Aprendendo sobre a arquitetura e o isolamento da carga de trabalho do VCF as a Service
A arquitetura do IBM Cloud® for VMware Cloud Foundation as a Service é baseada nas entidades lógicas a seguir que são criadas por região de nuvem suportada.
- Domínio de gerenciamento - hospeda as ferramentas de operações do IBM e todas as ferramentas de gerenciamento de clientes de locatário único, exceto as bordas de rede que são usadas pelas cargas de trabalho dos clientes.
- Domínio de carga de trabalho do cliente - hospeda IaaS de locatário único e multitenant IBM Cloud IaaS, bordas de rede e cargas de trabalho e redes implantadas pelo cliente.
A arquitetura detalha os componentes da solução VMware Cloud Foundation (VCF) as a Service e diferentes camadas de arquitetura para fornecer uma implementação isolada e privada para clientes. A arquitetura fornece opções de implementação customizáveis de ambientes de data center virtual baseados no VMware Cloud Director™ .
Com instâncias do Cloud Director de locatário único e multilocatário e suas instâncias de data center virtual, os clientes podem migrar ou implementar cargas de trabalho do VMware® by Broadcom para a nuvem na infraestrutura IBM- hospedada e gerenciada pelo VMware by Broadcom. As cargas de trabalho do cliente que consistem em configurações de rede e VMs são separadas para infraestrutura isolada e virtualizada.
Arquitetura do domínio de gerenciamento do VCF as a Service
O domínio de gerenciamento contém os componentes para gerenciar a infraestrutura virtual dos domínios de carga de trabalho no VCF as a Service. O domínio de gestão também fornece a base para implantação de soluções para o provisionamento de carga de trabalho e gerenciamento de operações.
O domínio de gerenciamento consiste em ferramentas para suportar a infraestrutura virtual, operações de nuvem, automação de nuvem, continuidade de negócios e componentes de segurança e conformidade para VCF as a Service. VCF as a Service aloca domínios de carga de trabalho separados por instância do cliente para o serviço de locatário único e usa o isolamento organizacional do Cloud Director para clientes de diversos locatários em um domínio de carga de trabalho único. Cada domínio de carga de trabalho é gerenciado por uma instância separada do vCenter Server e por um cluster dedicado do NSX-T™ Manager para aumentar a escalabilidade. Os componentes do vCenter Server e do VMware NSX-T Manager para esses domínios de carga de trabalho são executados no domínio de gerenciamento.
O domínio de gerenciamento executa todos os componentes de gerenciamento na oferta VCF as a Service para o domínio de gerenciamento e domínios de carga de trabalho, exceto para nós do NSX-T Edge de carga de trabalho. O VCF as a Service inicia com uma configuração de domínio de gerenciamento inicial que é estendida com cada implementação de domínio de carga.
Arquitetura do domínio de carga de trabalho VCF as a Service
Um domínio de carga de trabalho representa uma unidade lógica que agrupa hosts do VMware ESXi™ gerenciados pelo vCenter Server, pelo NSX-T e pelo VMware Cloud Director que são dedicados a uma instância de domínio de carga. Domínios de carga de trabalho existem nos limites de uma região do IBM Cloud.
Os seguintes tipos de domínios de cargas de trabalho existem:
- Domínio de carga de trabalho de locatário único, que é totalmente dedicado a uma única conta de cliente IBM Cloud. Os componentes de infraestrutura e gerenciamento são totalmente dedicados.
- Domínio de carga de trabalho de diversos locatários, que consiste em componentes de infraestrutura e gerenciamento que são usados por muitos clientes. Cada cliente do ambiente VMware by Broadcom é totalmente isolado por meio de organizações Cloud Director.
Cada domínio de carga de trabalho contém os seguintes componentes instalados no domínio de gerenciamento:
- Segmento NSX-T para isolar os componentes de gestão
- Uma instância do VMware vCenter Server®
- Uma instância de data center do NSX-T
- Uma instância do VMware Cloud Director
A transferência de componentes de gerenciamento da instância de carga de trabalho do cliente para o domínio de gerenciamento torna os recursos do IaaS disponíveis no domínio da carga de trabalho para execução de cargas de trabalho do cliente.
Os seguintes componentes são instalados no domínio de carga de trabalho:
- Pelo menos um cluster VMware vSphere® com vSphere HA com servidores ESXi bare metal de tenant único, rede e armazenamento compartilhado
- Opcionalmente, um cluster NSX-T Edge que conecta as cargas de trabalho no domínio para comutação lógica, roteamento lógico dinâmico e balanceamento de carga
O domínio de carga de trabalho do cliente é reservado para uso por cargas de trabalho do cliente, exceto para clusters NSX-T Edge usados para tráfego de rede Norte-Sul.
