Den här artikeln beskriver hur du implementerar en Azure Red Hat OpenShift-landningszonarkitektur för finansbranschen (FSI). Den här vägledningen beskriver hur du använder Azure Red Hat OpenShift i en hybridmolnmiljö för att skapa säkra, motståndskraftiga och kompatibla lösningar för FSI.
Innan du skapar en produktionsmiljö med Azure Red Hat OpenShift läser du vägledningen för Azure Red Hat OpenShift-landningszoner i Cloud Adoption Framework för Azure.
Arkitektur
Ladda ned en Visio-fil med den här arkitekturen.
Dataflöde
Det här scenariot använder ett program som körs på ett Azure Red Hat OpenShift-kluster. Programmet ansluter till lokala resurser och ett virtuellt hubbnätverk i Azure som Azure Firewall skyddar. Följande dataflöde motsvarar föregående diagram:
Utvecklaren skriver kod i företagets nätverk och skickar koden till GitHub Enterprise. Du kan använda valfri kodlagringsplats för ditt scenario.
Kundens distributionspipeline containeriserar koden, som distribuerar den i ett lokalt containerregister.
Avbildningen kan sedan distribueras till ett lokalt OpenShift-kluster och till Azure Red Hat OpenShift-klustret i Azure. Avbildningen distribueras också till Azure Red Hat OpenShift via Azure ExpressRoute, som dirigerar trafiken via det virtuella Azure Hub-nätverket till det privata Azure Red Hat OpenShift-klustret i det virtuella ekernätverket. Dessa två nätverk är peer-kopplade.
Utgående trafik som kommer från Azure Red Hat OpenShift-klustret dirigeras först via det peerkopplade virtuella hubbnätverket och sedan via en Azure Firewall-instans.
För att få åtkomst till programmet kan kunder gå till en webbadress som dirigerar trafik via Azure Front Door.
Azure Front Door använder Azure Private Link-tjänsten för att ansluta till det privata Azure Red Hat OpenShift-klustret.
Komponenter
Azure Red Hat OpenShift tillhandahåller fullständigt hanterade OpenShift-kluster med hög tillgänglighet på begäran. Dessa kluster fungerar som den primära beräkningsplattformen i den här arkitekturen. Microsoft och Red Hat övervakar och driver klustren gemensamt.
Microsoft Entra-ID, tidigare kallat Azure Active Directory, är en molnbaserad identitets- och åtkomsthanteringstjänst som dina anställda kan använda för att komma åt externa resurser. I den här arkitekturen ger Microsoft Entra ID kunderna säker, detaljerad åtkomst till externa resurser.
Du kan använda ExpressRoute med en anslutningsleverantör för att utöka dina lokala nätverk till Microsoft-molnet via en privat anslutning. Den här arkitekturen använder ExpressRoute för att tillhandahålla privata anslutningar med hög bandbredd mellan lokala resurser och Azure.
Azure Key Vault är en nyckelhanteringslösning som lagrar och hanterar hemligheter, nycklar och certifikat. Den här arkitekturen använder Key Vault för att lagra hemligheter på ett säkert sätt för de program som körs i det privata Azure Red Hat OpenShift-klustret.
Azure Bastion är en fullständigt hanterad plattform som en tjänst (PaaS) som du kan distribuera för att på ett säkert sätt ansluta till virtuella datorer (VM) via en privat IP-adress. Den här arkitekturen använder Azure Bastion för att ansluta till en virtuell Azure-dator i det privata nätverket eftersom det här scenariot implementerar ett privat kluster.
Azure Firewall är en molnbaserad och intelligent säkerhetstjänst för nätverksbrandvägg som ger skydd mot hot för dina molnarbetsbelastningar som körs i Azure. Den här arkitekturen använder Azure Firewall för att övervaka och filtrera nätverkstrafik som går in och ut ur Azure Red Hat OpenShift-miljön.
Alternativ
Du kan använda Azure Red Hat OpenShift för att få åtkomst till OpenShift-ekosystemet. När du kör OpenShift lokalt gäller de flesta av de inkluderade plattformstjänsterna för Azure Red Hat OpenShift. Du kan använda dessa plattformstjänster som alternativ till några av de Azure-tjänster som nämns i den här artikeln.
Andra alternativ än Microsoft är tillgängliga. Du kan till exempel vara värd för ditt containerregister lokalt eller använda OpenShift GitOps i stället för GitHub Actions. Du kan också använda övervakningslösningar som inte kommer från Microsoft och som fungerar sömlöst med Azure Red Hat OpenShift-miljöer. Den här artikeln fokuserar på Azure-alternativ som kunder ofta använder för att bygga sina lösningar på Azure Red Hat OpenShift.
