Informationen zu Architektur und Abhängigkeiten der VPC-Workloadisolation
Überprüfen Sie die folgende Beispielarchitektur für IBM Cloud® Virtual Private Cloud und machen Sie sich mit den unterschiedlichen Isolationsstufen vertraut. Die Informationen zu Architektur und Isolation erleichtern Ihnen die Auswahl der Lösung, die Ihre Anforderungen an die Workload am besten erfüllt.
Architektur der VPC-Workloadisolation
Zum leichteren Verständnis der Aspekte einer Isolation der Workloads und Daten werden im Diagramm die grundlegenden Komponenten des VPC-Service dargestellt. Sie können auch die Tabelle überprüfen, die auf das Diagramm folgt; in ihr werden diese Merkmale der Isolation erklärt. Der Zugriff auf den VPC-Service wird derzeit über die regionalen öffentlichen Endpunkte bereitgestellt.
Weitere Informationen zur Isolation des Netzverkehrs finden Sie unter Hinter den Kulissen von VPC.
| Komponente | Beschreibung |
|---|---|
| Steuerknoten | Die meisten Services der VPC-Steuerebene werden auf Steuerknoten ausgeführt. Der Datenspeicher der VPC-Steuerebene wird mithilfe einer verteilten Gruppe von Steuerknoten gehostet. Von diesen Knoten wird eine angepasste permanent gespeicherte Version des Betriebssystems Linux ausgeführt. Auf diesen Knoten wird nie eine Workload ausgeführt. |
| Hypervisorknoten | Virtuelle Serviceinstanzen werden ausschließlich auf Hypervisorknoten ausgeführt. Von diesen Knoten wird eine angepasste permanent gespeicherte Version des Betriebssystems Linux ausgeführt. Auf diesen Knoten wird auch eine kleine Gruppe an Agentenservices der Steuerebene wie in dieser Tabelle beschrieben ausgeführt. |
| Bare-Metal-Knoten | Bare-Metal-Knoten werden Ihnen dediziert mit VMware ESXi ausgeliefert, das während der Bereitstellung installiert wurde. Die Bare-Metal-Knoten sind mit SmartNIC und lokalem Speicher ausgestattet, um VMware-Cluster für die VPC zu unterstützen. Die Anforderungen Ihrer Bare-Metal-Server-API werden an Services weitergeleitet, die auf Steuerknoten in der gesamten Region bereitgestellt sind. Die gesamte Kommunikation zwischen den Services der Steuerebene wird über ein sicheres, verschlüsseltes Netz abgewickelt. |
| Services der VPC-Steuerebene | VPC-API-Anforderungen werden an Services weitergeleitet, die auf Steuerknoten in der Region bereitgestellt werden. Diese Services werden zur Steigerung der Verfügbarkeit und Leistung in mehreren Zonen in der Region repliziert, wenn dies erforderlich ist. Von diesen Services werden nicht nur API-Anforderungen ausgeführt, sondern auch die Hardware und die Funktionen der Region überwacht und die Orchestrierung ausgeführt, damit die VPC-Ressourcen verfügbar bleiben und optimal ausgeführt werden. Die gesamte Kommunikation zwischen den Services der Steuerebene wird über ein sicheres, verschlüsseltes Netz abgewickelt. Da die Instanzen nicht auf Steuerknoten ausgeführt werden, sind sie von diesen Services getrennt. |
| Agentenservices der VPC-Steuerebene | Einige Agenten der VPC-Steuerebene werden auf den Hypervisorknoten in der Region bereitgestellt. Agenten werden zum Beispiel zum Erstellen neuer virtueller Serverinstanzen auf den Knoten und zum Weiterleiten von Protokollen, Metriken und Alerts für den Knoten zur Verwendung durch die umfassenderen Services der VPC-Steuerebene verwendet. Die gesamte Kommunikation zwischen den Services der Steuerebene wird über ein sicheres, verschlüsseltes Netz abgewickelt. |
