Finansal hizmetler sektöründe Azure Red Hat OpenShift'i kullanma

Azure Red Hat OpenShift

Bu makalede, finansal hizmetler sektörü (FSI) için Azure Red Hat OpenShift giriş bölgesi mimarisinin nasıl uygulandığı açıklanmaktadır. Bu kılavuzda, FSI için güvenli, dayanıklı ve uyumlu çözümler oluşturmak üzere hibrit bulut ortamında Azure Red Hat OpenShift'in nasıl kullanılacağı açıklanmaktadır.

Azure Red Hat OpenShift ile bir üretim ortamı oluşturmadan önce Azure için Bulut Benimseme Çerçevesi'ndeki Azure Red Hat OpenShift giriş bölgesi kılavuzunu okuyun.

Mimari

Bu mimarinin Visio dosyasını indirin.

Veri akışı

Bu senaryoda Azure Red Hat OpenShift kümesinde çalışan bir uygulama kullanılır. Uygulama, şirket içi kaynaklara ve Azure'da koruma Azure Güvenlik Duvarı bir merkez sanal ağına bağlanır. Aşağıdaki veri akışı önceki diyagrama karşılık gelir:

• Geliştirici, şirketin ağı içinde kod yazar ve kodu GitHub Enterprise'a iletir. Senaryonuz için herhangi bir kod deposunu kullanabilirsiniz.

• Müşterinin dağıtım işlem hattı, kodu kapsayıcıya alır ve bu kodu şirket içi kapsayıcı kayıt defterine dağıtır.

• Görüntü daha sonra bir şirket içi OpenShift kümesine ve Azure'daki Azure Red Hat OpenShift kümesine dağıtılabilir. Görüntü ayrıca Azure ExpressRoute aracılığıyla Azure Red Hat OpenShift'e dağıtılır ve bu da trafiği Azure hub sanal ağı üzerinden uç sanal ağındaki özel Azure Red Hat OpenShift kümesine yönlendirir. Bu iki ağ eşlenir.

• Azure Red Hat OpenShift kümesinden gelen giden trafik önce eşlenmiş hub sanal ağı üzerinden ve ardından bir Azure Güvenlik Duvarı örneği üzerinden yönlendirilir.

• Uygulamaya erişmek için müşteriler Trafiği Azure Front Door üzerinden yönlendiren bir web adresine gidebilir.

• Azure Front Door, özel Azure Red Hat OpenShift kümesine bağlanmak için Azure Özel Bağlantı hizmetini kullanır.

Bileşenler

• Azure Red Hat OpenShift , isteğe bağlı olarak tam olarak yönetilen ve yüksek oranda kullanılabilir OpenShift kümeleri sağlar. Bu kümeler, bu mimaride birincil işlem platformu görevi görür. Microsoft ve Red Hat kümeleri birlikte izler ve çalıştırır.

• Eski adı Azure Active Directory olan Microsoft Entra Id, çalışanlarınızın dış kaynaklara erişmek için kullanabileceği bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Bu mimaride Microsoft Entra ID, müşterilere dış kaynaklara güvenli ve ayrıntılı erişim sağlar.

• ExpressRoute'u bir bağlantı sağlayıcısıyla kullanarak şirket içi ağlarınızı özel bir bağlantı üzerinden Microsoft bulutuna genişletebilirsiniz. Bu mimari, şirket içi kaynaklarla Azure arasında özel, yüksek bant genişliğine sahip bağlantı sağlamak için ExpressRoute'u kullanır.

• Azure Key Vault gizli dizileri, anahtarları ve sertifikaları depolayan ve yöneten bir anahtar yönetimi çözümüdür. Bu mimari, özel Azure Red Hat OpenShift kümesinde çalışan uygulamaların gizli dizilerini güvenli bir şekilde depolamak için Key Vault'u kullanır.

• Azure Bastion , özel bir IP adresi aracılığıyla sanal makinelere (VM) güvenli bir şekilde bağlanmak için dağıtabileceğiniz tam olarak yönetilen bir hizmet olarak platformdur (PaaS). Bu senaryoda özel küme uygulandığından bu mimaride özel ağ içindeki bir Azure VM'ye bağlanmak için Azure Bastion kullanılır.

• Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için tehdit koruması sağlayan bulutta yerel ve akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Bu mimari, Azure Red Hat OpenShift ortamına girip çıkan ağ trafiğini izlemek ve filtrelemek için Azure Güvenlik Duvarı kullanır.

Alternatifler

OpenShift ekosistemine erişmek için Azure Red Hat OpenShift'i kullanabilirsiniz. Şirket içinde OpenShift'i çalıştırdığınızda, dahil edilen platform hizmetlerinin çoğu Azure Red Hat OpenShift için geçerlidir. Bu platform hizmetlerini, bu makalede bahsedilen bazı Azure hizmetlerine alternatif olarak kullanabilirsiniz.

Microsoft dışı alternatifler mevcuttur. Örneğin, kapsayıcı kayıt defterinizi şirket içinde barındırabilir veya GitHub Actions yerine OpenShift GitOps kullanabilirsiniz. Azure Red Hat OpenShift ortamlarıyla sorunsuz çalışan Microsoft dışı izleme çözümlerini de kullanabilirsiniz. Bu makale, müşterilerin çözümlerini Azure Red Hat OpenShift üzerinde oluşturmak için sıklıkla kullandığı Azure alternatiflerine odaklanmaktadır.

Senaryo ayrıntıları

FSI ve düzenlemeye tabi diğer sektör Azure Red Hat OpenShift müşterileri genellikle ortamları için sıkı gereksinimlere sahiptir. Bu mimaride finans kurumlarının hibrit bulut ortamında Azure Red Hat OpenShift kullanırken benzersiz gereksinimlerini karşılayan çözümler tasarlamak için kullanabilecekleri kapsamlı ölçütler ve yönergeler özetlenmektedir.

Bu senaryo güvenlik önlemlerine odaklanır. Örneğin, şirket içi ortamlardan özel bağlantıyı etkinleştirebilir, özel bağlantı kullanımı üzerinde sıkı denetimler uygulayabilir, özel kayıt defterleri oluşturabilir, ağ ayrımından emin olabilir ve bekleyen veriler ve aktarımdaki veriler için güçlü şifreleme protokolleri dağıtabilirsiniz. Kimlik ve erişim yönetimi ve rol tabanlı erişim denetimi (RBAC), Azure Red Hat OpenShift kümelerinde güvenli kullanıcı yönetimi sağlar.

Dayanıklılık eklemek için kaynakları kullanılabilirlik alanları arasında dağıtarak hataya dayanıklılık sağlayabilirsiniz. Uyumluluk yükümlülükleri Microsoft dışı risk değerlendirmeleri, mevzuata uygunluk ve olağanüstü durum kurtarma protokollerini içerir. Gözlemlenebilirliği geliştirmek için, operasyonel verimliliği ve mevzuat uyumluluğunu korumak için günlüğe kaydetme, izleme ve yedekleme mekanizmaları ekleyebilirsiniz. Bu makaledeki yönergeler, finansal hizmetler sektörünün ihtiyaçlarına özel olarak uyarlanmış Azure Red Hat OpenShift çözümlerini dağıtmak ve yönetmek için kullanabileceğiniz kapsamlı bir çerçeve sağlar.

Olası kullanım örnekleri

Bu senaryo en çok finans ve sağlık gibi düzenlemeye tabi sektörlerdeki müşteriler için geçerlidir. Bu senaryo, katı veri idaresi gereksinimleri olan çözümler gibi yükseltilmiş güvenlik gereksinimleri olan müşteriler için de geçerlidir.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösteren ilke olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Well-Architected Framework.

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesine yardımcı olur. Daha fazla bilgi için bkz . Güvenilirlik için tasarım gözden geçirme denetim listesi.

Microsoft Azure Red Hat OpenShift'in görev açısından kritik uygulamaların kesintisiz çalışmasını sağlamak için dayanıklılık gereklidir. Şu güvenilirlik önerilerini izleyin:

• Kullanılabilirlik alanları: Denetim düzlemi ve çalışan düğümlerini bir Azure bölgesindeki üç kullanılabilirlik alanına dağıtın. Bu kurulum, denetim düzlemi kümesinin çekirdek tutmasını ve kullanılabilirlik alanlarının tamamında olası hataları azaltmasını sağlar. Bu dağıtımı standart bir uygulama olarak uygulayın.

