IBM Cloud Docs
VPC ランディング・ゾーンでの VSI - 標準バリエーション

VPC ランディング・ゾーンでの VSI - 標準バリエーション

VPC ランディング・ゾーンでの VSI の標準的なバリエーションのデプロイ可能アーキテクチャーは、IBM Cloud for Financial Services リファレンス・アーキテクチャーに基づいています。 このアーキテクチャーは、仮想サーバーを使用して、マルチゾーン・リージョンの仮想プライベート・クラウド (VPC) でワークロードを実行するための、カスタマイズ可能でセキュアなインフラストラクチャーを作成します。

アーキテクチャー図

Architecture diagram for the Standard variation of VSI on VPC landing zone
Figure 1. Standard variation of VSI on VPC landing zone

設計要件

Design requirements for VSI on VPC landing zone
Figure 2. 設計要件
の範囲

コンポーネント

VPC アーキテクチャーの決定

表 1. アーキテクチャーを決定します。
要件 コンポーネント 選択の理由 代替選択肢
  • インフラストラクチャーおよび管理アクセス権限を提供する
  • セキュリティー監査を確保するために、インフラストラクチャー管理エントリー・ポイントの数を制限する
管理 VPC サービス ワークロード・リソースの管理と保守、およびサイト間 VPN を介したアクセスのための別個の VPC サービスを作成します。
  • バックアップ、モニター、IT サービス管理、共有ストレージなどのサービス管理コンポーネントのためのインフラストラクチャーを提供
  • すべての IBM Cloud およびオンプレミス・サービスに到達できることを確認
ワークロード VPC サービス ホストされたアプリケーションをサポートする分離された環境として別個の VPC サービスを作成する
管理をサポートするための仮想サーバー・インスタンスの作成 管理仮想サーバー・インスタンス ホストされたアプリケーションの管理および保守に使用できる VPC 仮想サーバー・インスタンスを作成します。 IBM Cloud サービス、およびワークロードと管理 VPC へのアクセスを許可するように、ACL およびセキュリティー・グループ・ルールを構成します。
ホストされたアプリケーションをサポートするための仮想サーバー・インスタンスの作成 ワークロード仮想サーバー・インスタンス ホストされたアプリケーションをサポートするワークロード・サーバーとして機能できる VPC 仮想サーバー・インスタンスを作成します。 IBM Cloud サービス、ワークロード、および管理 VPC へのアクセスを許可するように ACL およびセキュリティー・グループ・ルールを構成します。

IBM Cloud Framework for Financial Services

  • 作成されたすべてのサービス用にネットワークをセットアップする
  • 作成されたすべてのサービス用にネットワークを分離する
  • 作成されたすべてのサービスが相互接続されていることを確認する
セキュア・ランディング・ゾーン・コンポーネント セキュア・ランディング・ゾーンに必要な最小限のコンポーネント・セットを作成します。 事前設定でセキュア・ランディング・ゾーン用に変更された一連の必須コンポーネントを作成します。

ネットワーク・セキュリティー・アーキテクチャーの決定

表 2. ネットワーク・セキュリティ・アーキテクチャの
要件 コンポーネント 選択の理由 代替選択肢
  • 管理 VPC を分離し、限られた数のネットワーク接続のみを許可する
  • 管理 VPC との他のすべての接続は禁止されています
管理 VPC の ACL およびセキュリティー・グループ・ルール

サイト間 VPN 経由でアクセスするための環境の分離

  • 他の VPC へのすべてのポートが開いている
事前設定で追加のポートを開くことも、デプロイメント後に手動で追加することもできます。
  • ワークロード VPC を分離し、制限された数のネットワーク接続のみを許可する
  • ワークロード VPC から、またはワークロード VPC への他のすべての接続は禁止される
ワークロード VPC 内の ACL およびセキュリティー・グループ・ルール 他の VPC へのすべてのポートが開いています 事前設定で追加のポートを開くことも、デプロイメント後に手動で追加することもできます。
VPN セットアップを簡素化するための VPN 構成のロード VPN VPN 構成はお客様の責任で行ってください。
Activity Trackerとフロー・ログによるInternet Protocol (IP)トラフィック情報の収集と保存 Activity Tracker
サイト間仮想プライベートネットワークで複数のネットワークにセキュアに接続

鍵およびパスワードの管理アーキテクチャーの決定

表 3. 鍵およびパスワード管理アーキテクチャの決定
要件 コンポーネント 選択の理由 代替選択肢
  • SSH を使用して仮想サーバー・インスタンスにアクセスするには、公開 SSH 鍵を使用します
お客様によって提供される SSH 公開鍵 キーを指定するようにお客様に依頼します。 入力をセキュア・パラメーターとして受け入れます。

次のステップ

IBM Cloud for Financial Services についてお読みください。