Workload-Accounts

Die Workloadkonten enthalten die gemeinsam genutzte Anwendungshosting-Infrastruktur, einschließlich VPC, Red Hat OpenShift on IBM Cloud -Cluster oder virtuelle Serverinstanzen, Beobachtbarkeitsservices und mehr. Diese Infrastruktur für das Anwendungshosting sollte aus einer der kompatiblen implementierbaren Architekturen, die von IBM unterstützt werden, oder einer angepassten Erweiterung einer solchen Architektur ausgewählt werden. Ein gutes Beispiel ist die VPC landing zone, aber andere finden Sie im IBM Cloud -Katalog und in der Dokumentation zu IBM Cloud Framework for Financial Services .

Produktionsworkloaddiagramm. Alle Informationen werden im umgebenden Text übermittelt. — Abbildung 1. Produktionsworkloadkonto

Ein einzelnes Workloadkonto enthält eine einzelne VPC mit einem oder mehreren Teilnetzen. Es ist erforderlich, die Anzahl der VPCs und Adresspräfixe zu begrenzen, um sicherzustellen, dass die Größe der Routing-Tabelle des Transit Gateways bei der Skalierung der Workloadkonten innerhalb der Grenzen bleibt (weitere Informationen finden Sie unter VPC-Adressierung).

Benutzer in diesem Konto sollten keinen Zugriff zum Ändern von Ressourcen haben, da die gesamte Ressourcenkonfiguration als Code vom BU-Verwaltungskonto ausgeführt wird. Im Allgemeinen sollte das Produktionsworkloadkonto für eingeschränkten Benutzerzugriff konfiguriert werden. Der primäre Benutzer ist ein Team für gemeinsam genutzte Operationen, das die Infrastruktur für alle Anwendungen unterstützt, die auf ihm ausgeführt werden.

Wenn Sie die VPC-Referenzarchitektur für IBM Cloud for Financial Servicesverwenden, entspricht die VPC im Workloadkonto der Workload-VPC in der Referenzarchitektur. Die Management-und Edge-VPCs befinden sich im BU-Verwaltungskonto.

Tabelle 1. Komponenten
Komponente	Menge	Beschreibung
Workload-VPC	1	Stellt den Netzbetrieb für diese Instanz der gemeinsam genutzten Infrastruktur bereit Stellt über das zentrale Transit Gateway eine Verbindung zum Rest des Unternehmens her. Das Diagramm zeigt Beispielkomponenten wie Red Hat OpenShift on IBM Cloud. Es können jedoch auch andere Services enthalten sein. Weitere Details finden Sie in der VPC-Referenzarchitektur für IBM Cloud for Financial Services
Vertrauenswürdiges Infrastrukturprofil	1	Autorisiert die Verwaltung dieses Kontos und der gemeinsam genutzten Infrastruktur durch ein Projekt im Verwaltungskonto der Geschäftseinheit.
Zugriffsgruppe für Infrastrukturoperationen	1	Zugriffsgruppe, um einem BU-Team DevOps die Überwachung und Verwaltung der gemeinsam genutzten Infrastruktur zu ermöglichen
Zugriffsgruppe für Anwendungsoperationen	n	Zugriffsgruppen, die es Anwendungsteams ermöglichen, ihre Entwicklungstools zu betreiben und ihre App zu überwachen

Zusätzliche Komponenten, die im Diagramm nicht angezeigt werden:

Tabelle 1. Zusätzliche Komponenten
Komponente	Menge	Beschreibung
Activity Tracker	1	Stellt ein Prüfprotokoll für Aktivitäten innerhalb des Accounts bereit
IBM Cloud -Protokollierung	1	Stellt Protokollüberwachung für die Infrastruktur und Services im Konto bereit
IBM Cloud Monitoring	1	Bietet Leistungs-und Fehlerüberwachung für die Infrastruktur und Services im Konto
Zusätzliche IBM Cloud -Services	n	Alle zusätzlichen Services (Datenbanken, Watson, Ereignisströme usw.), die zur Unterstützung der Anwendungsworkloads erforderlich sind

Entwicklungsworkloaddiagramm. Alle Informationen werden im umgebenden Text übermittelt. — Abbildung 2. Workloadkonto für nicht produktive Nutzung

Die Nicht-Produktionsworkloadkonten enthalten dieselbe Hosting-Infrastruktur für gemeinsam genutzte Anwendungen wie das Produktionsworkloadkonto, obwohl Cluster zur Kosteneinsparung skaliert werden können. Das Workloadkonto für nicht produktive Nutzung enthält auch Anwendungsentwicklungs-und Testtools wie IBM Continuous Delivery -Toolchains mit den zugehörigen Git -Repositorys und CI/CD-Pipelines.

Benutzer in diesem Konto sollten keinen Zugriff zum Ändern von Ressourcen haben, da die gesamte Ressourcenkonfiguration als Code vom BU-Verwaltungskonto ausgeführt wird. Entwickler können jedoch auf Konten für nicht für die Produktion verwendete Workloads zugreifen, um CI/CD-Pipelineausführungen auszulösen und zu überwachen, auf Git -Repositorys zuzugreifen und die Entwicklungsinfrastruktur und Software über Beobachtbarkeitstools zu überwachen.

