התקנה טיפוסית של Apigee Hybrid מורכבת מכמה תרמילים, כמו שמופיע בטבלה הבאה. כל אחד מהתרמילים האלה דורש גישה ספציפית ליציאות, ולא כל תרמיל צריך לתקשר עם כל תרמיל אחר. למיפוי מפורט של החיבורים הפנימיים האלה ושל פרוטוקולי האבטחה שבהם הם משתמשים, אפשר לעיין במאמר בנושא חיבורים פנימיים.
| Pod | תיאור |
|---|---|
apigee-logger |
מכיל סוכן של Apigee logger ששולח יומני אפליקציה ל-Cloud Operations. |
apigee-metrics |
מכיל סוכן מדדים של Apigee ששולח יומנים של אפליקציות אל Cloud Operations. |
apigee-cassandra |
מכיל את שכבת העקביות של זמן הריצה ההיברידי. |
apigee-synchronizer |
מסנכרן את ההגדרה בין מישור הניהול (הבקרה) לבין מישור זמן הריצה (הנתונים). |
apigee-udca |
מאפשר העברה של נתוני ניתוח למישור הניהול. |
apigee-mart |
מכיל את נקודת הקצה ל-API הניהולי של Apigee. |
apigee-runtime |
מכיל את השער לעיבוד בקשות API ולהפעלת מדיניות. |
Google ממליצה לפעול לפי השיטות וההמלצות הבאות כדי להקשיח, לאבטח ולבודד את הפודים של זמן הריצה:
| Method | תיאור |
|---|---|
| סקירה כללית על אבטחה ב-Kubernetes | קוראים את המסמך בנושא Google Kubernetes Engine (GKE)
סקירה כללית על אבטחה. במסמך הזה מפורטת סקירה כללית של כל שכבה בתשתית Kubernetes, ומוסבר איך אפשר להגדיר את תכונות האבטחה שלה כך שיתאימו לצרכים שלכם בצורה הטובה ביותר.
ההנחיות העדכניות של Google Kubernetes Engine להקשחת האבטחה באשכול GKE זמינות במאמר הקשחת האבטחה באשכול. |
| כללי מדיניות הרשת |
משתמשים במדיניות רשת כדי להגביל את התקשורת בין קבוצות Pod ובין קבוצות Pod שיש להן גישה מחוץ לרשת Kubernetes. מידע נוסף זמין במאמר בנושא יצירת מדיניות רשת באשכול במסמכי התיעוד של GKE. מדיניות רשת היא הגדרה של האופן שבו קבוצות של פודים מורשות לתקשר זו עם זו ועם נקודות קצה אחרות ברשת. המשאב NetworkPolicy של Kubernetes משתמש בתוויות כדי לבחור קבוצות Pod ולהגדיר כללים שמציינים איזו תנועה מותרת לקבוצות ה-Pod שנבחרו. אתם יכולים להטמיע תוסף של ממשק רשת של קונטיינר (CNI) כדי להוסיף מדיניות רשת להתקנה של זמן ריצה של Apigee Hybrid. כללי מדיניות של רשת מאפשרים לכם לבודד קבוצות של Pod מגישה חיצונית ולאפשר גישה לקבוצות ספציפיות של Pod. כדי להתחיל, אפשר להשתמש בפלאגין CNI בקוד פתוח, כמו Calico. |