IBM Cloud® 虚拟私有云(VPC)基础设施环境介绍
基础设施即服务( IaaS )环境由许多组件组成——主要是来自特定区域(如美国)和指定站点位置(也称为区域)的计算、存储和网络,该区域是一个数据中心站点。
部署和管理
IBM Cloud VPC基础设施产品(如虚拟或裸机服务器)可通过 IBM Cloud VPC基础设施控制台进行部署。
或者,可以通过以下方式部署和管理:
- IBM Cloud CLI
- IBM Cloud 使用 API密钥的VPC基础设施API调用 IBM Cloud
- Terraform Provider for IBM Cloud by using an IBM Cloud API key
更多信息,请参阅 管理VPC基础设施(IAM )。
地点——可用区域
我们的可用区域遍布北美、南美、欧洲、亚洲和澳大利亚,您可以随时随地按需配置云资源。 全球范围内有许多区域,每个区域都有多个可用区。 每个可用区都连接到 IBM Cloud 全球专用网络,使数据传输在世界任何地方都更快、更高效。
如需了解有关 IBM Cloud 可用区、数据中心和接入点( PoPs )的更多信息,请参阅 全球区域、可用区和数据中心地图。
计算资源
在 IBM Cloud VPC基础设施环境中,可以部署两种类型的计算资源:
- 英特尔虚拟服务器实例(VSI)
- 英特尔公司 Bare Metal Servers
这些计算资源以不同的配置提供,定义了CPU和RAM的组合。
欲了解更多信息,请访问 SAP 认证的基础设施。
网络
IBM Cloud VPC 基础设施网络坚固、安全且灵活,由最新网络硬件提供支持,具有最佳网络功能。 它允许在云中定义隔离和创建网络。
IBM Cloud VPC 基础设施网络 |
---|
全球 |
地区 |
VPC |
可用区(带地址前缀) |
子网掩码 |
每个 IBM Cloud® Virtual Private Cloud 都针对一个地区创建,并覆盖多个可用区。
当您在可用区中部署 VPC 时,该可用区将使用 一个地址前缀。
每个VPC区域(和地址前缀)包含一个或多个子网。 您可以通过选择IP范围和子网掩码手动定义每个子网,也可以选择所需的IP地址数量。 新创建的计算资源将部署到该子网中,也可以连接到其他子网。
网络连接
IBM Cloud® Virtual Private Cloud 网络概览展示了 环境的连通性。 无论您打算如何使用系统,如果计划不周,网络连接问题都会导致项目延迟。
一般来说,IBM Cloud VPC 拥有高度可用、高带宽的网络,连接到每一种计算资源,无论是裸机服务器还是物理服务器,在 VSI 案例中,这些服务器为虚拟机管理程序提供服务。 每个物理服务器(主机)都服务于一个虚拟机监控程序,它将网络划分为虚拟网络接口( vNICs ),这些接口连接到虚拟服务器。
根据您的虚拟服务器的配置,虚拟服务器可用的总网络带宽在4 Gbps到64 Gbps之间。 需要考虑的是,每个 vNIC 的最大吞吐量为16 Gbps,因此,为了实现最大吞吐量,虚拟服务器最多可以连接4个额外的 vNICs (也就是说,一个虚拟服务器最多可以连接5个 vNICs )。
如果您需要通过公共互联网连接到虚拟或裸机服务器(也称为服务器入站),您可以订购 浮动IP 并附加到服务器的 vNIC,,换句话说:您可以为每个服务器附加 一个浮动IP。
如果您想从您的服务器连接到公共互联网(也称为从服务器向外连接),您需要将 Public Gateway 到VPC。 该网关为整个子网提供互联网访问。
以下互联选项可供选择:
- VPC区域到区域,
- VPC到VPC,
- VPC到经典基础设施,
- VPC 至 IBM 电力系统基础设施,
- 通过VPC VPN网关将VPC连接到本地数据中心
如果因安全措施而无法连接公共互联网,您可以在您的VPC中部署一个IPsec网关来连接您的服务器。 更多信息,请参阅 连接到您的 SAP 系统环境——VPC VPN网关。 或者,您可以通过 IBM Cloud Direct Link 与您的骨干基础设施进行更紧密的整合。 更多信息,请参阅 连接您的 SAP 系统环境—— IBM Cloud Direct Link。
IBM Cloud 经典基础设施中的服务器资源可通过 中转网关 进行连接。 这些虚拟设备用于将_经典基础架构中的_私有VLAN子网连接到VPC子网。
更多信息,请参阅 《关于VPC的网络连接 》和 《设置对传统基础设施的访问 》。
经典基础设施网络中存在额外要求,以启用 Transit Gateway,在更改经典基础架构或VPC基础架构的网络拓扑和配置之前,请务必查看文档。
建议您在确定景观布局和 SAP 应用层所需的连接性后,联系 IBM Cloud 支持部门。
网络保护
IBM Cloud® 提供进一步的保护机制,为您的 提供一层安全保护,您可以随时进行配置和调整。Virtual Servers for VPC 两个关键原则是:
- 网络访问控制列表(ACL ):可供所有区域的所有子网使用。 访问控制列表(ACL)附加到子网,通过限制子网的入站和出站流量来提供子网级别的保护。
- 安全组:可供所有子网在所有区域使用,这些区域连接到任何服务器的 vNIC,该服务器通过充当防火墙来限制 vNIC 的入站和出站流量,从而提供实例级保护。
更多信息,请参阅 “VPC中的安全”。
用于分离流量的子网
如果您出于安全限制或吞吐量考虑,想要在您的网络中分离不同的网络流量类型,您可以配置多个子网并将其附加到您的 VPC,并使其可用于您的计算资源。
网络访问控制列表
网络访问控制列表(ACL)用于管理子网级别的 allow
和 deny
规则。 访问控制列表(ACL)也用于管理子网之间的网络流量。 子网的默认访问控制列表(ACL)允许所有流量进入子网。 如果您想要更严格的安全措施,则需要为访问控制列表添加规则。 添加规则时,请记住,DNS或操作系统补丁和软件包下载等必需服务可能会受到这些规则的影响。 更多信息,请参阅 “VPC中的安全”。
安全组
安全组是一组_只允许通过的_防火墙规则。 您可以将这些规则应用到一台或多台裸机服务器或虚拟服务器上。 您还可以在创建 VPC 时使用安全外壳(SSH)和 ICMP(ping)创建默认安全组,允许来自任何 IP 地址的 ICMP 和 SSH。 这些规则需要限制您计划访问 VPC 的 IP 或 IP 范围。
存储器
您的虚拟服务器配有块存储,并使用每秒输入/输出操作(IOPS)来确定存储需求。 这非常适合 I/O 需求较高的存储密集型应用程序(例如,操作系统、数据库和应用程序软件)。 此选项是 SAP HANA 工作负载的理想伴侣。
所有块存储均根据容量(GB)和性能(IOPS)测量值进行选择,且必须满足特定的 SAP 工作负载。
IOPS值基于16 KB的数据块大小,读/写比例为50/50。 为了实现最大的I/O吞吐量,建议查看存储的层级和自定义配置文件,找到大小和IOPS的最佳组合。
存储容量因IOPS层而异。 您可以选择3、5或10 IOPS/GB(请参阅 分层IOPS配置文件 )。 您还可以根据存储空间的大小选择 自定义大小 (以GB和IOPS为单位)。
如果您的服务器需要超出最初配置的存储空间,您可以稍后添加额外的卷。 如果附加的存储不足以满足您的工作负载,请联系 IBM Cloud 支持 以获取扩展选项。