Protezione dell'installazione del runtime

Una tipica installazione di Apigee hybrid è composta da più pod, come elencato nella tabella seguente. Ciascuno di questi pod richiede un accesso specifico alle porte e non tutti i pod devono comunicare con tutti gli altri. Per una mappa dettagliata di queste connessioni interne e dei protocolli di sicurezza che utilizzano, consulta Connessioni interne.

Pod Descrizione
apigee-logger Contiene un agente logger Apigee che invia i log delle applicazioni a Suite operativa di Google Cloud.
apigee-metrics Contiene un agente delle metriche Apigee che invia i log delle applicazioni a Suite operativa di Google Cloud.
apigee-cassandra Contiene il livello di persistenza del runtime di hybrid.
apigee-synchronizer Sincronizza la configurazione tra il control plane di gestione e il data plane di runtime.
apigee-udca Consente il trasferimento dei dati di analisi al management plane.
apigee-mart Contiene l'endpoint API amministrativa Apigee.
apigee-runtime Contiene il gateway per l'elaborazione delle richieste API e l'esecuzione delle policy.

Google consiglia di seguire questi metodi e best practice per proteggere e isolare i pod di runtime:

Metodo Descrizione
Panoramica della sicurezza di Kubernetes Consulta il documento Google Kubernetes Engine (GKE) Panoramica della sicurezza. Questo documento fornisce una panoramica di ogni livello dell'infrastruttura Kubernetes e spiega come configurare le funzionalità di sicurezza per soddisfare al meglio le tue esigenze.

Per le attuali indicazioni di Google Kubernetes Engine per la protezione del cluster GKE, consulta Proteggere la sicurezza del cluster.
Criteri di rete

Utilizza i criteri di rete per limitare la comunicazione tra i pod e con i pod che hanno accesso al di fuori della rete Kubernetes. Per saperne di più, consulta Creazione di un criterio di rete del cluster nella documentazione di GKE.

Un criterio di rete specifica le modalità consentite per la comunicazione dei gruppi di pod tra loro e con altri endpoint di rete.

La risorsa Kubernetes NetworkPolicy utilizza le etichette per selezionare i pod e definire le regole che specificano il traffico consentito ai pod selezionati.

Puoi implementare un plug-in Container Network Interface (CNI) per aggiungere policy di rete a un'installazione del runtime di Apigee hybrid. Le norme di rete consentono di isolare i pod dall'accesso esterno e di abilitare l'accesso a pod specifici. Per iniziare, puoi utilizzare un plug-in CNI open source, ad esempio Calico.