业务单位管理帐户
每个生产业务单位 (BU) 帐户组都有一个业务单位管理帐户。 此帐户使 BU 能够在开发和生产企业中自我管理其工作负载帐户和应用程序。
自我管理受限于应用程序和基础结构目录中提供的可部署体系结构 (作为代码模板的基础结构) 的功能。
通过基础架构目录中的可部署体系结构,可以创建工作负载帐户,并使用以安全且合规的方式托管应用程序所需的共享基础架构进行供应。
组件 | 数量 | 描述 |
---|---|---|
应用目录 | 1 | 用于托管此 BU 中应用程序项目的已核准可部署体系结构 |
基础架构目录 | 1 | 用于托管此 BU 中共享基础结构项目的已核准可部署体系结构 |
应用程序开发项目 | n | 将基础结构作为代码来管理,以便在共享基础结构中部署应用程序开发资源 (例如, Git 存储库,工具链,容器注册表,证据存储库以及请求名称空间和网络出口规则等)。 这些应用程序本身已构建,然后通过使用这些工具将其部署到开发和生产共享基础架构上 |
共享基础架构项目 | n | 将基础架构作为用于部署开发和生产工作负载帐户的代码以及这些帐户中的共享基础架构进行管理 |
IaC 开发项目 | 1 | 将基础结构作为用于部署开发和测试 IaC 帐户的代码进行管理。 这些帐户用于开发和测试可部署体系结构 |
应用程序-基础结构集 | n | 概念分组-对一组应用程序项目和用于部署基础结构以托管这些应用程序的项目进行分组 |
支持基础结构作为 BU 管理帐户中的代码元素的是 Schematics 工作空间和 Schematics 代理程序。 Schematics 支持使用存储在企业网络上托管的专用 Git 存储库中的可部署体系结构。 此帐户还托管 VPC landing zone 参考体系结构中使用的管理和边缘 VPC (如果 BU 需要)。
组件 | 数量 | 描述 |
---|---|---|
Schematics 代理程序 | 1 | 用于在专用目录中启用专用托管的定制可部署体系结构 |
Schematics 工作空间 | n | 由项目编排,用于部署可部署体系结构,并存储 Terraform 状态。 每个项目中每个配置一个工作空间。 |
管理 /Edge VPC | 1 | 托管业务单元的共享管理和边缘资源。 这可以包括公共负载均衡器,防御主机和定制管理服务。 |
可以在管理 /Edge VPC 中部署 schematics 代理程序,但不能从公共因特网访问该代理程序。
图中未显示其他组件:
组件 | 数量 | 描述 |
---|---|---|
Activity Tracker | 1 | 为帐户中的活动提供审计跟踪 |
IBM Cloud 日志记录 | 1 | 为托管 Schematics 代理程序的基础结构提供日志监视 |
IBM Cloud Monitoring | 1 | 为 Schematics 代理程序提供性能和错误监视 |
Event Notifications | 1 | 为项目提供通知 |
自动化可信概要文件 | 1 | 授权中央管理项目管理此帐户中的基础结构 |
访问组和可信概要文件 | n | 用于授权 BU 操作员使用目录和项目的多个访问组和可信概要文件 |
管理 /Edge VPC
金融服务云参考体系结构将管理和公共因特网访问功能与应用程序托管功能分开-请参阅 用于 IBM Cloud for Financial Services 的 VPC 参考体系结构 和 用于公共因特网访问的边缘或传输 VPC 的变体。 这些管理和边缘功能集中到 BU 管理帐户中,以降低成本并简化管理和控制。
集中式基础架构作为代码管理的理由
将可部署体系结构的管理及其配置集中到每个 BU 的生产管理帐户中可提供以下优势:
-
BU 操作员可以在集中式组织施加的约束内管理自己的工作负载
应用程序和基础结构目录确保只有已核准,已测试且合规的可部署体系结构可用。 通过使用两个目录,可以轻松设置 IAM 策略,使用户能够根据其角色访问正确的可部署体系结构集。 例如, DevOps 用户可以访问基础架构,而应用程序开发者可以访问应用程序开发工具。
-
针对 BU 的集中式访问控制和监视
将目录和项目放在集中式帐户中可以更轻松地确保应用最少特权原则。 使用项目还可确保用户无法访问具有操作应用程序和基础结构功能的凭证,因此不会误用这些凭证。 最后,将这些相关项目保留在 BU 帐户中,可以轻松监控部署,并确保基础架构最新且合规。
-
确保开发,测试和生产保持一致
通过在非生产环境和生产环境中使用单个项目,可以使开发环境和测试环境与生产环境保持一致。 单个项目有助于降低与环境差异相关的缺陷几率,同时为团队提供在不同环境中测试新的可部署体系结构版本的控制权。 它还确保在所有环境中正确管理这些资源的生命周期。 例如,如果不再需要项目,那么可以轻松清除非生产环境和生产环境中的所有资源。
-
允许跟踪所有项目资源以进行记帐和配置管理
在非生产和生产环境中使用单个项目可确保跟踪所有项目 (或应用程序) 资源并将其分配给该项目。 项目强制实施资源标记并跟踪资源提供程序,核准等。 这可确保涵盖会计和配置管理需求。
-
每个 BU 仅需要一个示意图代理程序