IBM Cloud Docs
Cuenta de administración de unidad de negocio

Cuenta de administración de unidad de negocio

Cada grupo de cuentas de unidad de negocio de producción (BU) tiene una cuenta de administración de unidad de negocio. Esta cuenta permite a las unidades de negocio autoadministrar sus cuentas de carga de trabajo y aplicaciones en las empresas de desarrollo y producción.

La autoadministración está restringida a las prestaciones de las arquitecturas desplegables (infraestructura como plantillas de código) proporcionadas en los catálogos de aplicaciones e infraestructura.

Diagrama de

Administrador de BU IaC . Toda la información se transmite en el texto circundante.
Figura 1. Infraestructura de cuenta de administración de BU como código

Las arquitecturas desplegables en el catálogo de infraestructura permiten que las cuentas de carga de trabajo se creen y se suministren con la infraestructura compartida necesaria para alojar aplicaciones de forma segura y compatible.

Tabla 1. Componentes
Componente Cantidad Descripción
Catálogo de aplicaciones 1 Se utiliza para alojar las arquitecturas desplegables aprobadas para los proyectos de aplicación en esta BU
Catálogo de infraestructura 1 Se utiliza para alojar las arquitecturas desplegables aprobadas para los proyectos de infraestructuras compartidas en esta BU
Proyecto de desarrollo de aplicaciones n Gestiona la infraestructura como código para desplegar recursos de desarrollo de aplicaciones como, por ejemplo, repositorios Git , cadenas de herramientas, registros de contenedor, casilleros de pruebas y también solicita espacios de nombres, reglas de salida de red, etc. dentro de la infraestructura compartida. Las propias aplicaciones se crean y luego se despliegan en la infraestructura compartida de desarrollo y producción utilizando estas herramientas
Proyecto de infraestructura compartida n Gestiona la infraestructura como código para desplegar cuentas de carga de trabajo de desarrollo y producción y la infraestructura compartida dentro de esas cuentas
Proyecto de desarrollo de IaC 1 Gestiona la infraestructura como código para desplegar cuentas de desarrollo y prueba de IaC . Estas cuentas se utilizan para desarrollar y probar arquitecturas desplegables
Aplicación-Conjuntos de infraestructura n Agrupación conceptual: agrupa un conjunto de proyectos de aplicación y el proyecto que despliega la infraestructura para alojar dichas aplicaciones

Diagrama del servicio de administración de BU de

. Toda la información se transmite en el texto circundante.
Figura 2. Servicios de cuenta de administración de BU

El soporte de la infraestructura como elementos de código en la cuenta de administración de BU son los espacios de trabajo de Schematics y el agente de Schematics . Schematics permite el uso de arquitecturas desplegables almacenadas en repositorios Git privados alojados en la red corporativa. Esta cuenta también aloja las VPC de gestión y Edge utilizadas en la arquitectura de referencia de VPC landing zone si lo requiere la BU.

Tabla 2. Componentes
Componente Cantidad Descripción
Agente de Schematics 1 Se utiliza para habilitar arquitecturas desplegables personalizadas alojadas de forma privada en el catálogo privado
Espacios de trabajo de Schematics n Orquestado por proyectos, utilizado para desplegar las arquitecturas desplegables y almacenar el estado de terraform. Un espacio de trabajo por configuración dentro de cada proyecto.
VPC de gestión/Edge 1 Aloja la gestión compartida y los recursos periféricos para la unidad de negocio. Esto puede incluir equilibradores de carga públicos, hosts de bastión y servicios de gestión personalizados.

El agente de schematics se puede desplegar en la VPC de gestión/Edge, pero el agente no debe ser accesible desde la Internet pública.

Componentes adicionales no mostrados en el diagrama:

Tabla 3. Componentes adicionales
Componente Cantidad Descripción
Activity Tracker 1 Proporciona un seguimiento de auditoría para la actividad dentro de la cuenta
Registro de IBM Cloud 1 Proporciona supervisión de registro para la infraestructura que aloja el agente de Schematics
IBM Cloud Monitoring 1 Proporciona supervisión de rendimiento y errores para el agente de Schematics
Event Notifications 1 Proporciona notificaciones para proyectos
Perfil de confianza de automatización 1 Autoriza al proyecto de administración central a gestionar la infraestructura de esta cuenta
Grupos de acceso y perfiles de confianza n Un número de grupos de acceso y perfiles de confianza que se utilizan para autorizar a los operadores de BU a utilizar catálogos y proyectos

VPC de gestión/Edge

La arquitectura de referencia de Financial Services Cloud separa las funciones de gestión y acceso público a Internet de las funciones de alojamiento de aplicaciones; consulte la Arquitectura de referencia de VPC para IBM Cloud for Financial Services y la Variación con VPC de tránsito o Edge para acceso público a Internet. Estas funciones de gestión y borde se centralizan en la cuenta de administración de BU para reducir costes y facilitar la gestión y el control.

