Questa pagina è stata tradotta dall'API Cloud Translation.

Protezione dell'installazione del runtime

Una tipica installazione ibrida di Apigee è composta da più pod, come elencato in seguente. Ciascuno di questi pod richiede l'accesso specifico alle porte e non tutti i pod devono comunicare con tutti gli altri. Per una mappa dettagliata di queste connessioni interne e della sicurezza protocolli che utilizzano, vedi Connessioni interne.

Pod	Descrizione
`apigee-logger`	Contiene un agente di log Apigee che invia i log delle applicazioni a Cloud Operations.
`apigee-metrics`	Contiene un agente delle metriche Apigee che invia i log delle applicazioni a Cloud Operations.
`apigee-cassandra`	Contiene il livello di persistenza del runtime ibrido.
`apigee-synchronizer`	Sincronizza la configurazione tra il piano di gestione (controllo) e il piano di runtime (dati).
`apigee-udca`	Consente il trasferimento dei dati di analisi al piano di gestione.
`apigee-mart`	Contiene l'endpoint dell'API di amministrazione Apigee.
`apigee-runtime`	Contiene il gateway per l'elaborazione delle richieste API e l'esecuzione delle norme.

Google consiglia di seguire questi metodi e best practice per proteggere, e isolare il runtime pod:

Metodo	Descrizione
Panoramica sulla sicurezza di Kubernetes	Esamina il documento Panoramica della sicurezza di Google Kubernetes Engine (GKE). Questo documento fornisce una panoramica di ogni livello del tuo cluster Kubernetes dell'infrastruttura e spiega come configurarne le funzionalità di sicurezza nel modo migliore che risponda alle tue esigenze. Per le indicazioni attuali di Google Kubernetes Engine per il rafforzamento del cluster GKE, consulta Rafforzamento della sicurezza del cluster.
Criteri di rete	Usa i criteri di rete per limitare la comunicazione tra i pod e con i pod che hanno accesso al di fuori della rete Kubernetes. Per saperne di più, consulta Creare un criterio di rete del cluster nella documentazione di GKE. Un criterio di rete specifica le modalità consentite per la comunicazione dei gruppi di pod tra loro e con altri endpoint di rete. La risorsa NetworkPolicy di Kubernetes utilizza le etichette per selezionare i pod e definire le regole che specificano il traffico consentito ai pod selezionati. Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere criteri di rete a un'installazione di runtime ibrida Apigee. I criteri di rete ti consentono di isolare i pod dall'esterno e abilitare l'accesso a pod specifici. Puoi utilizzare un plug-in CNI open source, come Calico per iniziare.

Metodo

Descrizione

Panoramica sulla sicurezza di Kubernetes

Esamina il documento Panoramica della sicurezza di Google Kubernetes Engine (GKE). Questo documento fornisce una panoramica di ogni livello del tuo cluster Kubernetes dell'infrastruttura e spiega come configurarne le funzionalità di sicurezza nel modo migliore che risponda alle tue esigenze.

Per le indicazioni attuali di Google Kubernetes Engine per il rafforzamento del cluster GKE, consulta Rafforzamento della sicurezza del cluster.

Criteri di rete

Usa i criteri di rete per limitare la comunicazione tra i pod e con i pod che hanno accesso al di fuori della rete Kubernetes. Per saperne di più, consulta Creare un criterio di rete del cluster nella documentazione di GKE.

Un criterio di rete specifica le modalità consentite per la comunicazione dei gruppi di pod tra loro e con altri endpoint di rete.

La risorsa NetworkPolicy di Kubernetes utilizza le etichette per selezionare i pod e definire le regole che specificano il traffico consentito ai pod selezionati.

Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere criteri di rete a un'installazione di runtime ibrida Apigee. I criteri di rete ti consentono di isolare i pod dall'esterno e abilitare l'accesso a pod specifici. Puoi utilizzare un plug-in CNI open source, come Calico per iniziare.