了解 VCF as a Service 体系结构和工作负载隔离
IBM Cloud® for VMware Cloud Foundation as a Service 体系结构基于针对每个受支持的云区域创建的以下逻辑实体。
- 管理域 - 托管 IBM 操作工具和所有单租户客户管理工具,客户工作负载使用的网络边缘除外。
- 客户工作负载域 - 托管单租户和多租户IBM Cloud IaaS,网络边缘以及客户部署的网络和工作负载。
体系结构详细描述了 VMware Cloud Foundation (VCF) as a Service 解决方案组件和不同的体系结构层,以便为客户提供隔离的专用实现。 该体系结构提供基于基础结构和 VMware Cloud Director™ 的虚拟数据中心环境的可定制部署选项。
通过单租户和多租户 Cloud Director 实例及其虚拟数据中心实例,客户可以将 VMware® by Broadcom 工作负载迁移或部署到由 IBM 托管和管理的 VMware by Broadcom 基础设施上的云中。 由网络配置和 VM 组成的客户工作负载将分离到隔离式虚拟化基础结构。
VCF as a Service 管理域体系结构
管理域包含用于管理 VCF as a Service中工作负载域的虚拟基础结构的组件。 管理域还为部署用于工作负载供应和操作管理的解决方案提供了基础。
管理域由用于支持 VCF as a Service的虚拟基础结构,云操作,云自动化,业务连续性以及安全性和合规性组件的工具组成。VCF as a Service 为单租户服务的每个客户实例分配单独的工作负载域,并为单工作负载域中的多租户客户使用 Cloud Director 组织隔离。 每个工作负载域由一个单独的 vCenter Server 实例和一个专用的 NSX-T™ Manager 集群管理,以实现可扩展性。 这些工作负载域的 vCenter Server 和 VMware NSX-T Manager 组件在管理域中运行。
管理域针对管理域和工作负载域 (工作负载 NSX-T Edge 节点除外) 运行 VCF as a Service 产品中的所有管理组件。VCF as a Service 从通过每个工作负载域部署扩展的初始管理域配置开始。
VCF as a Service 工作负载域体系结构
工作负载域表示一个逻辑单元,用于对专用于工作负载域实例的 vCenter Server,NSX-T 和 VMware Cloud Director 管理的 VMware ESXi™ 主机进行分组。 工作负载域存在于 IBM Cloud 区域的边界中。
存在以下类型的工作负载域:
- 单租户工作负载域,完全专用于单个 IBM Cloud 客户账户。 基础架构和管理组件都是完全专用的。
- 多租户工作负载域,由许多客户使用的基础架构和管理组件组成。 每个客户 VMware by Broadcom 环境都通过 Cloud Director 组织完全隔离。
每个工作负载域都包含安装在管理域中的以下组件:
- 用于隔离管理组件的 NSX-T 段
- 一个 VMware vCenter Server® 实例
- 一个 NSX-T 数据中心实例
- 一个 VMware Cloud Director 实例
将客户工作负载实例管理组件卸载到管理域会使 IaaS 资源在工作负载域中可用于运行客户工作负载。
以下组件安装在工作负载域中:
- 至少有一个 VMware vSphere® 集群,配有 vSphere HA 和单租户 ESXi 裸机服务器、网络和共享存储设备
- (可选) 一个 NSX-T Edge 集群,用于连接域中的工作负载以进行逻辑切换,逻辑动态路由和负载均衡
客户工作负载域保留供客户工作负载使用,但用于南北联网流量的 NSX-T Edge 集群除外。
VCF as a Service 工作负载隔离和数据保护
VCF as a Service 使用信任区域。 信任区域是已知,受控和可信的组件的逻辑分组。 如下表中所述,在信任区域之间建立保护边界。
| 名称 | 描述 | 边界 |
|---|---|---|
