Esta página foi traduzida pela API Cloud Translation.

Proteger a instalação do tempo de execução

Uma instalação híbrida típica do Apigee é composta por vários pods, conforme indicado na tabela seguinte. Cada um destes pods requer acesso específico a portas e nem todos os pods precisam de comunicar com todos os outros pods. Para ver um mapa detalhado destas ligações internas e dos protocolos de segurança que usam, consulte o artigo Ligações internas.

Pod	Descrição
`apigee-logger`	Contém um agente de registo do Apigee que envia registos de aplicações para o Cloud Operations.
`apigee-metrics`	Contém um agente de métricas do Apigee que envia registos de aplicações para o Cloud Operations.
`apigee-cassandra`	Contém a camada de persistência de tempo de execução híbrida.
`apigee-synchronizer`	Sincroniza a configuração entre o plano de gestão (controlo) e o plano de tempo de execução (dados).
`apigee-udca`	Permite a transferência de dados de estatísticas para o plano de gestão.
`apigee-mart`	Contém o ponto final da API administrativa da Apigee.
`apigee-runtime`	Contém a gateway para o processamento de pedidos de API e a execução de políticas.

A Google recomenda que siga estes métodos e práticas recomendadas para proteger, proteger e isolar os pods de tempo de execução:

Método	Descrição
Descrição geral da segurança do Kubernetes	Reveja o documento do Google Kubernetes Engine (GKE) Vista geral da segurança. Este documento oferece uma vista geral de cada camada da sua infraestrutura do Kubernetes e explica como pode configurar as respetivas funcionalidades de segurança para se adequarem melhor às suas necessidades. Para ver as orientações atuais do Google Kubernetes Engine para reforçar a segurança do seu cluster do GKE, consulte Reforçar a segurança do seu cluster.
Políticas de Rede	Use políticas de rede para restringir a comunicação entre agrupamentos e agrupamentos que têm acesso fora da rede Kubernetes. Para mais informações, consulte o artigo Criar uma política de rede de clusters na documentação do GKE. Uma política de rede é uma especificação de como os grupos de pods podem comunicar entre si e com outros pontos finais de rede. O recurso Kubernetes NetworkPolicy usa etiquetas para selecionar pods e definir regras que especificam o tráfego permitido para os pods selecionados. Pode implementar um plug-in da interface de rede de contentores (CNI) para adicionar políticas de rede a uma instalação do tempo de execução híbrido do Apigee. As políticas de rede permitem-lhe isolar os pods do acesso externo e ativar o acesso a pods específicos. Pode usar um plug-in CNI de código aberto, como o Calico, para começar.

Método

Descrição

Descrição geral da segurança do Kubernetes

Reveja o documento do Google Kubernetes Engine (GKE) Vista geral da segurança. Este documento oferece uma vista geral de cada camada da sua infraestrutura do Kubernetes e explica como pode configurar as respetivas funcionalidades de segurança para se adequarem melhor às suas necessidades.

Para ver as orientações atuais do Google Kubernetes Engine para reforçar a segurança do seu cluster do GKE, consulte Reforçar a segurança do seu cluster.

Políticas de Rede

Use políticas de rede para restringir a comunicação entre agrupamentos e agrupamentos que têm acesso fora da rede Kubernetes. Para mais informações, consulte o artigo Criar uma política de rede de clusters na documentação do GKE.

Uma política de rede é uma especificação de como os grupos de pods podem comunicar entre si e com outros pontos finais de rede.

O recurso Kubernetes NetworkPolicy usa etiquetas para selecionar pods e definir regras que especificam o tráfego permitido para os pods selecionados.

Pode implementar um plug-in da interface de rede de contentores (CNI) para adicionar políticas de rede a uma instalação do tempo de execução híbrido do Apigee. As políticas de rede permitem-lhe isolar os pods do acesso externo e ativar o acesso a pods específicos. Pode usar um plug-in CNI de código aberto, como o Calico, para começar.