Memahami port yang digunakan bidang runtime hybrid penting untuk penerapan di perusahaan. Bagian ini menjelaskan port yang digunakan untuk komunikasi yang aman dalam bidang runtime serta port eksternal yang digunakan untuk komunikasi dengan layanan eksternal.
Koneksi internal
Komunikasi antara bidang runtime dan bidang pengelolaan diamankan dengan TLS satu arah dan OAuth 2.0. Setiap layanan menggunakan protokol yang berbeda, bergantung pada layanan yang berkomunikasi dengannya.
Sertifikat yang digunakan untuk komunikasi antar-komponen dibuat oleh pengelola sertifikat Apigee. Anda tidak perlu memberikan atau mengelola sertifikat.
Gambar berikut menunjukkan port dan saluran komunikasi dalam bidang runtime hybrid:
Tabel berikut menjelaskan port dan saluran komunikasi dalam bidang runtime hybrid:
| Koneksi Internal | |||||
|---|---|---|---|---|---|
| Sumber | Tujuan | Protokol/Port | Protokol keamanan | Deskripsi | |
| MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | Mengirim data untuk persistensi. | |
| Apigee Connect | MART | TCP/8443 | TLS | Permintaan dari bidang pengelolaan melewati Apigee Connect. Apigee Connect memulai koneksi. | |
| Ingress Istio Default | Message Processor | TCP/8443 | TLS (sertifikat yang ditandatangani sendiri dan dibuat oleh Apigee) | Memproses permintaan API masuk. | |
| Message Processor | Cassandra | TCP/9042 TCP/9142 |
mTLS | Mengirim data untuk persistensi. | |
| Message Processor | fluentd (analisis / logging) | TCP/20001 | mTLS | Mengalirkan data ke pod pengumpulan data. | |
| Cassandra | Cassandra | TCP/7001 TCP/7199 |
mTLS | Komunikasi cluster intra-node. Port 7001 dan 7199 digunakan untuk komunikasi intra-node Cassandra. | |
| Cassandra | Cassandra | TCP/8778 | HTTP | Port 8778 digunakan untuk panggilan API ke Cassandra dan hanya dapat diakses dalam cluster lokal. | |
| Penyinkron | Cassandra | TCP/9042 TCP/9142 |
mTLS | Mengirim data untuk persistensi. | |
| Prometheus (metrik) | Cassandra | TCP/7070 (HTTPS) | TLS | Meng-scraping data metrik dari berbagai layanan. | |
| MART | TCP/8843 (HTTPS) | TLS | |||
| Message Processor | TCP/8843 (HTTPS) | TLS | |||
| Penyinkron | TCP/8843 (HTTPS) | TLS | |||
| UDCA | TCP/7070 (HTTPS) | TLS | |||
| Pengamat | Message Processor | TCP/8843 | TLS | Polling untuk mendapatkan status deployment. | |
| Pengamat | Message Processor | TCP/8843 | TLS | Polling untuk mendapatkan status deployment. | |
Sambungan eksternal
Untuk mengonfigurasi firewall jaringan dengan tepat, Anda harus mengetahui port masuk dan keluar yang digunakan oleh Hybrid untuk berkomunikasi dengan layanan eksternal.
Gambar berikut menunjukkan port yang digunakan untuk komunikasi eksternal dengan bidang runtime hybrid:
Tabel berikut menjelaskan port yang digunakan untuk komunikasi eksternal dengan bidang runtime hybrid:
| Koneksi Eksternal | |||||
|---|---|---|---|---|---|
| Sumber | Tujuan | Protokol/Port | Protokol Keamanan | Deskripsi | |
| Koneksi Masuk (diekspos secara eksternal) | |||||
| OPSIONAL: Layanan Apigee Hanya jika tidak menggunakan Apigee Connect (direkomendasikan). Lihat Koneksi Dua Arah di bawah. |
MART Istio Ingress | TCP/443 | OAuth melalui TLS 1.2 | Panggilan API hybrid dari bidang pengelolaan. | |
| Aplikasi Klien | Ingress Istio Default | TCP/* | Tidak Ada/OAuth melalui TLS 1.2 | Permintaan API dari aplikasi eksternal. | |
| Koneksi Keluar | |||||
| Message Processor | Layanan backend | TCP/* UDP/* |
Tidak Ada/OAuth melalui TLS 1.2 | Mengirim permintaan ke host yang ditentukan pelanggan. | |
| Penyinkron | Layanan Apigee | TCP/443 | OAuth melalui TLS 1.2 | Mengambil data konfigurasi; terhubung ke
apigee.googleapis.com. |
|
| Google Cloud | Terhubung ke iamcredentials.googleapis.com untuk
otorisasi. |
||||
| UDCA (Analytics) | Layanan Apigee (UAP) | TCP/443 | OAuth melalui TLS 1.2 | Mengirim data ke UAP di bidang pengelolaan dan ke Google Cloud; terhubung ke
apigee.googleapis.com dan
storage.googleapis.com. |
|
| Apigee Connect | Layanan Apigee | TCP/443 | TLS | Menetapkan koneksi dengan bidang pengelolaan; terhubung ke
apigeeconnect.googleapis.com. |
|
| Prometheus (metrik) | Google Cloud (Cloud Operations) | TCP/443 | TLS | Mengirim data ke Cloud Operations di bidang pengelolaan; terhubung ke
monitoring.googleapis.com. |
|
| fluentd (logging) | Google Cloud (Cloud Operations) | TCP/443 | TLS | Mengirim data ke Cloud Operations di management plane; terhubung ke
logging.googleapis.com |
|
| MART | Google Cloud | TCP/443 | OAuth melalui TLS 1.2 | Terhubung ke iamcredentials.googleapis.com untuk otorisasi. |
|
| Message Processor | Backend Pelacakan Terdistribusi | http atau https | TLS (dapat dikonfigurasi) | (Opsional) Mengirimkan informasi rekaman aktivitas ke layanan backend Distributed Trace. Konfigurasi layanan dan protokol di TraceConfig API. Backend untuk Distributed Trace biasanya adalah Cloud Trace atau Jaeger. | |
| Koneksi Dua Arah | |||||
| Apigee Connect | Layanan Apigee | TCP/443 | TLS | Mengirimkan data pengelolaan antara bidang pengelolaan dan Management API untuk
data runtime (MART) di bidang runtime. Apigee Connect memulai koneksi;
terhubung ke apigeeconnect.googleapis.com. Oleh karena itu, Anda
tidak perlu mengonfigurasi firewall untuk konektivitas inbound. |
|
| * menunjukkan bahwa port dapat dikonfigurasi. Apigee merekomendasikan penggunaan port 443. | |||||
Anda tidak boleh mengizinkan koneksi eksternal untuk alamat IP tertentu yang terkait dengan
*.googleapis.com. Alamat IP dapat berubah karena saat ini domain diselesaikan ke beberapa alamat.