IBM Cloud Docs
サービスとしての VCF のアーキテクチャーとワークロードの分離について

サービスとしての VCF のアーキテクチャーとワークロードの分離について

IBM Cloud® for VMware Cloud Foundation as a Service アーキテクチャーは、サポートされるクラウド領域ごとに作成される以下の論理エンティティーに基づいています。

  • 管理ドメイン - IBM 運用ツールと、顧客のワークロードで使用されるネットワーキングエッジを除く、すべてのシングルテナント顧客管理ツールをホストします。
  • 顧客のワークロード・ドメイン - シングルテナントとマルチテナントのネットワーキング・エッジ、IaaS,顧客が配備したネットワーキングとワークロードをホストするIBM Cloud

サービスとしての VCF 地域 地域
サービスとしての VCF

このアーキテクチャーは、 VMware Cloud Foundation (VCF) as a Service ソリューション・コンポーネントおよびさまざまなアーキテクチャー層の詳細を示し、分離されたプライベート実装をお客様に提供します。 このアーキテクチャーは、インフラストラクチャーおよび VMware Cloud Director™ ベースの仮想データ・センター環境のカスタマイズ可能なデプロイメント選択項目を提供します。

シングルテナントおよびマルチテナントのCloud Directorインスタンスとその仮想データセンターインスタンスにより、顧客は VMware® by Broadcomのワークロードを、 IBM- Broadcomインフラストラクチャによってホストおよび管理される VMware-上のクラウドに移行または展開することができます。 ネットワーク構成と VM で構成されるお客様のワークロードは、分離された仮想化インフラストラクチャーに分離されます。

サービスとしての VCF 管理ドメイン・アーキテクチャー

管理ドメインには、 サービスとしての VCF内のワークロード・ドメインの仮想インフラストラクチャーを管理するためのコンポーネントが含まれています。 管理ドメインは、ワークロードのプロビジョニングと運用管理のためのソリューションをデプロイするための基盤も提供します。

管理ドメインは、 サービスとしての VCFの仮想インフラストラクチャー、クラウド操作、クラウド自動化、事業継続性、およびセキュリティーとコンプライアンスのコンポーネントをサポートするツールで構成されています。 サービスとしての VCF は、お客様のマルチテナント・テナント・カスタマー・インスタンスごとに別個のワークロード・ドメインを割り振ります。 各ワークロードドメインは、 vCenter Server インスタンスと専用の NSX-T™ Manager クラスタによって管理され、スケーラビリティを確保します。 これらのワークロードドメインの vCenter Server および VMware NSX-T Manager コンポーネントは、管理ドメインで実行されます。

管理ドメインは、ワークロード NSX-T エッジ・ノードを除き、管理ドメインとワークロード・ドメインの両方に対して サービスとしての VCF オファリング内のすべての管理コンポーネントを実行します。 サービスとしての VCF は、各ワークロード・ドメイン・デプロイメントで拡張された初期管理ドメイン構成で開始します。

サービスとしての VCF ワークロード・ドメイン・アーキテクチャー

ワークロード・ドメインは、ワークロード・ドメイン・インスタンス専用の vCenter Server、NSX-T、および VMware Cloud Director によって管理される VMware ESXi™ ホストをグループ化する論理装置を表します。 ワークロード・ドメインは、 IBM Cloud 領域の境界内に存在します。

以下のタイプのワークロード・ドメインが存在します。

  • シングルテナントのワークロードドメインは、単一の IBM Cloud 顧客アカウントに完全に専用化されています。 インフラストラクチャー・コンポーネントと管理コンポーネントは、どちらも完全に専用です。
  • マルチテナント・ワークロード・ドメイン。多くのお客様が使用するインフラストラクチャーおよび管理コンポーネントで構成されます。 各顧客の VMware by Broadcom環境は、Cloud Director組織を通じて完全に分離されている。

各ワークロード・ドメインには、管理ドメインにインストールされている以下のコンポーネントが含まれています。

  • 管理コンポーネントを分離するための NSX-T セグメント
  • VMware vCenter Server® インスタンス
  • NSX-Tデータセンター・インスタンス1台
  • 1 つの VMware Cloud Director インスタンス

カスタマー・ワークロード・インスタンス管理コンポーネントを管理ドメインにオフロードすると、カスタマー・ワークロードを実行するためにワークロード・ドメインで IaaS リソースを使用できるようになります。

以下のコンポーネントがワークロード・ドメインにインストールされます。

  • シングルテナントESXiベアメタルサーバ、ネットワーキング、共有ストレージを備えた vSphere HAを備えた VMware vSphere® クラスタが少なくとも1つ
  • オプションで、論理切り替え、論理動的ルーティング、およびロード・バランシングのためにドメイン内のワークロードを接続する 1 つの NSX-T エッジ・クラスター

お客様のワークロード・ドメインは、North-South ネットワーキング・トラフィックに使用される NSX-T Edge クラスターを除き、お客様のワークロードで使用するために予約されています。

サービスとしての VCF ワークロードの分離とデータ保護

サービスとしての VCF はトラスト・ゾーンを使用します。 トラスト・ゾーンは、既知、制御、およびトラステッドであるコンポーネントを論理的にグループ化したものです。 以下の表に示すように、トラスト・ゾーン間に保護境界が設定されます。

