Mendix 云
什么是 Mendix 云?
Mendix 云是一种部署解决方案,通过它 Mendix 为客户提供托管环境。它建立在 Amazon Web Services (AWS) 之上,在全球多个地区可用,并具有高可用性选项。
Mendix 云是最适合运行的云 Mendix 应用程序。它标配深度洞察、警报、高可用性以及备份和日志管理,所有这些都是自助服务。有关更多信息,请参阅 Mendix 云功能.
Is Mendix 云计算适合我吗?
Mendix 云的创建旨在提供易于使用、安全、可扩展、高性能和高可用性的平台体验。它提供各种云部署产品,可实现企业级、业务关键型云的无缝运行和扩展 Mendix 领域广泛应用,提供了卓越的解决方案。
目标是通过提供最佳的用户体验、最佳的自助服务控制和无与伦比的速度来帮助企业加速其数字化转型之旅。
- Mendix 云提供较低的价值实现时间。将应用程序部署到 Mendix 云不需要任何前期投资、专业知识或云部署经验。
有什么功能 Mendix 云优惠?
- Mendix Cloud 具有全面的功能,可以高效管理应用程序部署并监控应用程序和数据库性能。 Mendix Cloud 可让您配置自定义域、备份、警报和日志。您可以使用提供的细粒度访问控制,还可以使用丰富的工具集进行监控和实时调试。
- Mendix 云是运行最优化和自助服务的云 Mendix 应用程序。它具有丰富的功能,可确保您的应用程序以最佳的业务连续性和自我控制运行。
以下部分描述了 Mendix 云。
无缝平台集成
此功能使您可以 部署一个 Mendix 应用 只需单击一下即可 Mendix 开发者门户和 Mendix 工作室专业版。
控制中心 还与 Mendix 用于管理部署在云上的应用程序 Mendix 云。
权限管理
细粒度的访问管理,为您的 Mendix 云环境针对您的每个应用程序进行处理 Mendix 门户。每个团队成员都可以订阅或取消订阅警报,并且 技术联系方式 应用程序可以 管理各种权限 每个团队成员的每个环境。
技术联系人是 Mendix 关于应用程序的支持。技术联系人收到有关应用程序的以下警报:
- 平台维护通知 Mendix 支持
- 出现问题时应用程序会发出警报,例如 CPU 负载过高或应用程序磁盘空间不足
高可用性
Mendix 应用程序由五个对应用程序功能至关重要的组件组成。这些组件都必须具有高可用性才能创建高可用性应用程序:
- Mendix 运行时
- 数据库
- 文件存储服务
- HTTPS路由层
- 网络
计划 Mendix 托管在 Amazon Web Services (AWS) 上,文件存储服务、HTTPS 路由层和网络默认具有高可用性。 Mendix 为关键任务应用程序提供高级计划,为 Mendix 运行时和数据库,使您的应用程序高度可用。
Mendix 运行时支持开箱即用 水平缩放 使用高级计划。当您拥有至少两个实例时,它们将在不同的可用区 (AZ) 中运行,从而为您提供高可用性运行时。您可以轻松扩展或缩小应用程序。
â€<A <
数据库自带 后备选项 使用 Premium 计划。这会将应用程序的数据库复制到同一云区域内的不同可用区中。如果某个可用区不可用,您的水平扩展实例可以使用辅助数据库。
Mendix 云还提供 区域后备选项,适用于 Premium Plus 计划。这会将应用程序的数据库复制到不同云区域内的不同区域。这样,在主区域完全中断的情况下,您可以选择将应用程序暂时移动到这个不同的区域。
灾难恢复
Mendix 云架构将运行时引擎和数据库保留在同一个可用区 (AZ) 中,以最大限度地减少数据库操作的延迟。如果当前可用区发生故障,它会自动将应用程序运行时的故障转移到地理上不同的可用区。您的应用程序的新副本将自动在新可用区中启动。AWS 会自动在多个可用区之间复制文件存储桶,并且 Mendix 回退选项,数据库可以自动复制到另一个 AZ。
在极少数情况下,单个运行时引擎崩溃时,仍在运行的其他运行时引擎(如果您的应用是水平扩展的)会自动接管所有用户请求,同时 Health Manager 会用新的运行时引擎替换崩溃的运行时引擎。由于 Mendix,在这种情况下,最终用户不会受到影响。
