了解 VPC 工作负载隔离体系结构和依赖关系
查看 IBM Cloud® Virtual Private Cloud的以下样本体系结构,并了解有关不同隔离级别的更多信息。 体系结构和隔离信息可帮助您选择最符合工作负载需求的解决方案。
VPC 工作负载隔离体系结构
为了了解工作负载和数据的隔离方面,该图显示了 VPC 服务的基本组件。 您还可以查看图后的表,以获取这些隔离特征的说明。 目前,对 VPC 服务的访问是通过区域公共端点进行的。
有关网络流量隔离的更多信息,请参阅 幕后的 VPC。
| 组件 | 描述 |
|---|---|
| 控制节点 | 大多数 VPC 控制平面服务在控制节点上运行。 VPC 控制平面数据存储器也跨一组分布式控制节点进行托管。 这些节点运行 Linux 操作系统的定制固化版本。 这些节点从不运行工作负载。 |
| 系统管理程序节点 | 虚拟服务实例仅在管理程序节点上运行。 这些节点运行 Linux 操作系统的定制固化版本。 这些节点还运行一小部分控制平面代理程序服务,如下表中所述。 |
| 裸机节点 | 裸机节点在供应期间专用于安装 VMware ESXi。 裸机节点配备了 SmartNIC 和本地存储器,以支持 VPC 上的 VMware 集群。 裸机服务器 API 请求将路由到跨区域中的控制节点部署的服务。 控制平面服务之间的所有通信都通过安全的加密网络进行。 |
| VPC 控制平面服务 | VPC API 请求将路由到跨区域中的控制节点部署的服务。 必要时,将在该区域的多个专区中复制这些服务以实现可用性和性能。 除了为 API 请求提供服务外,这些服务还会监视区域的硬件和功能,并执行编排以保持 VPC 资源可用并以最佳方式执行。 控制平面服务之间的所有通信都通过安全的加密网络进行。 由于您的实例不会在控制节点上运行,因此它们与这些服务是分开的。 |
| VPC 控制平面代理程序服务 | 在区域中的系统管理程序节点之间部署了一组小型 VPC 控制平面代理程序。 例如,代理程序用于在节点上创建新的虚拟服务器实例,以及将日志,度量值和警报从节点转发给更广泛的 VPC 控制平面服务使用。 控制平面服务之间的所有通信都通过安全的加密网络进行。 |
| VPC 控制平面数据存储器 | VPC 资源将持久存储在跨区域中所有专区复制的数据存储器中。 此商店仅包含有关这些资源的元数据,并且不包含您的数据。 例如,此商店包含有关每个 VPC 映像资源的信息,例如其名称,CRN 和创建日期。 但是,它不包含存储设备上托管的映像数据本身。 控制平面服务与控制平面数据存储器之间的所有通信都是安全和加密的。 |
| Block Storage | 每个区域的每个区域都包含一组复制的存储设备,这些设备用于托管 VPC 卷的数据。 您的数据始终在静态加密,并且与您的帐户隔离。 此外,您可以使用 客户管理的加密 和自己的根密钥对引导卷和数据卷进行端到端加密。 区域存储区使用 Key Protect 进行静态数据加密。 存储数据仅在存储设备和系统管理程序节点之间流动,不会流向控制节点。 |
| 快照 | 您创建的卷快照存储在 IBM Cloud® Object Storage 中,可用于区域复原。 通过使用 Key Protect 进行静态数据加密来保护快照。 快照数据仅在 Object Storage 与系统管理程序节点之间流动,不会流向控制节点。 |
VPC 依赖关系
IBM Cloud® Virtual Private Cloud (VPC) 依赖于各种 IBM Cloud 集成服务,用于如下目的:
- 托管 VPC 服务的内部微服务
- 与 IBM Cloud 及其用户界面集成
- 存储和备份服务数据 (包括 VPC 资源元数据)
- 日志记录和审计服务事件。
下表列出了 VPC 服务的主要依赖关系以及每个服务的用途:
| 服务 | 用途 |
|---|---|
| IBM Cloud® Identity and Access Management | 为所有 VPC 请求提供认证和授权。 有关更多信息,请参阅 管理 VPC 基础架构服务的 IAM 访问权。 |
| IBM Cloud 目录 | 为 VPC 资源概要文件提供全球一致的结构化元数据。 |
| IBM Cloud CLI(ibmcloud) | 通过命令行界面提供对 VPC API 的访问权。 该插件可用于 VPC 基础架构。 |
| 专用目录 | 提供对全局目录和您自己的目录中的产品的集中访问管理。 |
| 资源控制器和Resource Manager | 为 VPC 资源概要文件,资源配额和 VPC 服务的资源组信息提供结构化的全局一致元数据。 |
| IBM Cloud 测量 (使用情况) | 收集 VPC 服务上的使用情况指标,以便为客户帐户生成帐单。 |
| IBM 帐户管理 | 提供有关客户帐户的信息,包括帐户中的权利和用户关系。 |
| IBM Cloud® Container Registry | 托管并验证 VPC 微服务的内部组件所使用的容器映像。 |
| IBM Cloud Kubernetes Service | 托管运行 VPC 服务的区域微服务的容器集群。 |
