CIS 아키텍처 및 워크로드 격리에 대해 알아보기
IBM Cloud® Internet Services에 대한 다음 샘플 아키텍처를 검토하고 다양한 격리 레벨에 대해 학습하여 클라우드에서 실행하려는 워크로드의 요구사항에 가장 적합한 솔루션을 선택할 수 있습니다.
CIS 아키텍처 및 워크로드 격리
Cloud Internet Services (CIS)는 Cloudflare와의 파트너쉽을 통해 제공되는 공용의 글로벌 멀티테넌트 서비스로서, 이 서비스에 위임된 구역 또는 도메인에 DNS 이름 분석, 글로벌 로드 밸런싱, 보안 및 CDN 서비스를 제공합니다.
컨트롤 플레인에서는 UI, CLI 또는 API를 통해 사이트 트래픽에 적용되는 영역과 서비스를 구성할 수 있습니다. 구역 또는 도메인에 대한 모든 액세스 권한 및 인증은 IAM(Identity and Access Management) 액세스 정책을 통해 관리됩니다.
모든 구성 요청은 결국 SSL 보안 API 엔드포인트에 대한 API 호출로 Cloud Internet Services (CIS)의 멀티테넌트 IBM Cloud® 제어 플레인에 도달합니다. 제어 플레인은 플랫폼 IAM 서비스와 상호작용하여 사용자를 인증하고 조치에 권한을 부여합니다. 원래 요청은 고객의 Cloud Internet Services (CIS) 인스턴스를 대상으로 합니다. 각 Cloud Internet Services (CIS) 인스턴스는 Cloudflare 시스템의 익명 하위 계정에 고유하게 맵핑됩니다. 요청은 하위 계정을 대상으로 하는 Cloudflare API 요청으로 변환되어 HTTPS를 통해 Cloudflare API 엔드포인트에 전달됩니다. 다른 고객의 구역과 도메인은 격리되어 Cloudflare의 Cloud Internet Services (CIS) 계정 내에서 별도의 하위 계정으로 유지보수됩니다. Cloudflare 계정에 대한 액세스는 엄격하게 제어되고 제한됩니다. Cloud Internet Services (CIS) 제어 플레인에 대한 액세스도 엄격하게 제어되며 필수 유지보수 담당자로만 제한됩니다.
Cloudflare에 저장된 데이터는 공개적으로 액세스할 수 있어야 하는 경우를 제외하고 암호화됩니다. 예를 들어, DNS 레코드의 경우 제어 플레인은 데이터 플레인과 별개입니다.
사이트의 데이터 플레인은 Cloudflare에서 독점적으로 처리합니다. 모든 프록싱 트래픽은 Cloudflare가 소유한 IP 주소로 분석되고 Cloudflare의 Anycast 네트워크를 통해 요청을 처리할 수 있는 가장 가까운 데이터 센터로 라우팅됩니다. 요청은 구역 구성에 따라 Cloudflare에서 처리합니다. 구성된 모든 서비스(예: 방화벽 규칙, WAF 규칙, 속도 제한, 글로벌 로드 밸런싱 등)가 적용되면 Cloudflare는 캐시의 요청에 응답하거나 웹 사이트의 오리진에서 필요한 리소스를 요청하여 응답합니다. 이러한 동작은 고객이 제어합니다.
프록싱되지 않은 요청은 클라이언트에서 요청된 리소스의 오리진으로 직접 이동합니다. 이 경우 Cloudflare는 DNS 분석만 수행합니다. 요청 데이터는 공용 인터넷을 통해 플로우됩니다.
CIS 워크로드 격리 및 배치 모델
CIS는 공개 멀티 테넌트 솔루션입니다. 제어 플레인과 데이터 플레인은 테넌트 간에 공유되며, 공용 엔드포인트를 통해 액세스됩니다. 일부 데이터는 공개적으로 액세스할 수 있어야 합니다. 다른 모든 경우에 데이터는 TLS를 사용하여 저장 및 전송 시 암호화됩니다.
기타 IBM Cloud 서비스에 대한 종속성
IBM Cloud가 연결하거나 사용하는 IBM Cloud® Internet Services 서비스를 검토하십시오.
