| Pod | 说明 |
|---|---|
apigee-logger |
包含一个 Apigee 日志记录器代理,用于将应用日志发送到 Stackdriver。 |
apigee-metrics |
包含一个 Apigee 指标代理,用于将应用日志发送到 Stackdriver。 |
apigee-cassandra |
包含 Hybrid 运行时永久性层。 |
apigee-synchronizer |
在管理(控制)平面和运行时(数据)平面之间同步配置。 |
apigee-udca |
允许将分析数据传输到管理平面。 |
apigee-mart |
包含 Apigee Administration API 端点。 |
apigee-runtime |
包含用于 API 请求处理和政策执行的网关。 |
Google 建议您遵循这些方法和最佳做法,以强化、保护和隔离运行时 Pod:
| 方法 | 说明 |
|---|---|
| Kubernetes 安全概览 | 查看 Google Kubernetes Engine (GKE) 文档安全概览。本文档概述了 Kubernetes 基础架构的每一层,并介绍如何配置每一层的安全功能来最符合您的需求。 如需了解 Google Cloud Engine 强化 GKE 集群安全性的当前指南,请参阅强化集群的安全性。 |
| 网络政策 |
使用网络政策来限制 Pod 与可访问 Kubernetes 网络外部的 Pod 之间的通信。如需了解详情,请参阅 GKE 文档中的创建集群网络政策。 网络政策指定 Pod 组可以如何与彼此及其他网络端点进行通信。 Kubernetes NetworkPolicy 资源使用标签选择 Pod 并定义规则,以便指定允许流向选定 Pod 的流量。 您可以实现容器网络接口 (CNI) 插件来向 Apigee Hybrid 运行时安装添加网络政策。利用网络政策,您可以隔离 Pod 使其无法进行外部访问,并且允许访问特定的 Pod。您可以使用开源 CNI 插件(例如 Calico)。 |
| GKE Sandbox | 为运行 Apigee Hybrid 的 Kubernetes 集群启用 GKE Sandbox。如需了解详情,请参阅 GKE Sandbox。 |