目录
(5)AWS Elastic Beanstalk(AWS EB服务)
(1)AWS Elastic Block Store(Amazon EBS)
(2)Amazon Simple Storage Service(Amazon S3)
(3)Amazon Elastic File System(Amazon EFS)
(1)Amazon Relational Database Service(Amazon RDS)
(1)Elastic Load Balancing(ELB)
(3)Amazon EC2 Auto Scaling动态扩缩
考虑到概念偏枯燥,建议优先从练习题记录看起。
一、云概念概览
(1)云服务模型
云计算定义:按实际使用量付费的定价模式,通过互联网按用户所需来提供计算能力、数据库、存储、应用程序和其他IT资源。
通过云计算,可以将基础设施(硬件)视为软件,可按需选择最适合的服务并按照使用量来付费。云服务的3种模型:从IaaS到SaaS,对IT资源的控制从多到少
IaaS(技术设施即服务):提供对计算机的访问,并提供存储空间
PaaS(平台即服务):允许自动化配置和管理底层设施
SaaS(软件即服务):提供了完善的产品,服务和运行皆有提供商负责
云计算的3种部署模型:
①云:应用程序的所有组件都在云中运行
②混合:将现有基础设施和应用程序都连接到基于云的资源,不位于云中而位于物理设施中
③本地(私有云):无法提供云计算的诸多优势,但能提供专有资源
(2)云计算6大优势
①将资本支出转变为可变支出:从基于预测对数据中心进行投资转变为按实际用量计费
②从大型规模经济中收益
③无需猜测容量:可以访问任意数量的资源,避免了容量不足或资源闲置
④提高速度和敏捷性:访问资源很快,提升了组织的敏捷性
⑤无需为数据中心的运行和维护投入资金:可专注于项目而非基础设施维护
⑥数分钟实现全球化部署:能以最低成本为客户提供更低延迟和更好体验
(3)web服务
web服务:对API交互的请求和响应使用标准化格式(比如XML、JS)的通过互联网提供的任何软件。选择的服务取决于业务目标和技术要求。
与AWS交互的三种方式:①AWS管理控制台:易于使用的图形界面 ②命令行界面 ③开发工具包:直接从java、python等代码访问
(4)AWS云采用框架(AWS CAF)
AWS CAF提供指导和最佳实践,帮助组织构建完善的云计算方法以加速成功的云采用
AWS CAF的6个视角:
业务 人员 监管
平台 安全性 运营
业务视角:确保IT符合业务需求,且能看到显而易见的业务成果
人员视角:优先考虑培训、人员配置和组织变革,打造敏捷的组织
监管视角:构建必要的技能和流程,使IT策略和目标与业务策略和目标保持一致,让组织能最大限度地提高IT投资的业务价值并降低业务风险
平台视角:了解并沟通各个IT系统的性质和关系,且能详细描述目标状态环境的架构
安全性视角:确保组织能实现其安全性目标
运营视角:与业务运营保持一致并提供支持,并确定如何开展每天每季度每年的业务
二、云经济学 & 账单
(1)定价的基本知识
3个基本成本驱动因素:计算、存储、数据传输
按实际使用量付费:只需为实际使用的服务付费,无需前期投入大量资金
使用量越多,费用越少:使用量越大,每GB的收费越少;也提供多种服务,可根据自身需求来选择最适合的定价;AWS规模越大则价格越低;AWS还有自定义定价模式
(2)总拥有成本 TCO
本地&云的区别:本地设施部署在本地;云设施部署在AWS,由AWS负责维护。
总拥有成本(TCO):包括服务成本和实施服务相关的所有成本。
TCO考虑因素:服务器成本、存储成本、网络成本、IT人力成本
(3)AWS Organizations
可将多个AWS账户整合到一个组织树中,树上每个分支表示组织或团队。AWS Organizations具有管理账单、管理组织安全的功能
AWS Organizations结构:根;OU:分支,一个分支就是一个组织单位;每个OU可能会从属于父级单位,每个账户只能是一个分支的成员
IAM(AWS Identity and Access Management):能够允许和拒绝用户、组、角色对AWS Organizations的访问
SCP能让人拒绝OU中的个人对AWS Organizations的访问
AWS Organizations设置步骤:s1.创建组织 s2.创建组织单位 s3.创建服务控制策略(SCP) s4.测试限制
