Comprendre quels ports sont utilisés par le plan d'exécution hybride est important pour les mises en œuvre en entreprise. Cette section décrit les ports utilisés pour les communications sécurisées dans le plan d'exécution, ainsi que les ports externes utilisés pour les communications avec les services externes.
Connexions internes
La communication entre le plan d'exécution et le plan de gestion est sécurisée avec les protocoles TLS à sens unique et OAuth 2.0. Les services individuels utilisent différents protocoles, en fonction du service avec lequel ils communiquent.
Les certificats utilisés pour la communication au sein des composants sont générés par le gestionnaire de certificats d'Apigee. Vous n'avez pas besoin de fournir de certificat ni d'en gérer.
L'image suivante illustre les ports et les canaux de communication dans le plan d'exécution hybride :
Le tableau suivant décrit les ports et les canaux de communication du plan d'exécution hybride :
Connexions internes | |||||
---|---|---|---|---|---|
Source | Destination | Protocole/ports | Protocole de sécurité | Description | |
MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | Envoie des données pour la persistance. | |
Apigee Connect | MART | TCP/8443 | TLS | Les requêtes du plan de gestion passent par Apigee Connect. Apigee Connect lance la connexion. | |
Istio Ingress par défaut | Processeur de messages | TCP/8443 | TLS (certificat généré par Apigee et autosigné) | Traite les requêtes API entrantes. | |
Processeur de messages | Cassandra | TCP/9042 TCP/9142 |
mTLS | Envoie des données pour la persistance. | |
Processeur de messages | fluentd (analyses/journalisation) | TCP/20001 | mTLS | Diffuse des données vers le pod de collecte de données. | |
Cassandra | Cassandra | TCP/7001 TCP/7199 |
mTLS | Communications entre clusters intranœud. Les ports 7001 et 7199 sont utilisés pour la communication intranœud Cassandra. | |
Cassandra | Cassandra | TCP/8778 | HTTP | Le port 8778 est utilisé pour les appels d'API à Cassandra et n'est accessible que dans un cluster local. | |
Synchronisateur | Cassandra | TCP/9042 TCP/9142 |
mTLS | Envoie des données pour la persistance. | |
Prometheus (métriques) | Cassandra | TCP/7070 (HTTPS) | TLS | Extrait les données de métriques de divers services. | |
MART | TCP/8843 (HTTPS) | TLS | |||
Processeur de messages | TCP/8843 (HTTPS) | TLS | |||
Synchronisateur | TCP/8843 (HTTPS) | TLS | |||
UDCA | TCP/7070 (HTTPS) | TLS | |||
Watcher | Processeur de messages | TCP/8843 | TLS | Interrogations visant à obtenir l'état du déploiement. | |
Watcher | Processeur de messages | TCP/8843 | TLS | Interrogations visant à obtenir l'état du déploiement. |
Connexions externes
Pour configurer correctement votre pare-feu de réseau, vous devez connaître les ports entrants et sortants utilisés par le système hybride pour communiquer avec les services externes.
L'image suivante montre les ports utilisés pour les communications externes avec le plan d'exécution hybride :
Le tableau suivant décrit les ports utilisés pour les communications externes avec le plan d'exécution hybride :
Connexions externes | |||||
---|---|---|---|---|---|
Source | Destination | Protocole/ports | Protocole de sécurité | Description | |
Connexions entrantes (exposées en externe) | |||||
FACULTATIF : Services Apigee Seulement si vous n'utilisez pas Apigee Connect (recommandé). Consultez la section Connexions bidirectionnelles ci-dessous. |
MART Istio Ingress | TCP/443 | OAuth via TLS 1.2 | Appels d'API hybrides à partir du plan de gestion. | |
Applications clientes | Istio Ingress par défaut | TCP/* | Aucun/OAuth via TLS 1.2 | Requêtes API à partir d'applications externes. | |
Connexions sortantes | |||||
Processeur de messages | Services backend | TCP/* UDP/* |
Aucun/OAuth via TLS 1.2 | Envoi des requêtes aux hôtes définis par le client. | |
Synchronisateur | Services Apigee | TCP/443 | OAuth via TLS 1.2 | Extrait les données de configuration, se connecte à apigee.googleapis.com . |
|
Google Cloud | Se connecte à iamcredentials.googleapis.com aux fins de l'autorisation. |
||||
UDCA (analyse) | Services Apigee (UAP) | TCP/443 | OAuth via TLS 1.2 | Envoie des données à l'UAP dans le plan de gestion et vers Google Cloud, se connecte à apigee.googleapis.com et à storage.googleapis.com . |
|
Apigee Connect | Services Apigee | TCP/443 | TLS | Établit la connexion avec le plan de gestion ; se connecte à apigeeconnect.googleapis.com . |
|
Prometheus (métriques) | Google Cloud (Cloud Operations) | TCP/443 | TLS | Envoie des données à Cloud Operations dans le plan de gestion, se connecte à monitoring.googleapis.com . |
|
fluentd (journalisation) | Google Cloud (Cloud Operations) | TCP/443 | TLS | Envoie des données à Cloud Operations dans le plan de gestion, se connecte à logging.googleapis.com . |
|
MART | Google Cloud | TCP/443 | OAuth via TLS 1.2 | Se connecte à iamcredentials.googleapis.com aux fins de l'autorisation. |
|
Processeur de messages | Backend de traces distribuées | http ou https | TLS (configurable) | (Facultatif) Communique les informations de trace au service backend de traçage distribué. Configurez le service et le protocole dans l'API TraceConfig. Le backend de traçage distribué est généralement Cloud Trace ou Jaeger. | |
Connexions bidirectionnelles | |||||
Apigee Connect | Services Apigee | TCP/443 | TLS | Communication des données de gestion entre le plan de gestion et l'API Management pour les données d'exécution (MART) du plan d'exécution. Apigee Connect lance la connexion ; se connecte à apigeeconnect.googleapis.com . Par conséquent, vous n'avez pas besoin de configurer votre pare-feu pour la connectivité entrante. |
|
* indique que le port est configurable. Apigee recommande d'utiliser le port 443. |
Vous ne devez pas autoriser les connexions externes pour des adresses IP spécifiques associées à *.googleapis.com
. Les adresses IP peuvent changer, le domaine étant actuellement associé à plusieurs adresses.