Este artigo descreve como implementar uma arquitetura de zona de destino do Azure Red Hat OpenShift para o setor de serviços financeiros (FSI). Esta orientação descreve como usar o Azure Red Hat OpenShift em um ambiente de nuvem híbrida para criar soluções seguras, resilientes e compatíveis para o FSI.
Antes de criar um ambiente de produção com o Azure Red Hat OpenShift, leia as diretrizes da zona de destino do Azure Red Hat OpenShift na Estrutura de Adoção de Nuvem para Azure.
Arquitetura
Baixe um Arquivo Visio dessa arquitetura.
Fluxo de dados
Esse cenário usa um aplicativo executado em um cluster do Azure Red Hat OpenShift. O aplicativo conecta-se a recursos locais e a uma rede virtual de hub no Azure que o Firewall do Azure protege. O fluxo de dados a seguir corresponde ao diagrama anterior:
O desenvolvedor escreve código dentro da rede da empresa e envia o código para o GitHub Enterprise. Você pode usar qualquer repositório de código para seu cenário.
O pipeline de implantação do cliente conteineriza o código, que o implanta em um registro de contêiner local.
A imagem pode ser implantada em um cluster do OpenShift local e no cluster do Azure Red Hat OpenShift no Azure. A imagem também é implantada no Azure Red Hat OpenShift por meio do Azure ExpressRoute, que roteia o tráfego por meio da rede virtual de hub do Azure para o cluster privado do Azure Red Hat OpenShift na rede virtual de spoke. Essas duas redes são emparelhadas.
O tráfego de saída proveniente do cluster do Azure Red Hat OpenShift é roteado primeiro pela rede virtual de hub emparelhado e, em seguida, por meio de uma instância do Firewall do Azure.
Para acessar o aplicativo, os clientes podem acessar um endereço Web que roteia o tráfego pelo Azure Front Door.
O Azure Front Door usa o serviço Azure Private Link para se conectar ao cluster privado do Azure Red Hat OpenShift.
Componentes
O Red Hat OpenShift no Azure fornece clusters OpenShift altamente disponíveis e totalmente gerenciados sob demanda. Esses clusters servem como a principal plataforma de computação nessa arquitetura. A Microsoft e a Red Hat monitoram e operam conjuntamente os clusters.
O Microsoft Entra ID, anteriormente conhecido como Azure Active Directory, é um serviço de gerenciamento de acesso e identidade baseado em nuvem que seus funcionários podem usar para acessar recursos externos. Nessa arquitetura, o Microsoft Entra ID fornece aos clientes acesso seguro e granular a recursos externos.
Você pode usar o ExpressRoute com um provedor de conectividade para estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada. Essa arquitetura usa a ExpressRoute para fornecer conectividade privada de alta largura de banda entre recursos locais e o Azure.
O Cofre de Chaves do Azure é uma solução de gerenciamento de chaves que armazena e gerencia segredos, chaves e certificados. Essa arquitetura usa o Key Vault para armazenar com segurança segredos para os aplicativos executados no cluster privado do Azure Red Hat OpenShift.
O Azure Bastion é uma plataforma como serviço (PaaS) totalmente gerenciada que você pode implantar para se conectar com segurança a máquinas virtuais (VM) por meio de um endereço IP privado. Essa arquitetura usa o Azure Bastion para se conectar a uma VM do Azure na rede privada porque esse cenário implementa um cluster privado.
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. Essa arquitetura usa o Firewall do Azure para monitorar e filtrar o tráfego de rede que entra e sai do ambiente do Red Hat OpenShift no Azure.
Alternativas
Você pode usar o Red Hat OpenShift no Azure para acessar o ecossistema OpenShift. Quando você executa o OpenShift localmente, a maioria dos serviços de plataforma incluídos se aplica ao Red Hat OpenShift no Azure. Você pode usar esses serviços de plataforma como alternativas a alguns dos serviços do Azure mencionados neste artigo.
Alternativas que não sejam da Microsoft estão disponíveis. Por exemplo, você pode hospedar seu registro de contêiner local ou usar o OpenShift GitOps em vez do GitHub Actions. Você também pode usar soluções de monitoramento que não sejam da Microsoft que funcionam perfeitamente com ambientes do Red Hat OpenShift no Azure. Este artigo se concentra nas alternativas do Azure que os clientes costumam usar para criar suas soluções no Red Hat OpenShift no Azure.
Detalhes do cenário
Os clientes da FSI e outros clientes regulamentados do Red Hat OpenShift no Azure geralmente têm requisitos rigorosos para seus ambientes. Essa arquitetura descreve critérios e diretrizes abrangentes que as instituições financeiras podem usar para projetar soluções que atendam a seus requisitos exclusivos quando usam o Red Hat OpenShift no Azure em um ambiente de nuvem híbrida.
