了解 CIS 体系结构和工作负载隔离
查看以下IBM Cloud® Internet Services 的示例架构,了解不同的隔离级别,以便选择最符合您希望在云中运行的工作负载要求的解决方案。
CIS 体系结构和工作负载隔离
Cloud Internet Services (CIS) 是与 Cloudflare 合作提供的公共全局多租户服务。 它为委派给此服务的区域或域提供 DNS 名称解析,全局负载均衡以及安全性和 CDN 服务。
在控制平面中,可以通过 UI,CLI 或 API 来配置区域以及应用于站点流量的服务。 对专区或域的所有访问权授权和认证都通过 Identity and Access Management (IAM) 访问策略进行管理。
作为对 SSL 保护的 API 端点的 API 调用,所有配置请求最终会到达 IBM Cloud® 上的多租户 Cloud Internet Services (CIS) 控制平面。 控制平面与平台 IAM 服务进行交互,以认证用户并授权操作。 原始请求以客户的 Cloud Internet Services (CIS) 实例为目标。 每个 Cloud Internet Services (CIS) 实例都唯一映射到 Cloudflare 系统中的匿名子帐户。 该请求将转换为针对子帐户的 Cloudflare API 请求,并通过 HTTPS 传送到 Cloudflare API 端点。 来自不同客户的区域和域被隔离并维护在 Cloudflare 的 Cloud Internet Services (CIS) 账户中的不同子账户中。 对 Cloudflare 帐户的访问受到严格控制和限制。 对Cloud Internet Services (CIS)控制平面基础设施的访问也受到严格控制,仅限于必要的维护人员。
存储在 Cloudflare 上的数据将进行加密,但需要公开访问时除外。 例如,对于 DNS 记录,控制平面与数据平面分开。
您站点的数据平面仅由 Cloudflare 处理。 所有代理流量都解析为 Cloudflare 拥有的 IP 地址,并通过 Cloudflare 的 Anycast 网络路由到能够处理请求的最近的数据中心。 此请求由 Cloudflare 根据区域的配置进行处理。 在应用所有已配置的服务 (例如防火墙规则,WAF 规则,速率限制,全局负载均衡等) 后,Cloudflare 将回复来自其高速缓存的请求,或者通过从由客户控制的 Web 站点源请求必要的资源。
非代理请求直接从客户机到所请求资源的源。 在这种情况下,只有 DNS 解析由 Cloudflare 完成。 请求数据流经公共因特网。
CIS 工作负载隔离和部署模型
CIS 是公共多租户解决方案。 控制和数据平面在租户之间共享,并通过公共端点进行访问。 某些数据需要可公开访问。 在所有其他情况下,将使用 TLS 对静态和传输中的数据进行加密。
与其他 IBM Cloud 服务的依赖关系
查看 IBM Cloud® Internet Services 连接到或使用的 IBM Cloud 服务。
关键依赖关系
IBM Cloud Internet Services 的以下依赖关系被视为关键。 其中一个依赖关系的任何连接或服务丢失都会导致对 IBM Cloud Internet Services上的客户产生功能影响。
| 服务名称 | 描述 |
|---|---|
| IBM Cloud 资源控制器 API 和 IBM Cloud 目录 API | 用于装入有关服务实例和产品套餐的必需信息。 |
| 全局搜索和标记 (Ghost) | 用于查找有关其他 IBM Cloud 服务的信息。 例如,如果设置作业以将边缘日志推送到您自己的 IBM Cloud Object Storage 存储区,那么将使用 Ghost 搜索可用实例和存储区。 |
| IBM Cloud Kubernetes Service | 提供运行 IBM Cloud Internet Services 的基础结构。 |
| 针对 IBM Cloud (BSS) 的业务支持服务 | 用于访问有关 IBM Cloud 帐户,服务预订,服务使用情况和计费的信息。 |
| IBM Cloud 命令行 (CLI) | 用于从命令提示符运行命令。 当 IBM Cloud Internet Services 运行命令时,服务通过公共服务端点连接到服务 API 端点。 |
| IBM Log Analysis | IBM Cloud Internet Services 将服务日志发送到 IBM Log Analysis。 服务团队使用这些日志进行分析以识别问题和恶意活动。 |
| IBM Cloud Activity Tracker | IBM Cloud Internet Services 与 IBM Cloud Activity Tracker 集成,以将可审计事件转发到用户设置并拥有的 IBM Cloud Activity Tracker 服务实例。 有关更多信息,请参阅 CIS。 此服务还由 IBM Cloud Internet Services 用于存储可审计事件。 |
| Identity and Access Management (IAM) | IBM Cloud Internet Services 根据 IAM 中的平台和服务访问角色及策略,认证请求并确定所有用户操作的授权。 要了解更多信息,请参阅 管理 CIS的访问权。 |
| Object Storage (COS) | 用于存储客户数据路径流量的边缘日志。 您还可以使用此服务来存储 IBM Cloud Internet Services 本身的运行日志。 |
其他依赖关系
| 服务名称 | 描述 |
|---|---|
| Certificate Manager | 用于存储 IBM Cloud Internet Services的 TLS 证书。 |
| IBM Cloud Container Registry | 用于存储 IBM Cloud Internet Services 用于运行服务的映像。 |
| IBM Cloud Monitoring | IBM Cloud Internet Services 将服务度量值发送到 IBM Cloud Monitoring。 服务团队使用这些度量值来识别服务的容量和性能问题,并监视服务的操作运行状况。 |
与第三方服务的依赖关系
查看 IBM Cloud Kubernetes Service 通过公用网络连接到的第三方服务的列表。
关键依赖关系
| 服务名称 | 描述 |
|---|---|
| Cloudflare | Cloudflare 是 IBM Cloud Internet Services提供的所有数据路径服务的第三方提供者,例如 WAF,DDoS 保护和全局负载均衡。 |
其他依赖关系
| 服务名称 | 描述 |
|---|---|
| PagerDuty | PagerDuty 用于通知与操作 IBM Cloud Internet Services 或其支持相关的紧急和非紧急问题的待命支持。 |