规划着陆区可部署架构
在开始部署登录区域可部署体系结构之前,请确保您了解并满足先决条件。
确认 IBM Cloud 设置
在部署 VPC landing zone 可部署体系结构之前,请完成以下步骤。
-
确认或设置 IBM Cloud 帐户:
请确保您拥有 IBM Cloud“即用即付”或“订阅”账户:
-
配置 IBM Cloud 帐户:
- 使用您用于设置帐户的 IBMid 登录到 IBM Cloud。 此 IBMid 用户是帐户所有者,并且具有完全 IAM 访问权。
- 完成公司概要文件 和帐户的联系信息。 此概要文件必须与 IBM Cloud Financial Services 概要文件保持一致。
- 为您的帐户 启用 "已验证金融服务" 选项。
- 通过创建支持案例来启用虚拟路由和转发 (VRF) 和服务端点。 遵循 启用 VRF 和服务端点 中的指示信息。
设置 IAM 许可权
- 设置帐户访问权 (Cloud Identity and Access Management (IAM)):
-
创建 IBM Cloud API 密钥。 拥有此密钥的用户必须具有管理员角色。
Red Hat OpenShift Container Platform on VPC landing zone 可部署体系结构不支持服务标识 API 密钥。
-
为了符合 IBM Cloud Framework for Financial Services: 要求帐户中的用户使用 多因子认证(MFA)。
-
通过使用分配给访问组的访问策略来控制用户对 IBM Cloud 资源的访问权。 对于 IBM Cloud Financial Services 验证,请勿分配对任何 IBM Cloud 资源的直接 IAM 访问权。
分配对组的访问权时,请选择 所有启用身份和访问权的服务。
-
验证访问角色
需要 IAM 访问角色才能安装此可部署体系结构并创建所有必需元素。
对于此可部署体系结构,您需要以下许可权:
- 从 IBM Cloud 目录创建服务。
- 创建和修改此 VPC 的 IBM Cloud VPC 服务,虚拟服务器实例,网络,网络前缀,存储卷,SSH 密钥和安全组。
- 创建和修改 IBM Cloud 直接链接和 IBM Cloud Transit Gateway。
- 访问现有 Object Storage 服务。
有关配置许可权的信息,请与 IBM Cloud 帐户管理员联系。
对 IBM Cloud 项目的访问权
您可以使用 IBM Cloud 项目作为部署选项。 项目设计时将基础架构作为代码并遵循合规性,以帮助确保项目受管,安全且始终合规。 有关更多信息,请参阅 了解有关具有项目的 IaC 部署。
您需要以下访问权才能在帐户中创建项目和创建项目工具资源。 确保您拥有以下访问权限:
- “项目”服务的“编辑者”角色。
- Schematics 服务的“编辑者”和“管理者”角色
- 项目的资源组上的“查看者”角色
有关更多信息,请参阅 授予用户对项目的访问权。
创建 SSH 密钥
确保您具有可用于认证的 SSH 密钥。 此密钥用于登录到您创建的所有虚拟服务器实例。 有关创建 SSH 密钥的更多信息,请参阅 SSH 密钥。
(可选) 设置 IBM Cloud Hyper Protect Crypto Services
对于密钥管理服务,可以使用 IBM Cloud Hyper Protect Crypto Services 代替 IBM Cloud Object Storage。Hyper Protect Crypto Services 是基于 IBM Cloud 的专用密钥管理服务和硬件安全模块,支持保留自己的密钥 (KYOK) 功能。
通过使用 Hyper Protect Crypto Services,可部署体系结构满足以下控件的需求:
有关更多信息,请参阅 IBM Cloud for Financial Services 的 VPC 参考体系结构中的 安全性信息。
无法将现有可部署体系结构从 Key Protect 更新到 Hyper Protect Crypto Services。 您必须创建并部署另一个可部署体系结构。
供应和初始化 Hyper Protect Crypto Services 服务
在部署此可部署体系结构之前,需要 Hyper Protect Crypto Services 服务的实例。
-
您可以通过以下两种方法之一来供应 Hyper Protect Crypto Services:
-
通过使用 IBM Cloud Hyper Protect Crypto Services Terraform 模块。
-
通过直接创建和初始化实例。
-
-
初始化 Hyper Protect Crypto Services:
- 如果使用了 IBM Cloud Hyper Protect Crypto Services 模块,请遵循模块 自述文件中的步骤。
- 如果直接创建了实例,请遵循 入门 IBM Cloud Hyper Protect Crypto Services 中的步骤。
对于技术证明环境,请使用
auto-init
标志。 有关更多信息,请参阅 使用恢复加密单元初始化服务实例。 -
配置可部署架构时,请在
hs_crypto_resource_group
输入变量中指定资源组,并在hs_crypto_instance_name
变量中指定实例名称。 如果不提供这些变量的值,则使用默认的 Key Protect 加密。