开始 IBM Cloud 核对表
使用这些入职核对表创建和配置您的 IBM Cloud® 账户。 本指南旨在帮助您快速浏览可用文档,以设置账户、保护云资源、跟踪成本和计费、设置内部部署云连接,并帮助您在 IBM Cloud 账户中高效地满足业务需求。
下载单页的《 IBM Cloud 快速入门指南》,在组织内共享本清单的合并版本,以帮助加快将工作负载迁移到 IBM Cloud。
探索平台
如果您几乎没有使用 IBM Cloud 的经验,或者您需要复习一下 IBM Cloud 平台,请从以下任务开始。
| 任务 | 描述 |
|---|---|
|
|
查看 什么是 IBM Cloud 平台? 文档以熟悉它。 |
|
|
要在 IBM Cloud 中创建和管理资源,可以使用以下任何工具:
|
|
|
控制台是用户界面,用于创建和管理所有 IBM Cloud 资源。 您可以创建免费账户、登录、访问文档、访问目录、查看定价信息、获得支持或检查 IBM Cloud 组件的状态。有关更多信息,请参阅导航 IBM Cloud 控制台。 |
|
|
IBM Cloud 项目和可部署架构使您能够安全地创建和管理作为代码的资源。 有关详细信息,请参阅 使用项目进行 IaC 部署。 |
|
|
命令行界面 (CLI) 是一套插件和工具,可用于创建和管理资源。 有关更多信息,请参阅 IBM Cloud CLI 入门。 |
|
|
Cloud Shell 可为您提供基于云的个人 shell 工作区,其中包含完整的 IBM Cloud CLI 和更多命令行工具,且无需安装。 了解有关 在 IBM Cloud Shell 工作的 更多信息。 |
|
|
SchematicsIaC Ansible Helm Schematics 可以运行端到端的自动化,以构建一个或多个云资源堆栈、管理其生命周期、管理其配置中的变更、部署应用程序工作负载并执行第 2 天操作。 查看 入门:IBM Cloud Schematics 文档。 |
|
|
IBM Cloud 服务提供符合 OAuth 身份验证标准的 API,并接受由 的 (IAM) 服务提供的不记名令牌。2.0 IBM Cloud Identity and Access Management 探索您计划使用的服务的 API 文档。 |
建立账户和企业
本检查表适用于负责在 IBM Cloud 中创建和设置账户结构并使公司内的用户能够创建和管理云资源的管理员。IBM Cloud 为您提供创建独立账户和企业账户的功能。
- 独立账户
- 这类账户允许账户所有者(如部门或业务单位管理员)向账户添加用户、分配访问角色和权限、管理账单和付款等。
- 企业
- 企业负责管理整个公司的账单,多个账户的使用费用都会汇总到企业账户中支付。 作为企业一部分创建的账户与独立账户一样,但主要区别在于这些账户不管理自己的账单或付款。
使用以下清单跟踪创建和配置 IBM Cloud 账户或企业的所有任务。
| 任务 | 描述 |
|---|---|
|
|
IBM Cloud 帐户包含用于资源、用户和访问管理的许多交互组件和系统。 了解某些组件的连接方式或访问工作原理等概念有助于您有效地设置账户。更多信息,请参阅 账户内容。 |
|
|
创建企业来管理账单时,可以将现有的独立账户转移到企业中,或根据需要创建新账户。在确定需要企业账户还是独立账户时,请考虑以下几点:
查看“什么是企业”文档,确定是否需要企业。 |
|
|
即使您打算使用企业版,也需要创建 IBM Cloud 账户。 您可以登录 账户注册 页面,提供电子邮件地址和其他信息,创建自己的账户。 注册时使用的电子邮件地址将成为账户所有者,但以后如有需要,您可以按照 " 转让账户所有权 "中的步骤进行更改。
