IBM Cloud Docs
Power 虚拟服务器,VPC landing zone- "标准景观变体

Power 虚拟服务器,VPC landing zone- "标准景观变体

Power Virtual Server 的标准部署VPC landing zone创建 VPC 服务和 Power Virtual Server 工作区并将它们互连。

用于公共互联网访问的代理服务PowerVS工作区已配置。 您可以选择配置VPC上的某些管理组件(例如 NFS 服务、NTP转发器和DNS转发器),以及监控和 Security and Compliance Center 工作负载保护。

体系结构图

带VPC landing zone 的 Power 虚拟服务器 "的架构图 - 变体 "标准 "
1。 可通过安全着陆区访问的单区PowerVS工作区

设计要求

“VPC landing zone 虚拟服务器”的设计要求——标准版。
图2。 解决方案需求范围

IBM Cloud®力量Virtual Servers(PowerVS ) 是一种公共云产品,企业可以使用它来建立自己的私有云IBM共享公共云基础设施上的强大计算环境。 PowerVS在逻辑上与所有其他公共云租户和基础设施组件隔离,在公共云上创建一个私密、安全的地方。 这种可部署的架构提供了一个框架来构建PowerVS根据最佳实践和要求提供IBM Cloud。

组件

VPC 架构决策

表 1. VPC 架构决策
要求 组件 选择 替代选择
  • 确保公共互联网连通性
  • 隔离大多数虚拟实例,使其无法通过公共互联网直接访问
 具有网络服务安全组的边缘 VPC 服务。 创建单独的安全组服务,允许配置公共互联网连接
  • 提供基础设施管理访问权限
  • 限制基础设施管理入口点的数量,以确保安全审计
 具有管理安全组的边缘 VPC 服务。 创建一个单独的安全组,允许外部 SSH 连接
  • 为备份、监控、IT 服务管理、共享存储等服务管理组件提供基础设施
  • 确保你能接触到所有IBM Cloud以及本地服务
 客户端到站点 VPN,NFS作为服务(NFSaaS)和安全组 创建客户端到站点 VPN 和 VPE 完全严格的安全组规则,无需直接公共互联网连接,也无需直接 SSH 访问
  • 允许客户从两种最广泛使用的商业操作系统中选择Linux操作系统产品
  • 支持新操作系统版本
 Linux 操作系统 Red Hat Enterprise Linux (RHEL)
  • 创建虚拟服务器实例作为环境的唯一管理访问点
 堡垒主机 VPC 实例 创建一个Linux充当堡垒主机的 VPC 实例。 配置 ACL 和安全组规则以允许 SSH 连接(端口 22)。 为 VPC 实例添加公网 IP 地址。 允许来自受限且数量有限的公共 IP 地址的连接。 允许来自以下 IP 地址的连接Schematics引擎节点
  • 创建一个虚拟服务器实例,该实例可以充当互联网代理服务器并托管 DNS、NTP 等基本管理服务,NFS
 网络服务 VPC 实例 创建一个Linux可承载管理组件的 VPC 实例。 预先配置 ACL 和安全组规则以仅允许通过私有网络进行流量。 手动配置应用程序负载均衡器作为代理服务器,修改预设的虚拟服务器实例数量和允许的端口,或手动执行修改
  • 确保 VPC 服务的金融服务合规性
  • 执行所有已创建服务的网络设置
  • 对所有创建的服务执行网络隔离
  • 确保所有创建的服务都是互连的
 安全着陆区组件 为安全着陆区创建一组最少所需的组件 在预设中创建一组经过修改的安全着陆区所需组件
  • 允许客户在部署中选择启用监控
 IBM Cloud® 监控实例和监控主机VPC实例 可选地,创建或导入现有的 IBM Cloud® 监控实例(客户提供的详细信息),并创建和预配置监控主机VPC实例,以收集信息并将其发送到 IBM Cloud® 监控实例。
IBM Cloud® Security and Compliance Center 部署中所有 VPC 实例上的工作负载保护和 SCC 工作负载保护代理。 可选择创建 IBM Cloud® Security and Compliance Center Workload Protection 实例,并在部署中的所有 VPC 实例(堡垒、网络服务、监控主机)上安装和设置 SCC Workload Protection 代理。