중요한 종속 항목
IBM Cloud Internet Services의 중요한 종속 항목은 다음과 같습니다. 이러한 종속 항목 중 하나의 연결 또는 서비스가 손실되면 IBM Cloud Internet Services의 고객에게 기능적 영향을 미칠 수 있습니다.
| 서비스 이름 | 설명 |
|---|---|
| IBM Cloud 리소스 제어기 API 및 IBM Cloud 카탈로그 API | 서비스 인스턴스 및 오퍼링 플랜에 대한 필수 정보를 로드하는 데 사용됩니다. |
| 글로벌 검색 및 태그 지정(Ghost) | 다른 IBM Cloud 서비스에 대한 정보를 찾는 데 사용됩니다. 예를 들어, 에지 로그를 고유한 IBM Cloud Object Storage 버킷으로 푸시하는 작업을 설정할 경우 Ghost를 사용하여 사용 가능한 인스턴스 및 버킷이 검색됩니다. |
| IBM Cloud Kubernetes Service | IBM Cloud Internet Services가 실행 중인 인프라를 제공합니다. |
| IBM Cloud에 대한 비즈니스 지원 서비스(BSS) | IBM Cloud 계정, 서비스 구독, 서비스 사용량 및 비용 청구에 대한 정보에 액세스하는 데 사용됩니다. |
| IBM Cloud 명령행(CLI) | 명령 프롬프트에서 명령을 실행하는 데 사용됩니다. IBM Cloud Internet Services가 명령을 실행하면 서비스는 공용 서비스 엔드포인트를 통해 서비스 API 엔드포인트에 연결됩니다. |
| IBM Log Analysis | IBM Cloud Internet Services는 서비스 로그를 IBM Log Analysis로 전송합니다. 서비스 팀에서는 분석을 위해 이러한 로그를 사용하여 문제 및 악성 활동을 식별합니다. |
| IBM Cloud Activity Tracker | IBM Cloud Internet Services는 IBM Cloud Activity Tracker와 통합하여 감사 가능한 이벤트를 사용자가 설정하고 소유한 IBM Cloud Activity Tracker 서비스 인스턴스로 전달합니다. 자세한 정보는 CIS의 이벤트 감사를 참조하십시오. 이 서비스는 또한 IBM Cloud Internet Services에서 감사 가능한 이벤트를 저장하는 데도 사용됩니다. |
| IAM(Identity and Access Management) | IBM Cloud Internet Services는 IAM의 플랫폼 및 서비스 액세스 역할 및 정책을 기반으로 요청을 인증하고 모든 사용자 조치에 대한 권한을 결정합니다. 자세한 정보는 CIS에 대한 액세스 관리를 참조하십시오. |
| COS(Object Storage) | 고객의 데이터 경로 트래픽에 대한 에지 로그를 저장하는 데 사용됩니다. 이 서비스를 사용하여 IBM Cloud Internet Services 자체의 작동 로그를 저장할 수도 있습니다. |
기타 종속 항목
| 서비스 이름 | 설명 |
|---|---|
| Certificate Manager | IBM Cloud Internet Services에 대한 TLS 인증서를 저장하는 데 사용됩니다. |
| IBM Cloud Container Registry | IBM Cloud Internet Services에서 서비스를 실행하는 데 사용하는 이미지를 저장하는 데 사용됩니다. |
| IBM Cloud Monitoring | IBM Cloud Internet Services는 서비스 메트릭을 IBM Cloud Monitoring으로 전송합니다. 서비스 팀에서는 이러한 메트릭을 사용하여 서비스의 용량 및 성능 문제를 식별하고 서비스의 작동 상태를 모니터링합니다. |
써드파티 서비스에 대한 종속성
IBM Cloud Kubernetes Service에서 공용 네트워크를 통해 연결하는 서드파티 서비스 목록을 검토하십시오.
중요한 종속 항목
| 서비스 이름 | 설명 |
|---|---|
| Cloudflare | Cloudflare는 WAF, DDoS 보호 및 글로벌 로드 밸런싱과 같이 IBM Cloud Internet Services에서 제공하는 모든 데이터 경로 서비스를 제공하는 서드파티 제공업체입니다. |
기타 종속 항목
| 서비스 이름 | 설명 |
|---|---|
| PagerDuty | PagerDuty IBM Cloud Internet Services 운영 또는 지원과 관련된 긴급 및 비응급 문제를 대기 중인 지원팀에 알리는 데 사용됩니다. |