Edge-Netzwerkdesign und Firewalls

Sie sehen sich die Dokumentation zu Apigee Edge an.
Sehen Sie sich die Apigee X-Dokumentation an.
info

Apigee Edge wird in der Cloud mit einem mehrstufigen Netzwerkdesign erstellt. Das Netzwerk ist so konzipiert, dass nur die erforderlichen Dienste und Instanzen für das Internet freigegeben werden und alle anderen Dienste innerhalb der virtuellen privaten Cloud bleiben. Es ist eine Weiterentwicklung des dreistufigen DMZ-Designs, das in traditionellen Rechenzentren verwendet wird. Standardmäßig haben neue Instanzen keinen Zugriff auf das Internet, weder eingehenden noch ausgehenden. Bestimmte Aktionen müssen ausgeführt werden, damit eine Instanz überhaupt mit dem Internet oder über das Internet kommunizieren kann.

Alle Instanzen sind außerdem durch das Cloud-Äquivalent von Firewalls geschützt. Sie werden allgemein als „Sicherheitsgruppen“ bezeichnet. Apigee verwendet sitzungsbasierte Sicherheitsgruppen, die jede Instanz als Insel behandeln, für die der Ein- und Ausstiegszugriff ausdrücklich erlaubt werden muss. Apigee verwendet ein Tool zur kontinuierlichen Überwachung und Durchsetzung unserer Sicherheitsgruppenkonfigurationen sowie ein Ereignisüberwachungssystem für Änderungen an Sicherheitsgruppen. Ein Tool ist dafür verantwortlich, alle Sicherheitsgruppen kontinuierlich auf Abweichungen vom definierten Standard zu prüfen. Alle nicht autorisierten Änderungen werden automatisch rückgängig gemacht. Mit einem anderen Tool werden alle Aktionen von Administratoren in Edge überwacht und aufgezeichnet. Dieser Eintrag wird auch auf Änderungen an Sicherheitsgruppen geprüft und es werden Benachrichtigungen gesendet, sobald eine Änderung erkannt wird.

Alle autorisierten Änderungen, die gemäß dem entsprechenden Verfahren vorgenommen wurden, werden erfasst, protokolliert und gemeldet, um sie mit den Genehmigungen der Änderungskontrolle abzugleichen.

Häufig gestellte Fragen

Im Folgenden finden Sie häufig gestellte Fragen zu Netzwerken.

Was ist die DNS-Topologie der Google Cloud Platform (GCP)?

Apigee ist ein Multi-Cloud-Dienst. Wir verwenden sowohl GCP Cloud DNS als auch den Route 53-DNS-Dienst von Amazon Web Services (AWS) für unsere externen autoritativen Zonen.

Führen die Apigee-DNS-Server nicht autoritative Suchanfragen aus?

Apigee hat auch intern gehostete DNS-Server für unsere internen/privaten Zonen sowie Resolver für nicht autoritative Suchanfragen.

Wird GCP DNS standortübergreifend verwendet?

GCP Cloud DNS ist regionsübergreifend und nutzt unser globales Netzwerk von Anycast-Nameservern, um die Zonen über redundante Standorte auf der ganzen Welt bereitzustellen. Das Ergebnis sind hohe Verfügbarkeit und niedrigere Latenz.

Wird Anycast verwendet? Falls ja, wird Anycast nach Region definiert oder wird ein einzelner Anycast für alle Regionen verwendet?

Für die Redundanz werden mehrere Anycast-IPs verwendet, die jeweils in allen Regionen verwendet werden.

Wie verwende ich einen anderen Domainnamen als den Standard-Domainnamen {org}-{env}.apigee.net?

Weitere Informationen finden Sie in diesem Apigee-Community-Artikel oder unter Virtuelle Hosts in der Apigee-Dokumentation.