每季度进行一次灾难恢复测试 Mendix 平台。这些测试在我们的 ISAE 3000 类型 II 报告、ISAE 3402 类型 II 报告、SOC 1 类型 II 报告、SOC 2 类型 II 报告、SOC 3 类型 II 报告、ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、NEN 7510-1:2017 认证和 HIPAA 保证函中均有报告。
为了灾难恢复目的, Mendix 云使用增量备份,恢复点目标 (RPO) 为 15 分钟。夜间备份可自助使用。除了自动备份外,还可以使用 Mendix 门户网站或 API。
资源管理
在 Mendix 云环境配置允许分阶段部署。您可以根据需要拥有任意数量的环境,但 Mendix 云节点至少配备两个环境(验收和生产),而大多数云节点配备三个环境(测试、验收和生产)。 Mendix 云支持添加更多环境以适应您的部署策略,包括 DTAP 环境策略。
可以使用以下方式自动执行每个环境的暂存和部署: 部署API 以便 开发团队可以建立全自动 CI/CD 管道 他们的 Mendix 应用。
Mendix 提供对公司云环境的可视性 Mendix 管理员 ,在 控制中心.这包括有关环境的 资源包, 是否 后备 选项已到位,以及云位置。对于管理云环境,您可以发起请求 Mendix 支持对云环境进行修改。
自定义域名
当你收到新的 Mendix 为您的应用程序创建云环境,系统将根据您的应用名称分配一个 URL。除了此域名之外,您还可以上传 SSL/TLS 证书以进行配置 安全的自定义域.
备份管理
每天为您的所有环境备份所有数据(模型、数据库和文件存储)。备份存储在地理上分散的安全位置。
备份 可恢复如下:
- 每晚备份 – 最多 2 周的历史记录(从请求前一天开始计算)
- 周日备份 – 最多 3 个月的历史记录(从请求前一天开始计算)
- 每月备份 (每月第一个星期日)——最多 1 年的历史记录(从请求前一天开始计算)
作为 Premium 和 Premium Plus 云资源包的一部分, Mendix 还提供使用实时数据复制的选项,以便实现回退环境。
日志管理
在 Mendix 云, 日志文件 可自助获取。这包括应用程序生成的日志文件,以便您进行故障排除。它还包括应用程序生成的访问日志 Mendix 云基础设施,它将为您提供对应用程序提出的所有请求的详细见解。
监控
- Mendix 门户网站提供所有必要的 度量 让您分析应用程序的性能。这不仅限于了解内存或 CPU 利用率,甚至可以查看实际模型执行的指标。这让您能够更快地响应特定的性能瓶颈并更轻松地优化应用程序。
警示
为了积极主动地确保业务连续性, Mendix 云会针对应用程序的所有关键指标(如 CPU、内存和磁盘)发送警报。这些 警报 将持续向您通报应用的运行状况。
对于高级监控要求, Mendix 提供与主要第三方应用程序性能监控工具(如 DataDog、New Relic、Dynatrace、AppDynamics 和 Splunk)的深度集成。这使客户不仅可以监控系统/应用程序级别指标,还可以将这些指标链接到业务指标,从而使客户能够在业务目标和 SLA 的背景下监控应用程序。
现场调试
如果您需要对正在运行的应用程序执行根本原因分析,并且问题仅在运行应用程序时发生 Mendix 云,可以连接 Mendix Studio Pro 适用于任何环境并执行 实时调试.
APIs
所有管理操作(例如停止、启动、部署和配置应用程序以及访问日志和备份)都可以通过 Mendix 门户网站,以及通过 APIs。这些 API 允许您在外部管道工具(例如 Jenkins、GitLab 或 Azure DevOps)中扩展和自定义您的部署流程。
网络挂接
为了进一步自动化在 Mendix 云, Mendix 提供 网络挂接 这些应用程序的 Webhook 可以针对不同的事件触发,例如提交到应用程序的存储库或上传部署包。一旦触发,它将向任何外部系统发送通知,您可以从中启动部署过程,例如 Jenkins、GitLab 或 Azure DevOps。
- Mendix Cloud 还为警报事件提供了 webhook,允许您在外部工具(例如 Jira 或 PagerDuty)中扩展和自定义事件管理。
数据如何 Mendix 云管理?
