IBM Cloud Docs
Schematics 代理程序

Schematics 代理程序

IBM Cloud® Schematics 代理程序扩展了使用 Schematics 工作空间和操作作业来供应,配置和安全地访问私有云和本地基础结构的能力。 专用网络上的专用代理程序,启用 Schematics 以供应,配置和安全地访问专用或本地资源。 另外,专用代理程序还包括 converged-infrastructure,hypervisors,private Git 存储库,配置和 Secrets Manager 服务。

Schematics 无法直接访问您的网络,代理程序或私有云资源。 代理程序使用拉取模型并轮询在代理程序上运行的工作空间或操作作业。 您可以控制代理程序资源,其网络策略,其与 Schematics 的连接以及在代理程序上运行的作业。 代理程序设计为不需要从 Schematics 进行入站访问,也不需要打开入站防火墙或网络访问端口。 代理程序与 Schematics 之间的所有通信都是从代理程序出站并在您的控制下进行的。

Schematics 代理程序概述

代理使您的 Schematics 工作区和操作任务能够在您的私有云网络或任何隔离的网络区域中运行,并直接与您的云基础设施配合使用。 代理商扩展了现有的 Schematics 共享多租户服务,由私人专属工作人员(代理商)在您的专用网络上运行工作空间和操作任务。 该图说明了与现有共享多租户服务一起执行基于代理程序的作业。

Schematics 使用代理程序的工作空间和操作
Schematics 代理程序体系结构,运行工作空间和操作

代理程序 (分配) 策略动态地路由工作空间和操作作业,以在由用户指定的策略属性确定的代理程序上运行。 缺省值 (未定义策略) 适用于要在 Schematics 共享基础结构上运行的所有工作空间和操作作业。 定义后,分配策略 会将工作空间和操作作业路由到部署在特定私有云或网络位置的代理程序。 策略选择属性包括工作空间和操作资源组,区域和用户分配的标记。

如果没有策略定义,那么将通过共享多租户 Schematics 服务来安装作业执行。 针对 Schematics 工作空间Schematics 操作 中的部署体系结构描述了共享环境。 共享服务在 Schematics 网络上运行作业,以根据需要通过公用或专用网络连接 IBM Cloud API。 如果使用共享服务,那么需要通过运行 SSH 命令或 Ansible访问专用网络上的资源的作业将访问用户专用网络。 它是通过使用用户配置的防御主机通过公共因特网完成的。

通过代理程序,策略确定要在专用网络上部署的代理程序上运行的工作空间和操作。 在您的控制下,在这些代理程序上运行的作业可以配置和访问由您自己的网络访问策略管理的云或本地服务和集群资源。 如果在专用网络上使用代理程序,那么不需要通过公用因特网进行防御主机访问。 如果通过 SSH 使用 Ansible 或 Terraform,那么使用代理程序可简化基础结构和安全需求,并消除各种安全注意事项。

Schematics 通过使用运行代理程序的 Kubernetes 集群提供的 IBM Cloud 可信概要文件身份来识别和认证代理程序。 此身份是在创建和部署代理程序时动态创建的。 可信概要文件身份确认任何人都无法破坏代理程序的身份,并从 Schematics 或您的帐户窃取数据。 您可以使用 IAM 访问策略来控制为可信概要文件身份定义的访问许可权。

代理程序运行时包含 TerraformAnsible 和更多微服务。 有关代理程序运行时中包含的软件实用程序的更多信息,请参阅 Schematics 代理程序运行时

使用代理程序时的专用网络配置

下图说明了通过 Transit Gateway 连接多个 VPC 的集群环境上可能的代理程序部署。 在这里,运行工作空间和操作作业的代理程序可以通过私有云网络直接连接到云资源。 在此部署模型中,您的作业可以使用 SSH 直接配置云资源,而无需堡垒主机通过公用网络获取访问权。

Schematics 代理程序连接
Schematics 代理程序连接

通过代理程序,您可以控制 Kubernetes 集群的网络安全策略以及正在运行的代理程序的任何 VPC 安全组或访问控制表策略。 此外,工作空间和操作作业能够访问您的私有云资源。

使用代理程序的优点

Schematics 是支持许多用户并发使用的多租户服务。 多租户模型施加了一些限制,以在所有用户之间保持公平使用,并在用户之间保持网络隔离。

以下是将代理程序与 Schematics配合使用的一些优点:

  • 代理程序扩展了使用 Schematics 以及 IBM Cloud Satellite® 的优点: 以在多个云提供者之间供应和配置混合云资源。
  • 代理程序为用户提供他们自己的执行队列。 通过多租户共享 Schematics 服务,作业将放置在所有用户的共享队列中。 在代理程序上运行的作业将在共享队列中等待并提前启动。 换言之,其他租户工作负载不会影响您的作业性能和响应时间。
  • 如果自动化需要特殊软件或版本,或者需要更多容量 (CPU 和内存) 才能运行: 多租户 Schematics 服务无法满足您的需求。 可以部署和配置代理程序,以使用专用基础结构来运行自动化,可根据容量需求进行向上或向下扩展。 在将来的发行版中,可以扩展代理程序映像以包含或使用您自己的自动化软件和版本以及由 Schematics 运行时提供的自动化引擎。
  • 多租户 Schematics 服务使用所有用户通用的网络访问策略。 代理程序使您能够在执行访问专用网络资源的工作空间或操作作业时实现对网络访问策略的精细控制。 您可以配置代理程序集群和 VPC 安全策略入口或出口 规则,这些规则由执行作业的代理程序用于连接到私有云基础结构。
  • 代理程序解除了在共享服务中运行的若干限制: 这是确保公平使用共享服务所必需的。Schematics 代理程序放宽了 local-exec,remote-exec 和 Ansible 运行手册执行的超时限制。 将除去多租户服务中的超时限制,以确保所有用户公平使用服务。 没有为在代理程序上运行的作业应用持续时间。

后续步骤

您已了解 Schematics 代理程序及其用法。 浏览 准备代理程序 设置以在 IBM Cloud 帐户中部署代理程序的步骤。