雲計算基礎
概念
一種基於互聯網技術以服務的方式提供客戶可擴展和 IT 彈性能力的計算模式
- 靈活性
AWS 讓企業能夠使用他們所熟悉的編程模型、操作系統、數據庫和架構。 同時,此靈活性可以幫助企業混合匹配架構,以便爲多元的業務需求提供服務。 - 經濟高效
有了 AWS,企業只需支付他們所使用的服務費用, 而沒有預付款項或長期承諾金額 - 可擴展性和彈性
企業可以快速的添加或減低他們應用程序中的 AWS 資源,以迎合客戶的需求和成本管理考量。 - 安全性
爲了提供端對端安全和隱私機制, AWS 按照安全性的最佳實踐來設置安全服務,在這些服務中提供了相應的安全功能與如何使用這些功能的文件。物理安全,認證和驗證,安全服務,數據保密 - 經驗豐富
選用了 AWS ,企業可以安全又可靠的享用 Amazon 累積十五餘年經驗所推出之大規模且分佈全球的基礎設施。
優勢
- 資本支出變成靈活支出
- 從大範圍規模經濟中受益
- 不需要猜測容量需求
- 提高速度和敏捷性
- 無需運營和維護沉重的數據中心
- 快速的實現全球化部署
雲計算分類
- IaaS - 計算、存儲、聯網
- PaaS - 直接運行應用程序的平臺
- SaaS - 直接使用產品
AWS簡介
服務概述
AWS 核心服務
AWS 平臺服務
AWS開發和操作服務
AWS 數據中心和可用區(AZ)
區域
- 全球有多個區域(Region)
- 每個區域都有多個可用區
- 區域之間採用Internet互聯
- 區域之間的數據複製必須是用戶主動觸發和執行
- 四個特殊區域:
- 大阪當地區域是一個新型的local region,只有一個可用區,且與其他區域完全隔離。
- 其他特殊區域包括中國北京、中國寧夏和美國西部
可用區
- 每個可用區都有多個數據中心
- 所有都是活數據中心
- 數據中心之間採用N+1形式進行災備
- 數據中心採用自由網絡設備和網絡協議
- 可用區之間採用高速低延遲專線直連
- 選擇一個可用區並不能指定在哪個物理的數據中心
- AWS可以跨多個可用區複製數據以增強彈性
- 邊緣網絡節點
- 每個區域和可用區都有很多邊緣站點,用於提供更加方便的本地接入
- 部署在全球的邊緣網絡節點,利用CloudFront提供CDN業務
區域名
AWS 雲適應框架 (AWSCAF)
概述
- 業務: 技術交付與業務需求的一致性
- 平臺: AWS技術服務的 交付模式、工具和指導
- 成熟度:架構的目標狀態與技術交付的一致性
- 人員:角色、職責和技能
- 流程:管理產品組合、計劃和項目,受控的風險級別
- 安全性:安全級別、監管風險、合規風險
- 運營:運營框架、流程、指導和工具
AWS託管類型
- 非託管服務:AWS僅提供資源,其上的容錯、可用性、擴展、補丁等由用戶自行管理
- 託管服務 : AWS 除了資源,還自動提供容錯、可用性和擴展等功能,簡化用戶管理
AWS安全和合規
- AWS及其合作伙伴提供數百種工具和功能來實現可見性、可審計性、可控性和敏捷性的安全目標
- AWS上的策略、體系架構和運營流程繼承了最佳安全實踐。
- 採用冗餘和分層控制,持續驗證和測試以及大量的自動化功能,確保底層基礎架構得到全天候監控和保護
- 用戶對數據有完全的控制和所有權限,並且可以被物理定位,以滿足各地區合規需求
- 滿足 SOC1\2\3、ISAE、FISMA、PCIDSS、DIACAP、FedRAMP、ISO9001、ISO27001、ISO27018安全規範
共擔職責模型
AWS責任
- 數據中心: 無明顯標誌,全天候保衛,雙重身份驗證,訪問記錄審查,視頻監控,磁盤和數據消費
- 硬件基礎: 服務器、存儲等
- 軟件基礎: 操作系統、虛擬化軟件和服務應用程序
- 網絡基礎: 路由器、交換機、負載均衡、防火牆、佈線、外部接入點等
用戶責任
- 系統: 操作系統維護
- 軟件: 自行安裝運營的軟件
- 訪問權限: 賬戶密碼管理,用戶權限設置
- 安全:主機防火牆等
- 網絡: VPC設置
從傳統架構到AWS雲架構方案示例
- 傳統架構
- 雲架構
AWS 官方技術支持
AWS支持方案
- 基礎支持
- 開發人員支持
- 業務支持
- 企業支持
SLA 影響矩陣
技術支持方式
AWS專家技術支持
- 技術客戶經理
- 主動指導和分析,確定如何通過業務和性能評估來優化AWS
- 通過全面和深入的技術專業知識,提出最佳實踐建議
- 基礎設施實踐管理
- 事件前規劃和準備,對事件目標和使用案例達成一致
- 根據預期容量,提出資源建議和部署指導
- 在事件過程中提供持續關注
- 在事件結束後可以立即縮減資源,恢復正常運行水平
業務支持
- 協助管理AWS資源的主要聯繫人
- 個性化處理賬單、稅務、服務限制、預留實例批量購買等問題
Trusted Advisor
- 確定讓AWS 支出發揮最大效果的方式
- 在實現最佳性能和可用性方面提供指導
- 保證環境的安全性
- 有機會提供降低成本提高生產力的解決方案建議
AWS 組織和整合賬單服務
AWS組織(AWS Organization)
- 一項賬戶管理服務,它可以將多個AWS賬號整合到集中管理的組織中。
- AWS組織包含了整合賬單(Consolidated Billing)和賬號管理功能
- 可以在AWS Organization內創建一個主賬戶,並且創建不同的組織單元(OU)。每一個OU可以代表一個部門或者一個系統環境,
- 每一個OU下面可以分配若干個不同的AWS賬號,每一個賬號擁有不同的訪問AWS的權限。
- 使用訪問策略來控制每一個OU的權限,OU下面可以再創建其他的OU,最多支持5層嵌套。
- 在一個組織下的賬號,利用Service Control Policy (SCP)可以統一部署策略控制各個賬號或OU的IAM的設置權限
- 默認策略是允許所有操作,策略設置只能選擇白名單或者黑名單的形式,無論哪種都必須顯示聲明
- 一個Organization默認只能管理20個賬號,超過這個數字需要找AWS Support
整合賬單(Consolidated Billing)
- 將多個AWS賬戶的賬單都合併爲同一個賬單進行付款。
- 整合賬單主賬號最好使用多因素認證(Multi-Factor Authentication)
- 整合賬單主賬號最好只用來管理賬單,不擁有任何訪問AWS資源的權限
- 單一的賬單:不需要爲每個賬號單獨處理賬單,所有賬號的賬單都被統一成一個
- 方便追蹤:你可以很容易追蹤每個賬號的具體花費
- 使用量折扣:AWS的很多服務是用得越多單價越便宜,因此如果賬單進行合併更容易達到便宜折扣的門檻
- 無額外費用:整合賬單不單獨收費