应用程序数据存储在应用程序运行的区域中。这包括数据库中的数据和存储在文件存储中的文件文档。
备份始终存储在至少一个辅助位置,与主托管位置分开。每个单独的备份都是不可变的;换句话说,一旦将其写入 Mendix的存储位置,将无法再被修改或覆盖。
只要有可能,我们就会将备份复制到与主要区域位于同一国家/地区的另一个区域。如果无法做到这一点,例如 AWS 仅提供一个区域,我们会将备份复制到另一个国家/地区的区域。此复制位置是根据两国之间的数据交换协议和邻近性来选择的。
对于具有区域回退功能的应用程序, Mendix 将数据库中的数据和文件存储上的文件文档实时复制到后备区域。这允许 Mendix 在主区域发生中断时,将您的应用程序快速切换到后备区域。
如何安全地连接到外部系统 Mendix 云?
在以下设备之间建立安全连接的最佳实践: Mendix 通过使用具有客户端-服务器证书的反向代理,您可以实现云和本地解决方案之间的无缝对接。这允许您在云中的应用程序和本地解决方案之间建立对等连接。
要从 Mendix 云,服务可以暴露在外部 IP 地址和端口上。这可以通过防火墙来仅允许 Mendix 云来连接它。
带有客户端证书验证的 TLS 增加了对正在使用的服务进行身份验证的要求 Mendix 应用程序,包括使用 TLS 进行传输加密。
Mendix Cloud 不支持使用 VPN 访问您的本地服务。如果由于公司政策而无法进行点对点集成,您还可以使用 Mendix 云专用。
有什么作用 Mendix 云架构是什么样的?
Mendix Cloud 是基于 PaaS 的云架构,使用在 AWS 上运行的 Cloud Foundry。 Mendix 应用程序在完全隔离的容器中运行,使用数据库和存储等平台即服务 (PaaS) 服务。
对于每个地区, Mendix 云架构具有高可用性,并分为多个可用区域。这意味着可以提供完全可靠的灾难恢复服务。
我的应用程序和数据在 Mendix 云?
安全控制 Mendix 云包括各种级别的加密、传输层安全性 (TLS)、访问限制、对恶意和不必要的互联网流量的保护以及节点设置和权限。以下部分详细介绍了这些安全控制。
访问管理
具有技术联系人角色的用户可以管理云节点中的所有设置,并可以编辑具有查看、部署和监控权限的常规开发团队成员的权限。其他团队成员的管理权限受到限制。
一个云节点始终只有一个技术联系人(而任何数量的团队成员都可以拥有查看、部署和监控权限)。只有技术联系人或 Mendix 管理员可以将技术联系人用户角色授予另一个团队成员(此后,新用户具有技术联系人角色,而旧用户没有)。
节点权限为应用程序的管理提供了细粒度的访问控制。应用程序的技术联系人可以管理每个环境中每个团队成员的各种权限:
- 管理权限。 技术联系人可以委托其他用户管理权限,允许他们向其他用户授予权限。他们可以授予的权限仅限于授予用户自己拥有的权限。
- 运输权。 通过传输权限,您可以将应用程序的新版本部署到节点、创建新的部署包、停止和启动环境以及更改配置设置(如常量和计划事件)。
- 访问备份。 此权限授予对环境备份的访问权限。您可以查看、创建、下载和恢复备份。
- 访问监控。 具有访问监控权限的团队成员可以查看应用程序指标、日志和警报。这使他们能够成功操作 Mendix 云环境。
- 接收警报。 当在 Mendix 门户,用户可以订阅触发警报时的通知。当应用程序意外离线、应用程序记录关键级别消息、健康检查失败或发生各种基础设施问题时,都会触发警报。
- API 权利。 具有 API 权限的团队成员可以使用 Mendix 通过云 API 以编程方式访问环境。
加密
Mendix 为应用环境提供静态和传输数据加密。如需更多加密控制, Mendix 支持应用数据库内特定列的加密,并可以加密上传的文件。
- Mendix 在容器中运行的运行时通过集群 Nginx Web 服务器的负载平衡路由层进行访问,该路由层将流量路由到相关的应用环境,Web 服务器负责 TLS 连接。此外,IaaS 提供商的所有常见访问和安全服务都用于传输到其基础设施的流量。TLS 连接从浏览器开始,终止于负载平衡路由层上的 Web 服务器服务。这可确保数据端到端加密,因此其他应用环境无法拦截来自目标应用环境的任何数据。
