一般的な Apigee ハイブリッド環境は、以下の表に示す複数の Pod で構成されています。各 Pod にはポート固有のアクセス権が必要です。Pod ごとに他の Pod と通信を行う必要はありません。内部接続とそのセキュリティ プロトコルの関係については、内部接続をご覧ください。
| Pod | 説明 |
|---|---|
apigee-logger |
アプリケーション ログを Cloud Operations に送信する Apigee ロガー エージェントが含まれています。 |
apigee-metrics |
アプリケーション ログを Cloud Operations に送信する Apigee 指標エージェントが含まれています。 |
apigee-cassandra |
���イブリッド ランタイムの永続性レイヤが含まれます。 |
apigee-synchronizer |
管理(コントロール)プレーンとランタイム(データ)プレーンの間で構成を同期します。 |
apigee-udca |
分析データを管理プレーンに転送できます。 |
apigee-mart |
Apigee 管理 API エンドポイントが含まれます。 |
apigee-runtime |
API リクエストの処理とポリシー実行を行うゲートウェイが含まれます。 |
次の方法とベスト プラクティスに従って、ランタイム Pod の強化、保護、隔離を行うことをおすすめします。
| 方法 | 説明 |
|---|---|
| Kubernetes セキュリティの概要 | Google Kubernetes Engine(GKE)ドキュメントのセキュリティの概要を確認します。このドキュメントでは、Kubernetes インフラストラクチャの各階層の概要と、ニーズに最適なセキュリティ機能を構成する方法について説明します。
GKE クラスタを強化する Google Kubernetes Engine の最新のガイダンスについては、クラスタのセキュリティを強化するをご覧ください。 |
| ネットワーク ポリシー |
ネットワーク ポリシーを使用して、Pod 間、および Kubernetes ネットワークの外部にアクセスできる Pod との通信を制限します。詳細については、GKE ドキュメントのクラスタ ネットワーク ポリシーの作成をご覧ください。 ネットワーク ポリシーは、Pod ���グループに相互の通信、および他のネットワーク エンドポイントとの通信を許可する方法を指定します。 Kubernetes NetworkPolicy リソースは、ラベルを使用して Pod を選択し、選択した Pod に許可されるトラフィックを指定するルールを定義します。 Container Network Interface(CNI)プラグインを実装して、Apigee ハイブリッド ランタイム インストールにネットワーク ポリシーを追加できます。ネットワーク ポリシーを使用すると、外部アクセスから Pod を分離し、特定の Pod へのアクセスを許可できます。Calico などのオープンソースの CNI プラグインを使用することもできます。 |