Comprendere quali porte utilizza il piano di runtime ibrido è importante per le implementazioni aziendali. Questa sezione descrive le porte utilizzate per le comunicazioni sicure all'interno del piano di runtime, nonché le porte esterne utilizzate per le comunicazioni con servizi esterni.
Connessioni interne
La comunicazione tra il piano di runtime e il piano di gestione è protetta con TLS unidirezionale e OAuth 2.0. I singoli servizi utilizzano protocolli diversi, a seconda del servizio con cui comunicano.
La seguente immagine mostra le porte e i canali di comunicazione all'interno del piano di runtime ibrido:
La tabella seguente descrive le porte e i canali di comunicazione all'interno del piano di runtime ibrido:
| Connessioni interne | |||||
|---|---|---|---|---|---|
| Origine | Destinazione | Protocollo/porta | Protocollo di sicurezza | Descrizione | |
| MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | Invia i dati per la persistenza | |
| Apigee Connect | MART | TCP/8443 | TLS | Le richieste dal control plane passano tramite Apigee Connect. Apigee Connect avvia la connessione. | |
| (FACOLTATIVO) Ingress Istio MART Solo se non utilizzi Apigee Connect |
MART | TCP/8443 | TLS | Le richieste dal management plane passano attraverso l'ingresso Istio MART | |
| Ingress Istio predefinito | processore di messaggi | TCP/8443 | TLS (certificato autofirmato generato da Apigee) | Elabora le richieste API in entrata | |
| processore di messaggi | Cassandra | TCP/9042 TCP/9142 |
mTLS | Invia i dati per la persistenza | |
| processore di messaggi | fluentd (Analytics) | TCP/20001 | mTLS | Trasmette i dati al pod di raccolta dei dati | |
| Cassandra | Cassandra | TCP/7001 | mTLS | Comunicazioni del cluster intra-nodo. Tieni presente che puoi anche lasciare aperta la porta 7000 per la configurazione del firewall come opzione di backup per la potenziale risoluzione dei problemi. | |
| Prometheus | Cassandra | TCP/7070 (HTTPS) | TLS | Recupera i dati delle metriche da vari servizi | |
| MART | TCP/8843 (HTTPS) | TLS | |||
| Processore di messaggi | TCP/8843 (HTTPS) | TLS | |||
| Sincronizzatore | TCP/8843 (HTTPS) | TLS | |||
| UDCA | TCP/7070 (HTTPS) | TLS | |||
Connessioni esterne
Per configurare correttamente il firewall di rete, devi conoscere le porte in entrata e in uscita utilizzate da ibrido per comunicare con i servizi esterni.
L'immagine seguente mostra le porte utilizzate per le comunicazioni esterne con il piano di runtime ibrido:
La tabella seguente descrive le porte utilizzate per le comunicazioni esterne con il piano di runtime ibrido:
| Connessioni esterne | |||||
|---|---|---|---|---|---|
| Origine | Destinazione | Protocollo/porta | Protocollo di sicurezza | Descrizione | |
| Connessioni in entrata (esposte esternamente) | |||||
| FACOLTATIVO: servizi Apigee Solo se non utilizzi Apigee Connect (consigliato). Vedi Connessioni bidirezionali di seguito. |
Ingress Istio MART | TCP/443 | OAuth su TLS 1.2 | Chiamate API ibride dal management plane | |
| App client | Ingresso Istio predefinito | TCP/* | Nessuno/OAuth su TLS 1.2 | Richieste API da app esterne | |
| Connessioni in uscita | |||||
| Processore di messaggi | Servizi di backend | TCP/* UDP/* |
Nessuno/OAuth su TLS 1.2 | Invia richieste agli host definiti dal cliente | |
| Sincronizzatore | Servizi Apigee | TCP/443 | OAuth su TLS 1.2 | Recupera i dati di configurazione; si connette a apigee.googleapis.com |
|
| Google Cloud | Si connette a iamcredentials.googleapis.com per l'autorizzazione |
||||
| UDCA (Analytics) | Servizi Apigee (UAP) | TCP/443 | OAuth su TLS 1.2 | Invia dati a UAP nel management plane e a GCP; si connette a
apigee.googleapis.com e storage.googleapis.com |
|
| Apigee Connect | Servizi Apigee | TCP/443 | TLS | Stabilisce la connessione con il piano di gestione; si connette a
apigeeconnect.googleapis.com |
|
| Prometheus (metriche) | Google Cloud (Suite operativa di Google Cloud) | TCP/443 | TLS | Invia i dati a Suite operativa di Google Cloud nel management plane; si connette a
monitoring.googleapis.com |
|
| fluentd (logging) | Google Cloud (Suite operativa di Google Cloud) | TCP/443 | TLS | Invia i dati a Suite operativa di Google Cloud nel management plane; si connette a
logging.googleapis.com |
|
| MART | Google Cloud | TCP/443 | OAuth su TLS 1.2 | Si connette a iamcredentials.googleapis.com per l'autorizzazione |
|
| * indica che la porta è configurabile. Apigee consiglia di utilizzare la porta 443. | |||||
| Connessioni bidirezionali | |||||
| Apigee Connect | Servizi Apigee | TCP/443 | TLS | Comunica i dati di gestione tra il piano di gestione e l'API Management per
i dati di runtime (MART) nel piano di runtime. Apigee Connect avvia la connessione;
si connette a apigeeconnect.googleapis.com |
|
Non devi consentire connessioni esterne per indirizzi IP specifici associati a
*.googleapis.com. Gli indirizzi IP possono cambiare perché attualmente il dominio viene risolto in
più indirizzi.