Uma instalação híbrida típica do Apigee é composta por vários pods, conforme indicado na tabela seguinte. Cada um destes pods requer acesso específico a portas e nem todos os pods precisam de comunicar com todos os outros pods. Para ver um mapa detalhado destas ligações internas e dos protocolos de segurança que usam, consulte o artigo Ligações internas.
| Pod | Descrição |
|---|---|
apigee-logger |
Contém um agente de registo do Apigee que envia registos de aplicações para o Cloud Operations. |
apigee-metrics |
Contém um agente de métricas do Apigee que envia registos de aplicações para o Cloud Operations. |
apigee-cassandra |
Contém a camada de persistência de tempo de execução híbrida. |
apigee-synchronizer |
Sincroniza a configuração entre o plano de gestão (controlo) e o plano de tempo de execução (dados). |
apigee-udca |
Permite a transferência de dados de estatísticas para o plano de gestão. |
apigee-mart |
Contém o ponto final da API administrativa do Apigee. |
apigee-runtime |
Contém a gateway para o processamento de pedidos de API e a execução de políticas. |
A Google recomenda que siga estes métodos e práticas recomendadas para proteger, proteger e isolar os pods de tempo de execução:
| Método | Descrição |
|---|---|
| Descrição geral da segurança do Kubernetes | Reveja o documento do Google Kubernetes Engine (GKE)
Vista geral da segurança. Este documento oferece uma vista geral de cada camada da sua infraestrutura do Kubernetes e explica como pode configurar as respetivas funcionalidades de segurança para se adequarem melhor às suas necessidades.
Para ver as orientações atuais do Google Kubernetes Engine para reforçar a segurança do seu cluster do GKE, consulte Reforçar a segurança do cluster. |
| Políticas de Rede |
Use políticas de rede para restringir a comunicação entre agrupamentos e para agrupamentos que tenham acesso fora da rede Kubernetes. Para mais informações, consulte o artigo Criar uma política de rede de clusters na documentação do GKE. Uma política de rede é uma especificação de como os grupos de pods podem comunicar entre si e com outros pontos finais de rede. O recurso NetworkPolicy do Kubernetes usa etiquetas para selecionar pods e definir regras que especificam o tráfego permitido para os pods selecionados. Pode implementar um plug-in da interface de rede de contentores (CNI) para adicionar políticas de rede a uma instalação do tempo de execução híbrido do Apigee. As políticas de rede permitem-lhe isolar os pods do acesso externo e ativar o acesso a pods específicos. Pode usar um plug-in CNI de código aberto, como o Calico, para começar. |