了解 Hybrid 运行时层面使用的端口对于企业实现而言十分重要。本部分介绍运行时层面中用于安全通信的端口,以及用于与外部服务通信的外部端口。
内部连接
运行时层面与管理层面之间的通信通过 TLS 单向和 OAuth 2.0 进行保护。各项服务使用不同的协议,具体取决于它们与哪项服务通信。
下图显示了 Hybrid 运行时层面内的端口和通信通道:
下表介绍了 Hybrid 运行时层面内的端口和通信通道:
| 内部连接 | |||||
|---|---|---|---|---|---|
| 来源 | 目的地 | 协议/端口 | 安全协议 | 说明 | |
| MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | 发送数据以持久保存 | |
| Apigee Connect | MART | TCP/8443 | TLS | 来自管理层面的请求通过 Apigee Connect。Apigee Connect 发起连接。 | |
| 可选:MART Istio Ingress 仅在不使用 Apigee Connect 时适用(推荐)。 |
MART | TCP/8443 | TLS | 来自管理层面的请求通过 MART Istio Ingress | |
| 默认 Istio Ingress | 消息处理器 | TCP/8443 | TLS(Apigee 生成的自签名证书) | 处理传入的 API 请求 | |
| 消息处理器 | Cassandra | TCP/9042 TCP/9142 |
mTLS | 发送数据以持久保存 | |
| 消息处理器 | fluentd(分析) | TCP/20001 | mTLS | 将数据流式传输到数据收集 pod | |
| Cassandra | Cassandra | TCP/7001 | mTLS | 节点内集群通信。请注意,您也可以为防火墙配置打开端口 7000,作为可能的问题排查的备用选项。 | |
| Prometheus | Cassandra | TCP/7070 (HTTPS) | TLS | 抓取来自各种服务的指标数据 | |
| MART | TCP/8843 (HTTPS) | TLS | |||
| 消息处理器 | TCP/8843 (HTTPS) | TLS | |||
| 同步器 | TCP/8843 (HTTPS) | TLS | |||
| UDCA | TCP/7070 (HTTPS) | TLS | |||
外部连接
为正确配置网络防火墙,您应该了解 Hybrid 与外部服务通信时使用的入站和出站端口。
下图显示了 Hybrid 运行时层面用于外部通信的端口:
下表介绍了 Hybrid 运行时层面用于外部通信的端口:
| 外部连接 | |||||
|---|---|---|---|---|---|
| 来源 | 目的地 | 协议/端口 | 安全协议 | 说明 | |
| 入站连接(对外部公开) | |||||
| 可选:Apigee 服务 仅当不使用 Apigee Connect时(推荐)。请参阅下面的双向连接。 |
MART Istio Ingress | TCP/443 | 基于 TLS 1.2 的 OAuth | 来自管理层面的 Hybrid API 调用 | |
| 客户端应用 | 默认 Istio Ingress | TCP/* | 无/基于 TLS 1.2 的 OAuth | 来自外部应用的 API 请求 | |
| 出站连接 | |||||
| 消息处理器 | 后端服务 | TCP/* UDP/* |
无/基于 TLS 1.2 的 OAuth | 向客户定义的主机发送请求 | |
| 同步器 | Apigee 服务 | TCP/443 | 基于 TLS 1.2 的 OAuth | 提取配置数据;连接到 apigee.googleapis.com |
|
| GCP | 连接到 iamcredentials.googleapis.com 以获得授权 |
||||
| UDCA(分析) | Apigee 服务 (UAP) | TCP/443 | 基于 TLS 1.2 的 OAuth | 在管理层面向 UAP 和 GCP 发送数据;连接到 apigee.googleapis.com 和 storage.googleapis.com |
|
| Apigee Connect | Apigee 服务 | TCP/443 | TLS | 与管理层面建立连接;连接到 apigeeconnect.googleapis.com |
|
| Prometheus(指标) | GCP (Cloud Operations) | TCP/443 | TLS | 在管理层面向 Cloud Operations 发送数据;连接到 monitoring.googleapis.com |
|
| fluentd (Logging) | GCP (Cloud Operations) | TCP/443 | TLS | 在管理层面向 Cloud Operations 发送数据;连接到 logging.googleapis.com |
|
| MART | GCP | TCP/443 | 基于 TLS 1.2 的 OAuth | 连接到 iamcredentials.googleapis.com 以获得授权 |
|
| 双向连接 | |||||
| Apigee Connect | Apigee 服务 | TCP/443 | TLS | 为运行时平面中的运行时数据 (MART) 在管理平面和 Management API 之间传输管理数据。Apigee Connect 发起连接;连接到 apigeeconnect.googleapis.com |
|
| * 表示端口可配置。Apigee 建议使用 443。 | |||||
您不应允许与 *.googleapis.com 关联的特定 IP 地址建立外部连接。IP 地址可能会发生变化,因为该网域当前解析为多个地址。