Una tipica installazione di Apigee hybrid è composta da più pod, come elencato nella tabella seguente.
Ognuno di questi pod richiede l'accesso specifico alle porte e non tutti i pod devono comunicare con tutti gli altri. Per una mappa dettagliata di queste connessioni interne e dei protocolli di sicurezza impiegati, consulta Connessioni interne.
Pod
Descrizione
apigee-logger
Contiene un agente di log Apigee che invia i log delle applicazioni a Stackdriver.
apigee-metrics
Contiene un agente di metriche Apigee che invia i log delle applicazioni a Stackdriver.
apigee-cassandra
Contiene il livello di persistenza del runtime di hybrid.
apigee-synchronizer
Sincronizza la configurazione tra il piano di gestione (controllo) e il piano di runtime
(dati).
apigee-udca
Consente il trasferimento dei dati di analisi al piano di gestione.
apigee-mart
Contiene l'endpoint dell'API di amministrazione Apigee.
apigee-runtime
Contiene il gateway per l'elaborazione delle richieste API e l'esecuzione delle norme.
Google consiglia di seguire questi metodi e best practice per rafforzare, proteggere e isolare i pod di runtime:
Metodo
Descrizione
Panoramica della sicurezza di Kubernetes
Esamina il documento
Panoramica della sicurezza di Google Kubernetes Engine (GKE). Questo documento fornisce una panoramica di ogni livello dell'infrastruttura Kubernetes e spiega come configurare le relative funzionalità di sicurezza in base alle tue esigenze.
Utilizza i criteri di rete per limitare la comunicazione tra i pod e ai pod che hanno accesso
all'esterno della rete Kubernetes. Per saperne di più, consulta
Creare un criterio di rete del cluster nella documentazione di GKE.
Un criterio di rete specifica le modalità consentite per la comunicazione dei gruppi di pod tra loro e con altri endpoint di rete.
La risorsa NetworkPolicy di Kubernetes utilizza le etichette per selezionare i pod e definire regole che specificano il traffico consentito ai pod selezionati.
Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere criteri di rete a un'installazione del runtime di Apigee hybrid. I criteri di rete ti consentono di isolare i pod dall'accesso esterno e di abilitare l'accesso a pod specifici. Per iniziare, puoi utilizzare un plug-in CNI open source, come Calico.
GKE Sandbox
Abilita GKE Sandbox per i cluster Kubernetes che eseguono Apigee
hybrid. Per informazioni dettagliate, consulta GKE Sandbox.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-11 UTC."],[[["\u003cp\u003eThis Apigee hybrid documentation version 1.2 is end-of-life and users should upgrade to a newer version.\u003c/p\u003e\n"],["\u003cp\u003eAn Apigee hybrid installation consists of multiple pods, each with specific port access requirements and internal connections.\u003c/p\u003e\n"],["\u003cp\u003eGoogle recommends employing methods like Kubernetes security overview, network policies, and GKE Sandbox to enhance the security and isolation of runtime pods.\u003c/p\u003e\n"],["\u003cp\u003eNetwork policies can be used to restrict pod communication and are implemented via Container Network Interface (CNI) plugins like Calico.\u003c/p\u003e\n"],["\u003cp\u003eGKE Sandbox is the Google version of gVisor, providing a virtualized container environment.\u003c/p\u003e\n"]]],[],null,["| You are currently viewing version 1.2 of the Apigee hybrid documentation. **This version is end of life.** You should upgrade to a newer version. For more information, see [Supported versions](/apigee/docs/hybrid/supported-platforms#supported-versions).\nA typical Apigee hybrid installation is made of multiple pods, as listed in the following table. Each of these pods require specific access to ports, and not every pod needs to communicate with every other pod. For a detailed map of these internal connections and the security protocols they employ, see [Internal connections](/apigee/docs/hybrid/v1.2/ports#internal).\n\n\u003cbr /\u003e\n\n| Pod | Description |\n|-----------------------|---------------------------------------------------------------------------------------------|\n| `apigee-logger` | Contains an Apigee logger agent that sends application logs to Stackdriver. |\n| `apigee-metrics` | Contains an Apigee metrics agent that sends application logs to Stackdriver. |\n| `apigee-cassandra` | Contains the hybrid runtime persistance layer. |\n| `apigee-synchronizer` | Synchronizes configuration between the management (control) plane and runtime (data) plane. |\n| `apigee-udca` | Allows transfer of analytics data to the management plane. |\n| `apigee-mart` | Contains the Apigee administrative API endpoint. |\n| `apigee-runtime` | Contains the gateway for API request processing and policy execution. |\n\n\nGoogle recommends that you follow these methods and best practices to harden,\nsecure, and isolate the runtime\npods:\n\n| Method | Description |\n|------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|\n| Kubernetes security overview | Review the Google Kubernetes Engine (GKE) document [Security overview](https://cloud.google.com/kubernetes-engine/docs/concepts/security-overview). This document provides an overview of each layer of your Kubernetes infrastructure, and explains how you can configure its security features to best suit your needs. For Google Cloud Engine's current guidance for hardening your GKE cluster, see [Hardening your cluster's security](https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster). |\n| Network policies | Use network policies to restrict communication between Pods and to pods that have access outside the Kubernetes network. For more information, see [Creating a cluster network policy](https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy) in the GKE documentation. A network policy is a specification of how groups of pods are allowed to communicate with each other and other network endpoints. The Kubernetes [NetworkPolicy](https://kubernetes.io/docs/concepts/services-networking/network-policies/#the-networkpolicy-resource) resource uses labels to select pods and define rules which specify what traffic is allowed to the selected pods. You can implement a Container Network Interface (CNI) plugin to add network policies to an Apigee hybrid runtime installation. Network policies let you isolate pods from outside access and enable access to specific pods. You can use an open source CNI plugin, such as [Calico](https://docs.projectcalico.org/v3.5/introduction/) to get started. |\n| GKE Sandbox | Enable GKE Sandbox for the Kubernetes clusters that run Apigee hybrid. See [GKE Sandbox](https://cloud.google.com/kubernetes-engine/sandbox/) for details. | NOTE: GKE Sandbox is the Google version of the open source project [gVisor](https://gvisor.dev/), a sandbox runtime that provides a virtualized container environment. |"]]