Agentes do Schematics
IBM Cloud® Schematics O agente estende a capacidade de usar a área de trabalho e as tarefas de ação do Schematics para provisionar, configurar e acessar com segurança sua nuvem privada e infraestrutura no local. Agentes dedicados em sua rede privada, ative o Schematics para provisionar, configurar e acessar com segurança recursos privados ou no local. Além disso, os agentes dedicados incluem convergged-infrastructure, hypervisors, repositórios Git privados, configuração e serviços Secrets Manager.
O Schematics não tem acesso direto à sua rede, a um agente ou a seus recursos de nuvem privada.. Um agente usa um modelo de pull e pesquisa a área de trabalho ou as tarefas de ações que são executadas em um agente Você está no controle dos recursos do agente, suas políticas de rede, sua conexão com o Schematics e as tarefas que são executadas no agente. Os agentes são projetados para não requerer acesso de entrada do Schematics ou a abertura do firewall de entrada ou das portas de acesso à rede. Toda comunicação entre o agente e o Schematics é de saída do agente e está sob seu controle.
Schematics Visão geral do agente
Os agentes permitem que seu espaço de trabalho Schematics e os trabalhos de ações sejam executados em sua rede de nuvem privada ou em qualquer zona de rede isolada e trabalhem diretamente com sua infraestrutura de nuvem. Os agentes estendem o serviço multilocatário compartilhado existente Schematics, com trabalhadores dedicados privados (agentes) que executam trabalhos de espaço de trabalho e ação em sua rede privada. O diagrama ilustra a execução da tarefa baseada em agente ao lado do serviço de diversos locatários compartilhado existente
As políticas do agente (designação) roteiam dinamicamente a área de trabalho e as tarefas de ação para serem executadas em um agente determinado pelos atributos de política especificados pelo usuário. O padrão, sem políticas que são definidas, é que todas as tarefas de área de trabalho e ações sejam executadas na infraestrutura compartilhada do Schematics. Quando definidas, as políticas de designação roteiam tarefas de área de trabalho e de ação para agentes implementados em locais específicos de nuvem privada ou rede. Os atributos de seleção de política incluem área de trabalho e grupos de recursos de ação, região e tags designadas pelo usuário.
Sem definições de política, a execução da tarefa é instalada por meio do serviço compartilhado de diversos locatários Schematics. O ambiente compartilhado é descrito para as arquiteturas de implementação no áreas de trabalho do Schematics e no Ações Schematics O serviço compartilhado executa tarefas na rede Schematics para conectar as APIs do IBM Cloud sobre a rede pública ou privada, conforme necessário. Se você usar o serviço compartilhado, tarefas que requerem acesso a recursos na rede privada, com os comandos SSH em execução ou Ansible, acesso à rede privada de usuários. É feito por meio da Internet pública usando um host bastion configurado pelo usuário.
Com os agentes, as políticas determinam as áreas de trabalho e as ações que você deseja executar em agentes implementados em sua rede privada Sob seu controle, as tarefas que são executadas nesses agentes podem configurar e acessar seus serviços e recursos de cluster em nuvem ou no local, gerenciados por suas próprias políticas de acesso à rede.. Se você usar agentes em sua rede privada, o acesso ao host do bastion por meio da Internet pública não será necessário O uso de agentes simplifica a infraestrutura e os requisitos de segurança se você usar Ansible ou Terraform por meio de SSH e elimina várias considerações de segurança.
Schematics identifica e autentica seu agente usando uma identidade de perfil confiável IBM Cloud que é fornecida pelo cluster Kubernetes que executa o agente. Essa identidade é criada dinamicamente quando um agente é criado e implementado.. As identidades do perfil confiável confirmam que ninguém pode falsificar a identidade do agente e roubar dados do Schematics ou da conta. Você está no controle das permissões de acesso definidas para a identidade do perfil confiável usando as políticas de acesso do IAM.
O tempo de execução do agente inclui Terraform, Ansible e mais microsserviços. Para obter mais informações sobre os utilitários de software incluídos no tempo de execução do agente. Consulte Tempo de execução do agente Schematics
Configuração de rede privada ao usar agentes
O diagrama a seguir ilustra uma possível implementação de agente em um ambiente em cluster com vários VPCs conectados por meio de um gateway de trânsito. Aqui, um agente, executando tarefas de área de trabalho e de ação, tem uma conexão direta com recursos de nuvem sobre a rede de nuvem privada. Nesse modelo de implementação, sua tarefa pode configurar diretamente seus recursos de nuvem usando SSH, sem a necessidade de hosts bastion para obter acesso por meio da rede pública
Com os agentes, você está no controle das políticas de segurança de rede do cluster Kubernetes e de quaisquer políticas do Grupo de Segurança do VPC ou da Lista de Controle de Acesso para o agente em execução Além disso, a capacidade das tarefas de área de trabalho e de ações para ter acesso aos seus recursos de nuvem particular..
Benefícios do uso de agentes
Schematics é um serviço de diversos locatários que suporta uso simultâneo por muitos usuários. O modelo de diversos locatários impõe algumas restrições para manter o uso justo em todos os usuários e manter o isolamento de rede entre os usuários
A seguir estão alguns benefícios do uso de agentes com Schematics:
- O Os agentes estendem os benefícios de usar o Schematics junto com IBM Cloud Satellite®: para provisionar e configurar recursos de nuvem híbrida em diversos provedores de nuvem
- Os agentes fornecem aos usuários suas próprias filas de execução. Com o serviço Schematics compartilhado de diversos locatários, tarefas são colocadas em uma fila compartilhada para todos os usuários. As tarefas que são executadas nos agentes aguardam na fila compartilhada e são iniciados mais cedo Em outras palavras, outras cargas de trabalho de locatários não afetam seu desempenho de tarefa e tempo de resposta.
- Se a sua automação precisar de software ou versões especiais ou requerer mais capacidade (CPU, memória) para executar: O serviço de diversos locatários Schematics não atende aos seus requisitos. Os agentes podem ser implementados e configurados para usar a infraestrutura dedicada para executar sua automação que pode ser escalada ou reduzida, dependendo das necessidades de capacidade. Em uma liberação futura, as imagens do agente podem ser estendidas para incluir ou usar seu próprio software e versões de automação juntamente com o mecanismo de automação que é fornecido pelo tempo de execução do Schematics..
- O serviço Schematics com diversos locatários usa políticas de acesso à rede: que é comum a todos os usuários... Os agentes permitem que você implemente o controle fino sobre as políticas de acesso à rede ao executar tarefas de área de trabalho ou de ações que acessam seus recursos de rede privados É possível configurar as regras de ingresso ou egresso do cluster do agente e as políticas de segurança do VPC que são usadas pelos agentes que executam suas tarefas para se conectarem à sua infraestrutura de nuvem privada
- Os agentes aliviam várias restrições de execução em um serviço compartilhado: que é necessário para assegurar o uso justo do serviço compartilhado. Os agentes do Schematics relaxam a limitação de tempo limite para execução de playbook local-exec, remote-exec e Ansible. As limitações de tempo limite no serviço de diversos locatários são removidas para assegurar a utilização de serviço justo por todos os usuários Nenhuma duração é aplicada para as tarefas executadas nos agentes
Próximas etapas
Você aprendeu sobre o agente do Schematics e seu uso. Explore as etapas para preparar uma configuração do agente para implementar um agente na conta do IBM Cloud.