IBM Cloud Docs
VPC 登录区域上的 VSI - QuickStart 变体

VPC 登录区域上的 VSI - QuickStart 变体

VPC 登录区域可部署体系结构上 VSI 的 QuickStart 变体可在单个区域中创建完全可定制的虚拟私有云 (VPC) 环境。 该解决方案在安全 VPC 中为您的工作负载提供虚拟服务器。 QuickStart 变体旨在快速部署以进行演示和开发。

体系结构图

Architecture diagram for the QuickStart variation of VSI on VPC landing zone
Figure 1. VSI on VPC landing zone的QuickStart变体

设计要求

设计要求VSI on VPC landing zone
2. 设计
的范围*

组件

VPC 体系结构决策

表 1. 建筑决策
要求 组件 选择理由 替代选择
  • 提供基础架构/应用程序管理访问权,以监视,操作和维护环境。
  • 限制基础结构/应用程序管理入口点的数量以确保安全性审计。
管理 VPC 服务 创建单独的 VPC 服务,允许从外部进行 SSH 连接
  • 提供计算,存储和网络服务,以支持向使用者提供服务的托管应用程序和操作。
  • 确保您可以访问 IBM Cloud 服务,工作负载 VPC 和管理 VPC
工作负载 VPC 服务 创建单独的 VPC 服务作为隔离环境,无需直接公用因特网连接,也无需直接 SSH 访问
创建虚拟服务器实例以支持托管应用程序 工作负载虚拟服务器实例 创建可充当工作负载服务器以支持托管应用程序的 VPC 虚拟服务器实例。 配置 ACL 和安全组规则允许访问 IBM Cloud 服务,工作负载和管理 VPC
创建虚拟服务器实例作为环境的唯一管理访问点 跳转框主机 VPC 实例 创建充当跳转框主机的 Linux VPC 实例。 配置 ACL 和安全组规则以允许 SSH 连接 (端口 22)。 将公共 IP 地址添加到 VPC 实例。
  • 为所有已创建的服务设置网络
  • 为所有已创建的服务隔离网络
  • 确保所有已创建的服务相互连接
安全登录区域组件 为安全登录区域创建至少一组必需组件 在预设中为安全着陆区创建一组已修改的必需组件

网络安全架构决策

表 2. 网络安全架构决策
要求 组件 选择理由 替代选择
  • 隔离管理 VPC 并允许来自公用网络的 SSH 网络连接
  • 除 IBM 服务和 VPC 外,禁止与管理 VPC 的所有其他连接
管理 VPC 中的 ACL 和安全组规则 缺省情况下打开以下端口: 22 (对于有限数量的 IP)
所有到其他 VPC 的端口都已打开
可能会在预设中打开更多端口,或者在部署后手动添加更多端口
  • 隔离工作负载 VPC ,并且仅允许有限数量的网络连接
  • 禁止与工作负载 VPC 之间的所有其他连接
工作负载 VPC 中的 ACL 和安全组规则 允许 IBM Cloud 服务,工作负载 VPC 和管理 VPC 的连接 可能会在预设中打开更多端口,或者在部署后手动添加更多端口
在跳转框主机上启用浮动 IP 管理 VPC 中跳转框主机上的浮动 IP 使用跳转框主机上的浮动 IP 进行管理访问

密钥和密码管理体系结构决策

表 3. 密钥和密码管理架构决策
要求 组件 选择理由 替代选择
  • 使用公用 SSH 密钥通过 SSH 访问虚拟服务器实例
客户提供的公用 SSH 密钥 请求客户指定密钥。 接受输入作为安全参数。