IBM Cloud Docs
Power Virtual Server with VPC landing zone- 「標準的な風景のバリエーション

Power Virtual Server with VPC landing zone- 「標準的な風景のバリエーション

Power Virtual Serverの標準導入では、VPC landing zoneVPC サービスと Power Virtual Server ワークスペースを作成し、それらを相互接続します。

パブリックインターネットアクセス用のプロキシサービスPowerVSワークスペースが構成されました。 オプションとして、VPC上の一部の管理コンポーネント( NFS サービス、NTPフォワーダー、DNSフォワーダーなど)や、モニタリングおよび Security and Compliance Center ワークロードプロテクションを設定することができます。

アーキテクチャー図

Power Virtual Server withVPC landing zoneバリエーション「Standard」のアーキテクチャ図
1. シングルゾーンのPowerVSワークスペースは、安全なランディングゾーンからアクセス可能

設計要件

「 VPC landing zone 」の「Power Virtual Server」の設計要件 - 「スタンダード」バージョン。
図2. ソリューション要件の範囲

IBM Cloud®力Virtual Servers(PowerVS )は、企業が独自のプライベートクラウドを構築するために使用できるパブリッククラウドサービスです。IBM共有パブリック クラウド インフラストラクチャ上のコンピューティング環境を強化します。 PowerVS他のすべてのパブリック クラウド テナントおよびインフラストラクチャ コンポーネントから論理的に分離され、パブリック クラウド上にプライベートで安全な場所が作成されます。 この展開可能なアーキテクチャは、PowerVSベストプラクティスと要件に従って提供するIBM Cloud。

コンポーネント

VPC アーキテクチャの決定

表 1. VPCアーキテクチャの
要件 コンポーネント 選択 代替案
  • 公共のインターネット接続を確保する
  • ほとんどの仮想インスタンスをパブリックインターネットから直接アクセスできないように分離する
ネットワーク サービス セキュリティ グループを備えた Edge VPC サービス。 パブリックインターネット接続を構成できる別のセキュリティグループサービスを作成します。
  • インフラストラクチャ管理アクセスを提供する
  • セキュリティ監査を確実に行うために、インフラストラクチャ管理エントリポイントの数を制限する
管理セキュリティ グループを備えた Edge VPC サービス。 外部からのSSH接続を許可する別のセキュリティグループを作成する
  • バックアップ、監視、ITサービス管理、共有ストレージなどのサービス管理コンポーネントのインフラストラクチャを提供する
  • 全員に届くようにするIBM Cloudオンプレミスサービス
クライアントからサイトへのVPN、NFSサービスとして(NFSaaS ) およびセキュリティグループ 直接パブリックインターネット接続や直接SSHアクセスなしで、クライアントからサイトへのVPNとVPEの完全な厳格なセキュリティグループルールを作成します。
  • 最も広く使用されている2つの商用オペレーティングシステムから顧客が選択できるようにします。Linuxオペレーティングシステムの提供
  • 新しいOSリリースをサポート
Linux オペレーティング・システム Red Hat Enterprise Linux (RHEL)
  • ランドスケープへの唯一の管理アクセスポイントとして仮想サーバーインスタンスを作成する
バスティオンホスト VPC インスタンス 作成するLinux要塞ホストとして機能する VPC インスタンス。 SSH 接続 (ポート 22) を許可するように ACL およびセキュリティ グループ ルールを構成します。 VPC インスタンスにパブリック IP アドレスを追加します。 制限された数のパブリック IP アドレスからの接続を許可します。 IPアドレスからの接続を許可するSchematicsエンジンノード
  • インターネットプロキシサーバーとして機能し、DNS、NTPなどの基本的な管理サービスをホストできる仮想サーバーインスタンスを作成します。NFS
ネットワークサービス VPC インスタンス 作成するLinux管理コンポーネントをホストできる VPC インスタンス。 プライベート ネットワーク経由のトラフィックのみを許可するように ACL とセキュリティ グループ ルールを事前構成します。 アプリケーション ロード バランサーをプロキシ サーバーとして動作するように手動で構成し、プリセットの仮想サーバー インスタンスと許可されたポートの数を変更するか、手動で変更を実行します。
  • VPC サービスの金融サービスコンプライアンスを確保する
  • 作成されたすべてのサービスのネットワーク設定を実行する
  • 作成されたすべてのサービスのネットワーク分離を実行します
  • 作成されたすべてのサービスが相互接続されていることを確認する
安全な着陸ゾーンコンポーネント 安全な着陸ゾーンに必要なコンポーネントの最小限のセットを作成する プリセットの安全な着陸ゾーンに必要なコンポーネントの修正セットを作成します
  • 顧客が任意でデプロイメントの監視を有効化できるようにする
IBM Cloud® モニタリングインスタンスとモニタリングホストVPCインスタンス オプションとして、 IBM Cloud® のモニタリングインスタンス(お客様が提供する詳細情報)を作成またはインポートし、情報を収集して IBM Cloud® のモニタリングインスタンスに送信するためのモニタリングホストVPCインスタンスを作成して事前設定します。
IBM Cloud® Security and Compliance Center 配備内のすべてのVPCインスタンスで、ワークロード保護とSCCワークロード保護 エージェントを使用します。 オプションとして、 IBM Cloud® Security and Compliance Center Workload Protectionインスタンスを作成し、配備内のすべてのVPCインスタンス(Bastion、ネットワークサービス、監視ホスト)にSCC Workload Protectionエージェントをインストールしてセットアップします。