| Datenspeicher der VPC-Steuerebene | Die VPC-Ressourcen sind in einem Datenspeicher persistent gespeichert, der in allen Zonen in der Region repliziert wird. In diesem Speicher sind nur die Metadaten dieser Ressourcen enthalten und nicht Ihre Daten. In diesem Speicher sind beispielsweise die Informationen zu jeder Ressource des VPC-Image enthalten, zum Beispiel Name, Cloudressourcenname und Erstellungsdatum. Die Daten des Image selbst sind jedoch nicht enthalten; sie werden auf den Speichereinheiten gehostet. Die gesamte Kommunikation zwischen den Services der Steuerebene und dem Datenspeicher der Steuerebene ist sicher und verschlüsselt. |
| Block Storage | Jede Zone in jeder Region enthält eine Reihe replizierter Speichereinheiten, in denen die Daten für die VPC-Datenträger gespeichert werden. Ihre ruhenden Daten sind immer verschlüsselt und für Ihr Konto isoliert. Darüber hinaus können Sie eine vom Kunden verwaltete Verschlüsselung und Ihre eigenen Rootschlüssel für die End-to-End-Verschlüsselung der Bootdatenträger und Datendatenträger verwenden. Regionale Buckets verwenden Key Protect für die Verschlüsselung ruhender Daten. Die Speicherdaten werden nur zwischen Speichereinheiten und Hypervisorknoten und nicht an die Steuerknoten übertragen. |
| Snapshots | Snapshots, die Sie von Ihren Volumes der ersten Generation erstellen, werden unter IBM Cloud® Object Storage gespeichert und stehen für die regionale Wiederherstellung zur Verfügung. Ihre Snapshots werden mithilfe von Key Protect für die Verschlüsselung ruhender Daten geschützt. Snapshot-Daten fließen nur zwischen Object Storage und Hypervisor-Knoten, nicht aber zu Kontrollknoten. |
VPC-Abhängigkeiten
IBM Cloud® Virtual Private Cloud (VPC) hängt für Zwecke wie den folgenden von verschiedenen in IBM Cloud integrierten Services ab:
- Hosting der internen Mikroservices des VPC-Service
- Integration mit IBM Cloud und der zugehörigen Benutzerschnittstelle
- Speicherung und Sicherung von Servicedaten (einschließlich VPC-Ressourcenmetadaten)
- Protokollierung und Audit von Serviceereignissen.
In der folgenden Tabelle werden die Hauptabhängigkeiten des VPC-Service und der Zweck der einzelnen Abhängigkeiten aufgelistet:
| Service | Zweck |
|---|---|
| IBM Cloud® Identity and Access Management | Bietet Authentifizierung und Autorisierung für alle VPC-Anforderungen. Weitere Informationen finden Sie unter IAM-Zugriff für VPC-Infrastrukturservices verwalten. |
| IBM Cloud-Katalog | Stellt strukturierte, global konsistente Metadaten für VPC-Ressourcenprofile bereit. |
| IBM Cloud CLI (ibmcloud) | Bietet Zugriff auf die VPC-APIs über eine Befehlszeilenschnittstelle. Das Plug-in ist für die VPC-Infrastruktur verfügbar. |
| Privater Katalog | Stellt ein zentrales Zugriffsmanagement auf Produkte im globalen Katalog und den eigenen Katalogen bereit. |
| Resource Controller und Resource Manager | Stellt strukturierte, global konsistente Metadaten für VPC-Ressourcenprofile, -Ressourcenkontingente und -Ressourcengruppeninformationen für VPC-Services bereit. |
| IBM Cloud Metering (Nutzung) | Erfasst Nutzungsmetriken für die VPC-Services, um Rechnungen für Kundenkonten zu generieren. |
