Edge-Netzwerkdesign und Firewalls

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation
weitere Informationen

Apigee Edge wird in der Cloud mit einem mehrstufigen Netzwerkdesign erstellt. Das Netzwerk ist so konzipiert, dass nur die erforderlichen Dienste und Instanzen im Internet verfügbar sind und alle anderen Dienste in der Virtual Private Cloud bleiben. Es ist eine Weiterentwicklung des dreistufigen DMZ-Designs, das in traditionellen Rechenzentren verwendet wird. Standardmäßig haben neue Instanzen keinen Zugriff auf das Internet und auch nicht auf eingehenden oder ausgehenden Traffic. Es müssen bestimmte Maßnahmen ergriffen werden, damit eine Instanz überhaupt mit dem Internet oder über das Internet kommunizieren kann.

Alle Instanzen werden außerdem durch das Cloud-Äquivalent zu Firewalls geschützt. Diese werden allgemein als „Sicherheitsgruppen“ bezeichnet. Apigee verwendet instanzbasierte Sicherheitsgruppen, die jede Instanz wie eine Insel behandeln, wobei sehr spezifische ein- und ausgehende Zugriffe explizit zugelassen werden müssen. Apigee verwendet für die Konfigurationen unserer Sicherheitsgruppen ein Tool zur kontinuierlichen Überwachung und Erzwingung sowie ein Ereignismonitoringsystem für Änderungen an Sicherheitsgruppen. Ein Tool ist dafür verantwortlich, alle Sicherheitsgruppen kontinuierlich auf Abweichung vom definierten Standard zu bewerten. Jede nicht autorisierte Änderung wird automatisch rückgängig gemacht. Ein anderes Tool wird verwendet, um alle Aktionen von Administratoren in Edge zu überwachen und aufzuzeichnen. Dieser Datensatz wird auch für alle Änderungen an Sicherheitsgruppen und Benachrichtigungen ausgewertet, die gesendet werden, wenn eine Änderung erkannt wird.

Alle autorisierten Änderungen, die über den richtigen Prozess vorgenommen werden, werden verfolgt, protokolliert und gemeldet, um mit Genehmigungen der Änderungssteuerung zu korrelieren.

Häufig gestellte Fragen

Nachfolgend finden Sie häufig gestellte Fragen zum Netzwerk.

Was ist die DNS-Topologie der Google Cloud Platform (GCP)?

Apigee ist ein Multi-Cloud-Dienst. Für unsere externen autoritativen Zonen verwenden wir sowohl GCP Cloud DNS als auch den Route53 DNS-Dienst von Amazon Web Services (AWS).

Führen die Apigee-DNS-Server nicht autoritative Lookups durch?

Apigee hat auch intern gehostete DNS-Server für unsere internen/privaten Zonen sowie Resolver für nicht autoritative Lookups.

Wird das GCP-DNS regionsübergreifend zusammengeführt?

GCP Cloud DNS ist regionenübergreifend verfügbar und nutzt unser globales Netzwerk von Anycast-Nameservern, um die Zonen über redundante Standorte auf der ganzen Welt bereitzustellen. So können wir Hochverfügbarkeit und besonders niedrige Latenz bieten.

Wird Anycast verwendet und wenn ja, ist Anycast nach Region definiert oder wird ein einzelner Anycast in allen Regionen verwendet?

Mehrere Anycast-IP-Adressen werden für Redundanz und jede in allen Regionen genutzt.

Wie verwende ich einen anderen Domainnamen als den Standardwert {org}-{env}.apigee.net?

Weitere Informationen finden Sie in diesem Apigee-Community-Artikel oder Informationen zu virtuellen Hosts in der Apigee-Dokumentation.