Aprendendo sobre a arquitetura e o isolamento da carga de trabalho do CIS
Revise a arquitetura de amostra a seguir para o IBM Cloud® Internet Services e aprenda sobre os diferentes níveis de isolamento para que seja possível escolher a solução que melhor atenda aos requisitos das cargas de trabalho que você deseja executar na nuvem.
Arquitetura do CIS e isolamento de carga de trabalho
O Cloud Internet Services (CIS) é um serviço público, global e de diversos locatários oferecido em parceria com o Cloudflare. Ele oferece resolução de nomes de DNS, balanceamento de carga global e serviços de segurança e de CDN para zonas ou domínios delegados a esse serviço.
No plano de controle, você pode configurar sua zona e os serviços que são aplicados ao tráfego do seu site por meio da interface do usuário, da CLI ou da API. Toda autorização de acesso e autenticação para a sua zona ou seu domínio é gerenciada por meio de políticas de acesso de Gerenciamento de Acesso e de Identidade (IAM).
Todas as solicitações de configuração atingem eventualmente o plano de controle do Cloud Internet Services (CIS) de diversos locatários no IBM Cloud® como chamadas da API para um terminal de API protegido por SSL. O plano de controle interage com o serviço IAM da plataforma para autenticar o usuário e autorizar a ação. A solicitação original destina a instância do Cloud Internet Services (CIS) do cliente. Cada instância do Cloud Internet Services (CIS) é mapeada exclusivamente para uma subconta anonimizada no sistema do Cloudflare. A solicitação é convertida em uma solicitação de API do Cloudflare que destina a subconta e é entregue por meio de HTTPS para o terminal de API do Cloudflare. As zonas e os domínios de diferentes clientes são isolados e mantidos em subcontas separadas dentro da conta do Cloud Internet Services (CIS) no Cloudflare. O acesso à conta no Cloudflare é estritamente controlado e limitado. O acesso à infraestrutura do plano de controle do Cloud Internet Services (CIS) também é estritamente controlado e limitado somente à equipe de manutenção essencial.
Os dados que são armazenados na Cloudflare são criptografados, exceto quando é necessário que sejam publicamente acessíveis.. Por exemplo, no caso de registros DNS, o plano de controle é separado do plano de dados.
O plano de dados para o seu site é manipulado exclusivamente pelo Cloudflare. Todo o tráfego com proxy é resolvido para um endereço IP pertencente ao Cloudflare e roteado por meio da rede Anycast do Cloudflare para o data center mais próximo capaz de processar a solicitação. A solicitação é processada pelo Cloudflare com base na configuração da zona. Após todos os serviços configurados (como regras de firewall, regras do WAF, limites de taxa, balanceamento de carga global e assim por diante) serem aplicados, o Cloudflare responde à solicitação de seu cache ou solicita os recursos necessários da origem do website, que é controlada pelo cliente.
As solicitações não em proxy vão diretamente do cliente para a origem do recurso solicitado. Nesse caso, somente a resolução de DNS é feita pelo Cloudflare. Os dados da solicitação fluem pela Internet pública.
Isolamento de carga de trabalho e modelo de implementação do CIS
O CIS é uma solução pública de diversos locatários. Tanto o controle quanto o plano de dados são compartilhados entre os locatários e acessados por meio de terminais públicos. Alguns dados são necessários para serem publicamente acessíveis. Em todos os outros casos, os dados são criptografados, em repouso e em trânsito, usando TLS.
Dependências para outros serviços do IBM Cloud
Revise os serviços do IBM Cloud aos quais o IBM Cloud® Internet Services se conecta ou usa.
Dependências críticas
As dependências a seguir do IBM Cloud Internet Services são consideradas críticas. Qualquer perda de conectividade ou serviço de uma dessas dependências resulta em um impacto funcional para o cliente no IBM Cloud Internet Services.
| Nome do serviço | Descrição |
|---|---|
| API do IBM Cloud Resource Controller e API do catálogo do IBM Cloud | Usados para carregar as informações necessárias sobre sua instância de serviço e seu plano de oferta. |
| Global Search and Tagging (Ghost) | Usado para consultar informações sobre outros serviços do IBM Cloud. Por exemplo, se você configurar uma tarefa para enviar por push os logs de borda para o seu próprio depósito do IBM Cloud Object Storage, as instâncias e os depósitos
disponíveis serão procurados com o Ghost. |
| IBM Cloud Kubernetes Service | Fornece a infraestrutura na qual o IBM Cloud Internet Services está em execução. |
| Business Support Services for IBM Cloud (BSS) | Usado para acessar informações sobre a conta, a assinatura do serviço, o uso do serviço e o faturamento do IBM Cloud. |
| Linha de Comandos (CLI) do IBM Cloud | Usado para executar comandos em um prompt de comando. Quando o IBM Cloud Internet Services executa comandos, o serviço se conecta ao terminal de API de serviço por meio do terminal em serviço público. |
| IBM Log Analysis | O IBM Cloud Internet Services envia logs de serviço para o IBM Log Analysis. A equipe de serviço usa esses logs para análise para identificar problemas e atividade maliciosa. |
| IBM Cloud Activity Tracker | O IBM Cloud Internet Services integra-se ao IBM Cloud Activity Tracker para encaminhar eventos auditáveis para a instância de serviço IBM Cloud Activity Tracker que é configurada e pertencente ao usuário. Para obter mais informações, consulte Eventos de auditoria para o CIS. Esse serviço também é usado pelo IBM Cloud Internet Services para armazenar eventos auditáveis. |
| Identity and Access Management (IAM) | O IBM Cloud Internet Services autentica solicitações e determina a autorização para todas as ações do usuário com base em funções e políticas de acesso à plataforma e ao serviço no IAM. Para saber mais, consulte Gerenciando o acesso para o CIS. |
| Object Storage (COS) | Usado para armazenar logs de borda para o tráfego de caminho de dados de um cliente. Também é possível usar esse serviço para armazenar logs operacionais do próprio IBM Cloud Internet Services. |
Outras dependências
| Nome do serviço | Descrição |
|---|---|
| Certificate Manager | Usado para armazenar os certificados TLS para o IBM Cloud Internet Services. |
| IBM Cloud Container Registry | Usado para armazenar as imagens que IBM Cloud Internet Services usa para executar o serviço. |
| IBM Cloud Monitoring | IBM Cloud Internet Services envia métricas de serviço para IBM Cloud Monitoring. A equipe de serviços usa essas métricas para identificar problemas de capacidade e de desempenho do serviço e monitorar o funcionamento operacional do serviço. |
Dependências para serviços de terceiros
Revise a lista de serviços de terceiros aos quais o IBM Cloud Kubernetes Service se conecta por meio da rede pública.
Dependências críticas
| Nome do serviço | Descrição |
|---|---|
| Cloudflare | O Cloudflare é o provedor de terceiros para todos os serviços de caminho de dados que são oferecidos pelo IBM Cloud Internet Services, como WAF, proteção DDoS e balanceamento de carga global. |
Outras dependências
| Nome do serviço | Descrição |
|---|---|
| PagerDuty | PagerDuty é usado para notificar o suporte de plantão sobre problemas emergenciais e não emergenciais relacionados à operação do IBM Cloud Internet Services ou ao seu suporte. |