Esse cenário se concentra em medidas de segurança. Por exemplo, você pode habilitar a conectividade privada de ambientes locais, implementar controles rigorosos sobre o uso de links privados, estabelecer registros privados, garantir a segregação de rede e implantar protocolos de criptografia robustos para dados em repouso e dados em trânsito. O gerenciamento de identidade e acesso e o controle de acesso baseado em função (RBAC) garantem a administração segura do usuário nos clusters do Red Hat OpenShift no Azure.
Para adicionar resiliência, você pode distribuir recursos entre zonas de disponibilidade para tolerância a falhas. As obrigações de conformidade envolvem avaliações de risco que não sejam da Microsoft, aderência normativa e protocolos de recuperação de desastres. Para melhorar a observabilidade, você pode adicionar mecanismos de registro, monitoramento e backup para manter a eficiência operacional e a conformidade normativa. As diretrizes neste artigo fornecem uma estrutura abrangente que você pode usar para implantar e gerenciar soluções do Azure Red Hat OpenShift especificamente adaptadas às necessidades do setor de serviços financeiros.
Possíveis casos de uso
Esse cenário é mais relevante para clientes de setores regulados, como finanças e saúde. Esse cenário também se aplica a clientes que têm requisitos de segurança elevados, como soluções com requisitos rígidos de governança de dados.
Considerações
Essas recomendações implementam os pilares do Azure Well-Architected Framework, um conjunto de princípios orientadores que você pode usar para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.
Confiabilidade
A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.
A resiliência é essencial para que o Red Hat OpenShift no Microsoft Azure mantenha a operação ininterrupta de aplicativos de missão crítica. Siga estas recomendações de confiabilidade:
Zonas de disponibilidade: distribua o plano de controle e os nós de trabalho em três zonas de disponibilidade em uma região do Azure. Essa configuração garante que o cluster do plano de controle mantenha o quorum e reduza possíveis falhas em zonas de disponibilidade inteiras. Implemente essa distribuição como uma prática padrão.
Implantações de várias regiões: implante clusters do Red Hat OpenShift no Azure em várias regiões para proteger contra falhas em toda a região. Use o Azure Front Door para rotear o tráfego para esses clusters para melhorar a resiliência.
Recuperação de desastres: implemente padrões rigorosos de recuperação de desastres para proteger os dados dos clientes e garantir operações de negócios contínuas. Para atender a esses padrões de forma eficaz, siga as diretrizes em Considerações sobre recuperação de desastres.
Backup: para proteger dados confidenciais de clientes, garanta a conformidade com requisitos rigorosos de backup. Configure o Red Hat OpenShift no Azure para anexar ao armazenamento do Azure por padrão e garantir que ele seja reanexado automaticamente após uma operação de restauração. Para habilitar esse recurso, siga as instruções em Criar um backup de aplicativo de cluster do Red Hat OpenShift no Azure.
Segurança
A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.
A segurança é primordial no setor financeiro. Para proteger dados confidenciais e garantir a conformidade normativa, você precisa de medidas de segurança rigorosas.
Rede
Conectividade privada a partir de um ambiente local: os casos de uso do setor financeiro exigem conectividade de rede privada exclusiva sem acesso público à Internet. Para melhorar a segurança, implemente links privados do Azure para endereços IP privados inacessíveis pela Internet e use a ExpressRoute para conectividade de datacenters locais. Para obter mais informações, consulte Criar um cluster privado do Red Hat OpenShift no Azure.
Link privado somente push: as empresas financeiras geralmente restringem o tráfego de carga de trabalho do Azure de se conectar novamente aos seus datacenters. Configure gateways de Link Privado para acesso somente de entrada de datacenters privados para o Azure. Certifique-se de que as dependências do sistema em datacenters privados enviem dados por push para o Azure. Use o Link Privado e o Firewall do Azure para aplicar exceções de política de firewall individualmente de acordo com os princípios de privilégios mínimos.
Registro privado: para digitalizar imagens e evitar o uso de imagens vulneráveis, use um repositório de contêiner centralizado dentro do seu perímetro. Distribua imagens de contêiner para locais de tempo de execução. Implemente o Registro de Contêiner do Azure e os registros externos com suporte para essa finalidade. Para obter mais informações, consulte Usar o Registro de Contêiner em clusters privados do Red Hat OpenShift no Azure.
Segmentação de rede: segmente sub-redes padrão para segurança e isolamento de rede. Use a rede do Azure para criar sub-redes distintas para planos de controle do Red Hat OpenShift no Azure, planos de trabalho e planos de dados, Azure Front Door, Firewall do Azure, Azure Bastion e Gateway de Aplicativo do Azure.