• Çok bölgeli dağıtımlar: Bölge genelindeki hatalara karşı koruma sağlamak için Azure Red Hat OpenShift kümelerini birden çok bölgeye dağıtın. Gelişmiş dayanıklılık için trafiği bu kümelere yönlendirmek için Azure Front Door kullanın.

• Olağanüstü durum kurtarma: Müşteri verilerini korumak ve sürekli iş operasyonlarını sağlamak için sıkı olağanüstü durum kurtarma standartları uygulayın. Bu standartları etkili bir şekilde karşılamak için Olağanüstü durum kurtarma ile ilgili dikkat edilmesi gerekenler bölümünde yer alan yönergeleri izleyin.

• Yedekleme: Hassas müşteri verilerini korumak için sıkı yedekleme gereksinimleriyle uyumluluğu sağlayın. Azure Red Hat OpenShift'i varsayılan olarak Azure depolamaya eklenecek şekilde yapılandırın ve geri yükleme işleminden sonra otomatik olarak yeniden bağlandığından emin olun. Bu özelliği etkinleştirmek için Azure Red Hat OpenShift kümesi uygulama yedeklemesi oluşturma başlığı altındaki yönergeleri izleyin.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanımına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik için tasarım gözden geçirme denetim listesi.

Finans sektöründe güvenlik çok önemlidir. Hassas verileri korumak ve mevzuat uyumluluğunu sağlamak için sıkı güvenlik önlemlerine ihtiyacınız vardır.

Ağ

• Şirket içi ortamdan özel bağlantı: Finansal sektör kullanım örnekleri, genel İnternet erişimi olmadan özel özel ağ bağlantısı gerektirir. Güvenliği geliştirmek için, İnternet'ten erişilemeyen özel IP adresleri için Azure özel bağlantılarını uygulayın ve şirket içi veri merkezlerinden bağlantı için ExpressRoute'u kullanın. Daha fazla bilgi için bkz. Azure Red Hat OpenShift özel kümesi oluşturma.

• Yalnızca anında iletme özel bağlantısı: Finansal şirketler genellikle Azure iş yükü trafiğinin veri merkezlerine bağlanmasını kısıtlar. Özel veri merkezlerinden Azure'a yalnızca gelen erişim için Özel Bağlantı ağ geçitlerini yapılandırın. Özel veri merkezlerindeki sistem bağımlılıklarının verileri Azure'a göndermesini sağlayın. Güvenlik duvarı ilkesi özel durumlarını en düşük ayrıcalık ilkelerine göre ayrı ayrı uygulamak için Özel Bağlantı ve Azure Güvenlik Duvarı kullanın.

• Özel kayıt defteri: Görüntüleri taramak ve güvenlik açığı bulunan görüntülerin kullanımını önlemek için çevrenizdeki merkezi bir kapsayıcı deposunu kullanın. Kapsayıcı görüntülerini çalışma zamanı konumlarına dağıtma. Bu amaçla Azure Container Registry ve desteklenen dış kayıt defterleri uygulayın. Daha fazla bilgi için bkz. Özel Azure Red Hat OpenShift kümelerinde Container Registry kullanma.

• Ağ segmentasyonu: Güvenlik ve ağ yalıtımı için varsayılan alt ağları segmentlere ayırma. Azure Red Hat OpenShift denetim düzlemleri, çalışan düzlemleri ve veri düzlemleri, Azure Front Door, Azure Güvenlik Duvarı, Azure Bastion ve Azure Uygulaması lication Gateway için ayrı alt ağlar oluşturmak için Azure ağı kullanın.

Veri

• Bekleyen verilerin şifrelenmesi: Bekleyen verilerin şifrelenmesini sağlamak için varsayılan depolama ilkelerini ve yapılandırmalarını kullanın. Kontrol düzleminin arkasındaki vb. şifreleme ve her çalışan düğümünde depolamayı şifreleme. Kalıcı birimler için dosya, blok ve blob depolama dahil olmak üzere Azure depolamaya Kapsayıcı Depolama Arabirimi (CSI) erişimini yapılandırın. Anahtarları müşteri veya Azure üzerinden yönetmek için etcd ve Azure Red Hat OpenShift özelliğini( depolama verileri şifreleme) kullanın. Daha fazla bilgi için bkz. Azure Red Hat OpenShift için Güvenlik.