如果您有 Google 帐户,您可以使用 Google 凭据在 帐户注册 页面创建 IBM Cloud 帐户。 更多信息,请参阅使用 Google ID。 在为公司或组织建立账户时,最好使用与公司相关联的功能 ID,有些团队称之为服务账户。 请记住,您需要监控发送到此电子邮件地址的自动电子邮件,以了解有关服务使用、服务停用、新服务可用等方面的警告。 首次登录账户时,您需要提供信用卡或订阅代码以完成账户设置。 之后,你可以通过邀请用户加入账户或与自己的企业目录联合来添加用户。 添加到您账户的用户无需创建自己的账户。 如需了解更多与账户相关的常见问题,请访问 常见问题库,了解如何管理账户、资源和访问。 |
|
|
默认情况下,创建账户时,用户身份使用 IBMid。 IBMid 是 的 ID 即服务 ( ),用于访问 基于网络的服务,包括 资源。IBM®IDaaS IBM IBM Cloud IBMid 基于贵公司的电子邮件地址和由 IBMid 管理的密码。 IBMid 允许你联合你自己的企业目录或你可能已经在使用的第三方身份提供商 ( ) 服务,如 Okta。IdP 联合到自己的目录可简化向账户添加用户的过程,因为他们不需要 IBMid 和单独的密码。 不过,在某些情况下,使用 IBMid 联合企业目录可能并不可行。 另一种方法是在账户中创建一个 IBM Cloud App ID 实例,并将其连接到所选的身份供应商。 请考虑以下可供您选择的方案:
如需深入了解,请使用以下指南和文档: 准备联合时,请使用以下文档主题: |
|
|
使用 IBM Cloud 预订时,您可以通过承诺特定时间段内的最低花费来获得平台服务与支持的折扣使用量。 购买平台或支持点数订阅后,您必须将订阅代码应用到您的独立账户或企业中,从而将点数添加到您的账户中。 应用代码可确保将积分添加到您的账户中,从而避免产生意外的超额费用。 确保在创建资源前将任何已购买的订阅添加到您的账户。 更多信息,请参阅 应用订阅代码。 |
|
|
创建企业时,用于启动流程的账户会自动添加到企业中,并创建一个新的企业账户来管理企业的账单。 按照 设置企业 文档中的步骤创建企业。 请注意,企业中每个账户内的用户都可以像在独立账户中一样创建、使用和协作资源。 有关如何大规模配置企业的信息,请参阅 企业架构 白皮书。 |
|
|
如果选择创建企业,可能需要管理员管理企业执行功能,如创建账户组、创建和管理账户。 查看所需的访问权限,并根据需要添加用户。 更多信息,请参阅 为企业管理分配访问权限。 |
|
|
使用资源组来组织账户资源,以便进行访问控制和计费。例如,为每个项目创建一个资源组,即使资源分布在不同地区,也能在项目层面跟踪成本。最佳实践指南》中了解更多信息,准备就绪后,就可以 创建资源 组了。 |
|
|
根据您的账户类型,您可以选择接收有关 IBM Cloud 平台相关项目的电子邮件通知,如公告、账单和使用情况、附加通知首选项和订购。 您可以更新自己的首选项,以接收有关资源的电子邮件通知,这些通知只针对您使用的资源。 更多信息 有关更多信息,请参阅 设置通知的电子邮件首选项。 |
确保您的账户和资源安全
作为账户所有者或账户中具有管理账户设置和用户 IAM 访问所需的访问角色的用户,可以完成以下核对表中的任务。 查看并完成以下任务,了解如何确保账户和资源的安全。
| 任务 | 描述 |
|---|---|
|
|
使用 IBM Cloud Essential Security and Observability Services 可部署架构,只需一步即可配置账户中需要的一切。 这种可部署架构可自动配置账户、设置活动跟踪、加密数据、机密存储、日志记录和监控等。 |
|
|
多因素身份验证(MFA)要求所有用户使用 ID 和密码之外的其他身份验证因素进行身份验证,从而为您的账户增加了一层额外的安全保护。 通常,这也称为双因子认证 (2FA)。
查看账户可启用的多因素身份验证类型。 |
|
|
了解 IBM Cloud IAM 是什么、IAM 如何工作、有哪些可用功能,以及如何访问控制台、CLI 和 API 来使用账户中的 IAM。 进一步了解 IBM Cloud IAM 的工作原理。 |
|
|
