ハイブリッド ランタイム プレーンが使用するポートを理解することは、エンタープライズの実装で重要な作業になります。このセクションでは、ランタイム プレーン内でセキュア通信に使用するポートと、外部サービスとの通信に使用する外部ポートについて説明します。
内部接続
ランタイム プレーンと管理プレーン間の通信は、TLS 1-way と OAuth 2.0 で保護されます。個々のサービスは、通信するサービスによって異なるプロトコルを使用します。
次の図は、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示しています。
以下の表に、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示します。
内部接続 | |||||
---|---|---|---|---|---|
送信元 | 宛先 | プロトコル / ポート | セキュリティ プロトコル | 説明 | |
MART | Cassandra | TCP / 9042 TCP / 9142 |
mTLS | 永続性のためにデータを送信します。 | |
MART Istio Ingress | MART | TCP / 8443 | TLS | 管理プレーンからのリクエストは、MART Istio Ingress を経由します。 | |
デフォルトの Istio Ingress | Message Processor | TCP / 8443 | TLS(Apigee 生成の自己署名証明書) | 受信 API リクエストを処理する | |
Message Processor | Cassandra | TCP / 9042 TCP / 9142 |
mTLS | 永続性のためにデータを送信します。 | |
Message Processor | fluentd(Analytics) | TCP / 20001 | mTLS | データをデータ収集ポッドにストリーミングします。 | |
Cassandra | Cassandra | TCP / 7001 | mTLS | ノード内クラスタ通信 | |
Prometheus | Cassandra | TCP / 7070(HTTPS) | TLS | さまざまなサービスから指標データを取得します。 | |
MART | TCP / 8843(HTTPS) | TLS | |||
Message Processor | TCP / 8843(HTTPS) | TLS | |||
Synchronizer | TCP / 8843(HTTPS) | TLS | |||
UDCA | TCP / 7070(HTTPS) | TLS |
外部接続
ネットワーク ファイアウォールを適切に構成するには、ハイブリッドが外部サービスとの通信に使用する受信ポートと送信ポートを確認しておく必要があります。
次の図に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。
次の表に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。
外部接続 | |||||
---|---|---|---|---|---|
送信元 | 宛先 | プロトコル / ポート | セキュリティ プロトコル | 説明 | |
受信接続(外部に公開) | |||||
Apigee サービス | MART Istio Ingress | TCP / 443 | OAuth over TLS 1.2 | 管理プレーンからの Hybrid API 呼び出し | |
クライアント アプリ | デフォルトの Istio Ingress | TCP / * | なし / OAuth over TLS 1.2 / mTLS | 外部アプリからの API リクエスト | |
送信接続 | |||||
Message Processor | バックエンド サービス | TCP / * UDP / * |
なし / OAuth over TLS 1.2 | 顧客定義のホストにリクエストを送信します。 | |
Synchronizer | Apigee サービス | TCP / 443 | OAuth over TLS 1.2 | 構成データを取得し、apigee.googleapis.com に接続します。 |
|
GCP | 承認のために iamcredentials.googleapis.com に接続します。 |
||||
UDCA(Analytics) | Apigee サービス(UAP) | TCP / 443 | OAuth over TLS 1.2 | 管理プレーンの UAP と GCP にデータを送信します。apigee.googleapis.com と storage.googleapis.com に接続します。 |
|
Prometheus(指標) | GCP(Stackdriver) | TCP / 443 | TLS | 管理プレーンの Stackdriver にデータを送信します。monitoring.googleapis.com に接続します。 |
|
fluentd(ロギング) | GCP(Stackdriver) | TCP / 443 | TLS | 管理プレーンの Stackdriver にデータを送信します。logging.googleapis.com に接続します。 |
|
MART | GCP | TCP / 443 | OAuth over TLS 1.2 | 承認のために iamcredentials.googleapis.com に接続します。 |
|
* はポートが構成可能であることを示します。443 の使用をおすすめします。 |
送信接続の場合、*.googleapis.com
に関連付けられている IP アドレスはホワイトリストに登録しないでください。このドメインは現在複数のアドレスで解決されるため、IP アドレスが変わる可能性があります。