• Aktarımdaki verilerin şifrelenmesi: Varsayılan Azure Red Hat OpenShift kümesindeki hizmetler arasındaki bağlantıları şifreleyin. Hizmetler arasındaki trafik için Aktarım Katmanı Güvenliği'nin (TLS) etkinleştirilmesi. Sertifika depolama için ağ ilkeleri, hizmet ağı ve Key Vault kullanın. Daha fazla bilgi için bkz. Azure Red Hat OpenShift küme sertifikalarını güncelleştirme.

• Anahtar yönetimi hizmeti: Gizli dizileri güvenli bir şekilde depoladığınızdan ve hizmet sağladığınızdan emin olmak için Key Vault'ı kullanın. Daha fazla seçenek için Hashicorp Vault veya CyberArk Concur gibi iş ortağı bağımsız yazılım satıcılarını göz önünde bulundurun. Key Vault ile sertifikaları ve gizli dizileri işleyin ve kendi anahtar modellerinizi getirin. Ana bileşen olarak Key Vault kullanın. Daha fazla bilgi için bkz. Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar.

Kimlik doğrulaması ve yetkilendirme

• Kimlik ve erişim yönetimi: Azure Red Hat OpenShift kümelerinin merkezi kimlik yönetimi için Microsoft Entra Id kullanın. Daha fazla bilgi için bkz. Azure Red Hat OpenShift'i Microsoft Entra ID grup taleplerini kullanacak şekilde yapılandırma.

• RBAC: Kullanıcı eylemlerinin ve erişim düzeylerinin ayrıntılı yetkilendirmesini sağlamak için Azure Red Hat OpenShift'te RBAC uygulayın. Bulut ortamına en az ayrıcalıklı erişim sağlamak için FSI senaryolarında RBAC kullanın. Daha fazla bilgi için bkz. RBAC'yi yönetme.

Uyumluluk

• Microsoft dışı risk değerlendirmeleri: Finansal uyumluluk düzenlemelerini izlemek için en az ayrıcalıklı erişime uyun, yükseltilmiş ayrıcalıklar için süreyi sınırlayın ve site güvenilirlik mühendisi (SRE) kaynak erişimini denetleme. SRE paylaşılan sorumluluk modeli ve erişim yükseltme yordamları için bkz. Azure Red Hat OpenShift için sorumluluklara genel bakış ve Azure Red HatOpenShift'e SRE erişimi.

• Mevzuat uyumluluğu: FSI senaryolarında uyumlulukla ilgili çeşitli mevzuat gereksinimlerini karşılamak için Azure İlkesi'ni kullanın. Daha fazla bilgi için bkz. Azure İlkesi ve Azure İlkesi yerleşik girişim tanımları.

Operasyonel Mükemmellik

Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesi.

FSI şirketleri sorunları proaktif olarak algılamak ve gidermek ve kaynak kullanımını iyileştirmek için güçlü gözlemlenebilirlik araçları ve uygulamaları kullanabilir. Operasyonel mükemmellik önerilerini izleyin:

• Etkili günlüğe kaydetme ve izleme uygulama: Azure Red Hat OpenShift ortamınızda eylemleri izlemek ve sistem bütünlüğünü sağlamak için Azure İzleyici ve Microsoft Sentinel'i kullanın. Gözlemlenebilirlik ve izleme uygulamalarını desteklemek için Dynatrace, Datadog ve Splunk gibi Microsoft dışı araçları kullanın. Prometheus veya Azure Yönetilen Grafana için yönetilen hizmetin Azure Red Hat OpenShift için kullanılabilir olduğundan emin olun.

• Azure Arc özellikli Kubernetes'i kullanma: Gelişmiş günlüğe kaydetme ve izleme özellikleri için Azure Arc özellikli Kubernetes'i Azure Red Hat OpenShift ortamınızla tümleştirin. Kaynak kullanımını iyileştirmek ve sektör düzenlemeleri ile uyumluluğu korumak için sağlanan araçları kullanın. Kapsamlı izleme ve gözlemlenebilirliği etkinleştirin. Daha fazla bilgi için bkz. Azure Arc özellikli Kubernetes ve Azure Arc özellikli kümeler için izlemeyi etkinleştirme.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Ayobami Ayodeji | Üst Düzey Program Yöneticisi

Nonpublic LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adım

Azure Red Hat OpenShift Giriş Bölgesi Hızlandırıcısı , Azure CLI başvuru uygulaması ve kritik tasarım alanı önerilerinden oluşan açık kaynak bir depodur.