您可以使用 IBM Cloud Logs 服务跟踪用户和应用程序如何与您创建的 IBM Cloud 资源交互。 按照 Provisioning an IBM Cloud Logs instance 中的说明,在您想要的云区域创建一个实例。 |
|
|
使用 IBM Cloud Activity Tracker Event Routing 将有关账户活动的事件发送到 IBM Cloud Logs 实例。 您还可以将活动跟踪事件路由到其他企业工具,如 IBM Event Streams for IBM Cloud。 了解有关 IBM Cloud Activity Tracker Event Routing 的更多信息。 |
|
|
您可以将 IBM Cloud Logs 实例的数据流传输到其他企业工具,如安全信息和事件管理 (SIEM) 工具。 了解有关 流式数据的 更多信息。 |
|
|
基于上下文的限制使账户所有者和管理员能够根据访问请求的网络位置来定义和执行 IBM Cloud 资源的访问限制。 这些限制与基于身份的传统 IAM 策略配合使用,可提供额外的保护层。 由于 IAM 访问和基于上下文的限制都会强制执行访问,因此即使凭证被泄露或管理不善,基于上下文的限制也能提供保护。
详细了解 基于上下文的限制, 并按照指南 使用基于上下文的限制保护您的资源。 |
|
|
您可以选择各种机密管理和数据保护产品,它们可以帮助您保护敏感数据并集中管理机密。 查看“哪种数据保护服务最适合我?”,以更好地了解您可以使用 IBM Cloud 保护应用程序机密的不同产品。 使用以下指南创建和配置 Secrets Manager 实例: |
|
|
IBM Cloud IBM Cloud 合规性源于基于行业最佳安全标准构建的平台和服务,这些标准包括 GDPR、HIPAA、ISO 9001、ISO 27001、ISO 27017、ISO 27018、PCI、等。SOC2 如需了解更多信息,请参阅 IBM Cloud 中的 "了解合规性"。 |
管理账单和使用情况
账户所有者和具有 计费账户管理服务 管理员角色的用户可以监控和管理计费、使用、发票、付款等。 完成以下清单,熟悉用于管理和跟踪账户计费和使用情况的最佳实践和工具。
| 任务 | 描述 |
|---|---|
|
|
了解可用于跟踪使用情况并管理发票和付款的 IBM Cloud 计费选项和工具。查看 如何在 IBM Cloud 中管理计费和使用情况的 视频。 |
|
|
暂停计费是一个适用于在 VPC 上运行的虚拟服务器实例的选项。 它不适用于 VPC 上的裸机或专用主机。 在暂停计费的情况下,某些资源(如网络和存储资源)会继续计费。 了解有关 VPC 暂停计费的 更多信息。 |
|
|
您可以为“即用即付”或“订阅”账户启用支出通知,这些警报可针对整个账户或个别服务进行配置。 设置支出通知。 |
|
|
设置 账户和企业核对表 中介绍了如何设置订阅。 您可以在 IBM Cloud 控制台的“承诺和订阅”页面上添加更多订阅并监控订阅使用情况。 了解有关 订阅管理的 更多信息。 |
|
|
设置账户和企业核对表中包含了设置承诺或订阅的内容。 您可以在 IBM Cloud 控制台的“承诺和订阅”页面上添加更多承诺或订阅,并监控使用情况。 进一步了解 企业节省计划 和 管理订阅。 |
|
|
要管理和查看发票,请访问 IBM Cloud 控制台中计费和使用仪表板的 发票 页面。 请参见 查看发票。 您还可以使用可用的应用程序接口和 SDK 创建自己的报告。 |
将网络连接到 IBM Cloud
随着网络应用对全球覆盖和全天候运行的需求增加,在多个云数据中心托管服务的需求也随之增加。 跨越多个地点的数据中心可在出现地理故障时提供恢复能力,并使工作负载更接近全球分布的用户,从而减少延迟并提高感知性能。 IBM Cloud 网络使用户能够跨数据中心和地点连接托管在安全专用网络中的工作负载。 使用以下清单查看可用选项,并将现有内部部署环境连接到 IBM Cloud。
