Questa pagina è stata tradotta dall'API Cloud Translation.

Protezione dell'installazione del runtime

Una tipica installazione ibrida di Apigee è composta da più pod, come indicato nella tabella seguente. Ciascuno di questi pod richiede un accesso specifico alle porte e non tutti i pod devono comunicare con ogni altro pod. Per una mappa dettagliata di queste connessioni interne e dei protocolli di sicurezza che utilizzano, vedi Connessioni interne.

Pod	Descrizione
`apigee-logger`	Contiene un agente logger Apigee che invia i log delle applicazioni a Stackdriver.
`apigee-metrics`	Contiene un agente delle metriche Apigee che invia i log delle applicazioni a Stackdriver.
`apigee-cassandra`	Contiene il livello di persistenza del runtime ibrido.
`apigee-synchronizer`	Sincronizza la configurazione tra il piano di gestione (controllo) e il piano di runtime (dati).
`apigee-udca`	Consente il trasferimento dei dati di analisi al piano di gestione.
`apigee-mart`	Contiene l'endpoint API amministrativo di Apigee.
`apigee-runtime`	Contiene il gateway per l'elaborazione delle richieste API e l'esecuzione dei criteri.

Google consiglia di seguire questi metodi e best practice per proteggere, proteggere e isolare i pod di runtime:

Metodo	Descrizione
Panoramica sulla sicurezza di Kubernetes	Consulta il documento Panoramica della sicurezza di Google Kubernetes Engine (GKE). Questo documento fornisce una panoramica di ogni livello della tua infrastruttura Kubernetes e spiega come configurare le sue funzionalità di sicurezza per soddisfare al meglio le tue esigenze. Per le linee guida attuali di Google Cloud Engine per la protezione del tuo cluster GKE, consulta Protezione della sicurezza del cluster.
Criteri di rete	Utilizza i criteri di rete per limitare le comunicazioni tra i pod e i pod che hanno accesso all'esterno della rete Kubernetes. Per maggiori informazioni, consulta Creazione di un criterio di rete del cluster nella documentazione di GKE. Un criterio di rete è una specifica del modo in cui i gruppi di pod possono comunicare tra loro e con altri endpoint di rete. La risorsa Kubernetes NetworkPolicy utilizza le etichette per selezionare i pod e definire le regole che specificano il traffico consentito ai pod selezionati. Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere criteri di rete a un'installazione del runtime ibrido Apigee. I criteri di rete consentono di isolare i pod dall'accesso esterno e consentire l'accesso a pod specifici. Per iniziare, puoi utilizzare un plug-in CNI open source, come Calico.
GKE Sandbox	Abilita GKE Sandbox per i cluster Kubernetes che eseguono Apigee hybrid. Per maggiori dettagli, vedi GKE Sandbox. NOTA: GKE Sandbox è la versione Google del progetto open source gVisor, un runtime sandbox che fornisce un ambiente container virtualizzato.

Metodo

Descrizione

Panoramica sulla sicurezza di Kubernetes

Consulta il documento Panoramica della sicurezza di Google Kubernetes Engine (GKE). Questo documento fornisce una panoramica di ogni livello della tua infrastruttura Kubernetes e spiega come configurare le sue funzionalità di sicurezza per soddisfare al meglio le tue esigenze.

Per le linee guida attuali di Google Cloud Engine per la protezione del tuo cluster GKE, consulta Protezione della sicurezza del cluster.

Criteri di rete

Utilizza i criteri di rete per limitare le comunicazioni tra i pod e i pod che hanno accesso all'esterno della rete Kubernetes. Per maggiori informazioni, consulta Creazione di un criterio di rete del cluster nella documentazione di GKE.

Un criterio di rete è una specifica del modo in cui i gruppi di pod possono comunicare tra loro e con altri endpoint di rete.

La risorsa Kubernetes NetworkPolicy utilizza le etichette per selezionare i pod e definire le regole che specificano il traffico consentito ai pod selezionati.

Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere criteri di rete a un'installazione del runtime ibrido Apigee. I criteri di rete consentono di isolare i pod dall'accesso esterno e consentire l'accesso a pod specifici. Per iniziare, puoi utilizzare un plug-in CNI open source, come Calico.

GKE Sandbox

Abilita GKE Sandbox per i cluster Kubernetes che eseguono Apigee hybrid. Per maggiori dettagli, vedi GKE Sandbox.