Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan penginstalan runtime

Instalasi hybrid Apigee standar terbuat dari beberapa pod, seperti yang tercantum dalam tabel berikut. Masing-masing pod ini memerlukan akses spesifik ke port, dan tidak setiap pod perlu berkomunikasi dengan setiap pod lainnya. Untuk peta mendetail tentang koneksi internal ini dan protokol yang digunakan, lihat Koneksi internal.

Pod	Deskripsi
`apigee-logger`	Berisi agen logger Apigee yang mengirim log aplikasi ke Cloud Operations.
`apigee-metrics`	Berisi agen metrik Apigee yang mengirim log aplikasi ke Cloud Operations.
`apigee-cassandra`	Berisi lapisan persistensi runtime hybrid.
`apigee-synchronizer`	Menyinkronkan konfigurasi antara bidang pengelolaan (kontrol) dan runtime bidang (data).
`apigee-udca`	Memungkinkan transfer data analisis ke bidang pengelolaan.
`apigee-mart`	Berisi endpoint API administratif Apigee.
`apigee-runtime`	Berisi gateway untuk pemrosesan permintaan API dan eksekusi kebijakan.

Google merekomendasikan agar Anda mengikuti metode dan praktik terbaik ini untuk melakukan hardening, mengamankan, serta mengisolasi runtime pod:

Metode	Deskripsi
Ringkasan keamanan Kubernetes	Tinjau dokumen Google Kubernetes Engine (GKE) Ringkasan keamanan. Dokumen ini memberikan ringkasan tentang setiap lapisan Kubernetes Anda infrastruktur Anda, dan menjelaskan cara mengonfigurasi fitur keamanannya untuk yang sesuai dengan kebutuhan Anda. Untuk panduan Google Kubernetes Engine saat ini mengenai hardening cluster GKE Anda, lihat Melakukan hardening pada keamanan cluster.
Kebijakan jaringan	Gunakan kebijakan jaringan untuk membatasi komunikasi antara Pod dan ke pod yang memiliki akses di luar jaringan Kubernetes. Untuk informasi selengkapnya, lihat Membuat kebijakan jaringan cluster dalam dokumentasi GKE. Kebijakan jaringan adalah spesifikasi tentang bagaimana grup pod diizinkan untuk berkomunikasi satu sama lain dan titik akhir jaringan lainnya. Kubernetes NetworkPolicy resource menggunakan label untuk memilih pod dan menentukan aturan yang menetapkan traffic apa saja yang diizinkan ke pod yang dipilih. Anda dapat menerapkan plugin Antarmuka Jaringan Container (CNI) untuk menambahkan kebijakan jaringan ke penginstalan runtime hybrid Apigee. Kebijakan jaringan memungkinkan Anda mengisolasi pod dari luar mengakses dan mengaktifkan akses ke pod tertentu. Anda dapat menggunakan plugin CNI {i>open source<i}, seperti Calico untuk memulai.

Metode

Deskripsi

Ringkasan keamanan Kubernetes

Tinjau dokumen Google Kubernetes Engine (GKE) Ringkasan keamanan. Dokumen ini memberikan ringkasan tentang setiap lapisan Kubernetes Anda infrastruktur Anda, dan menjelaskan cara mengonfigurasi fitur keamanannya untuk yang sesuai dengan kebutuhan Anda.

Untuk panduan Google Kubernetes Engine saat ini mengenai hardening cluster GKE Anda, lihat Melakukan hardening pada keamanan cluster.

Kebijakan jaringan

Gunakan kebijakan jaringan untuk membatasi komunikasi antara Pod dan ke pod yang memiliki akses di luar jaringan Kubernetes. Untuk informasi selengkapnya, lihat Membuat kebijakan jaringan cluster dalam dokumentasi GKE.

Kebijakan jaringan adalah spesifikasi tentang bagaimana grup pod diizinkan untuk berkomunikasi satu sama lain dan titik akhir jaringan lainnya.

Kubernetes NetworkPolicy resource menggunakan label untuk memilih pod dan menentukan aturan yang menetapkan traffic apa saja yang diizinkan ke pod yang dipilih.

Anda dapat menerapkan plugin Antarmuka Jaringan Container (CNI) untuk menambahkan kebijakan jaringan ke penginstalan runtime hybrid Apigee. Kebijakan jaringan memungkinkan Anda mengisolasi pod dari luar mengakses dan mengaktifkan akses ke pod tertentu. Anda dapat menggunakan plugin CNI {i>open source<i}, seperti Calico untuk memulai.