隔离和遏制
内 Mendix 云,逻辑上用“环境”这个词来描述应用隔离。每个应用都在一个环境中运行,在计算、内存和存储方面与其他应用完全隔离。
A Mendix 应用程序运行在一个或多个 Mendix 环境内的运行时引擎实例(其中环境专用于单个应用程序)。此外,为每个应用程序配置专用数据库和 S3 存储桶,以确保数据级别的完全隔离。
A Mendix 云节点是一组虚拟且自主的 Mendix 专为您的公司打造的运行时。 Mendix 云节点至少包含两个环境(验收和生产),每个环境都在自己的应用环境中运行。您可以根据需要扩展它以拥有任意数量的环境。
每个应用环境还包括防火墙、Web 服务器和数据库服务。 Mendix 云基于容器化。应用容器的目的是包含环境的行为和消耗,同时屏蔽其他环境(和应用)。
Mendix 云使用旨在独立运行应用程序和依赖项的容器。容器由两层组成:带有操作系统根文件系统的只读层和非持久性读/写层 Mendix 应用程序和依赖项。
数据库和文件在逻辑上也包含在 Mendix 云。一个数据库 Mendix 应用程序托管在单独的 PostgreSQL 实例上,并且此特定实例仅允许来自此特定实例的流量 Mendix 应用程序。
由于每个应用环境都有自己专用的 Web 服务器和防火墙服务, Mendix 通过以下方式支持应用环境级别的定制 Mendix Portal 不会影响其他应用环境。例如,特定应用环境的请求处理程序的定制不会受到其他应用环境的需求和期望的影响 Mendix 客户。
应用环境设置允许同一应用程序的所有实例以相同但独立的方式运行。由于应用环境是完全标准化的, Mendix 优化操作系统、集成软件和虚拟化软件的组合,同时实现最高程度的安全性和性能。此外, Mendix 为应用环境提供开箱即用的静态数据加密。
防火墙
全部 Mendix 托管在 Mendix 云受到 AWS Web 应用程序防火墙 (WAF) 的保护。
WAF 是一种安全服务,可保护您的应用程序免受恶意和不必要的互联网流量的侵害,而无需修改您的应用程序代码。WAF 可解决各种攻击类别,包括 OWASP 出版物中描述的许多高风险和常见漏洞,例如 OWASP顶级10。 其中包括:
- 跨站脚本
- HTTP 协议违规
- 机器人、爬虫和扫描仪
- HTTP 拒绝服务
- 服务器端请求伪造
- 本地文件包含
- Log4j 远程代码执行
DDoS攻击
全部 Mendix 托管在 Mendix 云采用 AWS Shield Advanced 保护,可防御最常见和最常发生的网络和传输层 DDoS 攻击。除了这种保护之外, Mendix 云具有对大型和复杂 DDoS 攻击的额外检测和缓解功能,近乎实时地查看 DDoS 攻击,并且 24/7 访问 AWS DDoS 响应团队。
物理安全控制
Mendix 云托管在行业领先的数据中心,每两年接受一次合规性审查 Mendix的认证信息安全官。所有数据中心都拥有第三方认证和/或第三方保证报告,例如 ISO/IEC 27001:2013、SOC 2 和 PCI-DSS。
渗透测试
独立审计公司定期对以下对象进行安全审计: Mendix,这些认证通过我们的 ISO/IEC 27001、ISO/IEC 27017、27018 和 NEN 7510 证书、PCI DSS 1 级服务提供商合规证明、ISAE 3000 II 型证明报告、ISAE 3402 II 型证明报告、SOC 1 II 型证明报告、SOC 2 II 型证明报告、SOC 3 II 型证明报告和 HIPAA 保证书进行报告。
此外,一家领先的 IT 安全公司每月都会对 Mendix 平台。这些测试基于开放式 Web 应用程序安全项目 (OWASP)、信息系统安全评估框架 (ISSAF) 和开源安全测试方法手册 (OSSTMM)。
