התקנה טיפוסית של Apigee Hybrid מורכבת מכמה פודים, כמו שמופיע בטבלה הבאה. כל אחד מה-Pods האלה דורש גישה ספציפית ליציאות, ולא כל Pod צריך לתקשר עם כל Pod אחר. למפה מפורטת של החיבורים הפנימיים האלה ושל פרוטוקולי האבטחה שבהם הם משתמשים, אפשר לעיין במאמר חיבורים פנימיים.
| Pod | תיאור |
|---|---|
apigee-logger |
מכיל סוכן של Apigee logger ששולח יומני אפליקציות ל-Cloud Operations. |
apigee-metrics |
מכיל סוכן מדדים של Apigee ששולח יומנים של אפליקציות אל Cloud Operations. |
apigee-cassandra |
מכיל את שכבת העקביות של זמן הריצה ההיברידי. |
apigee-synchronizer |
מסנכרן את ההגדרה בין מישור הניהול (הבקרה) לבין מישור זמן הריצה (הנתונים). |
apigee-udca |
מאפשר העברה של נתוני ניתוח למישור הניהול. |
apigee-mart |
מכיל את נקודת הקצה ל-API הניהולי של Apigee. |
apigee-runtime |
מכיל את השער לעיבוד בקשות API ולהפעלת מדיניות. |
Google ממליצה לפעול לפי השיטות וההמלצות הבאות כדי להקשיח, לאבטח ולבודד את פודים של זמן הריצה:
| Method | תיאור |
|---|---|
| סקירה כללית על אבטחה ב-Kubernetes | מעיינים במסמך Google Kubernetes Engine (GKE) בנושא
סקירה כללית על אבטחה. במסמך הזה מפורטת סקירה כללית של כל שכבה בתשתית Kubernetes, ומוסבר איך אפשר להגדיר את תכונות האבטחה שלה כך שיתאימו לצרכים שלכם בצורה הטובה ביותר.
ההנחיות העדכניות של Google Kubernetes Engine להקשחת האבטחה באשכול GKE זמינות במאמר הקשחת האבטחה באשכול. |
| כללי מדיניות הרשת |
משתמשים במדיניות רשת כדי להגביל את התקשורת בין קבוצות Pod ובין קבוצות Pod שיש להן גישה מחוץ לרשת Kubernetes. מידע נוסף זמין במאמר בנושא יצירת מדיניות רשת באשכול במסמכי התיעוד של GKE. מדיניות רשת היא מפרט של האופן שבו קבוצות של פודים יכולות לתקשר זו עם זו ועם נקודות קצה אחרות ברשת. המשאב NetworkPolicy של Kubernetes משתמש בתוויות כדי לבחור קבוצות Pod ולהגדיר כללים שמציינים איזו תנועה מותרת לקבוצות ה-Pod שנבחרו. אתם יכולים להטמיע תוסף של ממשק רשת של קונטיינר (CNI) כדי להוסיף מדיניות רשת להתקנה של זמן ריצה של Apigee Hybrid. כללי מדיניות של רשת מאפשרים לכם לבודד קבוצות של Pod מגישה חיצונית ולאפשר גישה לקבוצות ספציפיות של Pod. כדי להתחיל, אפשר להשתמש בפלאגין CNI בקוד פתוח, כמו Calico. |