PowerVSワークスペースアーキテクチャの決定

表 2. PowerVSワークスペース・アーキテクチャの決定
要件 コンポーネント 選択 代替案
  • 接続するPowerVS VPC サービスを備えたワークスペース
Transit Gateway ローカルトランジットゲートウェイを設定する
  • すべてのインスタンスの管理用にネットワークを構成する
  • スループットとレイテンシは関係ありません
管理ネットワーク デフォルト設定でプライベートネットワークを構成する
  • より高いデータスループットでバックアップ用に別のネットワークを構成する
バックアップネットワーク デフォルト設定で個別のプライベート ネットワークを構成します。 ネットワーク特性は、ユーザーが手動で調整できる場合があります(たとえば、スループットを向上させるため)。
  • Cloud Object Storageからのカスタム OS イメージのインポートをオプションで許可
カスタム OS イメージ COS から最大 3 つのイメージをPowerVSワークスペースにインポートします。 カスタム OS イメージのリストと COS 構成および資格情報を指定するオプションの入力パラメータを変更します。
  • すべてのOS展開に挿入される公開SSHキーをプリロードする
プリロードされたSSH公開鍵 顧客指定のSSH公開鍵をプリロードする

PowerVS管理サービスアーキテクチャの決定

表 3. PowerVS管理サービスアーキテクチャの
要件 コンポーネント 選択 代替案
  • デプロイするすべてのインスタンスからパブリックインターネット接続を確保するPowerVSワークスペース
Squid プロキシー SQUIDプロキシソフトウェアを設定するLinuxエッジ VPC で実行されている仮想サーバー インスタンス
  • 共有を提供するNFSデプロイされるすべてのインスタンスに直接接続される可能性のあるストレージPowerVSワークスペース
VPC のファイル ストレージ共有 VPC で実行されているファイル ストレージ共有サービスを使用します。 ディスク サイズはユーザーが指定します。
  • 展開するすべてのインスタンスに時刻同期を提供するPowerVSワークスペース
NTPフォワーダー パブリック NTP サーバーを使用して時間を同期します。 時刻同期を設定するLinuxワークロード VPC で実行されている仮想サーバー インスタンス。 直接アクセスできる時刻同期サーバーを使用することでPowerVSワークスペースでは、NTP フォワーダーは必要ありません。
  • 直接アクセスできないDNSサーバーにDNSフォワーダーを提供するPowerVSワークスペース(オンプレミスまたは他の分離された環境で実行する場合など)
DNSフォワーダー DNSフォワーダーを設定するLinuxエッジVPCで実行されている仮想サーバーインスタンス デフォルトを使用することでIBM CloudDNS サービス、DNS フォワーダーは必要ありません。 直接ドメイン名解決が可能です。

ネットワークセキュリティアーキテクチャの決定

表 4。 ネットワーク・セキュリティ・アーキテクチャの
要件 コンポーネント 選択 代替案
  • VPN設定を簡素化するためにVPN構成をプリロードする
VPN VPN の設定はお客様の責任となります。 自動化によりクライアントからサイトへのVPNサーバーが作成される
  • デプロイメントを実行するために、要塞ホストでフローティングIPを有効にする
管理 VPC 内の要塞ホスト上のフローティング IP 要塞ホストのフローティングIPを使用するIBMSchematics展開を完了する
  • 管理VSIを分離し、限られた数のネットワーク接続のみを許可する
  • 管理VPCとの間のその他の接続はすべて禁止されています
管理VSIのセキュリティグループルール デフォルトで次のポートを開きます: 22 (IP の数が制限されている場合)。
すべてのポートPowerVSワークスペースが開いています。
他の VPC へのすべてのポートが開いています。
より多くのポートがプリセットで開かれるか、展開後に手動で追加される可能性があります。
  • ネットワークサービスVSI、VPE、およびNFaaS
エッジ VPC のセキュリティ グループ ルール 各コンポーネントごとに個別のセキュリティ グループが作成され、特定の IP またはポートのみが許可されます。 より多くのポートがプリセットで開かれるか、展開後に手動で追加される可能性があります。

キーとパスワードの管理アーキテクチャの決定

表 5. 鍵とパスワードの管理アーキテクチャの
要件 コンポーネント 選択 代替案
  • SSHを使用して仮想サーバーインスタンスにアクセスするには、公開/秘密SSHキーを使用します。
  • SSHプロキシを使用して、要塞ホストを使用してすべての仮想サーバーインスタンスにログインします。
  • 仮想インスタンスや要塞ホストに秘密のSSHキーを保存しないでください。
  • 指定された秘密/公開SSHキーペア以外のSSHログイン方法を許可しない
公開 SSH キー - 顧客から提供されます。 秘密 SSH キー - 顧客が提供します。 顧客にキーを指定するよう依頼します。 入力を安全なパラメータとして、または保存されているキーへの参照として受け入れます。IBM Cloudセキュア ストレージ マネージャー。 ログ ファイルに SSH キーを出力しません。 秘密 SSH キーを保持しないでください。
  • SSHを使用して仮想サーバーインスタンスにアクセスするには、公開/秘密SSHキーを使用します。
  • SSHプロキシを使用して、VPNクライアントを使用するインスタンスのプライベートIPSを使用して、すべての仮想サーバーインスタンスにログインします。
  • 仮想インスタンスに秘密SSHキーを保存しないでください
  • 指定された秘密/公開SSHキーペア以外のSSHログイン方法を許可しない
公開 SSH キー - 顧客から提供されます。 秘密 SSH キー - 顧客が提供します。 顧客にキーを指定するよう依頼します。 入力を安全なパラメータとして、または保存されているキーへの参照として受け入れます。IBM Cloudセキュア ストレージ マネージャー。 ログ ファイルに SSH キーを出力しません。 秘密 SSH キーを保持しないでください。

コンプライアンス

このリファレンスアーキテクチャは、SAPデプロイメント。

次のステップ

インストールSAPこのインフラストラクチャ上で Power 展開可能なアーキテクチャを採用します。