Protezione dell'installazione del runtime

Una tipica installazione di Apigee hybrid è composta da più pod, come elencato nella tabella seguente. Ognuno di questi pod richiede un accesso specifico alle porte e non tutti i pod devono comunicare con tutti gli altri pod. Per una mappa dettagliata di queste connessioni interne e dei protocolli di sicurezza che utilizzano, consulta Connessioni interne.

Pod Descrizione
apigee-logger Contiene un agente di logging Apigee che invia i log delle applicazioni a Stackdriver.
apigee-metrics Contiene un agente di metriche Apigee che invia i log delle applicazioni a Stackdriver.
apigee-cassandra Contiene il livello di persistenza del runtime di hybrid.
apigee-synchronizer Sincronizza la configurazione tra il piano di gestione (controllo) e il piano di runtime (dati).
apigee-udca Consente il trasferimento dei dati di analisi al piano di gestione.
apigee-mart Contiene l'endpoint API di amministrazione di Apigee.
apigee-runtime Contiene il gateway per l'elaborazione delle richieste API e l'esecuzione delle policy.

Google consiglia di seguire questi metodi e best practice per proteggere, mettere in sicurezza e isolare i pod di runtime

Metodo Descrizione
Panoramica sulla sicurezza di Kubernetes Consulta il documento Panoramica sulla sicurezza di Google Kubernetes Engine (GKE). Questo documento fornisce una panoramica di ogni livello dell'infrastruttura Kubernetes e spiega come configurare le funzionalità di sicurezza in base alle tue esigenze.

Per le indicazioni attuali di Google Cloud Engine per la protezione del cluster GKE, consulta Proteggere la sicurezza del cluster.
Criteri di rete

Utilizza i criteri di rete per limitare la comunicazione tra i pod e i pod che hanno accesso all'esterno della rete Kubernetes. Per ulteriori informazioni, consulta Creare un criterio di rete del cluster nella documentazione di GKE.

Un criterio di rete specifica le modalità consentite per la comunicazione dei gruppi di pod tra loro e con altri endpoint di rete.

La risorsa NetworkPolicy di Kubernetes utilizza le etichette per selezionare i pod e definire le regole che specificano il traffico consentito ai pod selezionati.

Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere criteri di rete a un'installazione del runtime di Apigee hybrid. I criteri di rete consentono di isolare i pod dall'accesso esterno e di abilitare l'accesso a pod specifici. Per iniziare, puoi utilizzare un plug-in CNI open source, come Calico.

GKE Sandbox Abilita GKE Sandbox per i cluster Kubernetes che eseguono Apigee hybrid. Per maggiori dettagli, consulta GKE Sandbox.