Utilizzo sicuro delle porte

Capire quali porte vengono utilizzate dal piano di runtime ibrido è importante per le implementazioni aziendali. Questa sezione descrive le porte utilizzate per le comunicazioni sicure all'interno del piano di runtime, nonché le porte esterne utilizzate per le comunicazioni con i servizi esterni.

Connessioni interne

La comunicazione tra il piano di runtime e il piano di gestione è protetta con TLS unidirezionale e OAuth 2.0. I singoli servizi utilizzano protocolli diversi, a seconda del servizio con cui comunicano.

I certificati utilizzati per la comunicazione tra componenti sono generati dal gestore certificati di Apigee. Non è necessario fornire o gestire un certificato.

L'immagine seguente mostra le porte e i canali di comunicazione all'interno del piano di runtime ibrido:

Mostra le connessioni tra i componenti interni sul piano di runtime ibrido

La seguente tabella descrive le porte e i canali di comunicazione all'interno del piano di runtime ibrido:

Connessioni interne
Origine Destinazione Protocollo/porte Protocollo di sicurezza Descrizione
MART Cassandra TCP/9042
TCP/9142
mTLS Invia i dati per la persistenza.
Apigee Connect MART TCP/8443 TLS Le richieste dal piano di gestione passano attraverso Apigee Connect. Apigee Connect avvia la connessione.
Istio in entrata predefinito processore di messaggi TCP/8443 TLS (certificazione generata da Apigee, autofirmata) Elabora le richieste API in entrata.
processore di messaggi Cassandra TCP/9042
TCP/9142
mTLS Invia i dati per la persistenza.
processore di messaggi fluentd (analisi / logging) TCP/20001 mTLS Trasmette i flussi di dati al pod di raccolta dei dati.
Cassandra Cassandra TCP/7001
TCP/7199
mTLS Comunicazioni tra cluster tra nodi. Le porte 7001 e 7199 vengono utilizzate per la comunicazione tra nodi Cassandra.
Cassandra Cassandra TCP/8778 HTTP La porta 8778 viene utilizzata per le chiamate API a Cassandra ed è accessibile solo all'interno di un cluster locale.
Cassandra Cassandra TCP/7001 mTLS Comunicazioni tra regioni.
Sincronizzatore Cassandra TCP/9042
TCP/9142
mTLS Invia i dati per la persistenza.
Prometheus (metriche) Cassandra TCP/7070 (HTTPS) TLS Esegue lo scraping dei dati delle metriche da vari servizi.
MART TCP/8843 (HTTPS) TLS
Processore di messaggi TCP/8843 (HTTPS) TLS
Sincronizzatore TCP/8843 (HTTPS) TLS
UDCA (UDCA) TCP/7070 (HTTPS) TLS
Osservatore Processore di messaggi TCP/8843 TLS Sondaggi per ottenere lo stato del deployment.

Connessioni esterne

Per configurare in modo appropriato il firewall di rete, devi conoscere le porte in entrata e in uscita utilizzate dall'ibrido per comunicare con i servizi esterni.

L'immagine seguente mostra le porte utilizzate per le comunicazioni esterne con il piano di runtime ibrido:

Mostra le connessioni con servizi esterni dal piano di runtime ibrido

La tabella seguente descrive le porte utilizzate per le comunicazioni esterne con il piano di runtime ibrido:

Connessioni esterne
Origine Destinazione Protocollo/porte Protocollo di sicurezza Descrizione
Connessioni in entrata (esposte esternamente)
FACOLTATIVO: i servizi Apigee
Solo se non utilizzi Apigee Connect (consigliato). Consulta la sezione Connessioni bidirezionali di seguito.
Ingress MART Istio TCP/443 OAuth su TLS 1.2 Chiamate API ibride dal piano di gestione.
App client Ingress Istio predefinito TCP/* Nessuno/OAuth su TLS 1.2 Richieste API da app esterne.
Connessioni in uscita
Processore di messaggi Servizi di backend TCP/*
UDP/*
Nessuno/OAuth su TLS 1.2 Invia le richieste agli host definiti dal cliente.
Sincronizzatore Servizi Apigee TCP/443 OAuth su TLS 1.2 Recupera i dati di configurazione; si connette a apigee.googleapis.com.
Google Cloud Si connette a iamcredentials.googleapis.com per l'autorizzazione.
UDCA (Analytics) Servizi Apigee (UAP) TCP/443 OAuth su TLS 1.2 Invia i dati a UAP nel piano di gestione e a Google Cloud; si connette a apigee.googleapis.com e storage.googleapis.com.
Apigee Connect Servizi Apigee TCP/443 TLS Stabilisce la connessione con il piano di gestione; si connette a apigeeconnect.googleapis.com.
Prometheus (metriche) Google Cloud (Suite operativa di Google Cloud) TCP/443 TLS Invia i dati alla Suite operativa di Google Cloud nel piano di gestione; si connette a monitoring.googleapis.com.
fluentd (logging) Google Cloud (Suite operativa di Google Cloud) TCP/443 TLS Invia i dati alla Suite operativa di Google Cloud nel piano di gestione; si connette a logging.googleapis.com
MART Google Cloud TCP/443 OAuth su TLS 1.2 Si connette a iamcredentials.googleapis.com per l'autorizzazione.
processore di messaggi Backend di Trace distribuito http o https TLS (configurabile) (Facoltativo) Comunica le informazioni di traccia al servizio di backend Distributed Trace. Configura il servizio e il protocollo nell'API TraceConfig. Il backend per Distributed Trace è in genere Cloud Trace o Jaeger.
Connessioni bidirezionali
Apigee Connect Servizi Apigee TCP/443 TLS Comunica i dati di gestione tra il piano di gestione e l'API Management per i dati di runtime (MART) nel piano di runtime. Apigee Connect avvia la connessione; si connette a apigeeconnect.googleapis.com. Pertanto, non è necessario configurare il firewall per la connettività in entrata.
* indica che la porta è configurabile. Apigee consiglia di utilizzare la porta 443.

Non devi consentire le connessioni esterne per indirizzi IP specifici associati a *.googleapis.com. Gli indirizzi IP possono cambiare poiché il dominio attualmente si risolve in più indirizzi.