| Red Hat | 激活使用 IBM提供的 RHEL 映像供应的计算实例。 |
| Windows 许可服务 | 激活使用 IBM提供的 Windows 映像供应的计算实例。 |
| Ubuntu 包更新服务 | 向使用 IBM提供的 CentOS 映像供应的计算实例提供操作系统包。 |
| CentOS 包更新服务 | 向使用 IBM提供的 CentOS 映像供应的计算实例提供操作系统包。 |
| Debian 包更新服务 | 向使用 IBM提供的 Debian 映像供应的计算实例提供操作系统软件包。 |
| IBM Cloud Object Storage | 提供客户提供的 VPC 映像的临时存储,日志数据的最近存储以及所有 VPC 资源元数据的备份。 还存储收集的流日志。 |
| 基础架构管理服务 (IMS) | 供应,管理和显示有关由 VPC 供应的存储卷的信息,并处理基础架构机架的管理。 |
| IBM Key Protect | 托管用于打包加密存储器的数据加密密钥的客户根密钥。 |
| Hyper Protect Crypto Services (HPCS) | 此外,还托管用于打包数据加密密钥以进行加密存储的客户根密钥。 |
| 全局搜索和标记-搜索 (GhoST) | 提供帐户的 IBM 云资源的全局视图,VPC 使用这些资源来检索诸如哪些 IBM KMS 托管客户根密钥之类的信息。 |
| IBM Cloud Internet Services | 作为所有 VPC API 请求的初始入口层,提供 DNS、全局负载平衡、防火墙、DDoS, 和其他安全功能。 |
| 超同步和超经 | 支持将 VPC 资源和生命周期事件发布到 GhoST 和其他订户。 |
| IBM Event Streams | 支持将 VPC 资源和生命周期事件发布到 GhoST 和其他订户。 |
| IBM Log Analysis | 收集 VPC 服务生成的日志。 根据日志类型,它可能由 IBM 支持和/或操作使用 |
| IBM Cloud Activity Tracker | 将服务审计事件转发到由云帐户所有者在区域中设置的 IBM Cloud® Activity Tracker 实例。 有关详细信息,请参阅 IBM Cloud VPC的活动跟踪事件。 |
| 技术集成点 (Tivoli Integrated Portal) | 通知 IBM的支持和运营团队 VPC 服务中断和事件。 |
| 运营支持系统事件数据代理 (OSS EDB) | 监视 VPC 服务的内部组件的运行状况。 |
| 运营仪表板 | 允许 IBM的运营团队跟踪 VPC 资源的库存和使用情况。 |
| IBM Cloud Databases for Elasticsearch | 容纳用于对 VPC 服务的内部组件进行调试,故障诊断和性能监视的跟踪数据。 |
| IBM Cloud Monitoring | 将度量值发送到 IBM Cloud® Monitoring。 这些度量用于调试,故障诊断和监视 VPC 服务的性能。 您还可以使用 IBM Cloud Monitoring 来监视虚拟私有云的运行状况和性能。 有关详细信息,请参阅 IBM Cloud VPC监控仪表板。 |
| IBM Cloud Secrets Manager | 存储和管理用于安全部署 VPC 组件以及用于保护 VPC 组件之间通信的证书。 |
| Digicert | cloud.ibm.com SSL 证书的签发者。 |
| DNS Services | 将 IBM Cloud 服务 FQDN 映射到提供对客户 VPC 中的这些服务的访问权的 IP 地址。 |
| 脉冲星 | 通知 IBM Key Protect 或 Hyper Protect Crypto Services 上的加密密钥更改会影响 VPC 中的卷,实例或映像。 |
| New Relic | 存储一组由 IBM的内部基础架构团队使用的度量事件。 |
| LaunchDarkly | 管理 VPC 基础架构服务中新功能的推广。 LaunchDarkly 提供用于控制功能对所选用户群的可视性和可用性的功能标志。 |
下图描述了 VPC 服务的依赖关系并对其进行了分类:
{: caption="VPC 依赖" caption-side="bottom"}
对于分类,如果发生故障会影响部分或全部 VPC 服务的可用性,那么依赖关系将被视为“硬”依赖关系。 例如,Red Hat Licensing Service 失败会阻止激活使用该区域中的 IBM Cloud提供的 Red Hat Enterprise Linux 映像供应的计算实例。
您向区域中的 VPC 服务提供的数据仅与同一区域中的日志记录和数据服务进行交换。 数据备份存储在同一区域中的 IBM Cloud Object Storage 中。
使用已核准的扫描供应商 (ASV)
客户完全负责每季度完成 LBaaS 和 VPN 数据平面设备的 ASV 扫描 (PCI 需求)。 IBM 不使用 ASV 来扫描数据平面设备,因为扫描会对客户工作负载功能和性能产生负面影响。