| 任务 | 描述 |
|---|---|
|
|
分散的云资源是位于多个位置或者位于多个子网或 VLAN 的资源。 这些类型的资源需要路由功能才能相互通信,即使在专用网络环境中也是如此。 在 IBM Cloud 中创建的新账户都启用了“多重隔离”租户通信选项,也就是通常所说的客户 VRF。 如果账户中已有资源,请确认账户中是否已启用该功能,或在确认潜在服务中断后启用该功能。 按照 控制台文档中启用 VRF 的步骤进行操作。 |
|
|
还建议启用账户以使用服务端点。 在帐户中启用 IBM Cloud 服务端点时,可以选择在创建资源时公开专用网络端点。 然后,可以直接通过 IBM Cloud 专用网络连接到此端点,而不是公用网络。 因为使用专用网络端点的资源没有可通过因特网路由的 IP 地址,因此与这些资源的连接更加安全。 按照 启用服务端点中 概述的步骤操作。 |
|
|
虚拟专用网络 (VPN) 访问使您能够通过 IBM Cloud 专用网络远程管理与您的账户相关的所有服务器和服务。 根据您计划在 IBM Cloud 中使用的基础设施,VPN 有几种可选方案:
Direct Link 是传统站点到站点 VPN 解决方案的替代方案。 它可以在远程网络和 IBM Cloud 环境之间提供更高的吞吐量连接。 使用本决策树帮助您决定哪种 Direct Link 解决方案最适合您。 如需了解更多信息,请参阅 如何确定 Direct Link 解决方案? |
|
|
IBM Cloud Direct Link IBM Cloud Direct Link 可被视为传统站点到站点 VPN 解决方案的替代方案,该方案专为需要在远程网络与其 IBM Cloud 环境之间建立更一致、更高吞吐量连接的客户而设计。在选择使用 Direct Link 时,建议大多数客户选择 Direct Link 2.0。 了解有关 Direct Link(2.0)的更多信息。 |
|
|
允许客户将基于光纤的单租户交叉连接终端接入 IBM Cloud 网络。 该产品适用于在 IBM Cloud PoPs 和数据中心附近拥有主机代管场所的客户,以及向客户内部或其他数据中心提供线路的网络服务提供商。 更多信息,请参见 订购 IBM Cloud Direct Link 专用。 |
|
|
通过本地 IBM Cloud 数据中心,提供对 IBM Cloud 基础设施以及链接到服务提供商的任何其他云的专用访问。 IBM 通过共享带宽拓扑将客户连接到 IBM Cloud 专用网络。 与所有 Direct Link 产品一样,您可以添加全局路由选择,从而将专用网络流量传输到所有 IBM Cloud 位置。 更多信息,请参阅 订购 IBM Cloud Direct Link Connect。 |
|
|
在选择使用 Direct Link 时,建议大多数客户选择 Direct Link 2.0,因为它提供了更多的选择和灵活性。如果您确实需要 Direct Link 1.0,请务必查看可能与您的内部环境冲突的 IBM 网络保留 IP 列表。查看 IBM Cloud IP 范围。 |
|
|
如果您计划使用以下任何一项:GRE 或 IPsec 隧道、BCR 配对、多 VLAN 租户、自定义入站或出站 ACL、ASN 预挂和静态路由,请打开支持案例并请求 IBM Cloud Design Engineering 的帮助,以确认您的要求与您的 Direct Link 选择一致。 |
启用日志记录和监视
分析日志、收集指标,并对云资源和应用配置近乎实时的警报。
| 任务 | 描述 |
|---|---|
|
|
使用 IBM Cloud Essential Security and Observability Services 可部署架构,只需一步即可配置账户中需要的一切。 这种可部署架构可自动配置账户、设置活动跟踪、加密数据、机密存储、日志记录和监控等。 |
