云计算和 AWS 概述(一)
目录
云计算基础
概念
一种基於互联网技术以服务的方式提供客戶可扩展和 IT 弹性能力的计算模式
- 灵活性
AWS 让企业能够使用他们所熟悉的编程模型、操作系统、数据库和架构。 同时,此灵活性可以帮助企业混合匹配架构,以便为多元的业务需求提供服务。 - 经济高效
有了 AWS,企业只需支付他们所使用的服务费用, 而没有预付款项或长期承诺金额 - 可扩展性和弹性
企业可以快速的添加或减低他们应用程序中的 AWS 资源,以迎合客户的需求和成本管理考量。 - 安全性
为了提供端对端安全和隐私机制, AWS 按照安全性的最佳实践来设置安全服务,在这些服务中提供了相应的安全功能与如何使用这些功能的文件。物理安全,认证和验证,安全服务,数据保密 - 经验丰富
选用了 AWS ,企业可以安全又可靠的享用 Amazon 累积十五余年经验所推出之大规模且分布全球的基础设施。
优势
- 资本支出变成灵活支出
- 从大范围规模经济中受益
- 不需要猜测容量需求
- 提高速度和敏捷性
- 无需运营和维护沉重的数据中心
- 快速的实现全球化部署
云计算分类
- IaaS - 计算、存储、联网
- PaaS - 直接运行应用程序的平台
- SaaS - 直接使用产品
AWS简介
服务概述
AWS 核心服务
AWS 平台服务
AWS开发和操作服务
AWS 数据中心和可用区(AZ)
区域
- 全球有多个区域(Region)
- 每个区域都有多个可用区
- 区域之间采用Internet互联
- 区域之间的数据复制必须是用户主动触发和执行
- 四个特殊区域:
- 大阪当地区域是一个新型的local region,只有一个可用区,且与其他区域完全隔离。
- 其他特殊区域包括中国北京、中国宁夏和美国西部
可用区
- 每个可用区都有多个数据中心
- 所有都是活数据中心
- 数据中心之间采用N+1形式进行灾备
- 数据中心采用自由网络设备和网络协议
- 可用区之间采用高速低延迟专线直连
- 选择一个可用区并不能指定在哪个物理的数据中心
- AWS可以跨多个可用区复制数据以增强弹性
- 边缘网络节点
- 每个区域和可用区都有很多边缘站点,用于提供更加方便的本地接入
- 部署在全球的边缘网络节点,利用CloudFront提供CDN业务
区域名
AWS 云适应框架 (AWSCAF)
概述
- 业务: 技术交付与业务需求的一致性
- 平台: AWS技术服务的 交付模式、工具和指导
- 成熟度:架构的目标状态与技术交付的一致性
- 人员:角色、职责和技能
- 流程:管理产品组合、计划和项目,受控的风险级别
- 安全性:安全级别、监管风险、合规风险
- 运营:运营框架、流程、指导和工具
AWS托管类型
- 非托管服务:AWS仅提供资源,其上的容错、可用性、扩展、补丁等由用户自行管理
- 托管服务 : AWS 除了资源,还自动提供容错、可用性和扩展等功能,简化用户管理
AWS安全和合规
- AWS及其合作伙伴提供数百种工具和功能来实现可见性、可审计性、可控性和敏捷性的安全目标
- AWS上的策略、体系架构和运营流程继承了最佳安全实践。
- 采用冗余和分层控制,持续验证和测试以及大量的自动化功能,确保底层基础架构得到全天候监控和保护
- 用户对数据有完全的控制和所有权限,并且可以被物理定位,以满足各地区合规需求
- 满足 SOC1\2\3、ISAE、FISMA、PCIDSS、DIACAP、FedRAMP、ISO9001、ISO27001、ISO27018安全规范
共担职责模型
AWS责任
- 数据中心: 无明显标志,全天候保卫,双重身份验证,访问记录审查,视频监控,磁盘和数据消费
- 硬件基础: 服务器、存储等
- 软件基础: 操作系统、虚拟化软件和服务应用程序
- 网络基础: 路由器、交换机、负载均衡、防火墙、布线、外部接入点等
用户责任
- 系统: 操作系统维护
- 软件: 自行安装运营的软件
- 访问权限: 账户密码管理,用户权限设置
- 安全:主机防火墙等
- 网络: VPC设置
从传统架构到AWS云架构方案示例
- 传统架构
- 云架构
AWS 官方技术支持
AWS支持方案
- 基础支持
- 开发人员支持
- 业务支持
- 企业支持
SLA 影响矩阵
技术支持方式
AWS专家技术支持
- 技术客户经理
- 主动指导和分析,确定如何通过业务和性能评估来优化AWS
- 通过全面和深入的技术专业知识,提出最佳实践建议
- 基础设施实践管理
- 事件前规划和准备,对事件目标和使用案例达成一致
- 根据预期容量,提出资源建议和部署指导
- 在事件过程中提供持续关注
- 在事件结束后可以立即缩减资源,恢复正常运行水平
业务支持
- 协助管理AWS资源的主要联系人
- 个性化处理账单、税务、服务限制、预留实例批量购买等问题
Trusted Advisor
- 确定让AWS 支出发挥最大效果的方式
- 在实现最佳性能和可用性方面提供指导
- 保证环境的安全性
- 有机会提供降低成本提高生产力的解决方案建议
AWS 组织和整合账单服务
AWS组织(AWS Organization)
- 一项账户管理服务,它可以将多个AWS账号整合到集中管理的组织中。
- AWS组织包含了整合账单(Consolidated Billing)和账号管理功能
- 可以在AWS Organization内创建一个主账户,并且创建不同的组织单元(OU)。每一个OU可以代表一个部门或者一个系统环境,
- 每一个OU下面可以分配若干个不同的AWS账号,每一个账号拥有不同的访问AWS的权限。
- 使用访问策略来控制每一个OU的权限,OU下面可以再创建其他的OU,最多支持5层嵌套。
- 在一个组织下的账号,利用Service Control Policy (SCP)可以统一部署策略控制各个账号或OU的IAM的设置权限
- 默认策略是允许所有操作,策略设置只能选择白名单或者黑名单的形式,无论哪种都必须显示声明
- 一个Organization默认只能管理20个账号,超过这个数字需要找AWS Support
整合账单(Consolidated Billing)
- 将多个AWS账户的账单都合并为同一个账单进行付款。
- 整合账单主账号最好使用多因素认证(Multi-Factor Authentication)
- 整合账单主账号最好只用来管理账单,不拥有任何访问AWS资源的权限
- 单一的账单:不需要为每个账号单独处理账单,所有账号的账单都被统一成一个
- 方便追踪:你可以很容易追踪每个账号的具体花费
- 使用量折扣:AWS的很多服务是用得越多单价越便宜,因此如果账单进行合并更容易达到便宜折扣的门槛
- 无额外费用:整合账单不单独收费