Power Virtual Server with VPC landing zone- 「標準的な風景のバリエーション
Power Virtual Serverの標準導入では、VPC landing zoneVPC サービスと Power Virtual Server ワークスペースを作成し、それらを相互接続します。
パブリックインターネットアクセス用のプロキシサービスPowerVSワークスペースが構成されました。 オプションとして、VPC上の一部の管理コンポーネント( NFS サービス、NTPフォワーダー、DNSフォワーダーなど)や、モニタリングおよび Security and Compliance Center ワークロードプロテクションを設定することができます。
アーキテクチャー図
設計要件
IBM Cloud®力Virtual Servers(PowerVS )は、企業が独自のプライベートクラウドを構築するために使用できるパブリッククラウドサービスです。IBM共有パブリック クラウド インフラストラクチャ上のコンピューティング環境を強化します。 PowerVS他のすべてのパブリック クラウド テナントおよびインフラストラクチャ コンポーネントから論理的に分離され、パブリック クラウド上にプライベートで安全な場所が作成されます。 この展開可能なアーキテクチャは、PowerVSベストプラクティスと要件に従って提供するIBM Cloud。
コンポーネント
VPC アーキテクチャの決定
要件 | コンポーネント | 選択 | 代替案 |
---|---|---|---|
|
ネットワーク サービス セキュリティ グループを備えた Edge VPC サービス。 | パブリックインターネット接続を構成できる別のセキュリティグループサービスを作成します。 | |
|
管理セキュリティ グループを備えた Edge VPC サービス。 | 外部からのSSH接続を許可する別のセキュリティグループを作成する | |
|
クライアントからサイトへのVPN、NFSサービスとして(NFSaaS ) およびセキュリティグループ | 直接パブリックインターネット接続や直接SSHアクセスなしで、クライアントからサイトへのVPNとVPEの完全な厳格なセキュリティグループルールを作成します。 | |
|
Linux オペレーティング・システム | Red Hat Enterprise Linux (RHEL) | |
|
バスティオンホスト VPC インスタンス | 作成するLinux要塞ホストとして機能する VPC インスタンス。 SSH 接続 (ポート 22) を許可するように ACL およびセキュリティ グループ ルールを構成します。 VPC インスタンスにパブリック IP アドレスを追加します。 制限された数のパブリック IP アドレスからの接続を許可します。 IPアドレスからの接続を許可するSchematicsエンジンノード | |
|
ネットワークサービス VPC インスタンス | 作成するLinux管理コンポーネントをホストできる VPC インスタンス。 プライベート ネットワーク経由のトラフィックのみを許可するように ACL とセキュリティ グループ ルールを事前構成します。 | アプリケーション ロード バランサーをプロキシ サーバーとして動作するように手動で構成し、プリセットの仮想サーバー インスタンスと許可されたポートの数を変更するか、手動で変更を実行します。 |
|
安全な着陸ゾーンコンポーネント | 安全な着陸ゾーンに必要なコンポーネントの最小限のセットを作成する | プリセットの安全な着陸ゾーンに必要なコンポーネントの修正セットを作成します |
|
IBM Cloud® モニタリングインスタンスとモニタリングホストVPCインスタンス | オプションとして、 IBM Cloud® のモニタリングインスタンス(お客様が提供する詳細情報)を作成またはインポートし、情報を収集して IBM Cloud® のモニタリングインスタンスに送信するためのモニタリングホストVPCインスタンスを作成して事前設定します。 | |
|
IBM Cloud® Security and Compliance Center 配備内のすべてのVPCインスタンスで、ワークロード保護とSCCワークロード保護 エージェントを使用します。 | オプションとして、 IBM Cloud® Security and Compliance Center Workload Protectionインスタンスを作成し、配備内のすべてのVPCインスタンス(Bastion、ネットワークサービス、監視ホスト)にSCC Workload Protectionエージェントをインストールしてセットアップします。 |