| IBM Account Management | Stellt Informationen zu Kundenkonten bereit, einschließlich Berechtigungen und Benutzerbeziehungen innerhalb des Kontos. |
| IBM Cloud® Container Registry | Hostet und validiert die Container-Images, die von den internen Komponenten der VPC-Mikroservices verwendet werden. |
| IBM Cloud Kubernetes Service | Hostet Cluster von Containern, die die regionalen Mikroservices des VPC-Service ausführen. |
| Red Hat Licensing Service | Aktiviert eine Rechenressourceninstanz, die mit einem von IBM bereitgestellten RHEL-Image bereitgestellt wurde. |
| Windows Licensing Service | Aktiviert eine Rechenressourceninstanz, die mit einem von IBM bereitgestellten Windows-Image bereitgestellt wurde. |
| Aktualisierungsservice für Ubuntu-Pakete (Ubuntu Package Update Service) | Stellt Betriebssystempakete für eine Rechenressourceninstanz zur Verfügung, die mit einem von IBM bereitgestellten Ubuntu-Image bereitgestellt wurde. |
| Aktualisierungsservice für CentOS-Pakete (CentOS Package Update Service) | Stellt Betriebssystempakete für eine Rechenressourceninstanz zur Verfügung, die mit einem von IBM bereitgestellten Ubuntu-Image bereitgestellt wurde. |
| Aktualisierungsservice für Debian-Pakete (Debian Package Update Service) | Stellt Betriebssystempakete für eine Rechenressourceninstanz zur Verfügung, die mit einem von IBM bereitgestellten Debian-Image bereitgestellt wurde. |
| IBM Cloud Object Storage | Bietet Zwischenspeicherung für vom Kunden bereitgestellte VPC-Images, zeitnahe Speicherung von Protokolldaten und Sicherungen aller VPC-Ressourcenmetadaten. Außerdem werden erfasste Ablaufprotokolle gespeichert. |
| Infrastructure Management Service (IMS) | Bereitstellen, Verwalten und Anzeigen von Informationen über Speichervolumen, die von VPC bereitgestellt werden, und Verwalten unserer Infrastruktur-Racks. |
| IBM Key Protect | Hostet Kundenrootschlüssel, die die Datenverschlüsselungsschlüssel für verschlüsselten Speicher einschließen. |
| Hyper Protect Crypto Services (HPCS) | Hostet ebenfalls Kundenrootschlüssel, die die Datenverschlüsselungsschlüssel für verschlüsselten Speicher einschließen. |
| Global Search and Tagging - Search (GhoST) | Stellt eine globale Sicht der IBM Cloud-Ressourcen eines Kontos bereit, die von VPC zum Abrufen von Informationen verwendet wird, zum Beispiel Informationen dazu, von welchem IBM Schlüsselmanagementservice der Rootschlüssel eines Kunden gehostet wird. |
| IBM Cloud Internet Services | Dient als erste Ebene des eingehenden Datenverkehrs für alle VPC-API-Anforderungen, von der DNS, ein globaler Lastausgleich, eine Firewallfunktionalität, DDoS-Schutz und weitere Sicherheitsfunktionen bereitgestellt werden. |
| Hypersync und Hyperwarp | Ermöglicht, dass VPC-Ressourcen- und -Lebenszyklusereignisse in GhoST und anderen Abonnenten veröffentlicht werden. |
| IBM Event Streams | Ermöglicht, dass VPC-Ressourcen- und -Lebenszyklusereignisse in GhoST und anderen Abonnenten veröffentlicht werden. |
| IBM Cloud Logs | Erfasst Protokolle, die vom VPC-Service generiert werden. Abhängig vom Protokolltyp kann es von IBM Support und IBM Operations, den Kunden oder von beiden verwendet werden. |