| 管理平面 | VCF as a Service 操作管理组件 | 管理平面资源存在于 IBM Cloud 经典 IaaS 区域中。 用于访问管理域的操作接口受网络设备防火墙和操作团队使用防御主机的保护。 与工作负载平面的管理组件连接是通过联网设备进行的。 通过 Akamai 安全性保护与所有客户公共服务接口的公共连接。 客户通过公用网络中的 Akamai 安全层使用 Web UI 来访问 VMware Cloud Director 和关联的服务门户网站。 这些接口受到限制,不允许客户通过管理平面网络进一步传输。 |
| 工作负载平面 | 由vApps,虚拟机 (VM) 和虚拟网络组成的VMwareCloud Director 虚拟数据中心 | 工作负载平面中的操作管理接口由联网设备防火墙和防御主机保护。 VMware Cloud Director 允许客户工作负载仅连接到在经典 IaaS 网络上作为覆盖图运行的受限的单独 NSX-T 虚拟化网络。 因此,客户 VM 无法广泛访问 Workload Plane 管理和存储网络。 客户网络访问受 NSX-T 边缘设备限制。 客户工作负载与公共网络的连接通过 NSX-T 边缘路由器进行,这些路由器由客户通过受限的 VMware Cloud Director 接口进行管理。 客户通过配置为限制与知名 IBM Cloud 专用服务的连接的 IBM管理的 NSX-T 边缘路由器进行到专用的工作负载连接。 |
数据保护
客户机元数据与客户机创建的 VCF as a Service 实例相关联。 当客户机删除实例时,将在实例状态设置为 Deleted 的数据库中维护元数据。 除非客户机请求通过 IBM 支持凭单除去数据,否则将在数据库中维护客户机元数据。
客户机元数据存储在 IBM Cloud 数据库 (ICD) 中,用于对传输中和静态的所有数据进行加密。
Broadcom 组件用于访问底层 IaaS 和 VMware 的凭证也存储在数据库中。 除了使用 IBM Cloud Key Protect Root Key with wrapped Data Encryption Key (DEK) 进行数据库加密外,它们还与第二层包络加密一起存储。 解包 DEK 是对最终数据进行加密和解密。
包络加密在所有客户实例中的 VCF as a Service 解决方案中使用每个区域唯一的 Key Protect 实例 (具有唯一的根密钥) 和每个微服务的 DEK。
针对客户拥有的数据的数据和数据保护
客户拥有的数据仅托管在客户隔离的数据存储器上的工作负载域实例数据平面中。
静态数据存储在网络连接的存储器上,或者存储在与受管裸机服务器相关联的专用磁盘上。 IBM 为这些提供 vSphere 加密的数据存储器提供存储策略,客户可以选择将这些策略应用于其工作负载,以便 VM 受 vSphere 加密保护。
IBM 不会强制使用 vSphere 加密,因为在每个实例中都不需要使用此加密。 针对每个客户部署都存在独特的方案,它是客户可选择的选项,用于为工作负载启用磁盘加密。
由 vSphere 加密的 VM 受 IBM拥有的 Key Protect 实例保护,每个工作负载域实例具有唯一的 Key Protect 实例,唯一的根密钥和唯一的数据加密密钥。 此外,客户备份存储在受 Veeam ® 加密保护的单独存储器中,这将自动为每个租户或备份作业生成密钥。
存在多个可能的动态客户数据实例。 客户网络数据流经 NSX-T 虚拟化覆盖网段,并与客户隔离。 NSX-T 虚拟化覆盖网络不提供内部加密,为了实现数据机密性,您必须使用网络加密技术,例如 IPsec,SSL 或 SSH。 如果客户使用 vSphere 加密,那么将保护正在飞行的客户磁盘流量。 客户 vMotion 飞行中的流量受 vMotion 加密保护。
客户拥有的数据包含以下项:
- VM
- 备份
- IBM Cloud 网络和 SDN 网络上的动态数据
- 解决方案中使用的客户配置,例如,与内部部署的连接以及解决方案中的用户认证
在所有情况下,数据都必须具有弹性,以便在发生灾难时支持解决方案的连续性和恢复。