Bu makalede, finansal hizmetler sektörü (FSI) için Azure Red Hat OpenShift giriş bölgesi mimarisinin nasıl uygulandığı açıklanmaktadır. Bu kılavuzda, FSI için güvenli, dayanıklı ve uyumlu çözümler oluşturmak üzere hibrit bulut ortamında Azure Red Hat OpenShift'in nasıl kullanılacağı açıklanmaktadır.

Azure Red Hat OpenShift ile bir üretim ortamı oluşturmadan önce Azure için Bulut Benimseme Çerçevesi'ndeki Azure Red Hat OpenShift giriş bölgesi kılavuzunu okuyun.

Mimari

Bu mimarinin Visio dosyasını indirin.

Veri akışı

Bu senaryoda Azure Red Hat OpenShift kümesinde çalışan bir uygulama kullanılır. Uygulama, şirket içi kaynaklara ve Azure'da koruma Azure Güvenlik Duvarı bir merkez sanal ağına bağlanır. Aşağıdaki veri akışı önceki diyagrama karşılık gelir:

• Geliştirici, şirketin ağı içinde kod yazar ve kodu GitHub Enterprise'a iletir. Senaryonuz için herhangi bir kod deposunu kullanabilirsiniz.

• Müşterinin dağıtım işlem hattı, kodu kapsayıcıya alır ve bu kodu şirket içi kapsayıcı kayıt defterine dağıtır.

• Görüntü daha sonra bir şirket içi OpenShift kümesine ve Azure'daki Azure Red Hat OpenShift kümesine dağıtılabilir. Görüntü ayrıca Azure ExpressRoute aracılığıyla Azure Red Hat OpenShift'e dağıtılır ve bu da trafiği Azure hub sanal ağı üzerinden uç sanal ağındaki özel Azure Red Hat OpenShift kümesine yönlendirir. Bu iki ağ eşlenir.

• Azure Red Hat OpenShift kümesinden gelen giden trafik önce eşlenmiş hub sanal ağı üzerinden ve ardından bir Azure Güvenlik Duvarı örneği üzerinden yönlendirilir.

• Uygulamaya erişmek için müşteriler Trafiği Azure Front Door üzerinden yönlendiren bir web adresine gidebilir.

• Azure Front Door, özel Azure Red Hat OpenShift kümesine bağlanmak için Azure Özel Bağlantı hizmetini kullanır.

Bileşenler

• Azure Red Hat OpenShift , isteğe bağlı olarak tam olarak yönetilen ve yüksek oranda kullanılabilir OpenShift kümeleri sağlar. Bu kümeler, bu mimaride birincil işlem platformu görevi görür. Microsoft ve Red Hat kümeleri birlikte izler ve çalıştırır.

• Eski adı Azure Active Directory olan Microsoft Entra Id, çalışanlarınızın dış kaynaklara erişmek için kullanabileceği bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Bu mimaride Microsoft Entra ID, müşterilere dış kaynaklara güvenli ve ayrıntılı erişim sağlar.

• ExpressRoute'u bir bağlantı sağlayıcısıyla kullanarak şirket içi ağlarınızı özel bir bağlantı üzerinden Microsoft bulutuna genişletebilirsiniz. Bu mimari, şirket içi kaynaklarla Azure arasında özel, yüksek bant genişliğine sahip bağlantı sağlamak için ExpressRoute'u kullanır.

• Azure Key Vault gizli dizileri, anahtarları ve sertifikaları depolayan ve yöneten bir anahtar yönetimi çözümüdür. Bu mimari, özel Azure Red Hat OpenShift kümesinde çalışan uygulamaların gizli dizilerini güvenli bir şekilde depolamak için Key Vault'u kullanır.

• Azure Bastion , özel bir IP adresi aracılığıyla sanal makinelere (VM) güvenli bir şekilde bağlanmak için dağıtabileceğiniz tam olarak yönetilen bir hizmet olarak platformdur (PaaS). Bu senaryoda özel küme uygulandığından bu mimaride özel ağ içindeki bir Azure VM'ye bağlanmak için Azure Bastion kullanılır.

• Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için tehdit koruması sağlayan bulutta yerel ve akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Bu mimari, Azure Red Hat OpenShift ortamına girip çıkan ağ trafiğini izlemek ve filtrelemek için Azure Güvenlik Duvarı kullanır.

