CIS のアーキテクチャーとワークロードの分離

Cloud Internet Services (CIS) は、Cloudflare とのパートナーシップによって提供される、パブリックでグローバルなマルチテナント・サービスです。 このサービスは、このサービスに委任されたゾーンまたはドメインのために、DNS 名前解決、グローバル・ロード・バランシング、セキュリティー、および CDN サービスを提供します。

コントロール・プレーンでは、UI、CLI、またはAPIを通じて、ゾーンと、サイトへのトラフィックに適用されるサービスを設定できる。 ゾーンまたはドメインに対するすべてのアクセスの許可および認証は、ID およびアクセス管理 (IAM) のアクセス・ポリシーによって管理されます。

すべての構成要求は、最終的には、SSL で保護された API エンドポイントへの API 呼び出しとして、Cloud Internet Services (CIS) 上のマルチテナントの IBM Cloud® コントロール・プレーンに到達します。 コントロール・プレーンは、プラットフォームの IAM サービスと対話して、ユーザーの認証と操作の許可を行います。 元の要求はお客様の Cloud Internet Services (CIS) インスタンスをターゲットとします。 各 Cloud Internet Services (CIS) インスタンスは、Cloudflare のシステムの匿名サブアカウントに個別にマップされます。 要求は、そのサブアカウントをターゲットとする Cloudflare API 要求に変換され、Cloudflare の API エンドポイントに HTTPS で届けられます。 お客様のゾーンやドメインはお客様ごとに分離され、Cloudflare の Cloud Internet Services (CIS) アカウント内の個々のサブアカウントに保持されます。 Cloudflare のこのアカウントへのアクセスは、厳密に管理され、制限されています。 Cloud Internet Services (CIS) のコントロール・プレーン・インフラストラクチャーへのアクセスもまた厳密に管理され、必要不可欠な保守を行う担当者のみに制限されています。

Cloudflare に保管されているデータは、パブリック・アクセスが必要な場合を除き、暗号化されます。 例えば、DNS レコードの場合、コントロール・プレーンはデータ・プレーンから分離されています。

サイトのデータ・プレーンは、Cloudflare が単独で運用しています。 プロキシー処理されるすべてのトラフィックは、Cloudflare 所有の IP アドレスに解決され、Cloudflare の Anycast ネットワークを経由して、要求を処理できる最も近いデータ・センターに転送されます。 要求は、ゾーンの構成に基づいて Cloudflare によって処理されます。 構成したすべてのサービス (ファイアウォール・ルール、WAF ルール、速度制限、グローバル・ロード・バランシングなど) が適用された後に、Cloudflare は、そのキャッシュから要求に応答します。または、お客様管理の Web サイトの起点に対して必要なリソースを要求することで要求に応答します。

プロキシー処理されない要求は、クライアントから、要求されたリソースの起点に直接送信されます。 この場合、Cloudflare によって行われるのは DNS 解決のみです。 要求データは、パブリック・インターネットを経由します。

CIS のワークロード分離とデプロイメント・モデル

CIS は、パブリックなマルチテナント・ソリューションです。 コントロール・プレーンとデータ・プレーンのどちらも複数のテナント間で共有され、パブリック・エンドポイントを介してアクセスされます。 データには公開しなければならないものがあります。 そのような場合を除き、データは TLS を使用して保存中も転送中も暗号化されます。

さまざまな IBM Cloud サービスとの依存関係

IBM Cloud が接続または使用する IBM Cloud® Internet Services サービスを確認します。

サード・パーティー・サービスとの依存関係

IBM Cloud Kubernetes Service がパブリック・ネットワークを介して接続するサード・パーティーのサービスのリストを確認してください。