IBM Cloud Docs
使用虚拟服务器的应用程序着陆区 - 快速入门(金融服务版)变体

使用虚拟服务器的应用程序着陆区 - 快速入门(金融服务版)变体

可部署虚拟服务器架构的应用程序着陆区快速启动(金融服务版)变体可在单一区域内创建完全可定制的虚拟私有云(VPC)环境。 该解决方案在安全 VPC 中为您的工作负载提供虚拟服务器。 快速入门(金融服务版)变体旨在快速部署,用于演示和开发。

体系结构图

使用虚拟服务器的应用程序着陆区的架构图--快速入门(金融服务版)变体
使用虚拟服务器的应用程序着陆区的架构图--快速入门(金融服务版)变体

设计要求

带有虚拟服务器的应用程序着陆区的设计要求
图 2. 设计
的范围*

组件

VPC 体系结构决策

建筑决策
要求 组件 选择理由 替代选择
  • 提供基础设施或应用程序管理访问权限,以监控、运行和维护环境
  • 限制基础设施或应用程序管理入口点的数量,以帮助确保安全审计。
 管理 VPC 服务 创建单独的 VPC 服务,允许从外部进行 SSH 连接
  • 提供计算、存储和网络服务,以支持向消费者提供服务的托管应用程序和操作。
  • 确保您可以访问 IBM Cloud 服务、工作负载 VPC 和管理 VPC
 工作负载 VPC 服务 创建单独的 VPC 服务作为隔离环境,无需直接公用因特网连接,也无需直接 SSH 访问
创建虚拟服务器实例以支持托管应用程序 工作负载虚拟服务器实例 创建可充当工作负载服务器以支持托管应用程序的 VPC 虚拟服务器实例。 配置 ACL 和安全组规则,允许访问 IBM Cloud 服务、工作负载和管理 VPC
创建虚拟服务器实例作为环境的唯一管理访问点 跳转框主机 VPC 实例 创建充当跳转框主机的 Linux VPC 实例。 配置 ACL 和安全组规则以允许 SSH 连接 (端口 22)。 将公共 IP 地址添加到 VPC 实例。
  • 为所有创建的服务设置网络
  • 为所有创建的服务隔离网络
  • 确保所有创建的服务相互连接
 安全登录区域组件 为安全登录区域创建至少一组必需组件 在预设中为安全着陆区创建一组已修改的必需组件

网络安全架构决策

网络安全架构决策
要求 组件 选择理由 替代选择
  • 隔离管理 VPC 并允许来自公用网络的 SSH 网络连接
  • 除 IBM 服务和 VPC 外,禁止与管理 VPC 的所有其他连接
 管理 VPC 中的 ACL 和安全组规则 缺省情况下打开以下端口: 22 (对于有限数量的 IP)
所有到其他 VPC 的端口都已打开		 可能会在预设中打开更多端口,或者在部署后手动添加更多端口
  • 隔离工作负载 VPC ,并且仅允许有限数量的网络连接
  • 禁止与工作负载 VPC 之间的所有其他连接
 工作负载 VPC 中的 ACL 和安全组规则 允许 IBM Cloud 服务,工作负载 VPC 和管理 VPC 的连接 可能会在预设中打开更多端口,或者在部署后手动添加更多端口
在跳转框主机上启用浮动 IP 管理 VPC 中跳转框主机上的浮动 IP 使用跳转框主机上的浮动 IP 进行管理访问

密钥和密码管理体系结构决策

密钥和密码管理架构决策
要求 组件 选择理由 替代选择
  • 使用公用 SSH 密钥通过 SSH 访问虚拟服务器实例
 客户提供的公用 SSH 密钥 请求客户指定密钥。 接受输入作为安全参数。

后续步骤