VCF as a Service isolamento de carga de trabalho e proteção de dados
O VCF as a Service usa zonas de confiança. Zonas confiáveis são um agrupamento lógico de componentes que são conhecidos, controlados e confiáveis. Limites de proteção são estabelecidos entre zonas de confiança, conforme descrito na tabela a seguir.
| Nome | Descrição | Limite |
|---|---|---|
| Plano de gestão | Componentes de gerenciamento operacional do VCF as a Service | Os recursos do plano de gerenciamento existem em IBM Cloud regiões IaaS clássicas. As interfaces operacionais usadas para acessar o domínio de gerenciamento são protegidas por firewalls do dispositivo de rede e o uso de hosts de bastion pela equipe de operações A conectividade de componente de gerenciamento com o avião de carga de trabalho ocorre através de aparelhos de rede. A conectividade pública com todas as interfaces de serviço público do cliente é protegida por meio da segurança do Akamai Os clientes acessam o VMware Cloud Director e os portais de serviço associados usando a IU da web por meio da camada de segurança do Akamai da rede pública. Essas interfaces são restritas e não permitem que os clientes transitam ainda mais pela rede de plano de gestão. |
| Plano de carga | Centros de dados virtuais VMware Cloud Director que consistem em vApps, máquinas virtuais (VM) e redes virtuais | As interfaces de gerenciamento de operações no plano de carga de trabalho são protegidas por firewalls do dispositivo de rede e hosts bastion.. As cargas de trabalho do cliente são permitidas pelo VMware Cloud Director para anexar apenas a redes virtualizadas NSX-T restritas, que estão em execução como sobreposições na rede clássica IaaS. Por isso, os VMs do cliente não possuem amplo acesso às redes de gerenciamento e armazenamento do Plantão de Carga de Trabalho. O acesso à rede do cliente é restrito por dispositivos de borda NSX-T. A conectividade da carga de trabalho do cliente com o público ocorre por meio de roteadores de borda NSX-T que são gerenciados pelo cliente por meio de uma interface restrita do VMware Cloud Director. A conectividade de carga de trabalho do cliente para o privado ocorre através de roteadores de borda NSX-T gerenciados da IBMque são configurados para limitar a conectividade a serviços privados conhecidos IBM Cloud. |
Proteção de dados
Os metadados do cliente estão associados às instâncias do VCF as a Service que o cliente cria. Quando a instância é excluída pelo cliente, os metadados são mantidos no banco de dados onde o estado da instância é configurado como Deleted.
Os metadados do cliente são mantidos no banco de dados, a menos que o cliente solicite que os dados sejam removidos por meio de um chamado de Suporte IBM
Os metadados do cliente são armazenados em bancos de dados IBM Cloud (ICD) que criptografam todos os dados em trânsito e em repouso.
As credenciais usadas para acessar a subcamada IaaS e VMware pelos componentes da Broadcom também são armazenadas no banco de dados. Eles são armazenados com uma segunda camada de criptografia de envelope além da criptografia do BD usando IBM Cloud Key Protect Root Key com Chave de Criptografia De Dados Envoltos (DEK). O DEK desembrulhado é criptografar e decriptografar os dados finais.
A criptografia de envelope usa uma instância exclusiva do Key Protect por região com chave raiz exclusiva e DEK por microsserviço na solução VCF as a Service em todas as instâncias do cliente.
Dados e proteção de dados para dados de propriedade do cliente
Os dados de propriedade do cliente são hospedados somente no plano de dados da instância do domínio de carga de trabalho em armazenamentos de dados isolados pelo cliente
Os dados em repouso são armazenados em armazenamento conectado à rede ou em discos dedicados que são associados a servidores de bare metal gerenciados. A IBM fornece políticas de armazenamento para estas lojas de dados que oferecem a criptografia vSphere e os clientes podem optar por aplicar essas políticas em suas cargas de trabalho para que as VMs sejam protegidas por criptografia vSphere.
O uso da criptografia vSphere não é impingida pela IBM porque não é desejável em toda instância. Existem cenários exclusivos para cada implementação do cliente, e é uma opção selecionável pelo cliente para ativar a criptografia de disco para cargas de trabalho
As VMs criptografadas pela criptografia do vSphere são protegidas por uma instância do Key Protect de propriedade da IBMcom a instância exclusiva do Key Protect, a chave raiz exclusiva e a chave de criptografia de dados exclusivos por instância de domínio de carga de trabalho Além disso, os backups de clientes são armazenados em armazenamento separado que é protegido pela criptografia Veeam ®, que gera chaves automaticamente para cada tarefa de locatário ou backup.
Existem várias instâncias possíveis de dados do cliente em movimento.. Os dados da rede de clientes fluem sobre os segmentos de rede de sobreposição virtualizados NSX-T e são isolados para o cliente. A rede de sobreposição virtualizada do NSX-T não fornece criptografia intrínseca, para confidencialidade de dados, deve-se usar uma técnica de criptografia de rede, como IPsec, SSL ou SSH. O tráfego de disco do cliente em voo é protegido se os clientes usem a criptografia vSphere. O tráfego vMotion do cliente em andamento é protegido pela criptografia vMotion.
Os dados de propriedade do cliente incluem os seguintes itens:
- MVs
- Backups
- Data-in-motion nas redes IBM Cloud e SDN
- Configurações de clientes usadas na solução, como conexões com a autenticação no local e autenticação do usuário na solução
Em todos os casos, os dados devem ser resistentes para suportar a continuidade da solução e a recuperação caso ocorra um desastre.