ランタイム インストールの保護

一般的な Apigee ハイブリッド環境は、以下の表に示す複数のポッドで構成されています。各ポッドにはポート固有のアクセス権が必要です。ポッドごとに通信を行う必要はありません。内部接続とそのセキュリティ プロトコルの関係については、内部接続をご覧ください。

ポッド 説明
apigee-logger アプリケーション ログを Stackdriver に送信する Apigee ロガー エージェントが含まれます。
apigee-metrics アプリケーション ログを Stackdriver に送信する Apigee 指標エージェントが含まれます。
apigee-cassandra ハイブリッド ランタイムの永続性レイヤが含まれます。
apigee-synchronizer 管理(コントロール)プレーンとランタイム(データ)プレーンの間で構成を同期します。
apigee-udca アナリティクス データを管理プレーンに転送できます。
apigee-mart Apigee 管理 API エンドポイントが含まれます。
apigee-runtime API リクエストの処理とポリシー実行を行うゲートウェイが含まれます。

次の方法とベスト プラクティスに従って、ランタイム ポッドの強化、保護、隔離を行うことをおすすめします。

方法 説明
Kubernetes セキュリティの概要 Google Kubernetes Engine(GKE)ドキュメントのセキュリティの概要をご覧ください。このドキュメントでは、Kubernetes インフラストラクチャの各層の概要と、必要に応じてセキュリティ機能を構成する方法について説明します。

GKE クラスタを強化する Google Cloud Engine のガイダンスについては、クラスタのセキュリティを強化するをご覧ください。

ネットワーク ポリシー

ネットワーク ポリシーを使用して、Kubernetes ネットワークの外部にアクセスできるポッドとの通信を制限します。詳細については、GKE ドキュメントのクラスタ ネットワーク ポリシーの作成をご覧ください。

ネットワーク ポリシーには、ポッドのグループに相互通信と他のネットワーク エンドポイントとの通信を許可する方法を指定します。

Kubernetes NetworkPolicy リソースは、ラベルを使用してポッドを選択してルールを定義し、そのポッドに許可されるトラフィックを指定します。

Container Network Interface(CNI)プラグインを実装して、Apiee ハイブリッド ランタイム インストールにネットワーク ポリシーを追加できます。ネットワーク ポリシーを使用すると、外部アクセスからポッドを分離し、特定のポッドへのアクセスを許可できます。Calico などのオープンソースの CNI プラグインを使用することもできます。

GKE Sandbox Apigee ハイブリッドを実行する Kubernetes クラスタで GKE Sandbox を有効にします。GKE Sandbox をご覧ください。