توضح هذه المقالة كيفية تنفيذ بنية منطقة هبوط Azure Red Hat OpenShift لصناعة الخدمات المالية (FSI). توضح هذه الإرشادات كيفية استخدام Azure Red Hat OpenShift في بيئة سحابية مختلطة لإنشاء حلول آمنة ومرنة ومتوافقة ل FSI.
قبل إنشاء بيئة إنتاج باستخدام Azure Red Hat OpenShift، اقرأ إرشادات منطقة هبوط Azure Red Hat OpenShift في إطار عمل اعتماد السحابة ل Azure.
بناء الأنظمة
قم بتنزيل ملف Visio لهذه البنية.
تدفق البيانات
يستخدم هذا السيناريو تطبيقا يعمل على نظام مجموعة Azure Red Hat OpenShift. يتصل التطبيق بالموارد المحلية وشبكة ظاهرية مركزية على Azure يحميها Azure Firewall. يتوافق تدفق البيانات التالي مع الرسم التخطيطي السابق:
يكتب المطور التعليمات البرمجية داخل شبكة الشركة ويدفع التعليمات البرمجية إلى GitHub Enterprise. يمكنك استخدام أي مستودع تعليمات برمجية للسيناريو الخاص بك.
يقوم مسار توزيع العميل بتعبئة التعليمات البرمجية في حاوية، والتي تنشرها في سجل حاويات محلي.
يمكن بعد ذلك نشر الصورة في مجموعة OpenShift المحلية وإلى مجموعة Azure Red Hat OpenShift على Azure. يتم نشر الصورة أيضا إلى Azure Red Hat OpenShift من خلال Azure ExpressRoute، الذي يوجه حركة المرور عبر الشبكة الظاهرية لمركز Azure إلى مجموعة Azure Red Hat OpenShift الخاصة في الشبكة الظاهرية المحورية. يتم تناظر هاتين الشبكتين.
يتم توجيه حركة المرور الصادرة التي تأتي من مجموعة Azure Red Hat OpenShift أولا من خلال الشبكة الظاهرية للمركز النظير ثم من خلال مثيل جدار حماية Azure.
للوصول إلى التطبيق، يمكن للعملاء الانتقال إلى عنوان ويب يوجه حركة المرور عبر Azure Front Door.
يستخدم Azure Front Door خدمة Azure Private Link للاتصال بمجموعة Azure Red Hat OpenShift الخاصة.
المكونات
يوفر Azure Red Hat OpenShift مجموعات OpenShift المدارة بالكامل والمتاحة بشكل كبير عند الطلب. تعمل هذه المجموعات كمنصة حساب أساسية في هذه البنية. تراقب Microsoft وRed Hat المجموعات وتشغلها بشكل مشترك.
معرف Microsoft Entra، المعروف سابقا باسم Azure Active Directory، هو خدمة إدارة الوصول والهوية المستندة إلى السحابة التي يمكن لموظفيك استخدامها للوصول إلى الموارد الخارجية. في هذه البنية، يوفر معرف Microsoft Entra للعملاء وصولا آمنا ونقيبيا إلى الموارد الخارجية.
يمكنك استخدام ExpressRoute مع موفر اتصال لتوسيع الشبكات المحلية إلى سحابة Microsoft عبر اتصال خاص. تستخدم هذه البنية ExpressRoute لتوفير اتصال خاص عالي النطاق الترددي بين الموارد المحلية وAzure.
Azure Key Vault هو حل لإدارة المفاتيح يخزن البيانات السرية والمفاتيح والشهادات ويديرها. تستخدم هذه البنية Key Vault لتخزين الأسرار بأمان للتطبيقات التي تعمل على مجموعة Azure Red Hat OpenShift الخاصة.
Azure Bastion هو نظام أساسي مدار بالكامل كخدمة (PaaS) يمكنك نشره للاتصال بأمان بالأجهزة الظاهرية (VM) من خلال عنوان IP خاص. تستخدم هذه البنية Azure Bastion للاتصال بجهاز Azure الظاهري داخل الشبكة الخاصة لأن هذا السيناريو ينفذ نظام مجموعة خاصة.
Azure Firewall هي خدمة أمان جدار حماية شبكة أصلية وذكية على السحابة توفر حماية من التهديدات لأحمال العمل السحابية التي تعمل في Azure. تستخدم هذه البنية جدار حماية Azure لمراقبة وتصفية نسبة استخدام الشبكة التي تنتقل داخل وخارج بيئة Azure Red Hat OpenShift.