Autorización

En lugar de autorizar a los usuarios de la cuenta de BU a desplegar la infraestructura como código directamente, autorice a las instancias de proyecto deIBM Cloud dentro de la cuenta de administración de la unidad de negocio a desplegar recursos y crear cuentas hijo. Como los proyectos solo despliegan arquitecturas aprobadas del catálogo, esto garantiza que los cambios en las cuentas de carga de trabajo estén sujetos al gobierno proporcionado por la incorporación del catálogo y la gestión de la configuración del proyecto.

Este modelo de autorización ayuda a implementar las prácticas recomendadas de seguridad de confianza cero que son necesarias para muchos programas de conformidad, incluyendo Financial Services Cloud.

A los usuarios no se les deben otorgar privilegios para modificar recursos en las cuentas de carga de trabajo.

Como práctica recomendada, a los usuarios se les debe otorgar acceso a proyectos, catálogos y herramientas de observabilidad dentro de la cuenta a través de grupos de acceso, perfiles de confianza o ambos. Se puede obtener un nivel adicional de seguridad asegurándose de que los usuarios normalmente no tienen acceso para desplegar cambios en la producción. Los usuarios que necesitan privilegios de despliegue de producción deben cambiar a un perfil de confianza de producción (que tiene privilegios para desplegar en producción a través de proyectos), lo que reduce enormemente las oportunidades de errores que pueden afectar a la producción. Los perfiles de confianza de producción deben configurarse con una duración de sesión corta y con privilegios sólo para despliegues de producción, eliminando la posibilidad de que los usuarios simplemente utilicen este perfil todo el tiempo.

Consideraciones adicionales

Dado que los proyectos dentro de la cuenta de administración de BU tendrán acceso a artefactos no de producción y de producción, un problema es que los cambios experimentales o los artefactos no de producción pueden desplegarse inadvertidamente en la producción.

Este problema se puede mitigar utilizando un convenio de denominación en el que las cuentas, los perfiles de confianza, las configuraciones y los recursos clave se denominan con un prefijo o sufijo de entorno. El convenio de denominación permite ver de un vistazo qué recursos se proponen desplegar durante la configuración y durante el flujo de aprobación del proyecto.

Además, el control de acceso preciso a las configuraciones dentro de un proyecto se puede utilizar para restringir el conjunto de usuarios a los que se permite aprobar y desplegar cambios en la infraestructura de producción. El uso de un perfil de confianza independiente sólo para despliegues de producción puede reducir considerablemente la posibilidad de cambios accidentales en la producción.

Justificación de la infraestructura centralizada como gestión de código

La centralización de la gestión de arquitecturas desplegables y su configuración en una cuenta de administración de producción para cada BU proporciona las ventajas siguientes:

  • Los operadores de BU pueden gestionar sus propias cargas de trabajo dentro de las restricciones impuestas por la organización centralizada

    Los catálogos de aplicaciones e infraestructura garantizan que solo estén disponibles las arquitecturas desplegables aprobadas, probadas y compatibles. El uso de dos catálogos facilita el establecimiento de una política de IAM de forma que los usuarios tengan acceso al conjunto correcto de arquitecturas desplegables de acuerdo con sus roles. Por ejemplo, los usuarios de DevOps obtienen acceso a la infraestructura y los desarrolladores de aplicaciones obtienen acceso a las herramientas de desarrollo de aplicaciones.

  • Control de acceso centralizado y supervisión de la unidad de negocio

    La colocación de los catálogos y proyectos en una cuenta centralizada facilita la aplicación del principio de menor privilegio. El uso de proyectos también garantiza que las credenciales con la capacidad de manipular aplicaciones e infraestructura no son accesibles para los usuarios y, por lo tanto, no se pueden utilizar de forma incorrecta. Por último, mantener estos proyectos relacionados en la cuenta de BU facilita la supervisión de los despliegues y garantiza que la infraestructura esté actualizada y sea compatible.

  • Garantiza que el desarrollo, las pruebas y la producción estén alineados

    El uso de un único proyecto entre producción y no producción permite alinear los entornos de desarrollo y prueba con los entornos de producción. El único proyecto ayuda a reducir la probabilidad de defectos relacionados con las diferencias ambientales, al tiempo que proporciona control al equipo sobre la prueba de nuevas versiones de arquitectura desplegable en distintos entornos. También garantiza que el ciclo de vida de estos recursos se gestione correctamente en todos los entornos. Por ejemplo, si un proyecto ya no es necesario, es fácil limpiar todos los recursos en entornos de no producción y producción.

  • Permite realizar un seguimiento de todos los recursos del proyecto para la gestión de la contabilidad y la configuración

    El uso de un único proyecto en no producción y producción garantiza que todos los recursos del proyecto (o de la aplicación) se rastreen y se asignen al proyecto. Los proyectos aplican el etiquetado de recursos y realizan el seguimiento de la providencia de recursos, aprobaciones, etc. Esto garantiza que se cubran las necesidades de gestión de configuración y contabilidad.

  • Solo se necesita un agente de schematics por BU