セキュアポートの使用

ハイブリッド ランタイム プレーンが使用するポートを理解することは、エンタープライズの実装において重要です。このセクションでは、ランタイム プレーン内でセキュア通信に使用するポートと、外部サービスとの通信に使用する外部ポートについて説明します。

内部接続

ランタイム プレーンと管理プレーン間の通信は、TLS 1-way と OAuth 2.0 で保護されます。個々のサービスは、通信するサービスによって異なるプロトコルを使用します。

コンポーネント内の通信に使用される証明書は、Apigee の証明書マネージャーによって生成されます。証明書の提供や管理は必要ありません。

次の図は、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示しています。

ハイブリッド ランタイム プレーン上の内部コンポーネント間の接続を示します。

以下の表に、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示します。

内部接続
送信元 送信先 プロトコル / ポート セキュリティ プロトコル 説明
MART Cassandra TCP/9042
TCP/9142
TLS 永続性のためにデータを送信します。
Apigee Connect MART TCP/8443 TLS 管理プレーンからのリクエストは Apigee Connect を経由します。Apigee Connect が接続を開始します。
デフォルトの Istio Ingress Message Processor TCP/8443 TLS(Apigee 生成の自己署名証明書) 受信 API リクエストを処理します。
Message Processor Cassandra TCP/9042
TCP/9142
TLS 永続性のためにデータを送信します。
Message Processor fluentd(分析、ロギング) TCP/20001 mTLS データをデータ収集 Pod にストリーミングします。
Cassandra Cassandra TCP/7001 mTLS ノード内クラスタ通信潜在的なトラブルシューティングのバックアップ オプションとして、ポート 7000 をファイアウォール構成用に開いたままにすることもできます。
Synchronizer Cassandra TCP/9042
TCP/9142
TLS 永続性のためにデータを送信します。
Prometheus(指標) Cassandra TCP/7070(HTTPS) TLS さまざまなサービスから指標データを取得します。
MART TCP/8843(HTTPS) TLS
Message Processor TCP/8843(HTTPS) TLS
Synchronizer TCP/8843(HTTPS) TLS
UDCA TCP/7070(HTTPS) TLS
Watcher デフォルトの Istio Ingress TCP/8843 TLS 仮想ホストに関連した変更を行い、Istio Ingress を構成します。

外部接続

ネットワーク ファイアウォールを適切に構成するには、ハイブリッドが外部サービスとの通信に使用する受信ポートと送信ポートを確認しておく必要があります。

次の図に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。

ハイブリッド ランタイム プレーンからの外部サービスとの接続を示します。

次の表に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。

外部接続
送信元 送信先 プロトコル / ポート セキュリティ プロトコル 説明
受信接続(外部に公開)
省略可: Apigee サービス
Apigee Connect を使用しない場合(推奨)。以下の双方向接続をご覧ください。
MART Istio Ingress TCP/443 OAuth over TLS 1.2 管理プレーンからのハイブリッド API 呼び出し。
クライアント アプリ デフォルトの Istio Ingress TCP/* なし / OAuth over TLS 1.2 外部アプリからの API リクエスト。
アウトバウンド接続
Message Processor バックエンド サービス TCP/*
UDP/*
なし / OAuth over TLS 1.2 ユーザー定義のホストにリクエストを送信します。
Synchronizer Apigee サービス TCP/443 OAuth over TLS 1.2 構成データを取得し、apigee.googleapis.com に接続します。
Google Cloud 認可のため iamcredentials.googleapis.com に接続します。
UDCA(アナリティクス) Apigee サービス(UAP) TCP/443 OAuth over TLS 1.2 管理プレーンの UAP と Google Cloud にデータを送信します。apigee.googleapis.comstorage.googleapis.com に接続します。
Apigee Connect Apigee サービス TCP/443 TLS 管理プレーンとの接続を確立し、apigeeconnect.googleapis.com に接続します。
Prometheus(指標) Google Cloud(Cloud Operations) TCP/443 TLS 管理プレーンで Cloud Operations にデータを送信し、monitoring.googleapis.com に接続します。
fluentd(ロギング) Google Cloud(Cloud Operations) TCP/443 TLS 管理プレーンで Cloud Operations にデータを送信し、logging.googleapis.com に接続します。
MART Google Cloud TCP/443 OAuth over TLS 1.2 認可のため iamcredentials.googleapis.com に接続します。
Message Processor 分散トレース バックエンド HTTP または HTTPS TLS(構成可能) (省略可)分散トレース バックエンド サービスにトレース情報を送信します。サービスとプロトコルは、TraceConfig API で構成します。分散トレースのバックエンドは通常、Cloud Trace または Jaeger です。
双方向接続
Apigee Connect Apigee サービス TCP/443 TLS 管理プレーンと、ランタイム プレーンの Runtime データ(MART)の Management API の間で管理データを送信します。Apigee Connect が接続を開始します。apigeeconnect.googleapis.com に接続します。したがって、インバウンド接続用にファイアウォールを構成する必要はありません。
Watcher Google Cloud TCP/443 OAuth over TLS 1.2 組織の仮想ホスト関連の変更を pull して、istio Ingress を構成します。
* はポートが構成可能であることを示します。ポート 443 を使用することをおすすめします。

*.googleapis.com に関連付けられた特定の IP アドレスへの外部接続を許可しないでください。現在、ドメインは複数のアドレスに解決されるため、IP アドレスが変わる可能性があります。