البدائل
يمكنك استخدام Azure Red Hat OpenShift للوصول إلى النظام البيئي OpenShift. عند تشغيل OpenShift المحلي، تنطبق معظم خدمات النظام الأساسي المضمنة على Azure Red Hat OpenShift. يمكنك استخدام خدمات النظام الأساسي هذه كبدائل لبعض خدمات Azure المذكورة في هذه المقالة.
تتوفر بدائل غير تابعة ل Microsoft. على سبيل المثال، يمكنك استضافة سجل الحاوية محليا أو استخدام OpenShift GitOps بدلا من GitHub Actions. يمكنك أيضا استخدام حلول المراقبة غير التابعة ل Microsoft التي تعمل بسلاسة مع بيئات Azure Red Hat OpenShift. تركز هذه المقالة على بدائل Azure التي يستخدمها العملاء غالبا لإنشاء حلولهم على Azure Red Hat OpenShift.
تفاصيل السيناريو
غالبا ما يكون لدى عملاء FSI وغيرهم من عملاء الصناعة الخاضعة للتنظيم Azure Red Hat OpenShift متطلبات صارمة لبيئاتهم. توضح هذه البنية معايير وإرشادات شاملة يمكن للمؤسسات المالية استخدامها لتصميم حلول تفي بمتطلباتها الفريدة عند استخدام Azure Red Hat OpenShift في بيئة سحابية مختلطة.
يركز هذا السيناريو على التدابير الأمنية. على سبيل المثال، يمكنك تمكين الاتصال الخاص من البيئات المحلية، وتنفيذ ضوابط صارمة على استخدام الارتباط الخاص، وإنشاء سجلات خاصة، وضمان فصل الشبكة، ونشر بروتوكولات تشفير قوية للبيانات الثابتة والبيانات المتنقلة. تضمن إدارة الهوية والوصول والتحكم في الوصول المستند إلى الدور (RBAC) إدارة المستخدم الآمنة داخل مجموعات Azure Red Hat OpenShift.
لإضافة المرونة، يمكنك توزيع الموارد عبر مناطق التوفر للتسامح مع الخطأ. تتضمن التزامات التوافق تقييمات المخاطر غير التابعة ل Microsoft، والالتزام التنظيمي، وبروتوكولات التعافي من الكوارث. لتحسين إمكانية المراقبة، يمكنك إضافة آليات التسجيل والمراقبة والنسخ الاحتياطي لدعم الكفاءة التشغيلية والتوافق التنظيمي. توفر الإرشادات الواردة في هذه المقالة إطار عمل شاملا يمكنك استخدامه لنشر وإدارة حلول Azure Red Hat OpenShift المصممة خصيصا لتلبية احتياجات صناعة الخدمات المالية.
حالات الاستخدام المحتملة
هذا السيناريو هو الأكثر صلة بالعملاء في الصناعات المنظمة، مثل التمويل والرعاية الصحية. ينطبق هذا السيناريو أيضا على العملاء الذين لديهم متطلبات أمان مرتفعة، مثل الحلول التي لها متطلبات صارمة لإدارة البيانات.
الاعتبارات
تنفذ هذه التوصيات ركائز إطار عمل Azure Well-Architected، وهو مجموعة من المبادئ التوجيهية التي يمكنك استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.
الموثوقيه
تضمن الموثوقية أن التطبيق الخاص بك يمكن أن يفي بالالتزامات التي تتعهد بها لعملائك. لمزيد من المعلومات، راجع قائمة اختيار مراجعة التصميم للموثوقية.
المرونة ضرورية ل Microsoft Azure Red Hat OpenShift للحفاظ على التشغيل المستمر للتطبيقات ذات المهام الحرجة. اتبع توصيات الموثوقية هذه:
مناطق التوفر: توزيع وحدة التحكم والعقد العاملة عبر ثلاث مناطق توفر داخل منطقة Azure. يضمن هذا الإعداد أن نظام مجموعة وحدة التحكم يحافظ على الحصة ويخفف من حالات الفشل المحتملة عبر مناطق التوفر بأكملها. تنفيذ هذا التوزيع كممارسة قياسية.
