Como proteger a instalação do ambiente de execução

Uma instalação típica da Apigee híbrida é composta de vários pods, conforme listado na tabela a seguir. Cada um desses pods requer acesso específico às portas, e nem todos os pods precisam se comunicar com todos os outros pods. Para uma visão detalhada dessas conexões internas e dos protocolos de segurança que elas utilizam, consulte Conexões internas.

Pod Descrição
apigee-logger Contém um agente registrador da Apigee que envia registros de aplicativos para o Cloud Operations.
apigee-metrics Contém um agente de métricas da Apigee que envia registros de aplicativos para o Cloud Operations.
apigee-cassandra Contém a camada de persistência do ambiente de execução híbrido.
apigee-synchronizer Sincroniza a configuração entre o plano de gerenciamento (controle) e o plano de ambiente de execução (dados).
apigee-udca Permite a transferência de dados de análise para o plano de gerenciamento.
apigee-mart Contém o endpoint da API administrativa da Apigee.
apigee-runtime Contém o gateway para o processamento da solicitação de API e a execução de políticas.

O Google recomenda que você siga esses métodos e práticas recomendadas para aumentar a proteção e isolar os pods do ambiente de execução:

Método Descrição
Visão geral da segurança do Kubernetes Leia o documento Visão geral da segurança do Google Kubernetes Engine (GKE). Neste documento, você terá uma visão geral de cada camada da sua infraestrutura do Kubernetes e explicaremos como configurar os recursos de segurança para atender melhor às suas necessidades.

Para as orientações atuais do Google Kubernetes Engine sobre como aumentar a proteção do cluster do GKE, consulte Como reforçar a segurança do seu cluster.

Políticas de rede

Use políticas de rede para restringir a comunicação entre pods e os pods que têm acesso fora da rede do Kubernetes. Para mais informações, consulte Como criar uma política de rede de cluster na documentação do GKE.

Uma política de rede é uma especificação de como os grupos de pods podem se comunicar entre si e com outros endpoints de rede.

O recurso NetworkPolicy do Kubernetes usa rótulos para selecionar pods e definir regras que especificam qual tráfego é permitido para os pods selecionados.

É possível implementar um plug-in de interface de rede de contêiner (CNI, na sigla em inglês) para adicionar políticas de rede a uma instalação de ambiente de execução da Apigee híbrida. Com as políticas de rede, é possível isolar os pods do acesso externo e permitir o acesso a pods específicos. Para começar, use um plug-in CNI de código aberto, como o Calico.