Apigee Edge は、多層ネットワーク デザインでクラウド内に構築されています。このネットワークは、必要なサービスとインスタンスのみをインターネットへ公開し、他のすべてのサービスを仮想プライベート クラウド内にとどめます。これは、従来のデータセンターで使われている 3 層 DMZ を進化させたものです。デフォルトで、新しいインスタンスによるインターネットへのアクセスは、上りも下りも許可されません。インスタンスがインターネットを使って、あるいはインターネットを経由して通信する場合でも、特定の操作が必要となります。
すべてのインスタンスは、ファイアウォールと同等のクラウドによって保護されています。これは一般に「セキュリティ グループ」と呼ばれます。Apigee では、インスタンス ベースのセキュリティ グループを使って、各インスタンスを島のように扱います。島に対しては、明示的な許可を必要とする非常に限定された上りおよび下りのアクセスだけが可能です。Apigee では、セキュリティ グループの構成に関する継続的なモニタリングと適用ツールとともに、イベント モニタリング システムを使用して、セキュリティ グループの変更をチェックします。1 つ目のツールは、すべてのセキュリティ グループにおいて、定められた基準から変動がないかを継続的に評価します。認可されていない変更は元に戻されます。2 つ目のツールは、Edge の管理者が実行した操作をすべてモニタリングおよび記録するのに使われます。この記録も評価対象であり、セキュリティ グループに対する変更と、変更が検知されたときに送信されるアラートがないか評価されます。
適切なプロセスを通じて変更が認可された場合はすべて、変更管理の承認との関連付けのために、追跡、記録、報告されます。
よくある質問
以下は、ネットワーク関連のよくある質問です。
Google Cloud Platform(GCP)DNS のトポロジはどうなっていますか?
Apigee はマルチクラウド サービスであり、外部の権威ゾーンには、GCP Cloud DNS サービスと Amazon Web Services(AWS)Route53 DNS サービスの両方を使用しています。
Apigee の DNS サーバーは、権威のない検索を行いますか?
Apigee は、内部 / 非公開ゾーン用の DNS サーバーと、権威のない検索用のリゾルバも内部でホストしています。
GCP DNS はリージョン間で融合されていますか?
GCP Cloud DNS は、複数のリージョンにまたがり、Google のエニーキャスト ネームサーバーのグローバル ネットワークを使って、世界中の冗長なロケーションからゾーンを提供し、高可用性と低レイテンシを実現します。
エニーキャストを使っていますか?使っているなら、リージョンごとに定義していますか。それとも、全リージョンに対して 1 つのエニーキャストを使いますか?
冗長性のために複数のエニーキャスト IP を使います。それぞれが全リージョンで使われます。
デフォルトの {org}-{env}.apigee.net 以外のドメイン名は、どうすれば使えますか?
Apigee コミュニティの記事、あるいは Apigee ドキュメントの仮想ホストの概要をご覧ください。