Alternatifler

OpenShift ekosistemine erişmek için Azure Red Hat OpenShift'i kullanabilirsiniz. Şirket içinde OpenShift'i çalıştırdığınızda, dahil edilen platform hizmetlerinin çoğu Azure Red Hat OpenShift için geçerlidir. Bu platform hizmetlerini, bu makalede bahsedilen bazı Azure hizmetlerine alternatif olarak kullanabilirsiniz.

Microsoft dışı alternatifler mevcuttur. Örneğin, kapsayıcı kayıt defterinizi şirket içinde barındırabilir veya GitHub Actions yerine OpenShift GitOps kullanabilirsiniz. Azure Red Hat OpenShift ortamlarıyla sorunsuz çalışan Microsoft dışı izleme çözümlerini de kullanabilirsiniz. Bu makale, müşterilerin çözümlerini Azure Red Hat OpenShift üzerinde oluşturmak için sıklıkla kullandığı Azure alternatiflerine odaklanmaktadır.

Senaryo ayrıntıları

FSI ve düzenlemeye tabi diğer sektör Azure Red Hat OpenShift müşterileri genellikle ortamları için sıkı gereksinimlere sahiptir. Bu mimaride finans kurumlarının hibrit bulut ortamında Azure Red Hat OpenShift kullanırken benzersiz gereksinimlerini karşılayan çözümler tasarlamak için kullanabilecekleri kapsamlı ölçütler ve yönergeler özetlenmektedir.

Bu senaryo güvenlik önlemlerine odaklanır. Örneğin, şirket içi ortamlardan özel bağlantıyı etkinleştirebilir, özel bağlantı kullanımı üzerinde sıkı denetimler uygulayabilir, özel kayıt defterleri oluşturabilir, ağ ayrımından emin olabilir ve bekleyen veriler ve aktarımdaki veriler için güçlü şifreleme protokolleri dağıtabilirsiniz. Kimlik ve erişim yönetimi ve rol tabanlı erişim denetimi (RBAC), Azure Red Hat OpenShift kümelerinde güvenli kullanıcı yönetimi sağlar.

Dayanıklılık eklemek için kaynakları kullanılabilirlik alanları arasında dağıtarak hataya dayanıklılık sağlayabilirsiniz. Uyumluluk yükümlülükleri Microsoft dışı risk değerlendirmeleri, mevzuata uygunluk ve olağanüstü durum kurtarma protokollerini içerir. Gözlemlenebilirliği geliştirmek için, operasyonel verimliliği ve mevzuat uyumluluğunu korumak için günlüğe kaydetme, izleme ve yedekleme mekanizmaları ekleyebilirsiniz. Bu makaledeki yönergeler, finansal hizmetler sektörünün ihtiyaçlarına özel olarak uyarlanmış Azure Red Hat OpenShift çözümlerini dağıtmak ve yönetmek için kullanabileceğiniz kapsamlı bir çerçeve sağlar.

Olası kullanım örnekleri

Bu senaryo en çok finans ve sağlık gibi düzenlemeye tabi sektörlerdeki müşteriler için geçerlidir. Bu senaryo, katı veri idaresi gereksinimleri olan çözümler gibi yükseltilmiş güvenlik gereksinimleri olan müşteriler için de geçerlidir.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösteren ilke olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Well-Architected Framework.

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesine yardımcı olur. Daha fazla bilgi için bkz . Güvenilirlik için tasarım gözden geçirme denetim listesi.

Microsoft Azure Red Hat OpenShift'in görev açısından kritik uygulamaların kesintisiz çalışmasını sağlamak için dayanıklılık gereklidir. Şu güvenilirlik önerilerini izleyin:

• Kullanılabilirlik alanları: Denetim düzlemi ve çalışan düğümlerini bir Azure bölgesindeki üç kullanılabilirlik alanına dağıtın. Bu kurulum, denetim düzlemi kümesinin çekirdek tutmasını ve kullanılabilirlik alanlarının tamamında olası hataları azaltmasını sağlar. Bu dağıtımı standart bir uygulama olarak uygulayın.

• Çok bölgeli dağıtımlar: Bölge genelindeki hatalara karşı koruma sağlamak için Azure Red Hat OpenShift kümelerini birden çok bölgeye dağıtın. Gelişmiş dayanıklılık için trafiği bu kümelere yönlendirmek için Azure Front Door kullanın.

