox

Ative o GKE Sandbox nos clusters do Kubernetes que executam a Apigee híbrida. Consulte GKE Sandbox para detalhes.