Für Unternehmensimplementierungen ist es wichtig zu verstehen, welche Ports die Hybrid-Laufzeitebene verwendet. In diesem Abschnitt werden Ports für die sichere Kommunikation innerhalb der Laufzeitebene sowie externe Ports zur Kommunikation mit externen Diensten beschrieben.
Interne Verbindungen
Die Kommunikation zwischen der Laufzeitebene und der Verwaltungsebene ist mit TLS 1-way und OAuth 2.0 gesichert. Einzelne Dienste nutzen unterschiedliche Protokolle, je nachdem, mit welchem Dienst sie kommunizieren.
Die Zertifikate, die für die Kommunikation innerhalb von Komponenten verwendet werden, werden vom Zertifikatmanager von Apigee generiert. Sie müssen kein Zertifikat bereitstellen oder verwalten.
Die folgende Abbildung zeigt die Ports und Kommunikationskanäle innerhalb der Hybrid-Laufzeitebene:
Die folgende Tabelle beschreibt die Ports und Kommunikationskanäle in der Hybrid-Laufzeitebene:
Interne Verbindungen | |||||
---|---|---|---|---|---|
Quelle | Ziel | Protokoll/Ports | Sicherheitsprotokoll | Beschreibung | |
MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | Sendet Daten für Persistenz. | |
Apigee Connect | MART | TCP/8443 | TLS | Anfragen von der Verwaltungsebene werden über Apigee Connect ausgeführt. Apigee Connect initiiert die Verbindung. | |
Standardmäßiger Istio-Ingress | Message Processor | TCP/8443 | TLS (von Apigee generiertes, selbst signiertes Zertifikat) | Verarbeitet eingehende API-Anfragen. | |
Message Processor | Cassandra | TCP/9042 TCP/9142 |
mTLS | Sendet Daten für Persistenz. | |
Message Processor | fluentd (Analyse/Logging) | TCP/20001 | mTLS | Streamt Daten an den Datenerfassungs-Pod. | |
Cassandra | Cassandra | TCP/7001 TCP/7199 |
mTLS | Knoteninterne Clusterkommunikation. Die Ports 7001 und 7199 werden für die intra-Knoten-Kommunikation von Cassandra verwendet. | |
Cassandra | Cassandra | TCP/8778 | HTTP | Port 8778 wird für API-Aufrufe an Cassandra verwendet und ist nur innerhalb eines lokalen Clusters zugänglich. | |
Synchronizer | Cassandra | TCP/9042 TCP/9142 |
mTLS | Sendet Daten für Persistenz. | |
Prometheus (Messwerte) | Cassandra | TCP/7070 (HTTPS) | TLS | Extrahiert Messwertdaten aus verschiedenen Diensten. | |
MART | TCP/8843 (HTTPS) | TLS | |||
Nachrichtenprozessor | TCP/8843 (HTTPS) | TLS | |||
Synchronizer | TCP/8843 (HTTPS) | TLS | |||
UDCA | TCP/7070 (HTTPS) | TLS | |||
Watcher | Nachrichtenprozessor | TCP/8843 | TLS | Fragt den Deployment-Status ab. | |
Watcher | Nachrichtenprozessor | TCP/8843 | TLS | Fragt den Deployment-Status ab. |
Externe Verbindungen
Um Ihre Netzwerkfirewall richtig zu konfigurieren, sollten Sie die ein- und ausgehenden Ports kennen, die Hybrid zur Kommunikation mit externen Diensten verwenden.
Die folgende Abbildung zeigt die Ports, die für die externe Kommunikation mit der Hybrid-Laufzeit verwendet werden:
In der folgenden Tabelle werden die Ports beschrieben, die für die externe Kommunikation mit der Hybrid-Laufzeitebene verwendet werden:
Externe Verbindungen | |||||
---|---|---|---|---|---|
Quelle | Ziel | Protokoll/Port(s) | Sicherheitsprotokoll | Beschreibung | |
Eingehende Verbindungen (extern bereitgestellt) | |||||
OPTIONAL: Apigee-Dienste Nur, wenn Apigee Connect nicht empfohlen wird (empfohlen). Siehe bidirektionale Verbindungen weiter unten. |
MART-Istio-Ingress | TCP/443 | OAuth über TLS 1.2 | Hybrid-API-Aufrufe von der Verwaltungsebene. | |
Clientanwendungen | Standardmäßiger Istio-Ingress | TCP/* | Keine/OAuth über TLS 1.2 | API-Anfragen von externen Anwendungen. | |
Ausgehende Verbindungen | |||||
Nachrichtenprozessor | Back-End-Dienste | TCP/* UDP/* |
Keine/OAuth über TLS 1.2 | Sendet Anfragen an benutzerdefinierte Hosts. | |
Synchronizer | Apigee-Dienste | TCP/443 | OAuth über TLS 1.2 | Ruft Konfigurationsdaten ab; stellt eine Verbindung zu apigee.googleapis.com her. |
|
Google Cloud | Stellt eine Verbindung zu iamcredentials.googleapis.com zur Autorisierung her. |
||||
UDCA (Analysen) | Apigee Services (UAP) | TCP/443 | OAuth über TLS 1.2 | Sendet Daten an UAP auf der Verwaltungsebene und an Google Cloud; stellt eine Verbindung zu apigee.googleapis.com und storage.googleapis.com her. |
|
Apigee Connect | Apigee-Dienste | TCP/443 | TLS | Stellt die Verbindung zur Verwaltungsebene her; stellt eine Verbindung zu apigeeconnect.googleapis.com her. |
|
Prometheus (Messwerte) | Google Cloud (Cloud Operations) | TCP/443 | TLS | Sendet auf der Verwaltungsebene Daten an Cloud Operations, stellt eine Verbindung zu monitoring.googleapis.com her. |
|
fluentd (Logging) | Google Cloud (Cloud Operations) | TCP/443 | TLS | Sendet auf der Verwaltungsebene Daten an Cloud Operations, stellt eine Verbindung zu logging.googleapis.com her. |
|
MART | Google Cloud | TCP/443 | OAuth über TLS 1.2 | Stellt eine Verbindung zu iamcredentials.googleapis.com zur Autorisierung her. |
|
Message Processor | Back-End für verteiltes Trace | http oder https | TLS (konfigurierbar) | (Optional) Übermittelt Trace-Informationen an den Back-End-Dienst für verteiltes Trace. Konfigurieren Sie den Dienst und das Protokoll in der TraceConfig API. Das Back-End für verteiltes Trace ist normalerweise Cloud Trace oder Jaeger. | |
Bidirektionale Verbindungen | |||||
Apigee Connect | Apigee-Dienste | TCP/443 | TLS | Übermittelt Verwaltungsdaten zwischen der Verwaltungsebene und der Management API für Laufzeitdaten (MART) auf Laufzeitebene. Apigee Connect initiiert die Verbindung; stellt eine Verbindung zu apigeeconnect.googleapis.com her. Daher müssen Sie die Firewall nicht für eingehende Verbindungen konfigurieren. |
|
* zeigt an, dass der Port konfigurierbar ist. Apigee empfiehlt die Verwendung von Port 443. |
Sie sollten externe Verbindungen für bestimmte IP-Adressen, die *.googleapis.com
zugeordnet sind, nicht erlauben. Die IP-Adressen können sich ändern, da die Domain aktuell in mehrere Adressen aufgelöst wird.