如以下表格所列,典型的 Apigee Hybrid 安裝程序會建立多個 Pod。每個 Pod 都需要特定通訊埠的存取權,而且並非每個 Pod 都需要與其他 Pod 通訊。如需這些內部連線和所用安全通訊協定的詳細地圖,請參閱「內部連線」。
| Pod | 說明 |
|---|---|
apigee-logger |
包含 Apigee 記錄器代理程式,可將應用程式記錄傳送至 Cloud Operations。 |
apigee-metrics |
內含 Apigee 指標代理程式,可將應用程式記錄檔傳送至 Cloud Operations。 |
apigee-cassandra |
包含混合執行階段的持續性層。 |
apigee-synchronizer |
在管理 (控制) 層和執行階段 (資料) 層之間同步處理設定。 |
apigee-udca |
允許將分析資料轉移至管理平面。 |
apigee-mart |
包含 Apigee 管理 API 端點。 |
apigee-runtime |
包含 API 要求處理和政策執行的閘道。 |
Google 建議您採用下列方法和最佳做法,強化、保護及隔離執行階段 Pod:
| 方法 | 說明 |
|---|---|
| Kubernetes 安全性總覽 | 請參閱 Google Kubernetes Engine (GKE) 文件「
安全性總覽」。本文將概要介紹 Kubernetes 基礎架構的各個層級,並說明如何設定最適合您需求的安全功能。 如要瞭解 Google Kubernetes Engine 目前的 GKE 叢集強化指南,請參閱 強化叢集的安全防護。 |
| 網路政策 |
使用網路政策限制 Pod 之間的通訊,以及可存取 Kubernetes 網路外部的 Pod。詳情請參閱 GKE 說明文件中的「 建立叢集網路政策」。 網路政策規範 pod 群在那些情形下,允許與彼此及其他網路端點進行通訊。 Kubernetes NetworkPolicy 資源會使用標籤選取 Pod,並定義規則,指定允許哪些流量傳送至所選 Pod。 您可以實作容器網路介面 (CNI) 外掛程式,將網路政策新增至 Apigee Hybrid 執行階段安裝作業。網路政策可讓您將 Pod 與外部存取權隔開,並啟用特定 Pod 的存取權。您可以先使用開放原始碼 CNI 外掛程式,例如 Calico。 |