ビジネス・ユニット管理アカウント
各実動ビジネス単位 (BU) アカウント・グループには、ビジネス単位管理アカウントがあります。 このアカウントにより、BU は、開発エンタープライズおよび実動エンタープライズ全体でワークロード・アカウントおよびアプリケーションを自己管理することができます。
自己管理は、アプリケーション・カタログおよびインフラストラクチャー・カタログで提供されるデプロイ可能アーキテクチャー (コード・テンプレートとしてのインフラストラクチャー) の機能に制限されます。
インフラストラクチャー・カタログ内のデプロイ可能なアーキテクチャーにより、セキュアかつ準拠した方法でアプリケーションをホストするために必要な共有インフラストラクチャーを使用して、ワークロード・アカウントを作成およびプロビジョンできます。
コンポーネント | 数量 | 説明 |
---|---|---|
アプリケーション・カタログ | 1 | この BU でアプリケーション・プロジェクトの承認済みデプロイ可能アーキテクチャーをホストするために使用されます |
インフラストラクチャー・カタログ | 1 | この BU で共有インフラストラクチャー・プロジェクトの承認済みデプロイ可能アーキテクチャーをホストするために使用されます |
アプリケーション開発プロジェクト | n | Git リポジトリー、ツールチェーン、コンテナー・レジストリー、エビデンス・ロッカーなどのアプリケーション開発リソースをデプロイするためのコードとしてインフラストラクチャーを管理し、共有インフラストラクチャー内で名前空間、ネットワーク出口ルールなども要求します。 アプリケーション自体がビルドされ、これらのツールを使用して開発と実動の共有インフラストラクチャーにデプロイされます。 |
共有インフラストラクチャー・プロジェクト | n | 開発および実稼働のワークロード・アカウントと、それらのアカウント内の共有インフラストラクチャーをデプロイするためのコードとしてインフラストラクチャーを管理します。 |
IaC 開発プロジェクト | 1 | IaC アカウントをデプロイしてテストするためのコードとしてインフラストラクチャーを管理します。 これらのアカウントは、デプロイ可能なアーキテクチャーの開発およびテストに使用されます。 |
アプリケーション-インフラストラクチャー・セット | n | 概念的なグループ化-一連のアプリケーション・プロジェクトと、それらのアプリケーションをホストするためにインフラストラクチャーをデプロイするプロジェクトをグループ化します。 |
BU 管理アカウントのコード・エレメントとしてインフラストラクチャーをサポートするのは、 Schematics ワークスペースと Schematics エージェントです。 Schematics を使用すると、企業ネットワークでホストされているプライベート Git リポジトリーに保管されているデプロイ可能なアーキテクチャーを使用できます。 このアカウントは、BU によって必要とされる場合、 VPC landing zone のリファレンス・アーキテクチャーで使用される管理 VPC およびエッジ VPC もホストします。
コンポーネント | 数量 | 説明 |
---|---|---|
Schematics エージェント | 1 | プライベート・カタログでプライベートにホストされたカスタム Deployable アーキテクチャーを有効にするために使用されます。 |
Schematicsワークスペース | n | プロジェクトによって調整され、デプロイ可能なアーキテクチャーをデプロイするために使用され、Terraform 状態を保管します。 各プロジェクト内の構成ごとに 1 つのワークスペース。 |
管理/エッジ VPC | 1 | ビジネス単位の共有管理リソースとエッジ・リソースをホストします。 これには、パブリック・ロード・バランサー、要塞ホスト、およびカスタム管理サービスを含めることができます。 |
Schematics エージェントは Management/Edge VPC にデプロイできますが、エージェントにパブリック・インターネットからアクセスできないようにする必要があります。
図に示されていない追加コンポーネント:
コンポーネント | 数量 | 説明 |
---|---|---|
Activity Tracker | 1 | アカウント内のアクティビティーの監査証跡を提供します |
IBM Cloud ロギング | 1 | Schematics エージェントをホストするインフラストラクチャーのログ・モニターを提供します。 |
IBM Cloud Monitoring | 1 | Schematics エージェントのパフォーマンスとエラーのモニターを提供します。 |
Event Notifications | 1 | プロジェクトの通知を提供します |
自動化トラステッド・プロファイル | 1 | このアカウントでインフラストラクチャーを管理する権限を中央管理プロジェクトに付与します |
アクセス・グループおよびトラステッド・プロファイル | n | カタログおよびプロジェクトを使用する権限を BU オペレーターに付与するために使用される、いくつかのアクセス・グループおよびトラステッド・プロファイル |
管理/エッジ VPC
Financial Services Cloud のリファレンス・アーキテクチャーは、管理機能とパブリック・インターネット・アクセス機能をアプリケーション・ホスティング機能から分離します。 IBM Cloud for Financial Services の VPC リファレンス・アーキテクチャー および パブリック・インターネット・アクセスのためのエッジ VPC またはトランジット VPC のバリエーション を参照してください。 これらの管理機能とエッジ機能は、BU 管理アカウントに集中して、コストを削減し、管理と制御を容易にします。
コード管理として一元化されたインフラストラクチャーの論理的根拠
デプロイ可能なアーキテクチャーとその構成の管理を、各 BU の実動管理アカウントに一元化することにより、以下の利点が得られます。
-
BU オペレーターは、集中化された組織によって課される制約内で独自のワークロードを管理できます。
アプリケーションおよびインフラストラクチャー・カタログにより、承認済み、テスト済み、および準拠したデプロイ可能アーキテクチャーのみが使用可能であることが保証されます。 2 つのカタログを使用すると、ユーザーが役割に応じてデプロイ可能なアーキテクチャーの正しいセットにアクセスできるように、IAM ポリシーを簡単に設定できます。 例えば、 DevOps ユーザーはインフラストラクチャーにアクセスでき、アプリケーション開発者はアプリケーション開発ツールにアクセスできます。
-
BU の一元化されたアクセス制御とモニター
カタログとプロジェクトを一元化されたアカウントに配置すると、最小特権の原則を適用することが容易になります。 また、プロジェクトを使用すると、アプリケーションおよびインフラストラクチャーを操作する機能を持つ資格情報にユーザーがアクセスできなくなるため、悪用できなくなります。 最後に、これらの関連プロジェクトを BU アカウントに保持すると、デプロイメントのモニターが容易になり、インフラストラクチャーが最新かつ準拠していることを確認できます。
-
開発、テスト、および実動が確実に調整されるようにします。
非実稼働環境と実稼働環境で単一のプロジェクトを使用すると、開発環境とテスト環境を実稼働環境に合わせて調整することができます。 この単一プロジェクトにより、環境の違いに関連する障害が発生する可能性を減らすとともに、異なる環境での新しいデプロイ可能アーキテクチャー・バージョンのテストに対する制御をチームに提供します。 また、これらのリソースのライフサイクルがすべての環境で適切に管理されるようにします。 例えば、プロジェクトが不要になった場合、非実稼働環境と実稼働環境のすべてのリソースを簡単にクリーンアップできます。
-
アカウンティングと構成管理のためにすべてのプロジェクト・リソースを追跡できます。
非実稼働環境と実稼働環境で単一のプロジェクトを使用すると、すべてのプロジェクト (またはアプリケーション) リソースが追跡され、プロジェクトに割り振られます。 プロジェクトは、リソースのタグ付けを実施し、リソースの提供や承認などを追跡します。 これにより、アカウンティングおよび構成管理のニーズが確実にカバーされます。
-
1 つの BU につき必要な Schematics エージェントは 1 つのみです。