Eine typische Apigee Hybrid-Installation besteht aus mehreren Pods, wie in der folgenden Tabelle aufgeführt.
Jeder dieser Pods erfordert einen spezifischen Zugriff auf Ports. Nicht jeder Pod muss mit jedem anderen Pod kommunizieren. Eine detaillierte Zuordnung dieser internen Verbindungen und der von ihnen verwendeten Sicherheitsprotokolle finden Sie unter Interne Verbindungen.
Pod
Beschreibung
apigee-logger
Enthält einen Apigee-Logging-Agent, der Anwendungslogs an Cloud Operations sendet.
apigee-metrics
Enthält einen Apigee-Messwert-Agent, der Anwendungslogs an Cloud Operations sendet.
apigee-cassandra
Enthält die Persistenz-Ebene der Hybridlaufzeit.
apigee-synchronizer
Synchronisiert die Konfiguration zwischen der Verwaltungs- (Steuerungs-) und der Laufzeitebene (Datenebene).
apigee-udca
Ermöglicht die Übertragung von Analysedaten auf die Verwaltungsebene.
apigee-mart
Enthält den Apigee Admin API-Endpunkt.
apigee-runtime
Enthält das Gateway für die Verarbeitung von API-Anfragen und die Ausführung der Richtlinien.
Google empfiehlt, anhand der folgenden Methoden und Best Practices die Laufzeit-Pods zu härten, zu sichern und zu isolieren:
Methode
Beschreibung
Kubernetes-Sicherheitsübersicht
Lesen Sie das Google Kubernetes Engine (GKE)-Dokument Übersicht über die Sicherheit. In diesem Dokument erhalten Sie einen Überblick über die einzelnen Ebenen Ihrer Kubernetes-Infrastruktur. Außerdem erfahren Sie, wie Sie die Sicherheitsfeatures optimal entsprechend Ihrer Bedürfnisse konfigurieren.
Die aktuelle Anleitung zur Sicherung Ihres GKE-Clusters in Google Kubernetes Engine finden Sie unter Clustersicherheit erhöhen.
Netzwerkrichtlinien
Schränken Sie mithilfe von Netzwerkrichtlinien die Kommunikation zwischen Pods und Pods ein, die auf Elemente außerhalb des Kubernetes-Netzwerks zugreifen. Weitere Informationen finden Sie unter Cluster-Netzwerkrichtlinien erstellen in der GKE-Dokumentation.
Eine Netzwerkrichtlinie gibt an, wie Gruppen von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren dürfen.
Die Kubernetes-Ressource NetworkPolicy verwendet Labels, um Pods auszuwählen und Regeln zu definieren, die angeben, welcher Traffic für die ausgewählten Pods zulässig ist.
Sie können ein CNI-Plug-in (Container Network Interface) implementieren, um Netzwerkrichtlinien zu einer Apigee hybrid-Laufzeitinstallation hinzuzufügen. Mit Netzwerkrichtlinien können Sie Pods von außerhalb des Zugriffs isolieren und den Zugriff auf bestimmte Pods ermöglichen. Für den Einstieg können Sie ein Open-Source-CNI-Plug-in wie Calico verwenden.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-04-01 (UTC)."],[[["This Apigee hybrid documentation version 1.3 is end-of-life and should be upgraded to a newer version."],["An Apigee hybrid installation consists of multiple pods, each with specific port access requirements and internal connections."],["Pods such as `apigee-logger` and `apigee-metrics` send application logs to Cloud Operations, while `apigee-cassandra` is the runtime persistence layer."],["To secure runtime pods, Google recommends reviewing the Kubernetes security overview and implementing network policies to restrict pod communication."],["Network policies, which can be implemented using a CNI plugin like Calico, allow for the isolation of pods and the control of access to specific pods."]]],[]]