• Olağanüstü durum kurtarma: Müşteri verilerini korumak ve sürekli iş operasyonlarını sağlamak için sıkı olağanüstü durum kurtarma standartları uygulayın. Bu standartları etkili bir şekilde karşılamak için Olağanüstü durum kurtarma ile ilgili dikkat edilmesi gerekenler bölümünde yer alan yönergeleri izleyin.

• Yedekleme: Hassas müşteri verilerini korumak için sıkı yedekleme gereksinimleriyle uyumluluğu sağlayın. Azure Red Hat OpenShift'i varsayılan olarak Azure depolamaya eklenecek şekilde yapılandırın ve geri yükleme işleminden sonra otomatik olarak yeniden bağlandığından emin olun. Bu özelliği etkinleştirmek için Azure Red Hat OpenShift kümesi uygulama yedeklemesi oluşturma başlığı altındaki yönergeleri izleyin.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanımına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik için tasarım gözden geçirme denetim listesi.

Finans sektöründe güvenlik çok önemlidir. Hassas verileri korumak ve mevzuat uyumluluğunu sağlamak için sıkı güvenlik önlemlerine ihtiyacınız vardır.

Ağ

• Şirket içi ortamdan özel bağlantı: Finansal sektör kullanım örnekleri, genel İnternet erişimi olmadan özel özel ağ bağlantısı gerektirir. Güvenliği geliştirmek için, İnternet'ten erişilemeyen özel IP adresleri için Azure özel bağlantılarını uygulayın ve şirket içi veri merkezlerinden bağlantı için ExpressRoute'u kullanın. Daha fazla bilgi için bkz. Azure Red Hat OpenShift özel kümesi oluşturma.

• Yalnızca anında iletme özel bağlantısı: Finansal şirketler genellikle Azure iş yükü trafiğinin veri merkezlerine bağlanmasını kısıtlar. Özel veri merkezlerinden Azure'a yalnızca gelen erişim için Özel Bağlantı ağ geçitlerini yapılandırın. Özel veri merkezlerindeki sistem bağımlılıklarının verileri Azure'a göndermesini sağlayın. Güvenlik duvarı ilkesi özel durumlarını en düşük ayrıcalık ilkelerine göre ayrı ayrı uygulamak için Özel Bağlantı ve Azure Güvenlik Duvarı kullanın.

• Özel kayıt defteri: Görüntüleri taramak ve güvenlik açığı bulunan görüntülerin kullanımını önlemek için çevrenizdeki merkezi bir kapsayıcı deposunu kullanın. Kapsayıcı görüntülerini çalışma zamanı konumlarına dağıtma. Bu amaçla Azure Container Registry ve desteklenen dış kayıt defterleri uygulayın. Daha fazla bilgi için bkz. Özel Azure Red Hat OpenShift kümelerinde Container Registry kullanma.

• Ağ segmentasyonu: Güvenlik ve ağ yalıtımı için varsayılan alt ağları segmentlere ayırma. Azure Red Hat OpenShift denetim düzlemleri, çalışan düzlemleri ve veri düzlemleri, Azure Front Door, Azure Güvenlik Duvarı, Azure Bastion ve Azure Uygulaması lication Gateway için ayrı alt ağlar oluşturmak için Azure ağı kullanın.

Veri

• Bekleyen verilerin şifrelenmesi: Bekleyen verilerin şifrelenmesini sağlamak için varsayılan depolama ilkelerini ve yapılandırmalarını kullanın. Kontrol düzleminin arkasındaki vb. şifreleme ve her çalışan düğümünde depolamayı şifreleme. Kalıcı birimler için dosya, blok ve blob depolama dahil olmak üzere Azure depolamaya Kapsayıcı Depolama Arabirimi (CSI) erişimini yapılandırın. Anahtarları müşteri veya Azure üzerinden yönetmek için etcd ve Azure Red Hat OpenShift özelliğini( depolama verileri şifreleme) kullanın. Daha fazla bilgi için bkz. Azure Red Hat OpenShift için Güvenlik.

