配置端口并设置防火墙

了解 Hybrid 运行时层面使用的端口对于企业实现而言十分重要。本部分介绍运行时层面中用于安全通信的端口,以及用于与外部服务通信的外部端口。

内部连接

运行时层面与管理层面之间的通信通过 TLS 单向和 OAuth 2.0 进行保护。各项服务使用不同的协议,具体取决于它们与哪项服务通信。

下图显示了 Hybrid 运行时层面内的端口和通信通道:

显示 Hybrid 运行时层面的内部组件之间的连接

下表介绍了 Hybrid 运行时层面内的端口和通信通道:

内部连接
来源 目的地 协议/端口 安全协议 说明
MART Cassandra TCP/9042
TCP/9142		 mTLS 发送数据以持久保存
MART Istio Ingress MART TCP/8443 TLS 来自管理层面的请求通过 MART Istio Ingress
默认 Istio Ingress 消息处理器 TCP/8443 TLS(Apigee 生成的自签名证书) 处理传入的 API 请求
消息处理器 Cassandra TCP/9042
TCP/9142		 mTLS 发送数据以持久保存
消息处理器 fluentd(分析) TCP/20001 mTLS 将数据流式传输到数据收集 pod
Cassandra Cassandra TCP/7001 mTLS 节点内集群通信。请注意,您也可以为防火墙配置打开端口 7000,作为可能的问题排查的备用选项。
Prometheus Cassandra TCP/7070 (HTTPS) TLS 抓取来自各种服务的指标数据
MART TCP/8843 (HTTPS) TLS
消息处理器 TCP/8843 (HTTPS) TLS
同步器 TCP/8843 (HTTPS) TLS
UDCA TCP/7070 (HTTPS) TLS

外部连接

为正确配置网络防火墙,您应该了解 Hybrid 与外部服务通信时使用的入站和出站端口。

下图显示了 Hybrid 运行时层面用于外部通信的端口:

显示 Hybrid 运行时层面与外部服务的连接

下表介绍了 Hybrid 运行时层面用于外部通信的端口:

外部连接
来源 目的地 协议/端口 安全协议 说明
入站连接(对外部公开)
Apigee 服务 MART Istio Ingress TCP/443 基于 TLS 1.2 的 OAuth 来自管理层面的 Hybrid API 调用
客户端应用 默认 Istio Ingress TCP/* 无/基于 TLS 1.2/mTLS 的 OAuth 来自外部应用的 API 请求
出站连接
消息处理器 后端服务 TCP/*
UDP/*		 无/基于 TLS 1.2 的 OAuth 向客户定义的主机发送请求
同步器 Apigee 服务 TCP/443 基于 TLS 1.2 的 OAuth 提取配置数据;连接到 apigee.googleapis.com
GCP 连接到 iamcredentials.googleapis.com 以获得授权
UDCA(分析) Apigee 服务 (UAP) TCP/443 基于 TLS 1.2 的 OAuth 在管理层面向 UAP 和 GCP 发送数据;连接到 apigee.googleapis.comstorage.googleapis.com
Prometheus(指标) GCP (Stackdriver) TCP/443 TLS 向管理层面中的 Stackdriver 发送数据;连接到 monitoring.googleapis.com
fluentd (Logging) GCP (Stackdriver) TCP/443 TLS 向管理层面中的 Stackdriver 发送数据;连接到 logging.googleapis.com
MART GCP TCP/443 基于 TLS 1.2 的 OAuth 连接到 iamcredentials.googleapis.com 以获得授权
* 表示端口可配置。Apigee 建议使用 443。

您不应允许与 *.googleapis.com 关联的任何特定 IP 地址建立外部连接。IP 地址可能会发生变化,因为该网域当前解析为多个地址。