IBM Cloud Docs
容器化应用程序的着陆区 OpenShift- 标准(金融服务版)

容器化应用程序的着陆区 OpenShift- 标准(金融服务版)

OpenShift 的容器化应用登陆区是一个可部署的架构解决方案,它基于 IBM Cloud for Financial Services 参考架构。 它可在虚拟私有云(VPC)网络上创建安全、合规的 Red Hat OpenShift Container Platform 工作负载集群。

体系结构图

OpenShift- 标准(金融服务版)在 VPC 上可部署架构的架构图 - 标准(金融服务版)可部署架构的容器化应用着陆区架构图 - 标准(金融服务版)可部署架构的容器化应用着陆区单一区域架构图
OpenShift

设计要求

监管行业 VPC 安全基础设施的设计要求
设计要求的范围

组件

VPC 体系结构决策

建筑决策
要求 组件 选择理由 替代选择
为部署在工作负载 VPC 中的工作负载提供访问管理和工具 管理 VPC 服务 创建单独的 VPC 服务,允许从外部进行 SSH 连接
提供计算,存储和网络服务,以支持向使用者提供服务的托管应用程序和操作 工作负载 VPC 服务 创建单独的 VPC 服务作为隔离环境,无需直接公用因特网连接,也无需直接 SSH 访问
  • 证明符合 IBM Cloud Framework for Financial Services
    的控制要求 * 为所有创建的服务设置网络
  • 为所有创建的服务隔离网络
  • 确保所有创建的服务相互连接
 安全登录区域组件 为安全登录区域创建至少一组必需组件 在预设中为安全着陆区创建一组已修改的必需组件

网络安全架构决策

网络安全架构决策
要求 组件 选择理由 替代选择
  • 隔离管理 VPC 并仅允许有限数量的网络连接
  • 禁止与管理 VPC 之间的所有其他连接
 管理 VPC 中的 ACL 和安全组规则 可能会在预设中打开更多端口,或者在部署后手动添加更多端口
  • 隔离工作负载 VPC ,并且仅允许有限数量的网络连接
  • 禁止与工作负载 VPC 之间的所有其他连接
 工作负载 VPC 中的 ACL 和安全组规则 缺省情况下打开以下端口: 53 (DNS 服务)
所有指向其他 VPC 的端口都已打开		 可能会在预设中打开更多端口,或者在部署后手动添加更多端口
在 bastion 主机上启用浮动 IP 以运行部署 管理 VPC 中堡垒主机上的浮动 IP 从 IBM Schematics 使用防御主机上的浮动 IP 来完成部署
装入 VPN 配置以简化 VPN 设置 VPN VPN 配置由客户负责
通过 Activity Tracker 和流量日志收集和存储 Internet Protocol (IP) 流量信息 Activity Tracker
利用站点到站点虚拟专用网络安全连接多个网络

后续步骤

如果计划使用 Red Hat OpenShift on IBM Cloud,请浏览 具有 Red Hat OpenShift on IBM Cloud 的 VPC 参考体系结构 的更详细视图