Power 虚拟服务器,VPC landing zone- "标准景观变体
Power Virtual Server 的标准部署VPC landing zone创建 VPC 服务和 Power Virtual Server 工作区并将它们互连。
用于公共互联网访问的代理服务PowerVS工作区已配置。 您可以选择配置VPC上的某些管理组件(例如 NFS 服务、NTP转发器和DNS转发器),以及监控和 Security and Compliance Center 工作负载保护。
体系结构图
设计要求
IBM Cloud®力量Virtual Servers(PowerVS ) 是一种公共云产品,企业可以使用它来建立自己的私有云IBM共享公共云基础设施上的强大计算环境。 PowerVS在逻辑上与所有其他公共云租户和基础设施组件隔离,在公共云上创建一个私密、安全的地方。 这种可部署的架构提供了一个框架来构建PowerVS根据最佳实践和要求提供IBM Cloud。
组件
VPC 架构决策
要求 | 组件 | 选择 | 替代选择 |
---|---|---|---|
|
具有网络服务安全组的边缘 VPC 服务。 | 创建单独的安全组服务,允许配置公共互联网连接 | |
|
具有管理安全组的边缘 VPC 服务。 | 创建一个单独的安全组,允许外部 SSH 连接 | |
|
客户端到站点 VPN,NFS作为服务(NFSaaS)和安全组 | 创建客户端到站点 VPN 和 VPE 完全严格的安全组规则,无需直接公共互联网连接,也无需直接 SSH 访问 | |
|
Linux 操作系统 | Red Hat Enterprise Linux (RHEL) | |
|
堡垒主机 VPC 实例 | 创建一个Linux充当堡垒主机的 VPC 实例。 配置 ACL 和安全组规则以允许 SSH 连接(端口 22)。 为 VPC 实例添加公网 IP 地址。 允许来自受限且数量有限的公共 IP 地址的连接。 允许来自以下 IP 地址的连接Schematics引擎节点 | |
|
网络服务 VPC 实例 | 创建一个Linux可承载管理组件的 VPC 实例。 预先配置 ACL 和安全组规则以仅允许通过私有网络进行流量。 | 手动配置应用程序负载均衡器作为代理服务器,修改预设的虚拟服务器实例数量和允许的端口,或手动执行修改 |
|
安全着陆区组件 | 为安全着陆区创建一组最少所需的组件 | 在预设中创建一组经过修改的安全着陆区所需组件 |
|
IBM Cloud® 监控实例和监控主机VPC实例 | 可选地,创建或导入现有的 IBM Cloud® 监控实例(客户提供的详细信息),并创建和预配置监控主机VPC实例,以收集信息并将其发送到 IBM Cloud® 监控实例。 | |
|
IBM Cloud® Security and Compliance Center 部署中所有 VPC 实例上的工作负载保护和 SCC 工作负载保护代理。 | 可选择创建 IBM Cloud® Security and Compliance Center Workload Protection 实例,并在部署中的所有 VPC 实例(堡垒、网络服务、监控主机)上安装和设置 SCC Workload Protection 代理。 |
PowerVS工作空间架构决策
要求 | 组件 | 选择 | 替代选择 |
---|---|---|---|
|
Transit Gateway | 设置本地中转网关 | |
|
管理网络 | 使用默认配置配置私有网络 | |
|
备份网络 | 使用默认配置来配置单独的专用网络。 用户可能会手动调整网络特性(例如,为了提高吞吐量) | |
|
自定义操作系统映像 | 将最多三幅图像从 COS 导入PowerVS工作区。 | 修改指定自定义操作系统映像列表以及 COS 配置和凭证的可选输入参数。 |
|
预加载 SSH 公钥 | 预加载客户指定的 SSH 公钥 |
PowerVS管理服务架构决策
要求 | 组件 | 选择 | 替代选择 |
---|---|---|---|
|
Squid 代理 | 设置 SQUID 代理软件Linux在边缘 VPC 中运行的虚拟服务器实例 | |
|
VPC 中的文件存储共享 | 使用在VPC中运行的文件存储共享服务。 磁盘大小由用户指定。 | |
|
NTP 转发器 | 使用公共 NTP 服务器同步时间。 设置时间同步Linux在工作负载 VPC 中运行的虚拟服务器实例。 | 通过使用可直接访问的时间同步服务器PowerVS工作区,不需要 NTP 转发器。 |
|
DNS 转发器 | 配置 DNS 转发器Linux在边缘 VPC 中运行的虚拟服务器实例 | 使用默认IBM Cloud不需要DNS服务,DNS转发器。 可以直接域名解析。 |
网络安全架构决策
要求 | 组件 | 选择 | 替代选择 |
---|---|---|---|
|
VPN | VPN 配置由客户负责。 自动化创建客户端到站点 VPN 服务器 | |
|
管理 VPC 中的堡垒主机上的浮动 IP | 在堡垒主机上使用浮动 IPIBMSchematics完成部署 | |
|
管理 VSI 的安全组规则 | 默认开放以下端口:22(针对有限数量的 IP)。 所有港口PowerVS工作区已打开。 通往其他 VPC 的所有端口均已开放。 |
可以预设开放更多端口,也可以在部署后手动添加 |
|
边缘 VPC 中的安全组规则 | 为每个组件创建单独的安全组,并且只允许特定的 IP 或端口。 | 可以预设开放更多端口,也可以在部署后手动添加 |
密钥和密码管理架构决策
要求 | 组件 | 选择 | 替代选择 |
---|---|---|---|
|
公共 SSH 密钥 - 由客户提供。 私人 SSH 密钥 - 由客户提供。 | 要求客户指定密钥。 接受输入作为安全参数或作为对存储在IBM Cloud安全存储管理器。 不要在任何日志文件中打印 SSH 密钥。 不要保留私有 SSH 密钥。 | |
|
公共 SSH 密钥 - 由客户提供。 私人 SSH 密钥 - 由客户提供。 | 要求客户指定密钥。 接受输入作为安全参数或作为对存储在IBM Cloud安全存储管理器。 不要在任何日志文件中打印 SSH 密钥。 不要保留私有 SSH 密钥。 |
合规性
此参考架构经过认证SAP部署。
后续步骤
安装SAP基于此基础设施上的 Power 可部署架构。