AWS Organizations的4种访问方式:
①AWS管理控制台 ②AWS命令行界面 ③开发工具包(SDK) ④HTTP查询应用程序编程接口(API)
(4)AWS账单工具
AWS Billing and Cost Management:用于支付AWS账单监控使用量和编制成本预算的服务。可以自定义时间颗粒度然后查看使用量;通过筛选和分组,可以从不同维度分析数据。
(5)AWS技术支持
AWS Support:查询AWS Trusted Advisor获得报告分析;只有通过企业支持计划才能获得TAM(技术客户经理)的指导
AWS Support的4中支持计划:
①基本支持:资源中心访问、产品常见问题、开发论坛等等 ②开发人员支持:支持AWS的早期开发 ③商用支持:运行生产工作负载的客户 ④企业支持:运行业务和任务关键型工作负载的客户
另外,案例严重性也会影响到响应时间。有5种风险级别:
严重15min(业务不可用)、
紧急1h(业务受到重大影响,重要功能不可用)、
高4h(重要功能受损或降级)、
中12h(非关键功能行为异常,或遇到时效性开发问题)、
低24h(遇到基本开发问题,或除了基本支持计划以外的计划想要添加一项功能)
三、AWS全球基础设施概览
【核心:能区分AWS区域、可用区、边缘站点之间的区别;能识别AWS服务和服务类别】
(1)AWS区域 & 可用区
AWS区域:每个区域都彼此隔离,一个区域中的资源不会复制在其他地方。
选择AWS区域时的考虑因素:①数据监管、法律要求(部分数据存在地域性) ②靠近客户:延迟低 ③区域提供的服务:并非所有的AWS服务在所有去中都可用 ④成本
可用区:每个区域有多个可用区,每个可用去都是AWS基础设施中的完全隔离的分区,由分散的数据中心组成,专为故障隔离而设计。【idea:感觉AWS区域像蜂窝而可用区像一个个隔间】
ODM:原始设备制造商
(2)AWS服务 & 服务类别概览
使用范围最广的服务:AWS存储服务
服务的类别:联网、存储、计算、数据库
四、云安全性
(1)AWS责任共担模式
从根本上指出了AWS和客户各自需要负责的安全部分。AWS负责提供工具来维护安全性,客户负责使用这些工具来维护安全性。
(2)IAM服务
使用IAM管理对AWS资源的访问,包括谁可以访问、如何访问等等
基本组件:IAM用户(可使用AWS账户进行身份验证的人员或应用程序);IAM组(具有相同授权的IAM用户集合,没有默认组,一个用户可属于多个组,但组无法互相嵌套);IAM策略(定义可以访问哪些资源);IAM角色(一种机制,用于临时授予选定的用户以资源访问权限)
IAM角色 & IAM用户的区别:在附加权限策略方面类似IAM用户,但IAM角色不像IAM用户一样与一个人唯一关联,它可由人员、应用程序、服务代入;IAM角色提供临时安全凭证。
MFA:多重访问机制,在知道用户名和密码的情况下还需提供MFA代码才能获得访问权限
默认情况下,IAM遵循最低权限原则,即默认情况下无权访问任何资源和操作
IAM确定权限的流程:即如果既不存在显示拒绝,也不村子啊显示允许,则遵循最低原则
权限是否被显示拒绝:
否→ 权限是否被显式允许 (否→ 拒绝)(是→ 允许)
是→ 拒绝
(3)确保新AWS账户的安全性
AWS根账户:具有所有权限,除非必要否则不要使用它(因为账户根用户可以无限制访问所有资源)。有多种处理方法:1、使用IAM创建并手动分配权限,2、要求多重验证(MFA),3、使用AWS CloudTrail追踪用户活动,4、启用账单报告。
(4)确保账户的安全性
通过AWS Organizations来整合多个AWS账户以便集中管理这些账户。
OU:组织单元
SCP:服务控制策略,提供对账户的集中控制。SCP类似IAM,但SCP不会授予权限而是为组织指定最大权限。
KMS:能创建和管理加密密钥
(5)确保AWS数据的安全性
静态数据加密:使用私有密钥对数据进行编码,使其不可读,只有持有私有密钥的用户才可解读
传输中的数据加密:使用TLS或SSL执行双向数据交换
(6)努力确保合规性:AWS合规性计划
合规性计划大致分类为:认证和鉴证(eg第三方认证)、法律法规和隐士、协定和框架(eg业界合规性要求)
最低0.47元/天 解锁文章
扫一扫
172
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
