边缘网络设计和防火墙

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

Apigee Edge 采用多层级网络设计在云端构建。该网络旨在仅向互联网公开所需的服务和实例,并将所有其他服务保留在虚拟私有云内部。它是对传统数据中心所用三层 DMZ 设计的演变。默认情况下,新实例无法访问互联网,也无权访问入站或出站流量。您必须执行特定操作,甚至允许实例与互联网进行通信或通过互联网进行通信。

所有实例还受到类似云端的防火墙的保护。这些群组通常称为“安全群组”。Apigee 使用基于实例的安全组,将每个实例视为需要明确允许具有非常具体的入站流量和出站流量访问量的孤岛。Apigee 会对我们的安全群组配置使用持续监控和强制执行工具,并使用事件监控系统来监控安全群组的更改。其中一个工具负责持续评估所有安全组是否偏离既定标准。任何未经授权的更改都会自动还原。另一个工具用于监控和记录管理员在 Edge 中执行的所有操作。此外,系统还会评估此记录,以评估在检测到变更时发送的安全组和提醒的任何变更。

系统会跟踪、记录和报告通过适当流程完成的所有已获授权的更改,以便与变更控制审批相关。

常见问题解答

以下是与网络相关的常见问题解答。

Google Cloud Platform (GCP) DNS 拓扑是什么?

Apigee 是一项多云服务,我们为外部权威区域同时使用 GCP Cloud DNS 和 Amazon Web Services (AWS) Route53 DNS 服务。

Apigee DNS 服务器会执行非授权查询吗?

此外,Apigee 还为我们的内部/专用区域提供内部托管的 DNS 服务器,以及用于非权威查找的解析器。

GCP DNS 是否跨区域混合?

GCP Cloud DNS 跨多个区域,借助我们的全球任播域名服务器网络,从遍布全球的冗余位置服务区域,从而保证高可用性并缩短延迟时间。

是否使用任播?如果是,是按区域定义任播,还是在所有区域使用单个任播?

多个任播 IP 用于实现冗余,并且每个 IP 都用于所有区域。

如何使用默认 {org}-{env}.apigee.net 以外的域名?

请参阅这篇 Apigee 社区文章或 Apigee 文档中的虚拟主机简介