Proteger la instalación del entorno de ejecución

Una instalación típica de Apigee hybrid se compone de varios pods, como se indica en la siguiente tabla. Cada uno de estos pods requiere un acceso específico a los puertos, y no todos los pods necesitan comunicarse entre sí. Para ver un mapa detallado de estas conexiones internas y los protocolos de seguridad que utilizan, consulta Conexiones internas.

Pod Descripción
apigee-logger Contiene un agente de registro de Apigee que envía registros de aplicaciones a Stackdriver.
apigee-metrics Contiene un agente de métricas de Apigee que envía registros de aplicaciones a Stackdriver.
apigee-cassandra Contiene la capa de persistencia del entorno de ejecución híbrido.
apigee-synchronizer Sincroniza la configuración entre el plano de gestión (control) y el plano de tiempo de ejecución (datos).
apigee-udca Permite transferir datos analíticos al plano de gestión.
apigee-mart Contiene el endpoint de la API administrativa de Apigee.
apigee-runtime Contiene la pasarela para el procesamiento de solicitudes de API y la ejecución de políticas.

Google recomienda que sigas estos métodos y prácticas recomendadas para reforzar, proteger y aislar los pods de tiempo de ejecución:

Método Descripción
Descripción general de la seguridad de Kubernetes Consulta el documento Descripción general de la seguridad de Google Kubernetes Engine (GKE). En este documento se ofrece una descripción general de cada capa de la infraestructura de Kubernetes y se explica cómo puede configurar sus funciones de seguridad para que se adapten mejor a sus necesidades.

Para consultar las directrices actuales de Google Cloud Engine sobre cómo reforzar la seguridad de tu clúster de GKE, consulta el artículo Reforzar la seguridad del clúster.
Políticas de red

Usa políticas de red para restringir la comunicación entre pods y con pods que tengan acceso fuera de la red de Kubernetes. Para obtener más información, consulta el artículo Crear una política de red de clúster en la documentación de GKE.

Una política de red es una especificación de cómo los grupos de pods pueden comunicarse entre sí y con otros endpoints de red.

El recurso NetworkPolicy de Kubernetes usa etiquetas para seleccionar pods y definir reglas que especifican qué tráfico se permite a los pods seleccionados.

Puedes implementar un complemento de interfaz de red de contenedores (CNI) para añadir políticas de red a una instalación del entorno de ejecución de Apigee hybrid. Las políticas de red te permiten aislar pods del acceso externo y habilitar el acceso a pods específicos. Puedes usar un complemento CNI de código abierto, como Calico, para empezar.

GKE Sandbox Habilita GKE Sandbox en los clústeres de Kubernetes que ejecutan Apigee hybrid. Consulta GKE Sandbox para obtener más información.