原则

云即代码

此建议的一个关键部分是将所有云设置和配置作为代码执行-即，自动执行从应用程序基础结构到帐户创建，再到合规性监视的所有操作。 自动化一切使企业能够以可重复且易于演变的方式确保规模，合规性，安全性等。 IBM Cloud 在 IBM Cloud 目录中提供了许多可部署的体系结构，可用于以最少的工作量自动执行这些建议。 这些预先制作的解决方案也可以进行定制或扩展，以匹配企业的需求。

在 Git 存储库中大规模管理基础架构作为代码需要的不仅仅是 Terraform。 基础架构即代码是企业级云解决方案的 DNA ，因为它必须同时受治理和管理的约束。 基础架构即代码可确保仅部署经过验证，合规且已核准的代码。 您还可以跟踪部署与内部项目，团队，成本中心等的对应方式。

IBM Cloud 提供了许多工具来帮助执行此过程。 IBM Cloud 目录允许企业向云中的用户宣传已批准的 IaC 解决方案。 IBM Cloud 项目 允许企业确保仅部署已核准的 IaC ，并跟踪生成的资源如何对应于项目，团队和成本中心。

单独开发和生产

开发环境必须与生产环境分开，因为它们具有不同的记帐，资源利用率，访问权，可用性，网络和合规性需求。 但是，同时开发环境应与生产环境保持同步，以便在开发中进行测试的用户可以确信应用程序在生产中的行为类似。

此建议在开发和生产环境之间创建了一个干净的分离，但使用基础架构作为代码来确保开发和生产保持一致。

集线器和辐射模型

在云中，讨论使用集线器和辐射模型进行联网是常见的做法。 在此模型中，集中式网络中心将许多辐射网络 (VPC) 连接在一起。 集中式中心通常用于降低成本和扩大规模，同时仍允许在云中进行专用网络连接。

在此建议中，我们还将此中心和辐射模式进行了概括，将其应用于多个不同的关注领域，包括网络，管理基础架构作为代码，私钥，共享服务等。

共享应用程序基础结构

创建安全，合规，稳健且可扩展的应用基础架构可能难以设置，维护成本高昂。 必须部署 VM 或集群，配置日志记录和监视，启用防火墙和漏洞检查，并且必须对所有这些进行监视并保持最新。 此外，必须扩展此基础结构以适应应用程序突发负载，因此基础结构的某些方面在大部分时间内都未得到充分利用。

在可能的情况下标准化应用基础架构，然后在同一基础架构上托管许多应用，对于降低运营成本至关重要。 通过此设置，可以更好地利用基础架构，并在许多应用中共享运营成本。 这也使得使用基础架构作为代码来部署基础架构的许多副本变得切实可行，将该基础架构的开发和维护成本作为代码分摊到潜在的数千个应用程序中。

如体积分析所示，在此共享基础架构上，应该在每个帐户上托管 1-100 个应用程序，每个帐户的平均应用程序数可能为 10-20 个。 通过数百个帐户 (其中一些指定用于开发和测试，另一些指定用于生产工作负载) ，此模型可以支持数千个应用程序及其开发。

IBM Cloud的 VPC landing zone 可部署体系结构是开发标准化应用程序托管基础结构的良好起点。 此 IBM Cloud for Financial Services 合规解决方案可设置以完全安全且合规的方式托管基于 VM 或容器的应用程序所需的所有内容。 此外，可部署体系结构由 IBM支持和维护。 随着新的合规性需求到达或发现漏洞，将更新解决方案以维护安全性和合规性。

将管理与工作负载分开

在 IBM Cloud Framework for Financial Services 参考体系结构中，管理工作负载与应用程序工作负载分离，以支持不同的访问模型，数据隐私需求和网络访问需求等。 由于这些原则适用于的范围比只适用于金融服务业更广泛，因此在本一般性建议中已经适用了这些原则。

在 IBM Cloud 操作限制和约束范围内工作

IBM Cloud与所有公共云一样，对部署模式，规模等具有特定配额，限制和约束。 此建议必须与所有硬性限制和约束一致并保持一致。

这种配额和限制的例子包括:

• VPC 配额和限制
• IAM 限制
• 企业帐户限制
• Transit Gateway 限制