| IBM Cloud Activity Tracker Event Routing | Leitet Auditereignisse für Services an die Instanz von IBM Cloud Activity Tracker Event Routing weiter, die in der Region vom Eigner des Cloudkontos konfiguriert wurde. Weitere Informationen finden Sie unter Aktivitätsverfolgungsereignisse für IBM Cloud VPC. |
| Technical Integration Point (Tivoli Integrated Portal) | Benachrichtigt das Team Support und Operationen von IBM über Ausfälle und Störungen des VPC-Service. |
| Operational Support Systems Event Data Broker (OSS EDB) | Überwacht den Zustand der internen Komponenten des VPC-Service. |
| Ops Dashboard | Ermöglicht dem Operationsteam von IBM, den Bestand und die Nutzung von VPC-Ressourcen zu verfolgen. |
| IBM Cloud Databases for Elasticsearch | Enthält Tracedaten, die für das Debugging, die Fehlerbehebung und die Leistungsüberwachung der internen Komponenten des VPC-Service verwendet werden. |
| IBM Cloud Monitoring | Sendet Metriken an IBM Cloud® Monitoring. Diese Metriken werden zum Debuggen, zur Fehlerbehebung und Überwachung der Leistung des VPC-Service verwendet. Sie können IBM Cloud Monitoring auch zum Überwachen des Status und der Leistung Ihrer virtuellen privaten Cloud verwenden. Weitere Informationen finden Sie unter IBM Cloud VPC Monitoring-Dashboards. |
| IBM Cloud Secrets Manager | Speichert und verwaltet Zertifikate, die zum sicheren Bereitstellen von VPC-Komponenten und zum Schützen der Kommunikation zwischen den VPC-Komponenten verwendet werden. |
| Digicert | Aussteller von SSL-Zertifikaten für cloud.ibm.com. |
| DNS Services | Ordnet vollständig qualifizierte Domänennamen (FQDN) von IBM Cloud-Services zu IP-Adressen zu, die den Zugriff auf diese Services innerhalb der VPC des Kunden ermöglichen. |
| Pulsar | Benachrichtigt über Änderungen der Verschlüsselungsschlüssel auf IBM Key Protect oder Hyper Protect Crypto Services, die sich auf Volumes, Instanzen oder Images in der VPC auswirken. |
| New Relic | Speichert Metrikereignisse, die vom internen Infrastrukturteam von IBM verwendet werden. |
| LaunchDarkly | Verwaltet den Rollout neuer Funktionen in VPC-Infrastrukturservices. LaunchDarkly bietet Funktionskennzeichen, mit denen die Sichtbarkeit und Verfügbarkeit einer Funktion für eine ausgewählte Benutzergruppe gesteuert werden kann. |
Im folgenden Diagramm werden die Abhängigkeiten des VPC-Service dargestellt und klassifiziert:
Zu Zwecken der Klassifizierung wird eine Abhängigkeit als 'starr' (hard) betrachtet, wenn ein Fehler die Verfügbarkeit eines Teils oder des gesamten VPC-Service beeinträchtigen kann. Beispiel: Das Fehlschlagen von Red Hat Licensing Service verhindert die Aktivierung von Rechenressourceninstanzen, die mit Red Hat Enterprise Linux-Images (zur Verfügung gestellt von IBM Cloud) in der betreffenden Region bereitgestellt werden.
Die Daten, die Sie für den VPC-Service in Ihrer Region bereitstellen, werden nur mit Protokollierungs- und Datenservices in derselben Region ausgetauscht. Datensicherungen werden in IBM Cloud Object Storage in derselben Region gespeichert.
Mit ASVs (Approved Scanning Vendors) arbeiten
Es liegt ausschließlich in der Verantwortung des Kunden, in vierteljährlichen Abständen ASV-Scans der LBaaS- und VPN-Appliances auf Datenebene durchführen zu lassen (Anforderung der PCI). IBM verwendet keine ASVs zum Scannen von Appliances auf der Datenebene, da die Scans die Funktionen von Workloads des Kunden und ihre Leistung beeinträchtigen können.