Aprendizaje sobre la arquitectura y el aislamiento de cargas de trabajo de CIS
Revise la siguiente arquitectura de ejemplo correspondiente a IBM Cloud® Internet Services y obtenga información sobre los niveles de aislamiento para poder elegir la solución que mejor se ajuste a los requisitos de las cargas de trabajo que desee ejecutar en la nube.
Arquitectura de CIS y aislamiento de cargas de trabajo
Cloud Internet Services (CIS) es un servicio público, global y multiarrendatario que se ofrece en asociación con Cloudflare. Ofrece funciones de resolución de nombres de DNS, equilibrio de carga global y servicios de seguridad y CDN para zonas o dominios delegados a este servicio.
En el plano de control, puede configurar su zona y los servicios que se aplican al tráfico de su sitio a través de la interfaz de usuario, la CLI o la API. Toda la autorización y la autenticación de acceso a su zona o dominio se gestiona mediante políticas de acceso de Identity and Access Management (IAM).
Todas las solicitudes de configuración llegan al plano de control de Cloud Internet Services (CIS) multiarrendatario en IBM Cloud® como llamadas de API a un punto final de API protegido por SSL. El plano de control interactúa con el servicio IAM de la plataforma para autenticar el usuario y autorizar la acción. La solicitud original se dirige a la instancia de Cloud Internet Services (CIS) del cliente. Cada instancia de Cloud Internet Services (CIS) se correlaciona de forma exclusiva con una subcuenta anonimizada del sistema de Cloudflare. La solicitud se convierte a una solicitud de API de Cloudflare que se dirige a la subcuenta y se distribuye a través de HTTPS al punto final de la API de Cloudflare. Las zonas y los dominios procedentes de distintos dominios se aíslan y se mantienen en distintas subcuentas dentro de la cuenta de Cloud Internet Services (CIS) en Cloudflare. El acceso a la cuenta en Cloudflare está estrictamente controlado y limitado. El acceso a la infraestructura del plano de control de Cloud Internet Services (CIS) está estrictamente controlado y limitado solo al personal de mantenimiento esencial.
Los datos almacenados en Cloudflare se cifran excepto cuando es necesario que sean accesibles públicamente. Por ejemplo, en el caso de los registros DNS, el plano de control está separado del plano de datos.
El plano de datos correspondiente a su sitio lo gestiona exclusivamente Cloudflare. Todo el tráfico enviado por proxy se resuelve en una dirección IP propiedad de Cloudflare y se direcciona a través de la red Anycast de Cloudflare al centro de datos más cercano capaz de procesar la solicitud. Cloudflare procesa la solicitud en función de la configuración de la zona. Después de que se apliquen todos los servicios configurados (como las reglas de cortafuegos, las reglas de WAF, los límites de velocidad, el equilibrio de carga global, etc.), Cloudflare responde a la solicitud desde su memoria caché o solicitando los recursos necesarios al origen del sitio web, que está controlado por el cliente.
Las solicitudes que no se envían por proxy van directamente del cliente al origen del recurso solicitado. En este caso, Cloudflare solo realiza la resolución de DNS. Los datos de solicitud fluyen a través de Internet pública.
Aislamiento de cargas de trabajo de CIS y modelo de despliegue
CIS es una solución pública multiarrendatario. Tanto el plano de control como el de datos se comparten entre los arrendatarios, y se accede a los mismos a través de puntos finales públicos. Algunos datos deben resultar accesibles para el público. En todos los demás casos, los datos se cifran, tanto en reposo como en tránsito, mediante TLS.
Dependencias con otros servicios de IBM Cloud
Revise los servicios de IBM Cloud a los que IBM Cloud® Internet Services se conecta o que utiliza.
Dependencias críticas
Las siguientes dependencias de IBM Cloud Internet Services se consideran críticas. Cualquier pérdida de conectividad o de servicio de una de estas dependencias da como resultado un impacto funcional para el cliente en IBM Cloud Internet Services.
Nombre de servicio | Descripción |
---|---|
API de controlador de recursos de IBM Cloud y API de catálogo de IBM Cloud | Se utilizan para cargar la información necesaria sobre la instancia de servicio y el plan de la oferta. |
Global Search and Tagging (Ghost) | Se utiliza para buscar información sobre otros servicios de IBM Cloud. Por ejemplo, si configura un trabajo para que envíe registros de extremo a su propio grupo de IBM Cloud Object Storage, las instancias y los grupos disponibles se
buscan con Ghost . |
IBM Cloud Kubernetes Service | Proporciona la infraestructura en la que se ejecuta IBM Cloud Internet Services. |
Servicios de soporte empresarial para IBM Cloud (BSS) | Se utilizan para acceder a la información sobre la cuenta de IBM Cloud, la suscripción de servicio, el uso del servicio y la facturación. |
Línea de mandatos (CLI) de IBM Cloud | Se utiliza para ejecutar mandatos desde un indicador de mandatos. Cuando IBM Cloud Internet Services ejecuta mandatos, el servicio se conecta al punto final de servicio de la API a través del punto final de servicio público. |
IBM Log Analysis | IBM Cloud Internet Services envía registros de servicio a IBM Log Analysis. El equipo de servicio utiliza estos registros para el análisis a fin de identificar problemas y actividad maliciosa. |
IBM Cloud Activity Tracker | IBM Cloud Internet Services se integra con IBM Cloud Activity Tracker para reenviar sucesos auditables a la instancia de servicio de IBM Cloud Activity Tracker que está configurada y que pertenece al usuario. Para obtener más información, consulte Sucesos de auditoría de CIS. IBM Cloud Internet Services también utiliza este servicio para almacenar sucesos auditables. |
Identity and Access Management (IAM) | IBM Cloud Internet Services autentica las solicitudes y determina la autorización para todas las acciones de usuario en función de los roles y de las políticas de acceso de plataforma y de servicio en IAM. Para obtener más información, consulte Gestión del acceso para CIS. |
Object Storage (COS) | Se utiliza para almacenar registros de extremo para el tráfico de la vía de acceso de los datos del cliente. También puede utilizar este servicio para almacenar registros operativos del propio IBM Cloud Internet Services. |
Otras dependencias
Nombre de servicio | Descripción |
---|---|
Certificate Manager | Se utiliza para almacenar los certificados TLS para IBM Cloud Internet Services. |
IBM Cloud Container Registry | Se utiliza para almacenar las imágenes que IBM Cloud Internet Services utiliza para ejecutar el servicio. |
IBM Cloud Monitoring | IBM Cloud Internet Services envía métricas de servicio a IBM Cloud Monitoring. El equipo de servicio utiliza estas métricas para identificar problemas de capacidad y de rendimiento del servicio y para supervisar el estado operativo del servicio. |
Dependencias de servicios de terceros
Revise la lista de servicios de terceros a los que IBM Cloud Kubernetes Service se conecta a través de la red pública.
Dependencias críticas
Nombre de servicio | Descripción |
---|---|
Cloudflare | Cloudflare es el proveedor de terceros para todos los servicios de vía de acceso de datos que ofrece IBM Cloud Internet Services, como WAF, protección DDoS y equilibrio de carga global. |
Otras dependencias
Nombre de servicio | Descripción |
---|---|
PagerDuty | PagerDuty se utiliza para notificar al soporte de guardia los problemas de emergencia y no emergencia relacionados con el funcionamiento de IBM Cloud Internet Services o su soporte. |