云计算基础

概念

一种基於互联网技术以服务的方式提供客戶可扩展和 IT 弹性能力的计算模式

• 灵活性
  AWS 让企业能够使用他们所熟悉的编程模型、操作系统、数据库和架构。同时，此灵活性可以帮助企业混合匹配架构，以便为多元的业务需求提供服务。

• 经济高效
  有了 AWS，企业只需支付他们所使用的服务费用， 而没有预付款项或长期承诺金额

• 可扩展性和弹性
  企业可以快速的添加或减低他们应用程序中的 AWS 资源，以迎合客户的需求和成本管理考量。

• 安全性
  为了提供端对端安全和隐私机制， AWS 按照安全性的最佳实践来设置安全服务，在这些服务中提供了相应的安全功能与如何使用这些功能的文件。物理安全，认证和验证，安全服务，数据保密

• 经验丰富
  选用了 AWS ，企业可以安全又可靠的享用 Amazon 累积十五余年经验所推出之大规模且分布全球的基础设施。

优势

• 资本支出变成灵活支出

• 从大范围规模经济中受益

• 不需要猜测容量需求

• 提高速度和敏捷性

• 无需运营和维护沉重的数据中心

• 快速的实现全球化部署

云计算分类

• IaaS - 计算、存储、联网

• PaaS - 直接运行应用程序的平台

• SaaS - 直接使用产品

AWS简介

服务概述

AWS 核心服务

AWS 平台服务

AWS开发和操作服务

AWS 数据中心和可用区(AZ)

区域

• 全球有多个区域(Region)

• 每个区域都有多个可用区

• 区域之间采用Internet互联

• 区域之间的数据复制必须是用户主动触发和执行

• 四个特殊区域：

• 大阪当地区域是一个新型的local region，只有一个可用区，且与其他区域完全隔离。

• 其他特殊区域包括中国北京、中国宁夏和美国西部

可用区

• 每个可用区都有多个数据中心

• 所有都是活数据中心

• 数据中心之间采用N+1形式进行灾备

• 数据中心采用自由网络设备和网络协议

• 可用区之间采用高速低延迟专线直连

• 选择一个可用区并不能指定在哪个物理的数据中心

• AWS可以跨多个可用区复制数据以增强弹性

• 边缘网络节点

1. 每个区域和可用区都有很多边缘站点，用于提供更加方便的本地接入

2. 部署在全球的边缘网络节点，利用CloudFront提供CDN业务

区域名

AWS 云适应框架 （AWSCAF）

概述

• 业务：技术交付与业务需求的一致性

• 平台：AWS技术服务的 交付模式、工具和指导

• 成熟度：架构的目标状态与技术交付的一致性

• 人员：角色、职责和技能

• 流程：管理产品组合、计划和项目，受控的风险级别

• 安全性：安全级别、监管风险、合规风险

• 运营：运营框架、流程、指导和工具

AWS托管类型

• 非托管服务：AWS仅提供资源，其上的容错、可用性、扩展、补丁等由用户自行管理

• 托管服务 ：AWS 除了资源，还自动提供容错、可用性和扩展等功能，简化用户管理

AWS安全和合规

• AWS及其合作伙伴提供数百种工具和功能来实现可见性、可审计性、可控性和敏捷性的安全目标

• AWS上的策略、体系架构和运营流程继承了最佳安全实践。

• 采用冗余和分层控制，持续验证和测试以及大量的自动化功能，确保底层基础架构得到全天候监控和保护

• 用户对数据有完全的控制和所有权限，并且可以被物理定位，以满足各地区合规需求

• 满足 SOC1\2\3、ISAE、FISMA、PCIDSS、DIACAP、FedRAMP、ISO9001、ISO27001、ISO27018安全规范

共担职责模型

AWS责任

• 数据中心：无明显标志，全天候保卫，双重身份验证，访问记录审查，视频监控，磁盘和数据消费

• 硬件基础: 服务器、存储等

• 软件基础：操作系统、虚拟化软件和服务应用程序

• 网络基础：路由器、交换机、负载均衡、防火墙、布线、外部接入点等

用户责任

• 系统：操作系统维护

• 软件：自行安装运营的软件

• 访问权限：账户密码管理，用户权限设置

• 安全：主机防火墙等

• 网络：VPC设置

从传统架构到AWS云架构方案示例

• 传统架构

• 云架构

AWS 官方技术支持

AWS支持方案

• 基础支持

• 开发人员支持

• 业务支持

• 企业支持

SLA 影响矩阵

技术支持方式

AWS专家技术支持

• 技术客户经理

• 主动指导和分析，确定如何通过业务和性能评估来优化AWS

• 通过全面和深入的技术专业知识，提出最佳实践建议

• 基础设施实践管理

• 事件前规划和准备，对事件目标和使用案例达成一致

• 根据预期容量，提出资源建议和部署指导

• 在事件过程中提供持续关注

• 在事件结束后可以立即缩减资源，恢复正常运行水平

业务支持

• 协助管理AWS资源的主要联系人

• 个性化处理账单、税务、服务限制、预留实例批量购买等问题

Trusted Advisor

• 确定让AWS 支出发挥最大效果的方式

• 在实现最佳性能和可用性方面提供指导

• 保证环境的安全性

• 有机会提供降低成本提高生产力的解决方案建议

AWS 组织和整合账单服务

AWS组织（AWS Organization）

• 一项账户管理服务，它可以将多个AWS账号整合到集中管理的组织中。

• AWS组织包含了整合账单（Consolidated Billing）和账号管理功能

• 可以在AWS Organization内创建一个主账户，并且创建不同的组织单元（OU）。每一个OU可以代表一个部门或者一个系统环境，

• 每一个OU下面可以分配若干个不同的AWS账号，每一个账号拥有不同的访问AWS的权限。

• 使用访问策略来控制每一个OU的权限，OU下面可以再创建其他的OU，最多支持5层嵌套。

• 在一个组织下的账号，利用Service Control Policy （SCP）可以统一部署策略控制各个账号或OU的IAM的设置权限

• 默认策略是允许所有操作，策略设置只能选择白名单或者黑名单的形式，无论哪种都必须显示声明

• 一个Organization默认只能管理20个账号，超过这个数字需要找AWS Support

整合账单（Consolidated Billing）

• 将多个AWS账户的账单都合并为同一个账单进行付款。

• 整合账单主账号最好使用多因素认证（Multi-Factor Authentication）

• 整合账单主账号最好只用来管理账单，不拥有任何访问AWS资源的权限

• 单一的账单：不需要为每个账号单独处理账单，所有账号的账单都被统一成一个

• 方便追踪：你可以很容易追踪每个账号的具体花费

• 使用量折扣：AWS的很多服务是用得越多单价越便宜，因此如果账单进行合并更容易达到便宜折扣的门槛

• 无额外费用：整合账单不单独收费