Dados
Criptografia de dados em repouso: use políticas e configurações de armazenamento padrão para garantir a criptografia de dados em repouso. Criptografe etcd atrás do plano de controle e criptografe o armazenamento em cada nó de trabalho. Configure o acesso de Interface de Armazenamento de Contêiner (CSI) ao armazenamento do Azure, incluindo armazenamento de arquivos, blocos e blobs, para volumes persistentes. Para gerenciar chaves por meio do cliente ou do Azure, use o etcd e o recurso do Red Hat OpenShift no Azure, criptografia de dados de armazenamento. Para obter mais informações, consulte Segurança para Red Hat OpenShift no Azure.
Criptografia de dados em trânsito: criptografe interconexões entre serviços em um cluster padrão do Red Hat OpenShift no Azure. Habilite o Transport Layer Security (TLS) para o tráfego entre serviços. Use diretivas de rede, malha de serviço e Cofre de Chaves para armazenamento de certificados. Para obter mais informações, consulte Atualizar certificados de cluster do Red Hat OpenShift no Azure.
Serviço de gerenciamento de chaves: para garantir que você armazene e atenda segredos com segurança, use o Cofre de Chaves. Considere fornecedores de software independentes parceiros como Hashicorp Vault ou CyberArk Concur para obter mais opções. Manipule certificados e segredos com o Cofre de Chaves e considere trazer seus próprios modelos de chave. Use o Cofre de Chaves como componente principal. Para obter mais informações, confira Chaves gerenciadas pelo cliente para criptografia do Armazenamento do Azure.
Autenticação e autorização
Gerenciamento de identidade e acesso: use a ID do Microsoft Entra para gerenciamento centralizado de identidades de clusters do Red Hat OpenShift no Azure. Para obter mais informações, consulte Configurar o Red Hat OpenShift no Azure para usar declarações de grupo de ID do Microsoft Entra.
RBAC: implemente o RBAC no Red Hat OpenShift no Azure para fornecer autorização granular de ações do usuário e níveis de acesso. Use o RBAC em cenários FSI para garantir acesso com privilégios mínimos ao ambiente de nuvem. Para obter mais informações, confira Gerenciar RBAC.
Conformidade
Avaliações de risco que não sejam da Microsoft: para seguir os regulamentos de conformidade financeira, aderir ao acesso com privilégios mínimos, limitar a duração dos privilégios escalonados e auditar o acesso a recursos do engenheiro de confiabilidade do site (SRE). Para obter o modelo de responsabilidade compartilhada de SRE e os procedimentos de escalonamento de acesso, consulte Visão geral das responsabilidades do Red Hat OpenShift no Azure e acesso SRE ao Red Hat OpenShift no Azure.
Conformidade normativa: use o Azure Policy para atender a vários requisitos normativos relacionados à conformidade em cenários FSI. Para obter mais informações, confira o Azure Policy e as definições internas do Azure Policy.
Excelência operacional
A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para Excelência Operacional.
As empresas FSI podem usar ferramentas e práticas robustas de observabilidade para detectar e resolver problemas de forma proativa e otimizar o uso de recursos. Confira essas recomendações de excelência operacional:
Implemente o log e o monitoramento eficazes: use o Azure Monitor e o Microsoft Sentinel para rastrear ações e garanta a integridade do sistema em seu ambiente do Red Hat OpenShift no Azure. Para complementar as práticas de observabilidade e monitoramento, use ferramentas que não sejam da Microsoft, como Dynatrace, Datadog e Splunk. Verifique se o serviço gerenciado para Prometheus ou o Espaço Gerenciado do Azure para Grafana está disponível para o Red Hat OpenShift no Azure.
Use o Kubernetes habilitado para Azure Arc: integre o Kubernetes habilitado para Azure Arc ao seu ambiente do Red Hat OpenShift no Azure para obter recursos aprimorados de log e monitoramento. Use as ferramentas fornecidas para otimizar o uso de recursos e manter a conformidade com as regulamentações do setor. Permita monitoramento e observabilidade abrangentes. Para obter mais informações, consulte Kubernetes habilitado para Azure Arc e Habilitar monitoramento para clusters habilitados para Azure Arc.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Ayobami Ayodeji | Gerente Sênior de Programa
Para ver perfis não públicos no LinkedIn, entre no LinkedIn.
Próxima etapa
O Acelerador de zona de destino do Red Hat OpenShift no Azure é um repositório de código aberto que consiste em uma implementação de referência da CLI do Azure e recomendações de área de design crítica.