Проектирование пограничных сетей и брандмауэры

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X.
информация

Apigee Edge построен в облаке с использованием многоуровневой сетевой структуры. Сеть спроектирована таким образом, чтобы предоставлять доступ к Интернету только необходимым службам и экземплярам, ​​а все остальные службы оставались внутренними по отношению к виртуальному частному облаку. Это развитие трехуровневой конструкции DMZ, используемой в традиционных центрах обработки данных. По умолчанию новые экземпляры не имеют доступа к Интернету, ни входящего, ни исходящего. Необходимо предпринять конкретные действия, чтобы позволить экземпляру взаимодействовать с Интернетом или через Интернет.

Все экземпляры также защищены облачным эквивалентом брандмауэров. Их обычно называют «группами безопасности». Apigee использует группы безопасности на основе экземпляров, которые рассматривают каждый экземпляр как остров с очень конкретным входящим и исходящим доступом, который необходимо явно разрешить. Apigee использует инструмент непрерывного мониторинга и обеспечения соблюдения настроек наших групп безопасности, а также систему мониторинга событий для изменений групп безопасности. Один инструмент отвечает за непрерывную оценку всех групп безопасности на предмет отклонения от определенного стандарта. Любое несанкционированное изменение автоматически отменяется. Другой инструмент используется для мониторинга и записи всех действий, предпринимаемых администраторами в Edge. Эта запись также проверяется на предмет любых изменений в группах безопасности и оповещений, отправляемых при каждом обнаружении изменения.

Все санкционированные изменения, внесенные в рамках надлежащего процесса, отслеживаются, протоколируются и сообщаются для сопоставления с утверждениями управления изменениями.

Часто задаваемые вопросы

Ниже приведены часто задаваемые вопросы, связанные с сетью.

Что такое топология DNS Google Cloud Platform (GCP)?

Apigee — это мультиоблачный сервис, мы используем как GCP Cloud DNS, так и DNS-сервис Amazon Web Services (AWS) Route53 для наших внешних авторитетных зон.

Выполняют ли DNS-серверы Apigee неавторитетный поиск?

Apigee также имеет внутренние DNS-серверы для наших внутренних/частных зон, а также преобразователи для неавторитетного поиска.

Смешан ли GCP DNS в разных регионах?

GCP Cloud DNS работает в разных регионах и использует нашу глобальную сеть серверов имен Anycast для обслуживания зон из резервных мест по всему миру, обеспечивая высокую доступность и меньшую задержку.

Используется ли Anycast, и если да, определяется ли Anycast по региону или используется один Anycast во всех регионах?

Для резервирования используется несколько IP-адресов Anycast, каждый из которых используется во всех регионах.

Как использовать доменное имя, отличное от имени по умолчанию {org}-{env}.apigee.net?

См. эту статью сообщества Apigee или раздел «О виртуальных хостах» в документации Apigee.