عمليات النشر متعددة المناطق: نشر مجموعات Azure Red Hat OpenShift في مناطق متعددة للحماية من حالات الفشل على مستوى المنطقة. استخدم Azure Front Door لتوجيه نسبة استخدام الشبكة إلى هذه المجموعات لتحسين المرونة.
التعافي من الكوارث: تنفيذ معايير صارمة للتعافي من الكوارث لحماية بيانات العملاء وضمان العمليات التجارية المستمرة. للوفاء بهذه المعايير بفعالية، اتبع الإرشادات الواردة في اعتبارات التعافي من الكوارث.
النسخ الاحتياطي: لحماية بيانات العملاء الحساسة، تأكد من الامتثال لمتطلبات النسخ الاحتياطي الصارمة. قم بتكوين Azure Red Hat OpenShift لإرفاقه بتخزين Azure بشكل افتراضي وتأكد من إعادة إرفاقه تلقائيا بعد عملية الاستعادة. لتمكين هذه الميزة، اتبع الإرشادات الواردة في إنشاء نسخة احتياطية لتطبيق نظام مجموعة Azure Red Hat OpenShift.
الأمان
ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. لمزيد من المعلومات، راجع قائمة اختيار مراجعة التصميم للأمان.
الأمن هو أمر بالغ الأهمية في الصناعة المالية. لحماية البيانات الحساسة وضمان الامتثال التنظيمي، تحتاج إلى تدابير أمنية صارمة.
الشبكات
الاتصال الخاص من بيئة محلية: تتطلب حالات استخدام الصناعة المالية اتصالا حصريا بالشبكة الخاصة دون وصول عام إلى الإنترنت. لتحسين الأمان، نفذ ارتباطات Azure الخاصة لعناوين IP الخاصة التي لا يمكن الوصول إليها من الإنترنت، واستخدم ExpressRoute للاتصال من مراكز البيانات المحلية. لمزيد من المعلومات، راجع إنشاء مجموعة Azure Red Hat OpenShift الخاصة.
رابط خاص للدفع فقط: غالبا ما تقيد الشركات المالية حركة مرور حمل عمل Azure من الاتصال مرة أخرى بمراكز البيانات الخاصة بها. تكوين بوابات Private Link للوصول الوارد فقط من مراكز البيانات الخاصة إلى Azure. تأكد من أن تبعيات النظام في مراكز البيانات الخاصة تدفع البيانات إلى Azure. استخدم Private Link وAzure Firewall لتطبيق استثناءات نهج جدار الحماية على أساس فردي وفقا لمبادئ الامتياز الأقل.
السجل الخاص: لمسح الصور ضوئيا ومنع استخدام الصور الضعيفة، استخدم مستودع حاوية مركزيا داخل محيطك. توزيع صور الحاوية على مواقع وقت التشغيل. تنفيذ Azure Container Registry والسجلات الخارجية المدعومة لهذا الغرض. لمزيد من المعلومات، راجع استخدام سجل الحاويات في مجموعات Azure Red Hat OpenShift الخاصة.
تقسيم الشبكة: تقسيم الشبكات الفرعية الافتراضية للأمان وعزل الشبكة. استخدم شبكات Azure لإنشاء شبكات فرعية مميزة لطائرات التحكم Azure Red Hat OpenShift والطائرات العاملة ووحدات البيانات وAzure Front Door وAzure Firewall وAzure Bastion وAzure Application Gateway.
بيانات
تشفير البيانات الثابتة: استخدم نهج التخزين الافتراضية والتكوينات لضمان تشفير البيانات الثابتة. تشفير etcd خلف مستوى التحكم، وتشفير التخزين على كل عقدة عاملة. تكوين وصول واجهة تخزين الحاويات (CSI) إلى تخزين Azure، بما في ذلك تخزين الملفات والكتلة والكائنات الثنائية كبيرة الحجم، لوحدات التخزين الثابتة. لإدارة المفاتيح من خلال العميل أو Azure، استخدم etcd وميزة Azure Red Hat OpenShift، تشفير بيانات التخزين. لمزيد من المعلومات، راجع أمان Azure Red Hat OpenShift.
