ポートを構成してファイアウォールを設定する

ハイブリッド ランタイム プレーンが使用するポートを理解することは、エンタープライズの実装において重要です。このセクションでは、ランタイム プレーン内でセキュア通信に使用するポートと、外部サービスとの通信に使用する外部ポートについて説明します。

内部接続

ランタイム プレーンと管理プレーン間の通信は、TLS 1-way と OAuth 2.0 で保護されます。個々のサービスは、通信するサービスによって異なるプロトコルを使用します。

次の図は、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示しています。

ハイブリッド ランタイム プレーン上の内部コンポーネント間の接続を示します。

以下の表に、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示します。

内部接続
送信元 送信先 プロトコル / ポート セキュリティ プロトコル 説明
MART Cassandra TCP/9042
TCP/9142
mTLS 永続性のためにデータを送信します。
Apigee Connect MART TCP/8443 TLS 管理プレーンからのリクエストは Apigee Connect を経由します。Apigee Connect が接続を開始します。
省略可: MART Istio Ingress
Apigee Connect を使用しない場合のみ(推奨)
MART TCP/8443 TLS 管理プレーンからのリクエストは、MART Istio Ingress を経由します。
デフォルトの Istio Ingress Message Processor TCP/8443 TLS(Apigee 生成の自己署名証明書) 受信 API リクエストを処理します。
Message Processor Cassandra TCP/9042
TCP/9142
mTLS 永続性のためにデータを送信します。
Message Processor fluentd(Analytics) TCP/20001 mTLS データをデータ収集 Pod にストリーミングします。
Cassandra Cassandra TCP/7001 mTLS ノード内クラスタ通信潜在的なトラブルシューティングのバックアップ オプションとして、ポート 7000 をファイアウォール構成用に開いたままにすることもできます。
Prometheus Cassandra TCP/7070(HTTPS) TLS さまざまなサービスから指標データを取得します。
MART TCP/8843(HTTPS) TLS
Message Processor TCP/8843(HTTPS) TLS
Synchronizer TCP/8843(HTTPS) TLS
UDCA TCP/7070(HTTPS) TLS

外部接続

ネットワーク ファイアウォールを適切に構成するには、ハイブリッドが外部サービスとの通信に使用する受信ポートと送信ポートを確認しておく必要があります。

次の図に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。

ハイブリッド ランタイム プレーンからの外部サービスとの接続を示します。

次の表に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。

外部接続
送信元 送信先 プロトコル / ポート セキュリティ プロトコル 説明
受信接続(外部に公開)
省略可: Apigee サービス
Apigee Connect を使用しない場合(推奨)。以下の双方向接続をご覧ください。
MART Istio Ingress TCP/443 OAuth over TLS 1.2 管理プレーンからの Hybrid API 呼び出し
クライアント アプリ デフォルトの Istio Ingress TCP/* なし / OAuth over TLS 1.2 外部アプリからの API リクエスト
送信接続
Message Processor バックエンド サービス TCP/*
UDP/*
なし / OAuth over TLS 1.2 ユーザー定義のホストにリクエストを送信します。
Synchronizer Apigee サービス TCP/443 OAuth over TLS 1.2 構成データを取得し、apigee.googleapis.com に接続します。
GCP 認可のため iamcredentials.googleapis.com に接続します。
UDCA(Analytics) Apigee サービス(UAP) TCP/443 OAuth over TLS 1.2 管理プレーンの UAP と GCP にデータを送信します。apigee.googleapis.comstorage.googleapis.com に接続します。
Apigee Connect Apigee サービス TCP/443 TLS 管理プレーンとの接続を確立し、apigeeconnect.googleapis.com に接続します。
Prometheus(指標) GCP(Cloud Operations) TCP/443 TLS 管理プレーンで Cloud Operations にデータを送信し、monitoring.googleapis.com に接続します。
fluentd(ロギング) GCP(Cloud Operations) TCP/443 TLS 管理プレーンで Cloud Operations にデータを送信し、logging.googleapis.com に接続します。
MART GCP TCP/443 OAuth over TLS 1.2 認可のため iamcredentials.googleapis.com に接続します。
双方向接続
Apigee Connect Apigee サービス TCP/443 TLS 管理プレーンと、ランタイム プレーンの Management API for Runtime data(MART)の間で管理データをやり取りします。Apigee Connect が接続を開始します。apigeeconnect.googleapis.com に接続します。
* はポートが構成可能であることを示します。443 の使用をおすすめします。

*.googleapis.com に関連付けられた特定の IP アドレスへの外部接続を許可しないでください。現在、ドメインは複数のアドレスに解決されるため、IP アドレスが変わる可能性があります。