ポートを構成してファイアウォールを設定する

ハイブリッド ランタイム プレーンが使用するポートを理解することは、エンタープライズの実装で重要な作業になります。このセクションでは、ランタイム プレーン内でセキュア通信に使用するポートと、外部サービスとの通信に使用する外部ポートについて説明します。

内部接続

ランタイム プレーンと管理プレーン間の通信は、TLS 1-way と OAuth 2.0 で保護されます。個々のサービスは、通信するサービスによって異なるプロトコルを使用します。

次の図は、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示しています。

ハイブリッド ランタイム プレーン上の内部コンポーネント間の接続を示します。

以下の表に、ハイブリッド ランタイム プレーン内のポートと通信チャネルを示します。

内部接続
送信元 宛先 プロトコル / ポート セキュリティ プロトコル 説明
MART Cassandra TCP / 9042
TCP / 9142
mTLS 永続性のためにデータを送信します。
MART Istio Ingress MART TCP / 8443 TLS 管理プレーンからのリクエストは、MART Istio Ingress を経由します。
デフォルトの Istio Ingress Message Processor TCP / 8443 TLS(Apigee 生成の自己署名証明書) 受信 API リクエストを処理する
Message Processor Cassandra TCP / 9042
TCP / 9142
mTLS 永続性のためにデータを送信します。
Message Processor fluentd(Analytics) TCP / 20001 mTLS データをデータ収集ポッドにストリーミングします。
Cassandra Cassandra TCP / 7001 mTLS ノード内クラスタ通信
Prometheus Cassandra TCP / 7070(HTTPS) TLS さまざまなサービスから指標データを取得します。
MART TCP / 8843(HTTPS) TLS
Message Processor TCP / 8843(HTTPS) TLS
Synchronizer TCP / 8843(HTTPS) TLS
UDCA TCP / 7070(HTTPS) TLS

外部接続

ネットワーク ファイアウォールを適切に構成するには、ハイブリッドが外部サービスとの通信に使用する受信ポートと送信ポートを確認しておく必要があります。

次の図に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。

ハイブリッド ランタイム プレーンからの外部サービスとの接続を示します。

次の表に、ハイブリッド ランタイム プレーンとの外部通信に使用されるポートを示します。

外部接続
送信元 宛先 プロトコル / ポート セキュリティ プロトコル 説明
受信接続(外部に公開)
Apigee サービス MART Istio Ingress TCP / 443 OAuth over TLS 1.2 管理プレーンからの Hybrid API 呼び出し
クライアント アプリ デフォルトの Istio Ingress TCP / * なし / OAuth over TLS 1.2 / mTLS 外部アプリからの API リクエスト
送信接続
Message Processor バックエンド サービス TCP / *
UDP / *
なし / OAuth over TLS 1.2 顧客定義のホストにリクエストを送信します。
Synchronizer Apigee サービス TCP / 443 OAuth over TLS 1.2 構成データを取得し、apigee.googleapis.com に接続します。
GCP 承認のために iamcredentials.googleapis.com に接続します。
UDCA(Analytics) Apigee サービス(UAP) TCP / 443 OAuth over TLS 1.2 管理プレーンの UAP と GCP にデータを送信します。apigee.googleapis.comstorage.googleapis.com に接続します。
Prometheus(指標) GCP(Stackdriver) TCP / 443 TLS 管理プレーンの Stackdriver にデータを送信します。monitoring.googleapis.com に接続します。
fluentd(ロギング) GCP(Stackdriver) TCP / 443 TLS 管理プレーンの Stackdriver にデータを送信します。logging.googleapis.com に接続します。
MART GCP TCP / 443 OAuth over TLS 1.2 承認のために iamcredentials.googleapis.com に接続します。
* はポートが構成可能であることを示します。443 の使用をおすすめします。

送信接続の場合、*.googleapis.com に関連付けられている IP アドレスはホワイトリストに登録しないでください。このドメインは現在複数のアドレスで解決されるため、IP アドレスが変わる可能性があります。