|
|
您可以使用 IBM Cloud Logs 管理 IBM Cloud 中的操作系统日志、应用程序日志和平台日志。 平台日志是启用的服务和平台在 IBM Cloud 中暴露的日志。 您还可以使用代理将日志发送到 IBM Cloud Logs,从而监控应用程序和基础架构的日志。 您必须配置 IBM Cloud Logs 实例来监控日志。 了解有关 IBM Cloud Logs 的更多信息。 |
|
|
使用 IBM Cloud Logs Routing 将日志发送到 IBM Cloud Logs 实例。 了解有关 IBM Cloud Logs Routing 的更多信息。 |
|
|
您可以将 IBM Cloud Logs 实例的数据流传输到其他企业工具,如安全信息和事件管理 (SIEM) 工具。 了解有关 流式数据的 更多信息。 |
|
|
日志代理会收集日志并转发到 IBM Cloud Logs 实例。 配置 IBM Cloud Logs 实例后,必须为要监控的每个日志源配置日志代理,例如在传统基础架构或 VPC 基础架构中。 了解更多关于 登录代理的 信息。 |
|
|
IBM Cloud Monitoring 是一个云原生和容器智能管理系统,您可以将其作为 架构的一部分。IBM Cloud 使用此系统可了解应用程序、服务和平台的性能和运行状况。 它为管理员、DevOps 团队和开发者提供了全堆栈遥测功能,其中有多种高级功能,可用于监视和执行故障诊断,定义警报以及设计定制仪表板。 了解有关 开始使用 Monitoring 的更多信息。 |
|
|
根据要监控的计算资源类型,请按照以下指南在传统基础架构或 VPC 基础架构中配置监控代理: |
|
|
您可以使用 IBM Cloud Monitoring 将一组选定的指标推送到 Kafka 服务,如 IBM® Event Streams for IBM Cloud®。 更多信息,请参阅 将指标流式传输到 Kafka 服务。 |
利用身份、群组和策略简化访问管理
使用以下核对表在账户中创建用户和服务身份。 然后,创建用于组织用户和资源的访问和资源组,以简化访问管理流程。 账户所有者或在所有 IAM 账户管理服务 (包括用户管理、访问组、身份服务等服务)上具有管理员角色的用户都可以完成这些任务。
| 任务 | 描述 |
|---|---|
|
|
访问组用于将一组用户和服务 ID 组织成一个单一实体,以便为该组分配策略,而不是为每个用户或服务 ID 分配多次相同的访问权限。 为资源组分配访问权限的合理方法是,为每个所需访问级别创建一个访问组。 然后,将每个访问组映射到所需的资源组。您应该考虑的访问组示例包括管理员和开发人员。 查看“如何制定良好的访问组策略 最佳实践”文档。 |
|
|
您可以通过在 IBM Cloud Logs 中配置数据访问规则,配置、控制和管理用户可用的事件和日志数据。 数据访问规则只允许用户查看数据子集,而不是账户中生成的所有数据,从而提供额外的安全性。 例如,您可以授予一组用户查看审计事件的权限,这些事件只与账户中的开发服务有关。 查看 数据访问规则,了解更多信息。 |
|
|
资源组是一种按自定义分组组织账户资源的方式,这样就可以快速分配用户同时访问多个资源。 一般建议为每个项目创建一个资源组。 了解有关 管理资源组的 更多信息。 |
|
|
用户会被邀请注册一个账户,并获得使用资源的权限。 使用 IAM 来邀请用户、取消邀请或重新发送暂挂邀请。 您可以邀请单个用户或多个用户。 开始 邀请用户注册账户 |
|
|
受信任的配置文件用于根据企业目录中的 SAML 属性自动授予联合用户访问账户的条件。 受信任的配置文件还可用于为在计算资源中运行的应用程序设置细粒度授权。 这样,您就无需为计算资源创建服务 ID 或 API 密钥。 了解有关 创建可信档案的 更多信息。 |
|
|