Information om scenario
FSI och annan reglerad bransch Azure Red Hat OpenShift-kunder har ofta strikta krav för sina miljöer. Den här arkitekturen beskriver omfattande kriterier och riktlinjer som finansinstitut kan använda för att utforma lösningar som uppfyller deras unika krav när de använder Azure Red Hat OpenShift i en hybridmolnmiljö.
Det här scenariot fokuserar på säkerhetsåtgärder. Du kan till exempel aktivera privat anslutning från lokala miljöer, implementera stränga kontroller för privat länkanvändning, upprätta privata register, säkerställa nätverkssegregering och distribuera robusta krypteringsprotokoll för vilande data och data under överföring. Både identitets- och åtkomsthantering och rollbaserad åtkomstkontroll (RBAC) säkerställer säker användaradministration i Azure Red Hat OpenShift-kluster.
Om du vill lägga till motståndskraft kan du distribuera resurser mellan tillgänglighetszoner för feltolerans. Efterlevnadsskyldigheter omfattar riskbedömningar från andra länder än Microsoft, regelefterlevnad och haveriberedskapsprotokoll. För att förbättra observerbarheten kan du lägga till mekanismer för loggning, övervakning och säkerhetskopiering för att upprätthålla driftseffektivitet och regelefterlevnad. Riktlinjerna i den här artikeln innehåller ett omfattande ramverk som du kan använda för att distribuera och hantera Azure Red Hat OpenShift-lösningar som är särskilt anpassade till behoven i finansbranschen.
Potentiella användningsfall
Det här scenariot är mest relevant för kunder i reglerade branscher, till exempel ekonomi och sjukvård. Det här scenariot gäller även för kunder som har förhöjda säkerhetskrav, till exempel lösningar som har strikta krav på datastyrning.
Att tänka på
Dessa rekommendationer implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.
Tillförlitlighet
Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder. Mer information finns i Checklista för designgranskning för tillförlitlighet.
Motståndskraft är viktigt för att Microsoft Azure Red Hat OpenShift ska kunna upprätthålla den oavbrutna driften av verksamhetskritiska program. Följ dessa tillförlitlighetsrekommendationer:
Tillgänglighetszoner: Distribuera kontrollplan och arbetsnoder mellan tre tillgänglighetszoner i en Azure-region. Den här konfigurationen säkerställer att kontrollplansklustret underhåller kvorum och minimerar potentiella fel i hela tillgänglighetszoner. Implementera den här fördelningen som standard.
Distributioner i flera regioner: Distribuera Azure Red Hat OpenShift-kluster i flera regioner för att skydda mot regionomfattande fel. Använd Azure Front Door för att dirigera trafik till dessa kluster för bättre motståndskraft.
Haveriberedskap: Implementera rigorösa standarder för haveriberedskap för att skydda kunddata och säkerställa kontinuerlig verksamhet. Följ riktlinjerna i Överväganden för haveriberedskap för att uppfylla dessa standarder effektivt.
Säkerhetskopiering: För att skydda känsliga kunddata ska du säkerställa efterlevnad med strikta krav på säkerhetskopiering. Konfigurera Azure Red Hat OpenShift att ansluta till Azure Storage som standard och se till att det automatiskt återansluter efter en återställningsåtgärd. Om du vill aktivera den här funktionen följer du anvisningarna i Skapa en säkerhetskopiering av ett Azure Red Hat OpenShift-klusterprogram.
Säkerhet
Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Checklista för designgranskning för säkerhet.
Säkerhet är av största vikt inom finansbranschen. För att skydda känsliga data och säkerställa regelefterlevnad behöver du stränga säkerhetsåtgärder.
Nätverk
Privat anslutning från en lokal miljö: Användningsfall för finansbranschen kräver exklusiv privat nätverksanslutning utan offentlig Internetåtkomst. För att förbättra säkerheten implementerar du privata Azure-länkar för privata IP-adresser som inte är tillgängliga från Internet och använder ExpressRoute för anslutning från lokala datacenter. Mer information finns i Skapa ett privat Azure Red Hat OpenShift-kluster.
Push-endast privat länk: Finansiella företag begränsar ofta Azure-arbetsbelastningstrafik från att ansluta tillbaka till sina datacenter. Konfigurera Private Link-gatewayer för endast inkommande åtkomst från privata datacenter till Azure. Se till att systemberoenden i privata datacenter skickar data till Azure. Använd Private Link och Azure Firewall för att tillämpa undantag för brandväggsprinciper individuellt enligt principer med lägsta behörighet.
Privat register: Om du vill skanna avbildningar och förhindra användning av sårbara avbildningar använder du en centraliserad containerlagringsplats inom din perimeter. Distribuera containeravbildningar till körningsplatser. Implementera Azure Container Registry och externa register som stöds för detta ändamål. Mer information finns i Använda Container Registry i privata Azure Red Hat OpenShift-kluster.
