Mengonfigurasi port dan menyiapkan firewall

Memahami port yang digunakan platform runtime campuran sangatlah penting untuk penerapan perusahaan. Bagian ini menjelaskan port yang digunakan untuk komunikasi aman dalam platform runtime serta port eksternal yang digunakan untuk komunikasi dengan layanan eksternal.

Koneksi internal

Komunikasi antara platform runtime dan platform pengelolaan diamankan dengan TLS 1 arah dan OAuth 2.0. Setiap layanan menggunakan protokol yang berbeda, bergantung pada layanan yang digunakan untuk berkomunikasi.

Gambar berikut menunjukkan port dan saluran komunikasi dalam platform runtime hybrid:

Menampilkan koneksi antara komponen internal di platform runtime hybrid

Tabel berikut menjelaskan port dan saluran komunikasi dalam platform runtime hibrida:

Koneksi Internal
Sumber Tujuan Protokol/Port Protokol Keamanan Deskripsi
MART Cassandra TCP/9042
TCP/9142		 mTLS Mengirim data untuk persistensi
MART Istio Ingress MART TCP/8443 TLS Permintaan dari bidang pengelolaan akan melalui MART Istio Ingress
Ingress Istio Default Message Processor TCP/8443 TLS (sertifikat yang ditandatangani sendiri dan dibuat Apigee) Memproses permintaan API yang masuk
Message Processor Cassandra TCP/9042
TCP/9142		 mTLS Mengirim data untuk persistensi
Message Processor fluentd (Analytics) TCP/20001 mTLS Menstreaming data ke pod pengumpulan data
Cassandra Cassandra TCP/7001 mTLS Komunikasi cluster intra-node. Perhatikan bahwa Anda juga dapat membiarkan port 7000 terbuka untuk konfigurasi firewall sebagai opsi cadangan untuk pemecahan masalah potensial.
Prometheus Cassandra TCP/7070 (HTTPS) TLS Mengambil data metrik dari berbagai layanan
MART TCP/8843 (HTTPS) TLS
Message Processor TCP/8843 (HTTPS) TLS
Synchronizer TCP/8843 (HTTPS) TLS
UDCA TCP/7070 (HTTPS) TLS

Sambungan eksternal

Untuk mengonfigurasi firewall jaringan dengan tepat, Anda harus mengetahui port masuk dan keluar yang digunakan oleh hybrid untuk berkomunikasi dengan layanan eksternal.

Gambar berikut menunjukkan port yang digunakan untuk komunikasi eksternal dengan platform runtime hybrid:

Menampilkan koneksi dengan layanan eksternal dari platform runtime hybrid

Tabel berikut menjelaskan port yang digunakan untuk komunikasi eksternal dengan platform runtime hybrid:

Koneksi Eksternal
Sumber Tujuan Protokol/Port Protokol Keamanan Deskripsi
Koneksi Inbound (ditampilkan secara eksternal)
Layanan Apigee MART Istio Ingress TCP/443 OAuth melalui TLS 1.2 Panggilan API campuran dari platform pengelolaan
Aplikasi Klien Ingress Istio Default TCP/* Tidak ada/OAuth melalui TLS 1.2 Permintaan API dari aplikasi eksternal
Koneksi Keluar
Message Processor Layanan backend TCP/*
UDP/*		 Tidak ada/OAuth melalui TLS 1.2 Mengirim permintaan ke host yang ditentukan pelanggan
Synchronizer Layanan Apigee TCP/443 OAuth melalui TLS 1.2 Mengambil data konfigurasi; terhubung ke apigee.googleapis.com
GCP Terhubung ke iamcredentials.googleapis.com untuk otorisasi
UDCA (Analytics) Layanan Apigee (UAP) TCP/443 OAuth melalui TLS 1.2 Mengirim data ke UAP di bidang pengelolaan dan ke GCP; terhubung ke apigee.googleapis.com dan storage.googleapis.com
Prometheus (Metrik) GCP (Stackdriver) TCP/443 TLS Mengirim data ke Stackdriver di platform pengelolaan; terhubung ke monitoring.googleapis.com
fluentd (Logging) GCP (Stackdriver) TCP/443 TLS Mengirim data ke Stackdriver di platform pengelolaan; terhubung ke logging.googleapis.com
MART GCP TCP/443 OAuth melalui TLS 1.2 Terhubung ke iamcredentials.googleapis.com untuk otorisasi
* menunjukkan bahwa port dapat dikonfigurasi. Apigee merekomendasikan penggunaan 443.

Anda tidak boleh mengizinkan koneksi eksternal untuk alamat IP tertentu yang terkait dengan *.googleapis.com. Alamat IP dapat berubah karena domain saat ini me-resolve ke beberapa alamat.