Como proteger a instalação do ambiente de execução

Uma instalação típica da Apigee híbrida é composta de vários pods, conforme listado na tabela a seguir Cada um desses pods requer acesso específico às portas, e nem todos os pods precisam se comunicar com todos os outros pods. Para uma visão detalhada dessas conexões internas e dos protocolos de segurança que elas utilizam, consulte Conexões internas.

Pod	Descrição
`apigee-logger`	Contém um agente registrador da Apigee que envia registros de aplicativos para o Cloud Operations.
`apigee-metrics`	Contém um agente de métricas da Apigee que envia registros de aplicativos para o Cloud Operations.
`apigee-cassandra`	Contém a camada de persistência do ambiente de execução híbrido.
`apigee-synchronizer`	Sincroniza a configuração entre o plano de gerenciamento (controle) e o plano de ambiente de execução (dados).
`apigee-udca`	Permite a transferência de dados de análise para o plano de gerenciamento.
`apigee-mart`	Contém o endpoint da API administrativa da Apigee.
`apigee-runtime`	Contém o gateway para o processamento da solicitação de API e a execução de políticas.

O Google recomenda que você siga esses métodos e práticas recomendadas para aumentar a proteção e isolar os pods do ambiente de execução:

Método	Descrição
Visão geral da segurança do Kubernetes	Leia o documento Visão geral da segurança do Google Kubernetes Engine (GKE). Neste documento, você terá uma visão geral de cada camada da sua infraestrutura do Kubernetes e explicaremos como configurar os recursos de segurança para atender melhor às suas necessidades. Para as orientações atuais do Google Kubernetes Engine sobre como aumentar a proteção do cluster do GKE, consulte Como reforçar a segurança do seu cluster.
Políticas de rede	Use políticas de rede para restringir a comunicação entre pods e os pods que têm acesso fora da rede do Kubernetes. Para mais informações, consulte Como criar uma política de rede de cluster na documentação do GKE. Uma política de rede é uma especificação de como grupos de pods podem se comunicar uns com os outros e com outros endpoints da rede. O recurso NetworkPolicy do Kubernetes usa rótulos para selecionar pods e definir regras que especificam qual tráfego é permitido para os pods selecionados. É possível implementar um plug-in de interface de rede de contêiner (CNI, na sigla em inglês) para adicionar políticas de rede a uma instalação de ambiente de execução da Apigee híbrida. Com as políticas de rede, é possível isolar os pods do acesso externo e permitir o acesso a pods específicos. Para começar, use um plug-in CNI de código aberto, como o Calico.

Método

Descrição

Visão geral da segurança do Kubernetes

Leia o documento Visão geral da segurança do Google Kubernetes Engine (GKE). Neste documento, você terá uma visão geral de cada camada da sua infraestrutura do Kubernetes e explicaremos como configurar os recursos de segurança para atender melhor às suas necessidades.

Para as orientações atuais do Google Kubernetes Engine sobre como aumentar a proteção do cluster do GKE, consulte Como reforçar a segurança do seu cluster.

Políticas de rede

Use políticas de rede para restringir a comunicação entre pods e os pods que têm acesso fora da rede do Kubernetes. Para mais informações, consulte Como criar uma política de rede de cluster na documentação do GKE.

Uma política de rede é uma especificação de como grupos de pods podem se comunicar uns com os outros e com outros endpoints da rede.

O recurso NetworkPolicy do Kubernetes usa rótulos para selecionar pods e definir regras que especificam qual tráfego é permitido para os pods selecionados.

É possível implementar um plug-in de interface de rede de contêiner (CNI, na sigla em inglês) para adicionar políticas de rede a uma instalação de ambiente de execução da Apigee híbrida. Com as políticas de rede, é possível isolar os pods do acesso externo e permitir o acesso a pods específicos. Para começar, use um plug-in CNI de código aberto, como o Calico.