Questa pagina è stata tradotta dall'API Cloud Translation.

Protezione dell'installazione del runtime

Una tipica installazione di Apigee hybrid è composta da più pod, come elencato nella tabella seguente. Ognuno di questi pod richiede un accesso specifico alle porte e non tutti i pod hanno bisogno di comunicare con ogni altro pod. Per una mappa dettagliata di queste connessioni interne e dei protocolli di sicurezza impiegati, consulta Connessioni interne.

Pod	Descrizione
`apigee-logger`	Contiene un agente di log Apigee che invia i log delle applicazioni a Cloud Operations.
`apigee-metrics`	Contiene un agente delle metriche Apigee che invia i log delle applicazioni a Cloud Operations.
`apigee-cassandra`	Contiene il livello di persistenza del runtime di hybrid.
`apigee-synchronizer`	Sincronizza la configurazione tra il piano di gestione (controllo) e il piano di runtime (dati).
`apigee-udca`	Consente il trasferimento dei dati di analisi al piano di gestione.
`apigee-mart`	Contiene l'endpoint API amministrativa Apigee.
`apigee-runtime`	Contiene il gateway per l'elaborazione delle richieste API e l'esecuzione delle norme.

Google consiglia di seguire questi metodi e best practice per rafforzare, proteggere e isolare i pod di runtime:

Metodo	Descrizione
Panoramica della sicurezza di Kubernetes	Esamina il documento di Google Kubernetes Engine (GKE) Panoramica sulla sicurezza. Questo documento fornisce una panoramica di ogni livello del tuo cluster Kubernetes dell'infrastruttura e spiega come configurarne le funzionalità di sicurezza nel modo migliore che risponda alle tue esigenze. Per le attuali indicazioni di Google Kubernetes Engine sulla protezione avanzata del cluster GKE, vedi Rafforzamento della sicurezza del cluster.
Criteri di rete	Utilizza i criteri di rete per limitare la comunicazione tra i pod e ai pod che hanno accesso al di fuori della rete Kubernetes. Per saperne di più, consulta Creare un criterio di rete del cluster nella documentazione di GKE. Un criterio di rete specifica il modo in cui i gruppi di pod vengono autorizzati a comunicare tra loro e con altri endpoint di rete. Il cluster Kubernetes NetworkPolicy Risorsa utilizza le etichette per selezionare i pod e definire che specificano il traffico consentito ai pod selezionati. Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere criteri di rete a un'installazione del runtime di Apigee hybrid. I criteri di rete ti consentono di isolare i pod dall'accesso esterno e di attivare l'accesso a pod specifici. Per iniziare, puoi utilizzare un plug-in CNI open source, come Calico.

Metodo

Descrizione

Panoramica della sicurezza di Kubernetes

Esamina il documento di Google Kubernetes Engine (GKE) Panoramica sulla sicurezza. Questo documento fornisce una panoramica di ogni livello del tuo cluster Kubernetes dell'infrastruttura e spiega come configurarne le funzionalità di sicurezza nel modo migliore che risponda alle tue esigenze.

Per le attuali indicazioni di Google Kubernetes Engine sulla protezione avanzata del cluster GKE, vedi Rafforzamento della sicurezza del cluster.

Criteri di rete

Utilizza i criteri di rete per limitare la comunicazione tra i pod e ai pod che hanno accesso al di fuori della rete Kubernetes. Per saperne di più, consulta Creare un criterio di rete del cluster nella documentazione di GKE.

Un criterio di rete specifica il modo in cui i gruppi di pod vengono autorizzati a comunicare tra loro e con altri endpoint di rete.

Il cluster Kubernetes NetworkPolicy Risorsa utilizza le etichette per selezionare i pod e definire che specificano il traffico consentito ai pod selezionati.

Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere criteri di rete a un'installazione del runtime di Apigee hybrid. I criteri di rete ti consentono di isolare i pod dall'accesso esterno e di attivare l'accesso a pod specifici. Per iniziare, puoi utilizzare un plug-in CNI open source, come Calico.