Eine typische Apigee Hybrid-Installation besteht aus mehreren Pods, wie in der folgenden Tabelle aufgeführt.
Jeder dieser Pods erfordert einen spezifischen Zugriff auf Ports. Nicht jeder Pod muss mit jedem anderen Pod kommunizieren. Eine detaillierte Zuordnung dieser internen Verbindungen und der von ihnen verwendeten Sicherheitsprotokolle finden Sie unter Interne Verbindungen.
Pod
Beschreibung
apigee-logger
Enthält einen Apigee-Logging-Agent, der Anwendungslogs an Stackdriver sendet.
apigee-metrics
Enthält einen Apigee-Messwert-Agent, der Anwendungslogs an Stackdriver sendet.
apigee-cassandra
Enthält die Persistenz-Ebene der Hybridlaufzeit.
apigee-synchronizer
Synchronisiert die Konfiguration zwischen der Verwaltungs- (Steuerungs-) und der Laufzeitebene (Datenebene).
apigee-udca
Ermöglicht die Übertragung von Analysedaten auf die Verwaltungsebene.
apigee-mart
Enthält den Apigee Admin API-Endpunkt.
apigee-runtime
Enthält das Gateway für die Verarbeitung von API-Anfragen und die Ausführung der Richtlinien.
Google empfiehlt, anhand der folgenden Methoden und Best Practices die Laufzeit-Pods zu härten, zu sichern und zu isolieren:
Methode
Beschreibung
Kubernetes-Sicherheitsübersicht
Lesen Sie das Google Kubernetes Engine (GKE)-Dokument Übersicht über die Sicherheit. In diesem Dokument erhalten Sie einen Überblick über die einzelnen Ebenen Ihrer Kubernetes-Infrastruktur. Außerdem erfahren Sie, wie Sie die Sicherheitsfeatures optimal entsprechend Ihrer Bedürfnisse konfigurieren.
Die aktuelle Anleitung zur Sicherung Ihres GKE-Clusters in Google Cloud Engine finden Sie unter Clustersicherheit erhöhen.
Netzwerkrichtlinien
Schränken Sie mithilfe von Netzwerkrichtlinien die Kommunikation zwischen Pods und Pods ein, die auf Elemente außerhalb des Kubernetes-Netzwerks zugreifen. Weitere Informationen finden Sie unter Cluster-Netzwerkrichtlinien erstellen in der GKE-Dokumentation.
Eine Netzwerkrichtlinie gibt an, wie Gruppen von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren dürfen.
Die Kubernetes-Ressource NetworkPolicy verwendet Labels, um Pods auszuwählen und Regeln zu definieren, die angeben, welcher Traffic für die ausgewählten Pods zulässig ist.
Sie können ein CNI-Plug-in (Container Network Interface) implementieren, um Netzwerkrichtlinien zu einer Apigee hybrid-Laufzeitinstallation hinzuzufügen. Mit Netzwerkrichtlinien können Sie Pods von außerhalb des Zugriffs isolieren und den Zugriff auf bestimmte Pods ermöglichen. Für den Einstieg können Sie ein Open-Source-CNI-Plug-in wie Calico verwenden.
GKE Sandbox
Aktivieren Sie GKE Sandbox für die Kubernetes-Cluster, in denen Apigee Hybrid ausgeführt wird. Weitere Informationen finden Sie unter GKE Sandbox.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-05 (UTC)."],[[["\u003cp\u003eThis Apigee hybrid documentation version 1.2 is end-of-life and users should upgrade to a newer version.\u003c/p\u003e\n"],["\u003cp\u003eAn Apigee hybrid installation consists of multiple pods, each with specific port access requirements and internal connections.\u003c/p\u003e\n"],["\u003cp\u003eGoogle recommends employing methods like Kubernetes security overview, network policies, and GKE Sandbox to enhance the security and isolation of runtime pods.\u003c/p\u003e\n"],["\u003cp\u003eNetwork policies can be used to restrict pod communication and are implemented via Container Network Interface (CNI) plugins like Calico.\u003c/p\u003e\n"],["\u003cp\u003eGKE Sandbox is the Google version of gVisor, providing a virtualized container environment.\u003c/p\u003e\n"]]],[],null,["# Securing the runtime installation\n\n| You are currently viewing version 1.2 of the Apigee hybrid documentation. **This version is end of life.** You should upgrade to a newer version. For more information, see [Supported versions](/apigee/docs/hybrid/supported-platforms#supported-versions).\nA typical Apigee hybrid installation is made of multiple pods, as listed in the following table. Each of these pods require specific access to ports, and not every pod needs to communicate with every other pod. For a detailed map of these internal connections and the security protocols they employ, see [Internal connections](/apigee/docs/hybrid/v1.2/ports#internal).\n\n\u003cbr /\u003e\n\n\nGoogle recommends that you follow these methods and best practices to harden,\nsecure, and isolate the runtime\npods:"]]
