ネットワークおよびサービスのハブ・アカウント
ネットワークおよびサービスのハブ・アカウントは、集中化されたネットワーク・サービス、集中化されたセキュリティー・サービス、および集中化が必要なすべてのカスタマー・サービスの場所を提供します。
ネットワークとサービスのハブ・アカウントは、開発環境と実稼働環境の両方で作成されます。
| コンポーネント | 数量 | 説明 |
|---|---|---|
| Transit Gateway | 1 | 企業内のすべての VPC にわたるネットワーク接続を提供します。 |
| Direct Link | 1-4 | 企業ネットワークに企業を接続します。 最大 4 つのインスタンスが使用されます (最大の冗長性が必要な場合) |
| Hyper Protect Crypto Services | 1-2 | 企業全体のアプリケーションに鍵管理サービスを提供します。 アプリケーションごとにサービス間ポリシーを必要とします。 2 つのインスタンスは、スケールが必要な場合にのみ必要です。 |
| VPE-VPC | 1 | IBM Cloud サービスのプライベート・ネットワーキングを提供します。 企業で使用されているすべての IBM Cloud サービスに対して、この VPC に VPE がプロビジョンされます。 カスタム DNS リゾルバーは、VPE の DNS 解決を有効にします。 |
| 共有カスタマー・アプリケーション | n | 一元化する必要があるお客様のアプリケーションは、ここにデプロイできます |
| トラステッド・プロファイル | 1 | 中央管理アカウントのプロジェクトによるこのアカウントの管理を許可します |
| アクセス・グループ | n | 一元化された DevOps チームがアカウントをモニターおよび管理できるようにするための少数のアクセス・グループ |
共有リソースを一元化するための論理的根拠
一部のネットワーク・インフラストラクチャーと特定の主要リソースにはコストがかかり、セットアップには長時間のリード・タイムと手作業が必要になります。 これらのリソースは、アカウント・レベルでデプロイされた場合に発生するコストと遅延を回避するために、エンタープライズ・レベルの集中化の恩恵を受けます。 これらのニーズは、懸念の分離と爆発半径の縮小に対する欲求とバランスが取れていなければならない。
Hyper Protect Crypto Services
Hyper Protect Crypto Services (HPCS) インスタンスは中央に配置されているため、コストを削減するために企業全体で共有できます。 この推奨のスケール要件に達するには、2 つのインスタンスが必要です。 小規模企業は、単一のインスタンスから始めて、必要に応じて拡張することができます。 サービスがワークロード・アカウントにプロビジョンされると、サービス間ポリシー (ネットワークおよびサービス・ハブ・アカウント内) により、それらのサービスが HPCS にアクセスできるようになります。
集中ネットワーク・サービス
ネットワークおよびサービスのハブ・アカウント内の Transit Gateway は、プライベート・ネットワーキングを使用して、環境内のすべての VPC を相互に接続します。 この統合されたプライベート・ネットワークは、 Direct Linkを介して企業ネットワークにリンクされます。 このフラット・ネットワーク内では、VPC セキュリティー・グループとネットワーク ACL によってネットワーク分離が実現されます。 VPC ネットワーキングを安全に構成するための詳細な推奨事項については、 Financial Services Cloud Networkingを参照してください。
VPC ネットワーク・アドレスが企業全体で重複しないようにしてください。
このアカウントまたは企業ネットワーク内にファイアウォールをデプロイして、実稼働環境からのトラフィックが開発環境に到達できないようにすることができます。
共有 IBM Cloud サービス用の仮想プライベート・エンドポイント (VPE) は、ネットワーク内の VPC 内に構成され、サービス・ハブ・アカウント内に構成されます。これは、VPE がフラット・アドレス・スペース内の 1 つのポイントでのみ接続される可能性があるためです。 この VPC には、一元化された VPE が環境内のすべての VPC から適切に DNS 解決されるようにするためのカスタム DNS リゾルバーも含まれています。
VPE をどのように一元化すべきかについての詳細は、まだ解決されていません。 この資料は、その情報が使用可能になると更新されます。