对于漏洞管理,有一个程序用于持续监控 Mendix 平台。在发布版本之前,该版本会由 Snyk、Veracode 和 SonarQube 进行扫描。
硬化
- Mendix 安全团队已根据 SANS 和 CIS 等国际标准建立了强化安全基线。我们的独立第三方审计师会对此进行审计,并每年发布 ISAE 3402 类型 II 报告、SOC 1 类型 II 报告、SOC 2 类型 II 报告、SOC 3 类型 II 报告、PCI DSS 1 级服务提供商合规证明、ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、NEN 7510-1:2017 认证和 HIPAA 保证函。
访问限制
内 Mendix 云,可以使用多个控件来限制传入请求的访问。通过配置访问限制,您可以对应用程序的外部访问进行细粒度的控制。
限制访问 Mendix Cloud 由访问限制配置文件配置。访问限制配置文件可以包含任意数量的 IPv4 和 IPv6 地址范围,或客户端证书颁发机构,或两者兼有。这可确保应用程序只能从另一台特定机器或位置(例如您的办公室)访问。
审核记录
Mendix 在整个应用程序生命周期中应用广泛的日志记录。日志记录不仅针对由 Mendix 不仅在运行时,而且在应用程序的设计、开发和部署过程中,都有相关的活动。因此,可以对应用程序中所有相关活动以及执行这些活动的人员和执行时间进行完整的审计跟踪。
部署的哪些方面 Mendix 云为我管理?
- Mendix 云是一种完全托管的部署选项。这意味着 Mendix 负责设置、维护和排除基础设施故障。这使我们的客户能够专注于应用程序开发。
| Mendix | Mendix 合伙人 | 不支持 | |
|---|---|---|---|
| 应用领域 | X | ||
| 平台支持的 App Store 内容 | X | ||
| 运行时 | X | ||
| 部署管道 | X | ||
| 日志 | X | ||
| 指标 | X | ||
| 应用操作 | X | ||
| 构建包 | X | ||
| 容器运行时平台 | X | ||
| 内部结构 | X | ||
| 数据库 | X | ||
| 文件存储 | X | ||
| 网络 | X |
对于在以下位置运行的应用程序 Mendix 云, Mendix 保证平均可用性为 99.5% 至 99.95%,具体取决于您的计划。
Mendix 提供长达 15 分钟的 RPO 和长达 15 分钟的 RTO。
经用户同意后, Mendix 支持 可以访问图表和活动日志 Mendix 云应用程序。对于客户问题排查, Mendix 支持人员使用这些数据来更有效地协助用户。这仅在客户同意遵守特定数据隐私法的情况下进行。
此外, Mendix 支持人员利用他们的经验为应用云资源包大小、性能调整、应用优化等方面提供建议。
常见问题
-
什么是 Mendix 有哪些云区域可用?
Mendix 云在以下区域可用:
- 澳大利亚(悉尼)
- 巴林
- 巴西(圣保罗)
- 加拿大(蒙特利尔)
- 欧盟(德国法兰克福)
- 欧盟(爱尔兰都柏林)
- 印度(孟买)
- 印度尼西亚(雅加达)
- 日本(大阪、东京)
- 新加坡(新加坡)
- 南非(开普敦)
- 韩国(首尔)
- 阿联酋
- 英国(伦敦)
- 美国东部(弗吉尼亚北部)
- 美国西部(俄勒冈州)
新的应用程序可以放置在任何可用的区域中。 Mendix 根据客户需求增加新的区域。
-
我可以有自己的吗 Mendix 云域?
是的,你可以。 Mendix Cloud 提供特定版本,提供客户特定的 Mendix 云实例。此版本称为 Mendix 云专用.
有关详细信息,请参阅 Mendix 云专用 页面。
-
我可以在 Mendix 云?
Mendix 政府云是一种平台即服务产品,符合联邦风险与授权管理计划 (FedRAMP) 中等影响级别设定的严格安全性与合规标准。
有关详细信息,请参阅 Mendix 政府云 页面。