Cuenta de administración de unidad de negocio
Cada grupo de cuentas de unidad de negocio de producción (BU) tiene una cuenta de administración de unidad de negocio. Esta cuenta permite a las unidades de negocio autoadministrar sus cuentas de carga de trabajo y aplicaciones en las empresas de desarrollo y producción.
La autoadministración está restringida a las prestaciones de las arquitecturas desplegables (infraestructura como plantillas de código) proporcionadas en los catálogos de aplicaciones e infraestructura.
Diagrama de
Las arquitecturas desplegables en el catálogo de infraestructura permiten que las cuentas de carga de trabajo se creen y se suministren con la infraestructura compartida necesaria para alojar aplicaciones de forma segura y compatible.
Componente | Cantidad | Descripción |
---|---|---|
Catálogo de aplicaciones | 1 | Se utiliza para alojar las arquitecturas desplegables aprobadas para los proyectos de aplicación en esta BU |
Catálogo de infraestructura | 1 | Se utiliza para alojar las arquitecturas desplegables aprobadas para los proyectos de infraestructuras compartidas en esta BU |
Proyecto de desarrollo de aplicaciones | n | Gestiona la infraestructura como código para desplegar recursos de desarrollo de aplicaciones como, por ejemplo, repositorios Git , cadenas de herramientas, registros de contenedor, casilleros de pruebas y también solicita espacios de nombres, reglas de salida de red, etc. dentro de la infraestructura compartida. Las propias aplicaciones se crean y luego se despliegan en la infraestructura compartida de desarrollo y producción utilizando estas herramientas |
Proyecto de infraestructura compartida | n | Gestiona la infraestructura como código para desplegar cuentas de carga de trabajo de desarrollo y producción y la infraestructura compartida dentro de esas cuentas |
Proyecto de desarrollo de IaC | 1 | Gestiona la infraestructura como código para desplegar cuentas de desarrollo y prueba de IaC . Estas cuentas se utilizan para desarrollar y probar arquitecturas desplegables |
Aplicación-Conjuntos de infraestructura | n | Agrupación conceptual: agrupa un conjunto de proyectos de aplicación y el proyecto que despliega la infraestructura para alojar dichas aplicaciones |
Diagrama del servicio de administración de BU de
El soporte de la infraestructura como elementos de código en la cuenta de administración de BU son los espacios de trabajo de Schematics y el agente de Schematics . Schematics permite el uso de arquitecturas desplegables almacenadas en repositorios Git privados alojados en la red corporativa. Esta cuenta también aloja las VPC de gestión y Edge utilizadas en la arquitectura de referencia de VPC landing zone si lo requiere la BU.
Componente | Cantidad | Descripción |
---|---|---|
Agente de Schematics | 1 | Se utiliza para habilitar arquitecturas desplegables personalizadas alojadas de forma privada en el catálogo privado |
Espacios de trabajo de Schematics | n | Orquestado por proyectos, utilizado para desplegar las arquitecturas desplegables y almacenar el estado de terraform. Un espacio de trabajo por configuración dentro de cada proyecto. |
VPC de gestión/Edge | 1 | Aloja la gestión compartida y los recursos periféricos para la unidad de negocio. Esto puede incluir equilibradores de carga públicos, hosts de bastión y servicios de gestión personalizados. |
El agente de schematics se puede desplegar en la VPC de gestión/Edge, pero el agente no debe ser accesible desde la Internet pública.
Componentes adicionales no mostrados en el diagrama:
Componente | Cantidad | Descripción |
---|---|---|
Activity Tracker | 1 | Proporciona un seguimiento de auditoría para la actividad dentro de la cuenta |
Registro de IBM Cloud | 1 | Proporciona supervisión de registro para la infraestructura que aloja el agente de Schematics |
IBM Cloud Monitoring | 1 | Proporciona supervisión de rendimiento y errores para el agente de Schematics |
Event Notifications | 1 | Proporciona notificaciones para proyectos |
Perfil de confianza de automatización | 1 | Autoriza al proyecto de administración central a gestionar la infraestructura de esta cuenta |
Grupos de acceso y perfiles de confianza | n | Un número de grupos de acceso y perfiles de confianza que se utilizan para autorizar a los operadores de BU a utilizar catálogos y proyectos |
VPC de gestión/Edge
La arquitectura de referencia de Financial Services Cloud separa las funciones de gestión y acceso público a Internet de las funciones de alojamiento de aplicaciones; consulte la Arquitectura de referencia de VPC para IBM Cloud for Financial Services y la Variación con VPC de tránsito o Edge para acceso público a Internet. Estas funciones de gestión y borde se centralizan en la cuenta de administración de BU para reducir costes y facilitar la gestión y el control.
Justificación de la infraestructura centralizada como gestión de código
La centralización de la gestión de arquitecturas desplegables y su configuración en una cuenta de administración de producción para cada BU proporciona las ventajas siguientes:
-
Los operadores de BU pueden gestionar sus propias cargas de trabajo dentro de las restricciones impuestas por la organización centralizada
Los catálogos de aplicaciones e infraestructura garantizan que solo estén disponibles las arquitecturas desplegables aprobadas, probadas y compatibles. El uso de dos catálogos facilita el establecimiento de una política de IAM de forma que los usuarios tengan acceso al conjunto correcto de arquitecturas desplegables de acuerdo con sus roles. Por ejemplo, los usuarios de DevOps obtienen acceso a la infraestructura y los desarrolladores de aplicaciones obtienen acceso a las herramientas de desarrollo de aplicaciones.
-
Control de acceso centralizado y supervisión de la unidad de negocio
La colocación de los catálogos y proyectos en una cuenta centralizada facilita la aplicación del principio de menor privilegio. El uso de proyectos también garantiza que las credenciales con la capacidad de manipular aplicaciones e infraestructura no son accesibles para los usuarios y, por lo tanto, no se pueden utilizar de forma incorrecta. Por último, mantener estos proyectos relacionados en la cuenta de BU facilita la supervisión de los despliegues y garantiza que la infraestructura esté actualizada y sea compatible.
-
Garantiza que el desarrollo, las pruebas y la producción estén alineados
El uso de un único proyecto entre producción y no producción permite alinear los entornos de desarrollo y prueba con los entornos de producción. El único proyecto ayuda a reducir la probabilidad de defectos relacionados con las diferencias ambientales, al tiempo que proporciona control al equipo sobre la prueba de nuevas versiones de arquitectura desplegable en distintos entornos. También garantiza que el ciclo de vida de estos recursos se gestione correctamente en todos los entornos. Por ejemplo, si un proyecto ya no es necesario, es fácil limpiar todos los recursos en entornos de no producción y producción.
-
Permite realizar un seguimiento de todos los recursos del proyecto para la gestión de la contabilidad y la configuración
El uso de un único proyecto en no producción y producción garantiza que todos los recursos del proyecto (o de la aplicación) se rastreen y se asignen al proyecto. Los proyectos aplican el etiquetado de recursos y realizan el seguimiento de la providencia de recursos, aprobaciones, etc. Esto garantiza que se cubran las necesidades de gestión de configuración y contabilidad.
-
Solo se necesita un agente de schematics por BU