マネジメントプレーンとワークロードプレーンの説明と境界線
名前 説明 境界
管理プレーン サービスとしての VCF 運用管理コンポーネント 管理プレーン・リソースは、 IBM Cloud クラシック IaaS リージョンに存在します。 管理ドメインへのアクセスに使用される操作インターフェースは、ネットワーキング・アプライアンス・ファイアウォールによって保護され、操作チームによる要塞ホストの使用によって保護されます。 ワークロード・プレーンへの管理コンポーネント接続は、ネットワーキング・アプライアンスを介して行われます。 すべてのお客様のパブリック・サービス・インターフェースへのパブリック接続は、Akamai セキュリティーによって保護されています。 お客様は、パブリック・ネットワークから Akamai セキュリティー層を介して Web UI を使用して、 VMware Cloud Director および関連するサービス・ポータルにアクセスします。 これらのインターフェースは制限されており、お客様が管理プレーン・ネットワークをさらに通過することはできません。
ワークロード・プレーン VMwareCloud DirectorvApps,仮想マシン(VM)、仮想ネットワークで構成される仮想データセンター ワークロード・プレーンへの運用管理インターフェースは、ネットワーク・アプライアンスのファイアウォールおよび要塞ホストによって保護されます。 お客様のワークロードは、 VMware Cloud Director によって、クラシック IaaS ネットワーク上でオーバーレイとして実行されている、制限された別個の NSX-T 仮想化ネットワークにのみ接続できます。 したがって、お客様の VM は、Workload Plane の管理ネットワークとストレージ・ネットワークに幅広くアクセスすることはできません。 お客様のネットワーク・アクセスは、NSX-T エッジ・アプライアンスによって制限されます。 顧客ワークロードのパブリックへの接続は、NSX-T エッジルーターを通じて行われ、顧客は制限付きの VMware Cloud Director インターフェースを通じて管理する。 プライベートへのカスタマー・ワークロード接続は、接続を既知の IBM Cloud プライベート・サービスに制限するように構成されている IBM管理の NSX-T エッジ・ルーターを介して行われます。

データ保護

クライアント・メタデータは、クライアントが作成する サービスとしての VCF インスタンスに関連付けられます。 インスタンスがクライアントによって削除されると、メタデータは、インスタンスの状態が Deleted に設定されているデータベース内に維持されます。 お客様が IBM サポート・チケットを介してデータの削除を要求しない限り、お客様のメタデータはデータベース内に保持されます。

クライアント・メタデータは、転送中と保存中の両方のすべてのデータを暗号化する IBM Cloud データベース (ICD) に保管されます。

Broadcom コンポーネントによるアンダーレイ IaaS および VMware へのアクセスに使用される認証情報もデータベースに保存される。 これらは、 IBM Cloud Key Protect ラップされたデータ暗号鍵 (DEK) を使用して、DB 暗号化に加えてエンベロープ暗号化の第 2 層とともに保管されます。 アンラップされた DEK は、最終データを暗号化および暗号化解除するためのものです。

エンベロープ暗号化では、すべてのお客様のインスタンスにわたって サービスとしての VCF ソリューションで、固有のルート鍵とマイクロサービスごとの DEK を使用して、リージョンごとに固有の Key Protect インスタンスが使用されます。

お客様所有のデータのデータおよびデータ保護

お客様が所有するデータは、お客様が分離したデータ・ストア上のワークロード・ドメイン・インスタンス・データ・プレーンでのみホストされます。

保存されたデータは、Network Attached Storage、または管理対象ベアメタル・サーバーに関連付けられた専用ディスクのいずれかに保管されます。 IBM は、 vSphere 暗号化を提供するこれらのデータ・ストア用のストレージ・ポリシーを提供します。お客様は、これらのポリシーをワークロードに適用して、VM が vSphere 暗号化によって保護されるようにすることができます。

vSphere 暗号化の使用は、すべてのインスタンスで望ましくないため、 IBM によって強制されるものではありません。 お客様のデプロイメントごとに固有のシナリオがあり、ワークロードのディスク暗号化を有効にするためにお客様が選択できるオプションです。

vSphere 暗号化によって暗号化された VM は、ワークロード・ドメイン・インスタンスごとに固有の Key Protect インスタンス、固有のルート鍵、および固有のデータ暗号鍵を持つ IBM所有の Key Protect インスタンスによって保護されます。 さらに、お客様のバックアップは、Veeam ® 暗号化によって保護される別個のストレージに保管されます。これにより、テナントまたはバックアップ・ジョブごとに自動的に鍵が生成されます。

移動中のお客様データのインスタンスがいくつか存在する可能性があります。 お客様のネットワーク・データは、NSX-T 仮想化オーバーレイ・ネットワーク・セグメントを介して流れ、お客様に分離されます。 NSX-T 仮想化オーバーレイ・ネットワーキングでは、組み込みの暗号化は提供されません。データの機密性を確保するために、IPsec、SSL、SSH などのネットワーク暗号化手法を使用する必要があります。 お客様が vSphere 暗号化を使用する場合、処理中のお客様のディスク・トラフィックは保護されます。 伝送途中のお客様の vMotion トラフィックは、 vMotion 暗号化によって保護されます。

お客様所有のデータには、以下の項目が含まれます。

  • VM
  • バックアップ
  • IBM Cloud ネットワークおよび SDN ネットワークでの Data-in-Motion
  • ソリューションで使用されるお客様の構成 (オンプレミスへの接続やソリューションでのユーザー認証など)

いずれの場合も、災害が発生した場合にソリューションの継続性とリカバリーをサポートするために、データの回復力が必要です。