PowerVSワークスペースアーキテクチャの決定
要件 | コンポーネント | 選択 | 代替案 |
---|---|---|---|
|
Transit Gateway | ローカルトランジットゲートウェイを設定する | |
|
管理ネットワーク | デフォルト設定でプライベートネットワークを構成する | |
|
バックアップネットワーク | デフォルト設定で個別のプライベート ネットワークを構成します。 ネットワーク特性は、ユーザーが手動で調整できる場合があります(たとえば、スループットを向上させるため)。 | |
|
カスタム OS イメージ | COS から最大 3 つのイメージをPowerVSワークスペースにインポートします。 | カスタム OS イメージのリストと COS 構成および資格情報を指定するオプションの入力パラメータを変更します。 |
|
プリロードされたSSH公開鍵 | 顧客指定のSSH公開鍵をプリロードする |
PowerVS管理サービスアーキテクチャの決定
要件 | コンポーネント | 選択 | 代替案 |
---|---|---|---|
|
Squid プロキシー | SQUIDプロキシソフトウェアを設定するLinuxエッジ VPC で実行されている仮想サーバー インスタンス | |
|
VPC のファイル ストレージ共有 | VPC で実行されているファイル ストレージ共有サービスを使用します。 ディスク サイズはユーザーが指定します。 | |
|
NTPフォワーダー | パブリック NTP サーバーを使用して時間を同期します。 時刻同期を設定するLinuxワークロード VPC で実行されている仮想サーバー インスタンス。 | 直接アクセスできる時刻同期サーバーを使用することでPowerVSワークスペースでは、NTP フォワーダーは必要ありません。 |
|
DNSフォワーダー | DNSフォワーダーを設定するLinuxエッジVPCで実行されている仮想サーバーインスタンス | デフォルトを使用することでIBM CloudDNS サービス、DNS フォワーダーは必要ありません。 直接ドメイン名解決が可能です。 |
ネットワークセキュリティアーキテクチャの決定
要件 | コンポーネント | 選択 | 代替案 |
---|---|---|---|
|
VPN | VPN の設定はお客様の責任となります。 自動化によりクライアントからサイトへのVPNサーバーが作成される | |
|
管理 VPC 内の要塞ホスト上のフローティング IP | 要塞ホストのフローティングIPを使用するIBMSchematics展開を完了する | |
|
管理VSIのセキュリティグループルール | デフォルトで次のポートを開きます: 22 (IP の数が制限されている場合)。 すべてのポートPowerVSワークスペースが開いています。 他の VPC へのすべてのポートが開いています。 |
より多くのポートがプリセットで開かれるか、展開後に手動で追加される可能性があります。 |
|
エッジ VPC のセキュリティ グループ ルール | 各コンポーネントごとに個別のセキュリティ グループが作成され、特定の IP またはポートのみが許可されます。 | より多くのポートがプリセットで開かれるか、展開後に手動で追加される可能性があります。 |
キーとパスワードの管理アーキテクチャの決定
要件 | コンポーネント | 選択 | 代替案 |
---|---|---|---|
|
公開 SSH キー - 顧客から提供されます。 秘密 SSH キー - 顧客が提供します。 | 顧客にキーを指定するよう依頼します。 入力を安全なパラメータとして、または保存されているキーへの参照として受け入れます。IBM Cloudセキュア ストレージ マネージャー。 ログ ファイルに SSH キーを出力しません。 秘密 SSH キーを保持しないでください。 | |
|
公開 SSH キー - 顧客から提供されます。 秘密 SSH キー - 顧客が提供します。 | 顧客にキーを指定するよう依頼します。 入力を安全なパラメータとして、または保存されているキーへの参照として受け入れます。IBM Cloudセキュア ストレージ マネージャー。 ログ ファイルに SSH キーを出力しません。 秘密 SSH キーを保持しないでください。 |
コンプライアンス
このリファレンスアーキテクチャは、SAPデプロイメント。
次のステップ
インストールSAPこのインフラストラクチャ上で Power 展開可能なアーキテクチャを採用します。