瞭解混合式執行階段平面使用的連接埠,對於企業導入而言相當重要。本節說明用於在執行階段平面內進行安全通訊的通訊埠,以及用於與外部服務通訊的外部通訊埠。
內部連線
執行階段層與管理層之間的通訊會透過 TLS 1 路徑和 OAuth 2.0 加以保護。個別服務會使用不同的通訊協定,這取決於與哪項服務通訊。
下圖顯示混合式執行階段平面中的連接埠和通訊管道:
下表說明混合式執行階段平面中的連接埠和通訊管道:
| 內部連線 | |||||
|---|---|---|---|---|---|
| 來源 | 目的地 | 通訊協定/通訊埠 | 安全通訊協定 | 說明 | |
| MART | Cassandra | TCP/9042 TCP/9142 |
mTLS | 傳送資料以便持續保留 | |
| Apigee Connect | MART | TCP/8443 | TLS | 管理層的要求會透過 Apigee Connect 傳送。Apigee Connect 會啟動連線。 | |
| 選用:MART Istio Ingress 僅限未使用 Apigee Connect 的情況 |
MART | TCP/8443 | TLS | 來自管理層的請求會經過 MART Istio Ingress | |
| 預設 Istio Ingress | 訊息處理器 | TCP/8443 | TLS (Apigee 產生的自行簽署憑證) | 處理傳入的 API 要求 | |
| 訊息處理器 | Cassandra | TCP/9042 TCP/9142 |
mTLS | 傳送資料以便持續保留 | |
| 訊息處理器 | fluentd (Analytics) | TCP/20001 | mTLS | 將資料串流至資料收集 Pod | |
| Cassandra | Cassandra | TCP/7001 | mTLS | 節點內叢集通訊。請注意,您也可以將通訊埠 7000 保留為防火牆設定的備用選項,以便在發生問題時進行疑難排解。 | |
| Prometheus | Cassandra | TCP/7070 (HTTPS) | TLS | 從各種服務中擷取指標資料 | |
| MART | TCP/8843 (HTTPS) | TLS | |||
| 訊息處理器 | TCP/8843 (HTTPS) | TLS | |||
| 同步處理工具 | TCP/8843 (HTTPS) | TLS | |||
| UDCA | TCP/7070 (HTTPS) | TLS | |||
外部連線
如要適當設定網路防火牆,您必須瞭解混合式服務用於與外部服務通訊的傳入和傳出通訊埠。
下圖顯示用於與混合式執行階段平面進行外部通訊的連接埠:
下表說明用於與混合式執行階段平面進行外部通訊的通訊埠:
| 外部連線 | |||||
|---|---|---|---|---|---|
| 來源 | 目的地 | 通訊協定/通訊埠 | 安全通訊協定 | 說明 | |
| Inbound Connections (公開) | |||||
| 選用:Apigee 服務 僅限未使用 Apigee Connect (建議) 的情況。請參閱下方的「雙向連結」。 |
MART Istio Ingress | TCP/443 | OAuth over TLS 1.2 | 管理層的混合型 API 呼叫 | |
| 用戶端應用程式 | 預設 Istio Ingress | TCP/* | None/OAuth over TLS 1.2 | 來自外部應用程式的 API 要求 | |
| 外連連線 | |||||
| 訊息處理器 | 後端服務 | TCP/* UDP/* |
None/OAuth over TLS 1.2 | 將要求傳送至客戶定義的主機 | |
| 同步處理工具 | Apigee 服務 | TCP/443 | OAuth over TLS 1.2 | 擷取設定資料,並連線至 apigee.googleapis.com |
|
| GCP | 連線至 iamcredentials.googleapis.com 以取得授權 |
||||
| UDCA (數據分析) | Apigee Services (UAP) | TCP/443 | OAuth over TLS 1.2 | 將資料傳送至管理單元中的 UAP 和 GCP;連線至 apigee.googleapis.com 和 storage.googleapis.com |
|
| Apigee Connect | Apigee 服務 | TCP/443 | TLS | 建立與管理層的連線;連線至 apigeeconnect.googleapis.com |
|
| Prometheus (指標) | GCP (Cloud 作業套件) | TCP/443 | TLS | 將資料傳送至管理層面的 Cloud Operations;連線至 monitoring.googleapis.com |
|
| fluentd (記錄) | GCP (Cloud 作業套件) | TCP/443 | TLS | 將資料傳送至管理層面的 Cloud Operations;連線至 logging.googleapis.com |
|
| MART | GCP | TCP/443 | OAuth over TLS 1.2 | 連線至 iamcredentials.googleapis.com 以取得授權 |
|
| * 表示可設定的通訊埠。Apigee 建議使用 443。 | |||||
| 雙向連線 | |||||
| Apigee Connect | Apigee 服務 | TCP/443 | TLS | 在執行階段平面中,為執行階段資料 (MART) 在管理平面和管理 API 之間傳遞管理資料。Apigee Connect 會啟動連線,並連線至 apigeeconnect.googleapis.com |
|
請勿針對與 *.googleapis.com 相關聯的特定 IP 位址允許外部連線。由於網域目前會解析為多個位址,因此 IP 位址可能會變更。