Memahami port mana yang digunakan bidang runtime hybrid sangat penting untuk implementasi perusahaan. Bagian ini menjelaskan port yang digunakan untuk komunikasi aman dalam bidang runtime serta port eksternal yang digunakan untuk komunikasi dengan layanan eksternal.
Koneksi internal
Komunikasi antara bidang runtime dan bidang pengelolaan diamankan dengan TLS 1 arah dan OAuth 2.0. Setiap layanan menggunakan protokol yang berbeda, bergantung pada layanan yang digunakan untuk berkomunikasi.
Sertifikat yang digunakan untuk komunikasi intra-komponen dihasilkan oleh pengelola sertifikat Apigee. Anda tidak perlu memberikan sertifikat atau mengelolanya.
Gambar berikut menunjukkan port dan saluran komunikasi dalam bidang runtime hybrid:
Tabel berikut menjelaskan port dan saluran komunikasi dalam bidang runtime hybrid:
Koneksi Internal | |||||
---|---|---|---|---|---|
Sumber | Tujuan | Protokol/Port | Protokol keamanan | Deskripsi | |
MART | Cassandra | TCP/9042 TCP/9142 |
TLS | Mengirim data untuk persistensi | |
Koneksi Apigee | MART | TCP/8443 | TLS | Permintaan dari bidang pengelolaan melalui Apigee Connect. Apigee Connect akan memulai koneksi. | |
Istio Ingress Default | Message Processor | TCP/8443 | TLS (Sertifikat yang dibuat sendiri dan ditandatangani sendiri oleh Apigee) | Memproses permintaan API yang masuk | |
Message Processor | Cassandra | TCP/9042 TCP/9142 |
TLS | Mengirim data untuk persistensi | |
Message Processor | lancar (Analytics) | TCP/20001 | mTLS | Mengalirkan data ke pod pengumpulan data | |
Cassandra | Cassandra | TCP/7001 | mTLS | Komunikasi cluster intranode. Perhatikan bahwa Anda juga dapat membiarkan port 7000 tetap terbuka untuk konfigurasi firewall sebagai opsi cadangan untuk kemungkinan pemecahan masalah. | |
Penyinkron | Cassandra | TCP/9042 TCP/9142 |
TLS | Mengirim data untuk persistensi | |
Prometheus | Cassandra | TCP/7070 (HTTPS) | TLS | Melakukan scraping data metrik dari berbagai layanan | |
MART | TCP/8843 (HTTPS) | TLS | |||
Pemroses Pesan | TCP/8843 (HTTPS) | TLS | |||
Penyinkron | TCP/8843 (HTTPS) | TLS | |||
UDCA | TCP/7070 (HTTPS) | TLS |
Sambungan eksternal
Untuk mengonfigurasi firewall jaringan dengan tepat, Anda harus mengetahui port masuk dan keluar yang digunakan oleh sistem hybrid untuk berkomunikasi dengan layanan eksternal.
Gambar berikut menunjukkan port yang digunakan untuk komunikasi eksternal dengan bidang runtime hybrid:
Tabel berikut menjelaskan port yang digunakan untuk komunikasi eksternal dengan bidang runtime hybrid:
Koneksi Eksternal | |||||
---|---|---|---|---|---|
Sumber | Tujuan | Protokol/Port | Protokol Keamanan | Deskripsi | |
Koneksi Masuk (ekspos secara eksternal) | |||||
OPSIONAL: Layanan Apigee Hanya jika tidak menggunakan Apigee Connect (direkomendasikan). Lihat Koneksi Dua Arah di bawah. |
Istio Ingress MART | TCP/443 | OAuth melalui TLS 1.2 | Panggilan Hybrid API dari bidang pengelolaan | |
Aplikasi Klien | Istio Ingress Default | TCP/* | Tidak ada/OAuth melalui TLS 1.2 | Permintaan API dari aplikasi eksternal | |
Koneksi Keluar | |||||
Pemroses Pesan | Layanan backend | TCP/* UDP/* |
Tidak ada/OAuth melalui TLS 1.2 | Mengirim permintaan ke host yang ditentukan pelanggan | |
Penyinkron | Layanan Apigee | TCP/443 | OAuth melalui TLS 1.2 | Mengambil data konfigurasi; terhubung ke apigee.googleapis.com |
|
Google Cloud | Menghubungkan ke iamcredentials.googleapis.com untuk otorisasi |
||||
UDCA (Analytics) | Layanan Apigee (UAP) | TCP/443 | OAuth melalui TLS 1.2 | Mengirim data ke UAP di bidang pengelolaan dan ke Google Cloud; terhubung ke
apigee.googleapis.com dan storage.googleapis.com |
|
Koneksi Apigee | Layanan Apigee | TCP/443 | TLS | Membuat koneksi dengan bidang pengelolaan; terhubung ke apigeeconnect.googleapis.com |
|
Prometheus (Metrik) | Google Cloud (Cloud Operations) | TCP/443 | TLS | Mengirim data ke Cloud Operations di bidang pengelolaan; terhubung ke
monitoring.googleapis.com |
|
lancar (Logging) | Google Cloud (Cloud Operations) | TCP/443 | TLS | Mengirim data ke Cloud Operations di bidang pengelolaan; terhubung ke
logging.googleapis.com |
|
MART | Google Cloud | TCP/443 | OAuth melalui TLS 1.2 | Menghubungkan ke iamcredentials.googleapis.com untuk otorisasi |
|
Message Processor | Backend Trace Terdistribusi | http atau https | TLS (dapat dikonfigurasi) | (Opsional) Mengomunikasikan informasi trace ke layanan backend Distributed Trace. Konfigurasikan layanan dan protokol di TraceConfig API. Backend untuk Distributed Trace biasanya adalah Cloud Trace atau Jaeger. | |
Koneksi Dua Arah | |||||
Koneksi Apigee | Layanan Apigee | TCP/443 | TLS | Mengomunikasikan data pengelolaan antara bidang pengelolaan dan Management API untuk data runtime (MART) di bidang runtime. Apigee Connect memulai koneksi;
terhubung ke apigeeconnect.googleapis.com |
|
* menunjukkan bahwa port dapat dikonfigurasi. Apigee merekomendasikan penggunaan port 443. |
Anda tidak boleh mengizinkan koneksi eksternal untuk alamat IP tertentu yang terkait dengan *.googleapis.com
. Alamat IP dapat berubah karena domain saat ini di-resolve menjadi beberapa alamat.