安全端口使用

了解 Hybrid 运行时层面使用的端口对于企业实现而言十分重要。本部分介绍运行时层面中用于安全通信的端口，以及用于与外部服务通信的外部端口。

内部连接

运行时层面与管理层面之间的通信通过 TLS 单向和 OAuth 2.0 进行保护。各项服务使用不同的协议，具体取决于它们与哪项服务通信。

用于组件内通信的证书由 Apigee 的证书管理器生成。您无需提供证书，也无需管理证书。

下图显示了 Hybrid 运行时层面内的端口和通信通道：

下表介绍了 Hybrid 运行时层面内的端口和通信通道：

内部连接
来源		目的地	协议/端口	安全协议	说明
MART	arrow_right_alt	Cassandra	TCP/9042 TCP/9142	TLS	发送数据以持久保存
Apigee Connect	arrow_right_alt	MART	TCP/8443	TLS	来自管理层面的请求通过 Apigee Connect。Apigee Connect 发起连接。
默认 Istio Ingress	arrow_right_alt	消息处理器	TCP/8443	TLS（Apigee 生成的自签名证书）	处理传入的 API 请求
消息处理器	arrow_right_alt	Cassandra	TCP/9042 TCP/9142	TLS	发送数据以持久保存
消息处理器	arrow_right_alt	fluentd（分析）	TCP/20001	mTLS	将数据流式传输到数据收集 pod
Cassandra	compare_arrows	Cassandra	TCP/7001	mTLS	节点内集群通信。请注意，您也可以为防火墙配置打开端口 7000，作为可能的问题排查的备用选项。
同步器	arrow_right_alt	Cassandra	TCP/9042 TCP/9142	TLS	发送数据以持久保存
Prometheus	arrow_right_alt	Cassandra	TCP/7070 (HTTPS)	TLS	抓取来自各种服务的指标数据
		MART	TCP/8843 (HTTPS)	TLS
		消息处理器	TCP/8843 (HTTPS)	TLS
		同步器	TCP/8843 (HTTPS)	TLS
		UDCA	TCP/7070 (HTTPS)	TLS

外部连接

为正确配置网络防火墙，您应该了解 Hybrid 与外部服务通信时使用的入站和出站端口。

下图显示了 Hybrid 运行时层面用于外部通信的端口：

下表介绍了 Hybrid 运行时层面用于外部通信的端口：

外部连接
来源		目的地	协议/端口	安全协议	说明
入站连接（对外部公开）
可选：Apigee 服务 仅当不使用 Apigee Connect时（推荐）。请参阅下面的双向连接。	arrow_right_alt	MART Istio Ingress	TCP/443	基于 TLS 1.2 的 OAuth	来自管理层面的 Hybrid API 调用
客户端应用	arrow_right_alt	默认 Istio Ingress	TCP/*	无/基于 TLS 1.2 的 OAuth	来自外部应用的 API 请求
出站连接
消息处理器	arrow_right_alt	后端服务	TCP/* UDP/*	无/基于 TLS 1.2 的 OAuth	向客户定义的主机发送请求
同步器	arrow_right_alt	Apigee 服务	TCP/443	基于 TLS 1.2 的 OAuth	提取配置数据；连接到 apigee.googleapis.com
		Google Cloud			连接到 iamcredentials.googleapis.com 以获得授权
UDCA（分析）	arrow_right_alt	Apigee 服务 (UAP)	TCP/443	基于 TLS 1.2 的 OAuth	将数据发送到管理层面中的 UAP 和 Google Cloud；连接到 apigee.googleapis.com 和 storage.googleapis.com
Apigee Connect	arrow_right_alt	Apigee 服务	TCP/443	TLS	与管理层面建立连接；连接到 apigeeconnect.googleapis.com
Prometheus（指标）	arrow_right_alt	Google Cloud (Cloud Operations)	TCP/443	TLS	在管理层面向 Cloud Operations 发送数据；连接到 monitoring.googleapis.com
fluentd (Logging)	arrow_right_alt	Google Cloud (Cloud Operations)	TCP/443	TLS	在管理层面向 Cloud Operations 发送数据；连接到 logging.googleapis.com
MART	arrow_right_alt	Google Cloud	TCP/443	基于 TLS 1.2 的 OAuth	连接到 iamcredentials.googleapis.com 以获得授权
消息处理器	arrow_right_alt	分布式跟踪记录后端	HTTP 或 HTTPS	TLS（可配置）	（可选）将跟踪记录信息告知分布式跟踪记录后端服务。在 TraceConfig API 中配置服务和协议。分布式跟踪记录的后端通常是 Cloud Trace 或 Jaeger。
双向连接
Apigee Connect	compare_arrows	Apigee 服务	TCP/443	TLS	为运行时层面中的运行时数据 (MART) 在管理层面和 Management API 之间传输管理数据。Apigee Connect 发起连接；连接到 apigeeconnect.googleapis.com
* 表示端口可配置。Apigee 建议使用端口 443。

您不应允许与 *.googleapis.com 关联的特定 IP 地址建立外部连接。IP 地址可能会发生变化，因为该网域当前解析为多个地址。