Pod | 説明 |
---|---|
apigee-logger |
アプリケーション ログを Stackdriver に送信する Apigee ロガー エージェントが含まれます。 |
apigee-metrics |
アプリケーション ログを Stackdriver に送信する Apigee 指標エージェントが含まれます。 |
apigee-cassandra |
ハイブリッド ランタイムの永続性レイヤが含まれます。 |
apigee-synchronizer |
管理(コントロール)プレーンとランタイム(データ)プレーンの間で構成を同期します。 |
apigee-udca |
アナリティクス データを管理プレーンに転送できます。 |
apigee-mart |
Apigee 管理 API エンドポイントが含まれます。 |
apigee-runtime |
API リクエストの処理とポリシー実行を行うゲートウェイが含まれます。 |
次の方法とベスト プラクティスに従って、ランタイム Pod の強化、保護、隔離を行うことをおすすめします。
方式 | 説明 |
---|---|
Kubernetes セキュリティの概要 | Google Kubernetes Engine(GKE)ドキュメントのセキュリティの概要をご覧ください。このドキュメントでは、Kubernetes インフラストラクチャの各層の概要と、必要に応じてセキュリティ機能を構成する方法について説明します。 GKE クラスタを強化する Google Cloud Engine のガイダンスについては、クラスタのセキュリティを強化するをご覧ください。 |
ネットワーク ポリシー |
ネットワーク ポリシーを使用して、Pod 間と Kubernetes ネットワークの外部にアクセスできる Pod との通信を制限します。詳細については、GKE ドキュメントのクラスタ ネットワーク ポリシーの作成をご覧ください。 ネットワーク ポリシーには、Pod のグループに相互通信と他のネットワーク エンドポイントとの通信を許可する方法を指定します。 Kubernetes NetworkPolicy リソースは、ラベルを使用して Pod を選択してルールを定義し、その Pod に許可されるトラフィックを指定します。 Container Network Interface(CNI)プラグインを実装して、Apigee ハイブリッド ランタイム インストールにネットワーク ポリシーを追加できます。ネットワーク ポリシーを使用すると、外部アクセスから Pod を分離し、特定の Pod へのアクセスを許可できます。Calico などのオープンソースの CNI プラグインを使用することもできます。 |
GKE Sandbox | Apigee ハイブリッドを実行する Kubernetes クラスタで GKE Sandbox を有効にします。GKE Sandbox をご覧ください。 |