VPC landing zone のデプロイ可能アーキテクチャーの概要
VPC landing zone デプロイ可能アーキテクチャーCloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity. は、Financial Services リファレンス・アーキテクチャー用の IBM Cloud に基づくコード (IaC) 資産として事前構成されたインフラストラクチャーのセットです。
デプロイ可能なアーキテクチャーには、 VPC landing zone、 VSI on VPC landing zone、および Red Hat OpenShift Container Platform on VPC landing zoneの 3 つが含まれています。 デプロイ可能なアーキテクチャーを使用して、セキュアでカスタマイズ可能な 仮想プライベート・クラウドA virtual network that is tied to a private user account and isolated from other networks in a public cloud. Only authorized users can access virtual private cloud resources, which include virtual servers, storage, and subnets. (VPC) 環境を作成できます。
デプロイ可能なアーキテクチャーは、要件を満たし、 IBM Cloud Framework for Financial Services のベスト・プラクティスに従うのに役立ちます。 詳しくは、 Getting started with IBM Cloud for Financial Services を参照してください。 デプロイ可能アーキテクチャーについて詳しくは、「 IBM Cloudでのセキュア・エンタープライズ・ワークロードの実行」の「 インフラストラクチャー・アーキテクチャー 」を参照してください。
VPC landing zone
VPC landing zone を使用すると、仮想サーバー・インスタンス (VSI) や Red Hat OpenShift クラスターなどのコンピュート・リソースを使用せずに、単純な IBM Cloud VPC インフラストラクチャーをデプロイできます。 また、独自のコンピュート・リソースをデプロイするためのベースとして使用することもできます。
VPC landing zone もモジュラー・ソリューションです。 このアーキテクチャーをコンピュート・リソースのベースとして使用できます。 実際、他のランディング・ゾーンのデプロイ可能アーキテクチャーは、リソースのベースとして VPC landing zone を使用します。
このデプロイ可能アーキテクチャーは、以下の機能をサポートします。
- コンプライアンス: IBM Cloud for Financial Services の VPC リファレンス・アーキテクチャーとの調整
- VPC:デフォルトで2つのVPCをベースにVPCベースのトポロジーを作成します
- サブネット:IPレンジを定義し、ネットワーク内のリソースを整理するために、VPC内に複数のサブネットを定義します。
- パブリック・ゲートウェイ: VPC 内のリソースとパブリック・インターネットの間の接続を提供するパブリック・ゲートウェイが含まれます。
- アクセス制御リスト (ACL): ACL を作成し、VPC 内のサブネット間のトラフィックを許可または拒否するためのルールを定義します。
- 中継ゲートウェイ: デプロイ可能アーキテクチャーによって作成される 2 つのデフォルト VPC を接続する中継ゲートウェイを作成します。
- セキュリティー・グループ: VPC 内のリソースへのインバウンド・トラフィックとアウトバウンド・トラフィックを制御するセキュリティー・グループを作成します。
- 鍵管理: IBM Key Protect for IBM Cloud サービスまたは Hyper Protect Crypto Servicesを統合して、鍵管理を追加します。 これらの鍵管理サービスは、暗号鍵を作成、管理、および使用して機密データを保護するのに役立ちます。
- エッジネットワーキング:有効な場合、特定の場所でエッジVPCを使用することで、パブリックインターネットへのトラフィックを分離し、高速化します
- フロー・ログおよびアクティビティー・トラッキング: これらのサービスを統合して、VPC インフラストラクチャーの可観測性と監査を強化します。
- 既存のCBRゾーンIDが指定されている場合、ランディングゾーンVPC CRNを既存のCBR(コンテキストベースの制限)ネットワークゾーンに追加します。
VPC のコンポーネントについて詳しくは、 VPC の概念 を参照してください。 カスタムCBR (Context-based restrictions) ゾーンとルールを作成する方法の詳細については、CBRモジュール を参照してください。 デフォルトのFSCloud準拠粗視化CBRルールを作成するには、Pre-wired CBR configuration for FS Cloud サブモジュールも参照してください。
VSI on VPC landing zone
VSI on VPC landing zone のデプロイ可能アーキテクチャーは、仮想サーバー・インスタンス (VSI) を IBM Cloudにデプロイします。 このデプロイ可能アーキテクチャーは、アプリケーションおよびサービスを実行するためのセキュアでカスタマイズ可能なコンピュート・リソースを提供します。
このデプロイ可能アーキテクチャーは、以下の機能をサポートします。
- VPC landing zone のデプロイ可能アーキテクチャーのすべての機能
- VSI: ワークロード用に IBM Cloud VPC 内に 1 つ以上の仮想サーバーを作成して構成します。
- VSIのサブネット:VSIのサブネットを設定し、インスタンスがどのサブネットに配置されるかを指定します。
- セキュリティグループ:セキュリティグループをVSIに関連付け、インスタンスへのインバウンドおよびアウトバウンドのトラフィックを制御する。
- SSHキー:インスタンスを安全に管理できるように、VSI の SSH キーをプロビジョニングして管理します。
VSI on VPC landing zone のデプロイ可能アーキテクチャーの使用の概念について詳しくは、 IBM Cloud for Financial Services 資料のこの リファレンス・アーキテクチャー を参照してください。
Red Hat OpenShift Container Platform on VPC landing zone
Red Hat OpenShift Container Platform on VPC landing zone の Deployable アーキテクチャーは、 Red Hat OpenShift Container Platform クラスターを IBM Cloudにデプロイするためのツールを提供します。
デプロイ可能アーキテクチャーは、 IBM Cloud上の VPC でプラットフォームを管理するために使用される単一の VPC に Red Hat OpenShift クラスターをデプロイします。 VPC は、VPC の安全性と高可用性を維持する、マルチゾーンのマルチサブネット実装です。 デプロイ可能アーキテクチャーには、 Red Hat OpenShift Container Platform クラスターを IBM Cloudにデプロイするためのツールが用意されています。
このデプロイ可能アーキテクチャーは、以下の機能をサポートします。
- VPC landing zone のデプロイ可能アーキテクチャーのすべての機能
- Red Hat OpenShift Container Platform: IBM Cloud VPC にクラスターを作成します。 バージョンとクラスター・サイズを指定できます。
- ワーカー・プール: コンテナー・プラットフォームでワーカー・プールを作成します。 ワーカー・プールを使用すると、類似した構成 (コンピュート・リソースやアベイラビリティー・ゾーンなど) のワーカー・ノードをグループ化して管理することができます。
- コンテナ用のサブネット:クラスタのサブネットを設定し、ワーカーノードを配置するサブネットを指定します。
- プライベート・エンドポイントとパブリック・エンドポイント: クラスターのプライベート・エンドポイントとパブリック・エンドポイントを構成します。
- Ingress 構成: クラスターの Ingress コントローラーを構成します。 コントローラーは、外部トラフィックをクラスター内の適切なサービスにルーティングする責任があります。
VPC 上で Red Hat OpenShift Container Platform を使用するための概念について詳しくは、金融サービス資料の IBM Cloud のこの リファレンス・アーキテクチャー を参照してください。