PowerVS工作空间架构决策

表 2. PowerVS 工作空间架构决策
要求 组件 选择 替代选择
  • 连接PowerVS具有 VPC 服务的工作区
 Transit Gateway 设置本地中转网关
  • 配置网络以管理所有实例
  • 吞吐量和延迟不相关
 管理网络 使用默认配置配置私有网络
  • 配置单独的网络用于备份,以获得更高的数据吞吐量
 备份网络 使用默认配置来配置单独的专用网络。 用户可能会手动调整网络特性(例如,为了提高吞吐量)
  • 允许选择性地从Cloud Object Storage导入自定义操作系统镜像
 自定义操作系统映像 将最多三幅图像从 COS 导入PowerVS工作区。 修改指定自定义操作系统映像列表以及 COS 配置和凭证的可选输入参数。
  • 预加载注入到每个操作系统部署中的公共 SSH 密钥
 预加载 SSH 公钥 预加载客户指定的 SSH 公钥

PowerVS管理服务架构决策

表 3. PowerVS 管理服务架构决策
要求 组件 选择 替代选择
  • 确保要部署的所有实例都能够连接到公共互联网PowerVS工作区
 Squid 代理 设置 SQUID 代理软件Linux在边缘 VPC 中运行的虚拟服务器实例
  • 提供共享NFS存储可以直接连接到要部署的所有实例PowerVS工作区
 VPC 中的文件存储共享 使用在VPC中运行的文件存储共享服务。 磁盘大小由用户指定。
  • 为要部署的所有实例提供时间同步PowerVS工作区
 NTP 转发器 使用公共 NTP 服务器同步时间。 设置时间同步Linux在工作负载 VPC 中运行的虚拟服务器实例。 通过使用可直接访问的时间同步服务器PowerVS工作区,不需要 NTP 转发器。
  • 为无法直接访问的 DNS 服务器提供 DNS 转发器PowerVS工作区(例如,在本地或其他隔离环境中运行)
 DNS 转发器 配置 DNS 转发器Linux在边缘 VPC 中运行的虚拟服务器实例 使用默认IBM Cloud不需要DNS服务,DNS转发器。 可以直接域名解析。

网络安全架构决策

表 4. 网络安全架构决策
要求 组件 选择 替代选择
  • 预加载 VPN 配置以简化 VPN 设置
 VPN VPN 配置由客户负责。 自动化创建客户端到站点 VPN 服务器
  • 在堡垒机上启用浮动 IP 来执行部署
 管理 VPC 中的堡垒主机上的浮动 IP 在堡垒主机上使用浮动 IPIBMSchematics完成部署
  • 隔离管理 VSI 并仅允许有限数量的网络连接
  • 禁止与管理 VPC 建立任何其他连接
 管理 VSI 的安全组规则 默认开放以下端口:22(针对有限数量的 IP)。
所有港口PowerVS工作区已打开。
通往其他 VPC 的所有端口均已开放。		 可以预设开放更多端口,也可以在部署后手动添加
  • 隔离网络服务 VSI、VPE 和NFaaS
 边缘 VPC 中的安全组规则 为每个组件创建单独的安全组,并且只允许特定的 IP 或端口。 可以预设开放更多端口,也可以在部署后手动添加

密钥和密码管理架构决策

表 5. 密钥和密码管理架构决策
要求 组件 选择 替代选择
  • 使用公钥/私钥 SSH 密钥通过 SSH 访问虚拟服务器实例
  • 使用 SSH 代理通过堡垒主机登录所有虚拟服务器实例
  • 不要在任何虚拟实例上存储私有 ssh 密钥,也不要将其存储在堡垒主机上
  • 除了使用指定私钥/公钥 SSH 密钥对的登录方法外,不允许任何其他 SSH 登录方法
 公共 SSH 密钥 - 由客户提供。 私人 SSH 密钥 - 由客户提供。 要求客户指定密钥。 接受输入作为安全参数或作为对存储在IBM Cloud安全存储管理器。 不要在任何日志文件中打印 SSH 密钥。 不要保留私有 SSH 密钥。
  • 使用公钥/私钥 SSH 密钥通过 SSH 访问虚拟服务器实例
  • 使用 SSH 代理通过 VPN 客户端使用实例的私有 IPS 登录到所有虚拟服务器实例
  • 不要在任何虚拟实例上存储私有 ssh 密钥
  • 除了使用指定私钥/公钥 SSH 密钥对的登录方法外,不允许任何其他 SSH 登录方法
 公共 SSH 密钥 - 由客户提供。 私人 SSH 密钥 - 由客户提供。 要求客户指定密钥。 接受输入作为安全参数或作为对存储在IBM Cloud安全存储管理器。 不要在任何日志文件中打印 SSH 密钥。 不要保留私有 SSH 密钥。

合规性

此参考架构经过认证SAP部署。

后续步骤

安装SAP基于此基础设施上的 Power 可部署架构。