Zusätzliche Komponenten über das Produktionsworkloadkonto:

Tabelle 1. Komponenten
Komponente	Menge	Beschreibung
Anwendungsressourcengruppe	n	Enthält Anwendungsentwicklungsinfrastruktur und Services wie Toolchains und Angabensperren. Nur in einem Entwicklungsworkloadkonto vorhanden.
Vertrauenswürdiges Anwendungsprofil	n	Berechtigt zur Verwaltung einer Anwendungsressourcengruppe durch ein Projekt im BU-Verwaltungskonto. Nur in einem Entwicklungsworkloadkonto vorhanden.
Zugriffsgruppe für Anwendungsoperationen	n	Zugriffsgruppen, damit Anwendungsteams ihre Entwicklungstools bedienen und ihre App überwachen können

Begründung für gemeinsam genutzte Anwendungsinfrastruktur

Vorteile der gemeinsam genutzten Anwendungsinfrastruktur:

Weniger Überbereitstellung senkt Kosten

Die Infrastruktur für das Anwendungshosting muss für die Verarbeitung von Burstlasten für eine Anwendung dimensioniert werden. Bei einer einzelnen Anwendung kann es erforderlich sein, bis zu 10x die Fähigkeit des stabilen Zustands bereitzustellen, um Bursts zu verarbeiten. Wenn jedoch viele Anwendungen in der Cloud gehostet werden, neigt die Netzlast für viele Anwendungen dazu, sich zu glätten, da Bursts selten zusammenfallen. Daher kann es erforderlich sein, nur 10-50% zusätzliche Kapazität bereitzustellen, wenn Sie 10 oder 20 Anwendungen hosten, was erhebliche Kosteneinsparungen ermöglicht.
Fixkostenelemente können anwendungsübergreifend gemeinsam genutzt werden

Die Infrastruktur für Anwendungshosting beinhaltet in der Regel, dass bestimmte Ressourcen als feste Kosten pro Cluster oder pro VPC betrachtet werden können. Durch die Konsolidierung vieler Anwendungen in derselben Infrastruktur können diese Kosten auf viele Anwendungen verteilt werden, um weitere Kosteneinsparungen zu erzielen.
Betriebseinsparungen

Die Überwachung und Wartung einer Instanz der Anwendungshosting-Infrastruktur verursacht ungefähr dieselben Kosten, unabhängig von der Größe dieser Infrastruktur. Die Verwaltung eines Kubernetes -Clusters ist beispielsweise ein fester Kostenfaktor, unabhängig davon, wie viele Workerknoten er enthält. Durch die Konsolidierung vieler Anwendungen in derselben Infrastruktur können die Kosten für die Überwachung und Wartung der Infrastruktur auf viele Anwendungen verteilt werden, um Einsparungen beim Betrieb zu erzielen.

Weitere Überlegungen

Beachten Sie Folgendes, wenn Sie eine gemeinsam genutzte Anwendungsinfrastruktur verwenden:

Anwendungsisolation ist nicht binär

Anwendungen können ein Netz sein, das isoliert ist, aber dennoch Ressourcen wie Rechenleistung, RAM und Speicher innerhalb eines Clusters gemeinsam nutzt. Die Politik im Zusammenhang mit der Zuweisung solcher gemeinsam genutzten Ressourcen muss unter Berücksichtigung der Kompromisse zwischen Kosten und Isolation berücksichtigt werden. Weitere Informationen zur Netzisolation finden Sie unter FS Cloud Boundary Protection.
Nicht alle Anwendungsmodelle können die Infrastruktur gemeinsam nutzen

Die gemeinsam genutzte Anwendungsinfrastruktur ist nur für Gruppen von Anwendungen mit ähnlichen Architekturen sinnvoll. Beispielsweise können Gruppen von Anwendungen, die statusunabhängige Mikroservices, Container und verwaltete Datenbankservices verwenden, einfach gemeinsam implementiert werden. Andere Anwendungen, die auf VM-Images mit lokalem Speicher basieren, benötigen eine separate Anwendungsinfrastruktur. Es ist ein bewährtes Verfahren, zwei oder drei allgemeine Architekturmuster zu identifizieren, damit eine kleine Anzahl von implementierbaren Anwendungsarchitekturen erstellt und für viele Anwendungen verwendet werden kann.
Interaktionen mit zentralisierten Netzwerken und Services
- Transit Gateway
Für die Verbindung der gemeinsam genutzten Infrastruktur-VPC mit dem zentralen Transit Gateway ist ein Prozess erforderlich, bei dem sowohl das zentrale Operationsteam als auch das BU-Operationsteam die Verbindung zur VPC koordinieren.
- Hyper Protect Crypto Services und andere zentrale Services
  
  Die kontenübergreifende Autorisierung erfordert einen Prozess, bei dem sowohl das zentrale Operationsteam als auch das BU-Operationsteam koordinieren, um eine Service-zu-Service-Autorisierung für die konsumierenden Anwendungen zu erstellen.
Hosting mehrerer Anwendungen in Kubernetes

Red Hat Open Shift und Kubernetes sind für das effiziente Hosting mehrerer Anwendungen konzipiert. Es ist jedoch ein bewährtes Verfahren, Kubernetes-Namensbereiche für die Anwendungsisolation und Istio für Ingress-und Egress-Steuerelemente für Anwendungsnetze zu nutzen. Die Clusterkonfiguration zur Unterstützung einer Anwendung muss automatisiert werden und diese Automatisierung muss dem Hosting-Projekt der gemeinsam genutzten Infrastruktur gehören. Anwendungseigner können jedoch Informationen bereitstellen, um die Automatisierung an die Anforderungen anzupassen. Anwendungseigner sollten nicht berechtigt sein, die Konfiguration der gemeinsam genutzten Infrastruktur direkt zu ändern.