VPC 的云计算基础 - 标准(金融服务版)变体

VPC 可部署架构的云基础标准(金融服务版)变体使用两个虚拟私有云 (VPC)、一个管理 VPC 和一个工作负载 VPC 来管理环境和部署的工作负载。 每个 VPC 都是一个多分区、多子网实现,可确保工作负载安全。 这种可部署架构与 金融服务 IBM Cloud 的 VPC 参考架构 相一致。 它具有以下功能

  • 在 VPC 中定义多个子网,以定义 IP 范围并在网络中组织资源。
  • 包括在 VPC 资源和公共互联网之间提供连接的公共网关。
  • 创建 ACL 并定义规则,用于允许或拒绝 VPC 内子网之间的流量。
  • 创建中转网关,使 VPC 相互连接,虚拟专用端点用于连接 IBM Cloud 服务。
  • 创建安全组,控制 VPC 内资源的入站和出站流量。
  • 如果启用,通过使用特定位置的边缘 VPC 隔离和加速到公共互联网的流量
  • 如果指定了现有 CBR 区域 ID,则将着陆区 VPC CRN 添加到现有 CBR(基于上下文的限制)网络区域。
  • IBM Cloud Flow Logs for VPC 可收集和存储有关进出 VPC 内网络接口的互联网协议 (IP) 流量的信息。 此外,Activity Tracker 还会记录来自已启用服务的事件。
  • 通过集成 IBM Key Protect for IBM Cloud 服务或 Hyper Protect Crypto Services,增加了密钥管理功能。 这些密钥管理服务可帮助您创建、管理和使用加密密钥,以保护您的敏感数据。

有关 VPC 组件的更多信息,请参阅 VPC 概念

有关如何创建自定义 CBR(基于上下文的限制)区域和规则的更多信息,请参阅 CBR 模块。 参考 FS Cloud 子模块的预连接 CBR 配置 来创建符合金融服务的默认粗粒度 CBR 规则。

体系结构图

caption-side=bottom"
VPC landing zone 标准变体的架构图 可部署架构的架构图 VPC 云基础的标准(金融服务版)变体

设计要求

caption-side=bottom"
VPC landing zone

组件

VPC 体系结构决策

建筑决策
要求 组件 选择理由 替代选择
  • 提供基础设施或应用程序管理访问权限,以监控、运行和维护环境
  • 限制基础设施或应用程序管理入口点的数量,以帮助确保安全审计。
 管理 VPC 服务
  • 为备份、监控、IT 服务管理、共享存储等服务管理组件提供基础架构
  • 帮助确保您可以访问所有 IBM Cloud 和内部部署服务
 工作负载 VPC 服务
  • 为所有创建的服务设置网络
  • 为所有创建的服务隔离网络
  • 帮助确保所有创建的服务相互连接
 安全登录区域组件 为安全登录区域创建至少一组必需组件 在预设中为安全着陆区创建一组已修改的必需组件

网络安全架构决策

网络安全架构决策
要求 组件 选择理由 替代选择
  • 隔离管理 VPC,只允许有限数量的网络连接
  • 禁止从管理 VPC 或向管理 VPC 进行所有其他连接
 管理 VPC 中的 ACL 和安全组规则 可能会在预设中打开更多端口,或者在部署后手动添加更多端口
  • 隔离工作负载 VPC,只允许有限数量的网络连接
  • 禁止从工作负载 VPC 或向工作负载 VPC 进行所有其他连接
 工作负载 VPC 中的 ACL 和安全组规则 可能会在预设中打开更多端口,或者在部署后手动添加更多端口
装入 VPN 配置以简化 VPN 设置 VPN VPN 配置由客户负责

后续步骤