تشفير البيانات أثناء النقل: تشفير الاتصالات بين الخدمات في مجموعة Azure Red Hat OpenShift الافتراضية. تمكين أمان طبقة النقل (TLS) لنسبة استخدام الشبكة بين الخدمات. استخدم نهج الشبكة وشبكة الخدمة وKey Vault لتخزين الشهادات. لمزيد من المعلومات، راجع تحديث شهادات نظام مجموعة Azure Red Hat OpenShift.
خدمة إدارة المفاتيح: للتأكد من أنك تخزن أسرار الخدمة بأمان، استخدم Key Vault. ضع في اعتبارك موردي البرامج المستقلين الشركاء مثل Hashicorp Vault أو CyberArk Concur لمزيد من الخيارات. تعامل مع الشهادات والأسرار باستخدام Key Vault وفكر في إحضار نماذج المفاتيح الخاصة بك. استخدم Key Vault كمكون رئيسي. لمزيد من المعلومات، يُرجى الرجوع إلى المفاتيح المُدارة الخاصة بـAzure Storage encryption.
المصادقة والتخويل
إدارة الهوية والوصول: استخدم معرف Microsoft Entra لإدارة الهوية المركزية لمجموعات Azure Red Hat OpenShift. لمزيد من المعلومات، راجع تكوين Azure Red Hat OpenShift لاستخدام مطالبات مجموعة معرف Microsoft Entra.
RBAC: تنفيذ RBAC في Azure Red Hat OpenShift لتوفير تخويل متعدد المستويات لإجراءات المستخدم ومستويات الوصول. استخدم RBAC في سيناريوهات FSI لضمان الوصول الأقل امتيازا إلى بيئة السحابة. لمزيد من المعلومات، راجع إدارة التحكم في الوصول استنادا إلى الدور.
التوافق
تقييمات المخاطر غير التابعة ل Microsoft: لاتباع لوائح التوافق المالي، والالتزام بالوصول الأقل امتيازا، والحد من المدة للامتيازات المتصاعدة، ومراجعة وصول مهندس موثوقية الموقع (SRE). للحصول على نموذج المسؤولية المشتركة ل SRE وإجراءات تصعيد الوصول، راجع نظرة عامة على مسؤوليات Azure Red Hat OpenShift ووصول SRE إلى Azure Red Hat OpenShift.
التوافق التنظيمي: استخدم نهج Azure لمعالجة المتطلبات التنظيمية المختلفة المتعلقة بالتوافق في سيناريوهات FSI. لمزيد من المعلومات، راجع تعريفات المبادرة المضمنة في نهج Azure ونهج Azure.
التميز التشغيلي
يغطي التميز التشغيلي عمليات التشغيل التي تحافظ على تشغيل التطبيق في الإنتاج. لمزيد من المعلومات، راجع قائمة اختيار مراجعة التصميم للتميز التشغيلي.
يمكن لشركات FSI استخدام أدوات وممارسات مراقبة قوية للكشف عن المشكلات ومعالجتها بشكل استباقي وتحسين استخدام الموارد. اتبع توصيات التميز التشغيلي هذه:
تنفيذ التسجيل والمراقبة الفعالين: استخدم Azure Monitor وMicrosoft Sentinel لتتبع الإجراءات وضمان تكامل النظام داخل بيئة Azure Red Hat OpenShift. لتكملة ممارسات المراقبة والمراقبة، استخدم أدوات غير تابعة ل Microsoft مثل Dynatrace وDatadog وSplunk. تأكد من توفر الخدمة المدارة ل Prometheus أو Azure Managed Grafana ل Azure Red Hat OpenShift.
استخدام Kubernetes التي تدعم Azure Arc: دمج Kubernetes الممكنة في Azure Arc مع بيئة Azure Red Hat OpenShift لتحسين قدرات التسجيل والمراقبة. استخدم الأدوات المتوفرة لتحسين استخدام الموارد والحفاظ على الامتثال للوائح الصناعة. تمكين المراقبة الشاملة وإمكانية المراقبة. لمزيد من المعلومات، راجع Kubernetes التي تدعم Azure Arc وتمكين المراقبة للمجموعات التي تدعم Azure Arc.
المساهمون
تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.
الكاتب الرئيسي:
- Ayobami Ayodeji | كبير مديري البرنامج
لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.
الخطوة التالية
Azure Red Hat OpenShift Landing Zone Accelerator هو مستودع مفتوح المصدر يتكون من تنفيذ مرجع Azure CLI وتوصيات منطقة التصميم الهامة.