ポッド | 説明 |
---|---|
apigee-logger |
アプリケーション ログを Stackdriver に送信する Apigee ロガー エージェントが含まれます。 |
apigee-metrics |
アプリケーション ログを Stackdriver に送信する Apigee 指標エージェントが含まれます。 |
apigee-cassandra |
ハイブリッド ランタイムの永続性レイヤが含まれます。 |
apigee-synchronizer |
管理(コントロール)プレーンとランタイム(データ)プレーンの間で構成を同期します。 |
apigee-udca |
アナリティクス データを管理プレーンに転送できます。 |
apigee-mart |
Apigee 管理 API エンドポイントが含まれます。 |
apigee-runtime |
API リクエストの処理とポリシー実行を行うゲートウェイが含まれます。 |
次の方法とベスト プラクティスに従って、ランタイム ポッドの強化、保護、隔離を行うことをおすすめします。
方法 | 説明 |
---|---|
Kubernetes セキュリティの概要 | Google Kubernetes Engine(GKE)ドキュメントのセキュリティの概要をご覧ください。このドキュメントでは、Kubernetes インフラストラクチャの各層の概要と、必要に応じてセキュリティ機能を構成する方法について説明します。 GKE クラスタを強化する Google Cloud Engine のガイダンスについては、クラスタのセキュリティを強化するをご覧ください。 |
ネットワーク ポリシー |
ネットワーク ポリシーを使用して、Kubernetes ネットワークの外部にアクセスできるポッドとの通信を制限します。詳細については、GKE ドキュメントのクラスタ ネットワーク ポリシーの作成をご覧ください。 ネットワーク ポリシーには、ポッドのグループに相互通信と他のネットワーク エンドポイントとの通信を許可する方法を指定します。 Kubernetes NetworkPolicy リソースは、ラベルを使用してポッドを選択してルールを定義し、そのポッドに許可されるトラフィックを指定します。 Container Network Interface(CNI)プラグインを実装して、Apiee ハイブリッド ランタイム インストールにネットワーク ポリシーを追加できます。ネットワーク ポリシーを使用すると、外部アクセスからポッドを分離し、特定のポッドへのアクセスを許可できます。Calico などのオープンソースの CNI プラグインを使用することもできます。 |
GKE Sandbox | Apigee ハイブリッドを実行する Kubernetes クラスタで GKE Sandbox を有効にします。GKE Sandbox をご覧ください。 |