• Aktarımdaki verilerin şifrelenmesi: Varsayılan Azure Red Hat OpenShift kümesindeki hizmetler arasındaki bağlantıları şifreleyin. Hizmetler arasındaki trafik için Aktarım Katmanı Güvenliği'nin (TLS) etkinleştirilmesi. Sertifika depolama için ağ ilkeleri, hizmet ağı ve Key Vault kullanın. Daha fazla bilgi için bkz. Azure Red Hat OpenShift küme sertifikalarını güncelleştirme.

• Anahtar yönetimi hizmeti: Gizli dizileri güvenli bir şekilde depoladığınızdan ve hizmet sağladığınızdan emin olmak için Key Vault'ı kullanın. Daha fazla seçenek için Hashicorp Vault veya CyberArk Concur gibi iş ortağı bağımsız yazılım satıcılarını göz önünde bulundurun. Key Vault ile sertifikaları ve gizli dizileri işleyin ve kendi anahtar modellerinizi getirin. Ana bileşen olarak Key Vault kullanın. Daha fazla bilgi için bkz. Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar.

Kimlik doğrulaması ve yetkilendirme

• Kimlik ve erişim yönetimi: Azure Red Hat OpenShift kümelerinin merkezi kimlik yönetimi için Microsoft Entra Id kullanın. Daha fazla bilgi için bkz. Azure Red Hat OpenShift'i Microsoft Entra ID grup taleplerini kullanacak şekilde yapılandırma.

• RBAC: Kullanıcı eylemlerinin ve erişim düzeylerinin ayrıntılı yetkilendirmesini sağlamak için Azure Red Hat OpenShift'te RBAC uygulayın. Bulut ortamına en az ayrıcalıklı erişim sağlamak için FSI senaryolarında RBAC kullanın. Daha fazla bilgi için bkz. RBAC'yi yönetme.

Uyumluluk

• Microsoft dışı risk değerlendirmeleri: Finansal uyumluluk düzenlemelerini izlemek için en az ayrıcalıklı erişime uyun, yükseltilmiş ayrıcalıklar için süreyi sınırlayın ve site güvenilirlik mühendisi (SRE) kaynak erişimini denetleme. SRE paylaşılan sorumluluk modeli ve erişim yükseltme yordamları için bkz. Azure Red Hat OpenShift için sorumluluklara genel bakış ve Azure Red HatOpenShift'e SRE erişimi.

• Mevzuat uyumluluğu: FSI senaryolarında uyumlulukla ilgili çeşitli mevzuat gereksinimlerini karşılamak için Azure İlkesi'ni kullanın. Daha fazla bilgi için bkz. Azure İlkesi ve Azure İlkesi yerleşik girişim tanımları.

Operasyonel Mükemmellik

Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesi.

FSI şirketleri sorunları proaktif olarak algılamak ve gidermek ve kaynak kullanımını iyileştirmek için güçlü gözlemlenebilirlik araçları ve uygulamaları kullanabilir. Operasyonel mükemmellik önerilerini izleyin:

• Etkili günlüğe kaydetme ve izleme uygulama: Azure Red Hat OpenShift ortamınızda eylemleri izlemek ve sistem bütünlüğünü sağlamak için Azure İzleyici ve Microsoft Sentinel'i kullanın. Gözlemlenebilirlik ve izleme uygulamalarını desteklemek için Dynatrace, Datadog ve Splunk gibi Microsoft dışı araçları kullanın. Prometheus veya Azure Yönetilen Grafana için yönetilen hizmetin Azure Red Hat OpenShift için kullanılabilir olduğundan emin olun.

• Azure Arc özellikli Kubernetes'i kullanma: Gelişmiş günlüğe kaydetme ve izleme özellikleri için Azure Arc özellikli Kubernetes'i Azure Red Hat OpenShift ortamınızla tümleştirin. Kaynak kullanımını iyileştirmek ve sektör düzenlemeleri ile uyumluluğu korumak için sağlanan araçları kullanın. Kapsamlı izleme ve gözlemlenebilirliği etkinleştirin. Daha fazla bilgi için bkz. Azure Arc özellikli Kubernetes ve Azure Arc özellikli kümeler için izlemeyi etkinleştirme.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Ayobami Ayodeji | Üst Düzey Program Yöneticisi

Nonpublic LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adım

Azure Red Hat OpenShift Giriş Bölgesi Hızlandırıcısı , Azure CLI başvuru uygulaması ve kritik tasarım alanı önerilerinden oluşan açık kaynak bir depodur.