IBM Cloud Docs
工作负载帐户

工作负载帐户

工作负载帐户包含共享应用程序托管基础结构,包括 VPC , Red Hat OpenShift on IBM Cloud 集群或虚拟服务器实例,可观察性服务等。 应该从 IBM 支持的其中一个合规可部署体系结构或此类体系结构的定制扩展中选择此应用程序托管基础结构。 一个很好的示例是 VPC landing zone,但可以在 IBM Cloud 目录IBM Cloud Framework for Financial Services 文档中找到其他内容。

生产工作负载图。 所有信息都在周围的文本中传达。
图 1。 生产工作负载帐户

单个工作负载帐户包含具有一个或多个子网的单个 VPC。 需要限制 VPC 数和地址前缀,以确保在我们扩展工作负载帐户数时, Transit Gateway 路由表大小保持在限制范围内 (有关更多信息,请参阅 VPC 寻址)。

此帐户中的用户不应有权修改资源,因为所有资源配置都是作为 BU 管理帐户中的代码执行的。 通常,应该配置生产工作负载帐户以实现有限的用户访问权。 主用户是一个共享操作团队,该团队支持在其上运行的所有应用程序的基础结构。

如果将 VPC 参考体系结构用于 IBM Cloud for Financial Services,那么工作负载帐户中的 VPC 对应于参考体系结构中的工作负载 VPC。 管理和边缘 VPC 位于 BU 管理帐户中。

表 1. 组件
组件 数量 描述
工作负载 VPC 1 为此共享基础结构实例提供联网。 通过集中传输网关连接到企业的其余部分。 此图显示示例组件,例如 Red Hat OpenShift on IBM Cloud,但是可能包含其他服务。 有关更多详细信息,请参阅 IBM Cloud for Financial Services 的 VPC 参考体系结构
基础架构可信概要文件 1 授权 BU 管理帐户中的项目管理此帐户和共享基础结构。
基础架构操作访问组 1 使 BU DevOps 团队能够监视和管理共享基础结构的访问组
应用程序操作访问组 n 访问组,使应用程序团队能够操作其开发工具并监视其应用程序

图中未显示其他组件:

表 1. 其他组件
组件 数量 描述
Activity Tracker 1 为帐户中的活动提供审计跟踪
IBM Cloud 日志记录 1 为帐户中的基础结构和服务提供日志监视
IBM Cloud Monitoring 1 为帐户中的基础结构和服务提供性能和错误监视
其他 IBM Cloud 服务 n 支持应用程序工作负载所需的任何其他服务 (数据库, watson ,事件流等)

开发工作负载图。 所有信息都在周围的文本中传达。
图 2。 非生产工作负载帐户

非生产工作负载帐户包含与生产工作负载帐户相同的共享应用程序托管基础结构,尽管可以缩减集群以节省成本。 非生产工作负载帐户还包含应用程序开发和测试工具,例如 IBM Continuous Delivery Toolchain 及其关联的 Git 存储库和 CI/CD 管道。

此帐户中的用户不应有权修改资源,因为所有资源配置都是作为 BU 管理帐户中的代码执行的。 但是,开发者可以访问非生产工作负载帐户,以触发和监视 CI/CD 管道运行,访问 Git 存储库以及通过可观察性工具监视开发基础结构和软件。

生产工作负载帐户上的其他组件:

表 1. 组件
组件 数量 描述
应用程序资源组 n 包含应用程序开发基础结构和服务,例如工具链和证据锁定程序。 仅在开发工作负载帐户中存在。
应用程序可信概要文件 n 授权由 BU 管理帐户中的项目管理应用程序资源组。 仅在开发工作负载帐户中存在。
应用程序操作访问组 n 访问组使应用程序团队能够操作其开发工具并监视其应用程序

共享应用程序基础结构的理由

使用共享应用程序基础结构的优点:

  • 减少超额配置可降低成本

    必须调整应用程序托管基础结构的大小以处理应用程序的突发负载。 对于单个应用程序,可能需要最多供应 10x 稳定状态功能以处理脉冲串。 但是,当许多应用程序托管在云中时,由于突发情况很少会发生,因此许多应用程序的净负载趋于平滑。 因此,在托管 10 或 20 个应用程序时,可能需要仅提供 10-50% 的额外容量,从而节省大量成本。

  • 可以跨应用程序共享固定成本元素

    应用程序托管基础结构通常包括可以将某些资源视为每个集群或每个 VPC 的固定成本。 将许多应用整合到同一基础架构上,可将此成本分摊到许多应用中,从而进一步节省成本。

  • 运营节省

    监视和维护应用程序托管基础结构实例的成本大致相同,无论该基础结构的大小如何。 例如,无论 Kubernetes 集群包含多少工作程序节点,维护该集群都是固定成本。 将许多应用整合到同一基础架构上,就可以将监控和维护基础架构的成本分摊到许多应用中,从而节省运营成本。

其他注意事项

使用共享应用程序基础结构时,请考虑以下事项:

  • 应用程序隔离不是二进制的

    应用程序可以是已隔离但仍在集群中共享计算, RAM 和存储器等资源的网络。 在考虑分配此类共享资源的政策时,必须考虑到成本与隔离之间的权衡。 有关网络隔离的更多信息,请参阅 FS 云边界保护

  • 并非所有应用模型都可以共享基础架构

    共享应用程序基础结构仅适用于具有类似体系结构的应用程序集。 例如,使用无状态微服务,容器和受管数据库服务的应用程序集可以轻松地一起部署。 基于具有本地存储器的 VM 映像的其他应用程序将需要单独的应用程序基础结构。 最佳实践是标识 2 或 3 公共体系结构模式,以便可以构建少量应用程序托管可部署体系结构并将其用于许多应用程序。

  • 与集中式网络和服务的交互

    • Transit Gateway

    将共享基础架构 VPC 连接到中央传输网关需要一个过程,集中操作团队和 BU 操作团队协调以连接 VPC。

    • Hyper Protect Crypto Services 和其他集中式服务

      授权跨帐户的连接需要一个过程,集中式操作团队和 BU 操作团队在此过程中进行协调,以便为使用应用程序创建服务到服务授权。

  • 在 Kubernetes 上托管多个应用程序

    Red Hat Open Shift 和 Kubernetes 旨在高效托管多个应用程序。 但是,最佳实践是将 kubernetes 名称空间用于应用程序隔离,并将 istio 用于应用程序网络入口和出口控制。 支持应用程序的集群配置必须是自动化的,并且该自动化由共享基础结构托管项目拥有,但是,应用程序所有者可以提供信息以根据需要定制自动化。 请注意,应用程序所有者不应有权直接修改共享基础结构的配置。