Nätverkssegmentering: Segmentera standardundernät för säkerhet och nätverksisolering. Använd Azure-nätverk för att skapa distinkta undernät för Azure Red Hat OpenShift-kontrollplan, arbetsplan och dataplan, Azure Front Door, Azure Firewall, Azure Bastion och Azure Application Gateway.
Data
Kryptering av vilande data: Använd standardlagringsprinciper och konfigurationer för att säkerställa kryptering av vilande data. Kryptera etcd bakom kontrollplanet och kryptera lagring på varje arbetsnod. Konfigurera CSI-åtkomst (Container Storage Interface) till Azure Storage, inklusive fil-, block- och bloblagring, för beständiga volymer. Om du vill hantera nycklar via kunden eller Azure använder du etcd och Azure Red Hat OpenShift-funktionen, lagringsdatakryptering. Mer information finns i Säkerhet för Azure Red Hat OpenShift.
Kryptering av data under överföring: Kryptera sammankopplingar mellan tjänster i ett Azure Red Hat OpenShift-standardkluster. Aktivera TLS (Transport Layer Security) för trafik mellan tjänster. Använd nätverksprinciper, service mesh och Key Vault för certifikatlagring. Mer information finns i Uppdatera Azure Red Hat OpenShift-klustercertifikat.
Nyckelhanteringstjänst: Använd Key Vault för att säkerställa att du lagrar och tjänsthemligheter på ett säkert sätt. Överväg partneroberoende programvaruleverantörer som Hashicorp Vault eller CyberArk Concur för fler alternativ. Hantera certifikat och hemligheter med Key Vault och överväg bring-your-own-key-modeller. Använd Key Vault som huvudkomponent. Mer information finns i Kundhanterade nycklar för Azure Storage-kryptering.
Autentisering och auktorisering
Identitets- och åtkomsthantering: Använd Microsoft Entra-ID för centraliserad identitetshantering av Azure Red Hat OpenShift-kluster. Mer information finns i Konfigurera Azure Red Hat OpenShift att använda Microsoft Entra ID-gruppanspråk.
RBAC: Implementera RBAC i Azure Red Hat OpenShift för att ge detaljerad auktorisering av användaråtgärder och åtkomstnivåer. Använd RBAC i FSI-scenarier för att säkerställa åtkomst med lägsta behörighet till molnmiljön. Mer information finns i Hantera RBAC.
Regelefterlevnad
Riskbedömningar som inte kommer från Microsoft: Följ reglerna för finansiell efterlevnad genom att följa åtkomst med lägsta behörighet, begränsa varaktigheten för eskalerade privilegier och resursåtkomst för granskningsplatsens tillförlitlighetstekniker (SRE). För SRE-modellen för delat ansvar och procedurer för åtkomsteskalering, se Översikt över ansvarsområden för Azure Red Hat OpenShift och SRE-åtkomst till Azure Red Hat OpenShift.
Regelefterlevnad: Använd Azure Policy för att hantera olika regelkrav som rör efterlevnad i FSI-scenarier. Mer information finns i Inbyggda initiativdefinitioner för Azure Policy och Azure Policy.
Driftsäkerhet
Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Checklista för designgranskning för Operational Excellence.
FSI-företag kan använda robusta observerbarhetsverktyg och metoder för att proaktivt identifiera och åtgärda problem och optimera resursanvändningen. Följ dessa rekommendationer för driftskvalitet:
Implementera effektiv loggning och övervakning: Använd Azure Monitor och Microsoft Sentinel för att spåra åtgärder och säkerställa systemintegritet i din Azure Red Hat OpenShift-miljö. För att komplettera observabilitets- och övervakningsmetoder använder du verktyg som inte kommer från Microsoft, till exempel Dynatrace, Datadog och Splunk. Se till att hanterad tjänst för Prometheus eller Azure Managed Grafana är tillgängliga för Azure Red Hat OpenShift.
Använd Azure Arc-aktiverade Kubernetes: Integrera Azure Arc-aktiverade Kubernetes med din Azure Red Hat OpenShift-miljö för förbättrade funktioner för loggning och övervakning. Använd de tillhandahållna verktygen för att optimera resursanvändningen och upprätthålla efterlevnaden av branschbestämmelser. Aktivera omfattande övervakning och observerbarhet. Mer information finns i Azure Arc-aktiverade Kubernetes och Aktivera övervakning för Azure Arc-aktiverade kluster.
Deltagare
Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.
Huvudförfattare:
- Ayobami Ayodeji | Senior Program Manager
Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.
Gå vidare
Azure Red Hat OpenShift Landing Zone Accelerator är en lagringsplats med öppen källkod som består av en Azure CLI-referensimplementering och kritiska designområdesrekommendationer.