服务标识识别服务或应用程序的方式与用户标识识别用户的方式相似。 您可以创建一个服务 ID,并用它使 IBM Cloud 以外的应用程序能够访问您账户中的资源。 了解有关创建和使用服务 ID 的更多信息。 如果您已按照“ 加密和保护数据”中所述配置了 Secrets Manager 实例,则每次读取或访问受保护资源时,都可以使用该实例动态生成服务 ID 和 API 密钥。 有关详细信息,请参阅 创建 IAM 凭据。 |
|
|
API 密钥是传入 API 的唯一代码,用于识别调用的应用程序或用户。 您可以使用与用户身份相关联的平台 IBM Cloud API 密钥,也可以为服务 ID 创建其他 API 密钥。 有关详细信息,请参阅了解 API 密钥。 如果您已按照“ 加密和保护数据”中所述配置了 Secrets Manager 实例,则每次读取或访问受保护资源时,都可以使用该实例动态生成服务 ID 和 API 密钥。 有关详细信息,请参阅 创建 IAM 凭据。 |
|
|
政策由主题、目标和角色组成。政策授予主体一个或多个角色,使其能够使用一组资源,从而采取特定行动。 角色定义了授予的访问权限级别。 有关更多信息,请参阅 什么是 IAM 策略以及谁可以分配这些策略? |
获得支持和其他资源
如果您在使用 IBM Cloud 时遇到问题,您有几种选择来帮助确定问题的原因并找到解决方案。 登录账户后,您可以直接访问支持中心,查看产品主题和特色常见问题,打开或管理支持案例,或搜索社区内容。 使用本核对表确定可用的支持选项,包括培训和教程。
| 任务 | 描述 |
|---|---|
|
|
随时了解 IBM Cloud 平台上的新功能,以便充分利用 IBM Cloud 体验。 查看该平台的 新 文档和 公告博客。 |
|
|
IBM Cloud 状态页面是查找有关影响 IBM Cloud 平台和服务的关键事件的所有事件、计划维护、公告、发布说明和安全公告详情的中心位置。 了解有关 查看云状态的 更多信息。 |
|
|
您可以选择基本、高级或高级支持计划,根据自己的业务需求定制 IBM Cloud 支持体验。 所选支持级别确定您可为支持案例分配的严重性以及您对支持中心内可用的工具的访问级别。 了解有关 支持计划的 更多信息。 |
|
|
如果您在使用 IBM Cloud 时遇到问题,可以使用 支持中心 创建支持案例。 您还可以针对与访问(IAM)、计费和使用、账户问题以及发票或销售查询相关的问题创建支持案例。 了解有关 创建支持案例的 更多信息。 如果您无法访问您的帐户,请 在此处创建一个案例。 |
|
|
解决方案教程提供了逐步指导,说明如何使用 IBM Cloud Log Analysis 管理 IBM Cloud 中的操作系统日志、应用程序日志和平台日志,以实现基于最佳实践和成熟技术的通用模式。 请参见 解决方案教程入门。 |
|
|
通过学习途径增长技能。选择一个主题,开始逐步进行技术培训。 请访问 IBM Cloud 培训中心。 |
|
|
我们希望听听您的想法! 您可以向 IBM Cloud 团队提交有关文档或控制台的反馈。 您可以从几种不同的方法中进行选择来提供反馈。了解提交反馈的方式。 |
|
|
学习紧缺技能,使用真实示例代码构建解决方案,并与全球开发人员社区建立联系。将 IBM Developer 加入书签。 |
|
|
使用 ibm-cloud 标签在 Stack Overflow 上提问或查看回复,或扩展以包含更多相关 标签。 |
|
|
访问控制台中的常见问题解答库,获取 有关获得支持的常见问题 的答案。 |
|
|
CSM 专为那些承诺采用 IBM Cloud 云计算解决方案的客户而设。 分配工作通过提名程序进行,并有支持标准,但每个地理位置的支持标准各不相同。 请通过您当地的 IBM 销售团队或 呼入销售部了解有关接收专用 CSM 资源的更多详情。 |
|
|
提交您的想法和功能请求,供产品管理团队审查和实施。 产品管理团队负责 IBM Cloud 产品的整个生命周期。 登录 公众创意门户网站提交申请。 |