瞭解混合式執行階段平面使用的連接埠,對企業實作來說非常重要。本節說明在執行階段平面內用於安全通訊的通訊埠,以及用於與外部服務通訊的外部通訊埠。
內部連線
執行階段層和管理層之間的通訊會透過 TLS 單向和 OAuth 2.0 確保安全。個別服務會根據通訊對象使用不同的通訊協定。
用於元件間通訊的憑證是由 Apigee 的憑證管理工具產生。您不必提供或管理憑證。
下圖顯示混合式執行階段平面中的通訊埠和通訊管道:
下表說明混合式執行階段平面中的通訊埠和通訊管道:
| 內部連線 | |||||
|---|---|---|---|---|---|
| 來源 | 目的地 | 通訊協定/通訊埠 | 安全通訊協定 | 說明 | |
| MART | Cassandra | TCP/9042 TCP/9142 |
TLS | 傳送資料以供持續保留 | |
| Apigee Connect | MART | TCP/8443 | TLS | 管理層的要求會透過 Apigee Connect 傳送。Apigee Connect 會啟動連線。 | |
| 預設 Istio Ingress | 訊息處理器 | TCP/8443 | TLS (Apigee 產生,自行簽署的憑證) | 處理傳入的 API 要求 | |
| 訊息處理器 | Cassandra | TCP/9042 TCP/9142 |
TLS | 傳送資料以供持續保留 | |
| 訊息處理器 | fluentd (Analytics) | TCP/20001 | mTLS | 將資料串流至資料收集 Pod | |
| Cassandra | Cassandra | TCP/7001 | mTLS | 節點內叢集通訊。請注意,您也可以開放通訊埠 7000,以備不時之需,作為防火牆設定的備援選項,方便日後進行疑難排解。 | |
| 同步處理工具 | Cassandra | TCP/9042 TCP/9142 |
TLS | 傳送資料以供持續保留 | |
| Prometheus | Cassandra | TCP/7070 (HTTPS) | TLS | 從各種服務擷取指標資料 | |
| MART | TCP/8843 (HTTPS) | TLS | |||
| 訊息處理器 | TCP/8843 (HTTPS) | TLS | |||
| 同步處理工具 | TCP/8843 (HTTPS) | TLS | |||
| UDCA | TCP/7070 (HTTPS) | TLS | |||
外部連線
如要正確設定網路防火牆,您應瞭解 Hybrid 用於與外部服務通訊的輸入和輸出通訊埠。
下圖顯示用於與混合式執行階段層進行外部通訊的連接埠:
下表說明用於與混合式執行階段平面進行外部通訊的通訊埠:
| 外部連線 | |||||
|---|---|---|---|---|---|
| 來源 | 目的地 | 通訊協定/通訊埠 | 安全通訊協定 | 說明 | |
| 連入連線 (對外公開) | |||||
| 選用:Apigee 服務 僅在未使用 Apigee Connect (建議) 時。請參閱下方的「雙向連結」一節。 |
MART Istio Ingress | TCP/443 | 透過 TLS 1.2 進行 OAuth | 管理層發出的混合型 API 呼叫 | |
| 用戶端應用程式 | 預設 Istio Ingress | TCP/* | 無/透過 TLS 1.2 的 OAuth | 外部應用程式發出的 API 要求 | |
| 外送連線 | |||||
| 訊息處理器 | 後端服務 | TCP/* UDP/* |
無/透過 TLS 1.2 的 OAuth | 將要求傳送至客戶定義的主機 | |
| 同步處理工具 | Apigee 服務 | TCP/443 | 透過 TLS 1.2 進行 OAuth | 擷取設定資料;連線至 apigee.googleapis.com |
|
| Google Cloud | 連線至「iamcredentials.googleapis.com」以取得授權 |
||||
| UDCA (Analytics) | Apigee 服務 (UAP) | TCP/443 | 透過 TLS 1.2 進行 OAuth | 將資料傳送至管理層的 UAP 和 Google Cloud;連線至 apigee.googleapis.com 和 storage.googleapis.com |
|
| Apigee Connect | Apigee 服務 | TCP/443 | TLS | 與管理層建立連線;連線至 apigeeconnect.googleapis.com |
|
| Prometheus (指標) | Google Cloud (Cloud Operations) | TCP/443 | TLS | 將資料傳送至管理層的 Cloud Operations;連線至
monitoring.googleapis.com |
|
| fluentd (記錄) | Google Cloud (Cloud Operations) | TCP/443 | TLS | 將資料傳送至管理層的 Cloud Operations;連線至
logging.googleapis.com |
|
| MART | Google Cloud | TCP/443 | 透過 TLS 1.2 進行 OAuth | 連線至「iamcredentials.googleapis.com」以取得授權 |
|
| 訊息處理器 | 分散式追蹤後端 | http 或 https | 傳輸層安全標準 (TLS) (可設定) | (選用) 將追蹤資訊傳達至分散式追蹤後端服務。在 TraceConfig API 中設定服務和通訊協定。Distributed Trace 的後端通常是 Cloud Trace 或 Jaeger。 | |
| 雙向連線 | |||||
| Apigee Connect | Apigee 服務 | TCP/443 | TLS | 在管理層和管理 API 之間傳輸管理資料,以取得執行階段層中的執行階段資料 (MART)。Apigee Connect 會啟動連線;
連線至 apigeeconnect.googleapis.com |
|
| * 表示通訊埠可設定。Apigee 建議使用通訊埠 443。 | |||||
您不應允許與 *.googleapis.com 相關聯的特定 IP 位址建立外部連線。由於網域目前會解析為多個地址,因此 IP 位址可能會變更。