VPC 登录区域 - 标准变体

VPC landing zone可部署架构的标准变体使用两个虚拟专用云（VPC）、一个管理 VPC 和一个工作负载 VPC 来管理环境和已部署的工作负载。每个 VPC 都是一个多分区、多子网实现，可确保工作负载安全。 Transit Gateway 用于将 VPC 相互连接，而虚拟专用端点则用于连接到 IBM Cloud 服务。

IBM Cloud Flow Logs for VPC 可收集和存储有关进出 VPC 内网络接口的互联网协议 (IP) 流量的信息。此外，Activity Tracker 还会记录来自已启用服务的事件。 IBM Cloud Flow Logs for VPC 和 Activity Tracker 包含在此可部署架构中。您可以添加更多安全服务，如 Hyper Protect Crypto Services。

体系结构图

Architecture diagram for the Standard variation of VPC landing zone — Figure 1. VPC landing zone的标准变化

设计要求

的范围*

组件

VPC 体系结构决策

表 1. 建筑决策
要求	组件	选择理由	替代选择
提供基础架构/应用程序管理访问权，以监视，操作和维护环境。限制基础结构/应用程序管理入口点的数量以确保安全性审计。	管理 VPC 服务
为服务管理组件 (例如，备份，监视， IT 服务管理和共享存储器) 提供基础架构确保您可以访问所有 IBM Cloud 和本地服务	工作负载 VPC 服务
为所有已创建的服务设置网络为所有已创建的服务隔离网络确保所有已创建的服务相互连接	安全登录区域组件	为安全登录区域创建至少一组必需组件	在预设中为安全着陆区创建一组已修改的必需组件

网络安全架构决策

表 2. 网络安全架构决策
要求	组件	选择理由	替代选择
隔离管理 VPC 并仅允许有限数量的网络连接禁止与管理 VPC 之间的所有其他连接	管理 VPC 中的 ACL 和安全组规则		可能会在预设中打开更多端口，或者在部署后手动添加更多端口
隔离工作负载 VPC ，并且仅允许有限数量的网络连接禁止与工作负载 VPC 之间的所有其他连接	工作负载 VPC 中的 ACL 和安全组规则		可能会在预设中打开更多端口，或者在部署后手动添加更多端口
装入 VPN 配置以简化 VPN 设置	VPN	VPN 配置由客户负责