Mengamankan penginstalan runtime

Penginstalan hybrid Apigee standar terdiri dari beberapa pod, seperti yang tercantum dalam tabel berikut. Masing-masing pod ini memerlukan akses khusus ke port, dan tidak setiap pod perlu berkomunikasi dengan setiap pod lainnya. Untuk peta mendetail mengenai koneksi internal ini dan protokol keamanan yang digunakannya, lihat Koneksi internal.

Pod	Deskripsi
`apigee-logger`	Berisi agen logger Apigee yang mengirim log aplikasi ke Cloud Operations.
`apigee-metrics`	Berisi agen metrik Apigee yang mengirim log aplikasi ke Cloud Operations.
`apigee-cassandra`	Berisi lapisan persistensi runtime hybrid.
`apigee-synchronizer`	Menyinkronkan konfigurasi antara bidang pengelolaan (kontrol) dan bidang runtime (data).
`apigee-udca`	Mengizinkan transfer data analisis ke bidang pengelolaan.
`apigee-mart`	Berisi endpoint API administratif Apigee.
`apigee-runtime`	Berisi gateway untuk pemrosesan permintaan API dan eksekusi kebijakan.

Google merekomendasikan agar Anda mengikuti metode dan praktik terbaik berikut untuk melakukan hardening, mengamankan, dan mengisolasi pod runtime:

Metode	Deskripsi
Ringkasan keamanan Kubernetes	Tinjau dokumen Google Kubernetes Engine (GKE) Ringkasan keamanan. Dokumen ini memberikan ringkasan setiap lapisan infrastruktur Kubernetes Anda, dan menjelaskan cara mengonfigurasi fitur keamanannya agar sesuai dengan kebutuhan Anda. Untuk mengetahui panduan Google Kubernetes Engine saat ini terkait hardening cluster GKE, lihat Melakukan hardening pada keamanan cluster.
Kebijakan jaringan	Menggunakan kebijakan jaringan untuk membatasi komunikasi antara Pod dan pod yang memiliki akses di luar jaringan Kubernetes. Untuk informasi selengkapnya, lihat Membuat kebijakan jaringan cluster dalam dokumentasi GKE. Kebijakan jaringan adalah spesifikasi mengenai izin grup pod untuk berkomunikasi satu sama lain dan dengan endpoint jaringan lainnya. Resource NetworkPolicy Kubernetes menggunakan label untuk memilih pod dan menentukan aturan yang menentukan traffic yang diizinkan ke pod yang dipilih. Anda dapat mengimplementasikan plugin Container Network Interface (CNI) untuk menambahkan kebijakan jaringan ke penginstalan runtime hybrid Apigee. Dengan kebijakan jaringan, Anda dapat mengisolasi pod dari akses luar dan mengaktifkan akses ke pod tertentu. Anda dapat menggunakan plugin CNI open source, seperti Calico untuk memulai.

Metode

Deskripsi

Ringkasan keamanan Kubernetes

Tinjau dokumen Google Kubernetes Engine (GKE) Ringkasan keamanan. Dokumen ini memberikan ringkasan setiap lapisan infrastruktur Kubernetes Anda, dan menjelaskan cara mengonfigurasi fitur keamanannya agar sesuai dengan kebutuhan Anda.

Untuk mengetahui panduan Google Kubernetes Engine saat ini terkait hardening cluster GKE, lihat Melakukan hardening pada keamanan cluster.

Kebijakan jaringan

Menggunakan kebijakan jaringan untuk membatasi komunikasi antara Pod dan pod yang memiliki akses di luar jaringan Kubernetes. Untuk informasi selengkapnya, lihat Membuat kebijakan jaringan cluster dalam dokumentasi GKE.

Kebijakan jaringan adalah spesifikasi mengenai izin grup pod untuk berkomunikasi satu sama lain dan dengan endpoint jaringan lainnya.

Resource NetworkPolicy Kubernetes menggunakan label untuk memilih pod dan menentukan aturan yang menentukan traffic yang diizinkan ke pod yang dipilih.

Anda dapat mengimplementasikan plugin Container Network Interface (CNI) untuk menambahkan kebijakan jaringan ke penginstalan runtime hybrid Apigee. Dengan kebijakan jaringan, Anda dapat mengisolasi pod dari akses luar dan mengaktifkan akses ke pod tertentu. Anda dapat menggunakan plugin CNI open source, seperti Calico untuk memulai.