目录
[(4)AWS云采用框架(AWS CAF)](#(4)AWS云采用框架(AWS CAF))
[二、云经济学 & 账单](#二、云经济学 & 账单)
[(3)AWS Organizations](#(3)AWS Organizations)
[(2)AWS服务 & 服务类别概览](#(2)AWS服务 & 服务类别概览)
[(2)Amazon VPC](#(2)Amazon VPC)
[(5)Amazon Route 53](#(5)Amazon Route 53)
[(6)Amazon CloudFront](#(6)Amazon CloudFront)
[(2)Amazon EC2](#(2)Amazon EC2)
[(4)Amazon Lambda](#(4)Amazon Lambda)
[(5)AWS Elastic Beanstalk(AWS EB服务)](#(5)AWS Elastic Beanstalk(AWS EB服务))
[(1)AWS Elastic Block Store(Amazon EBS)](#(1)AWS Elastic Block Store(Amazon EBS))
[(2)Amazon Simple Storage Service(Amazon S3)](#(2)Amazon Simple Storage Service(Amazon S3))
[(3)Amazon Elastic File System(Amazon EFS)](#(3)Amazon Elastic File System(Amazon EFS))
[(4)Amazon S3 Glacier](#(4)Amazon S3 Glacier)
[(1)Amazon Relational Database Service(Amazon RDS)](#(1)Amazon Relational Database Service(Amazon RDS))
[(2)Amazon DynamoDB](#(2)Amazon DynamoDB)
[(3)Amazon Redshift](#(3)Amazon Redshift)
[(4)Amazon Aurora](#(4)Amazon Aurora)
[(7)可靠性 & 高可用性](#(7)可靠性 & 高可用性)
[(8)AWS Trusted Advisor](#(8)AWS Trusted Advisor)
[(1)Elastic Load Balancing(ELB)](#(1)Elastic Load Balancing(ELB))
[(2)Amazon CloudWatch](#(2)Amazon CloudWatch)
[(3)Amazon EC2 Auto Scaling动态扩缩](#(3)Amazon EC2 Auto Scaling动态扩缩)
一、云概念概览
(1)云计算简介
云计算定义:按实际使用量付费的定价模式,通过互联网按用户所需来提供计算能力、数据库、存储、应用程序和其他IT资源。
通过云计算,可以将基础设施(硬件)视为软件,可按需选择最适合的服务并按照使用量来付费。云服务的3种模型:从IaaS到SaaS,对IT资源的控制从多到少
IaaS(技术设施即服务):提供对计算机的访问,并提供存储空间
PaaS(平台即服务):允许自动化配置和管理底层设施
SaaS(软件即服务):提供了完善的产品,服务和运行皆有提供商负责
云计算的3种部署模型:
①云:应用程序的所有组件都在云中运行
②混合:将现有基础设施和应用程序都连接到基于云的资源,不位于云中而位于物理设施中
③本地(私有云):无法提供云计算的诸多优势,但能提供专有资源
(2)云计算6大优势
①将资本支出转变为可变支出:从基于预测对数据中心进行投资转变为按实际用量计费
②从大型规模经济中收益
③无需猜测容量:可以访问任意数量的资源,避免了容量不足或资源闲置
④提高速度和敏捷性:访问资源很快,提升了组织的敏捷性
⑤无需为数据中心的运行和维护投入资金:可专注于项目而非基础设施维护
⑥数分钟实现全球化部署:能以最低成本为客户提供更低延迟和更好体验
(3)web服务
web服务:对API交互的请求和响应使用标准化格式(比如XML、JS)的通过互联网提供的任何软件。选择的服务取决于业务目标和技术要求。
与AWS交互的三种方式:①AWS管理控制台:易于使用的图形界面 ②命令行界面 ③开发工具包:直接从java、python等代码访问
(4)AWS云采用框架(AWS CAF)
AWS CAF提供指导和最佳实践,帮助组织构建完善的云计算方法以加速成功的云采用
AWS CAF的6个视角:
业务 人员 监管
平台 安全性 运营
业务视角:确保IT符合业务需求,且能看到显而易见的业务成果
人员视角:优先考虑培训、人员配置和组织变革,打造敏捷的组织
监管视角:构建必要的技能和流程,使IT策略和目标与业务策略和目标保持一致,让组织能最大限度地提高IT投资的业务价值并降低业务风险
平台视角:了解并沟通各个IT系统的性质和关系,且能详细描述目标状态环境的架构
安全性视角:确保组织能实现其安全性目标
运营视角:与业务运营保持一致并提供支持,并确定如何开展每天每季度每年的业务
二、云经济学 & 账单
(1)定价的基本知识
3个基本成本驱动因素:计算、存储、数据传输
按实际使用量付费:只需为实际使用的服务付费,无需前期投入大量资金
使用量越多,费用越少:使用量越大,每GB的收费越少;也提供多种服务,可根据自身需求来选择最适合的定价;AWS规模越大则价格越低;AWS还有自定义定价模式
(2)总拥有成本
本地&云的区别:本地设施部署在本地;云设施部署在AWS,由AWS负责维护。
总拥有成本(TCO):包括服务成本和实施服务相关的所有成本。
TCO考虑因素:服务器成本、存储成本、网络成本、IT人力成本
(3)AWS Organizations
可将多个AWS账户整合到一个组织树中,树上每个分支表示组织或团队。AWS Organizations具有管理账单、管理组织安全的功能
AWS Organizations结构:根;OU:分支,一个分支就是一个组织单位;每个OU可能会从属于父级单位,每个账户只能是一个分支的成员
IAM(AWS Identity and Access Management):能够允许和拒绝用户、组、角色对AWS Organizations的访问
SCP能让人拒绝OU中的个人对AWS Organizations的访问
AWS Organizations设置步骤:s1.创建组织 s2.创建组织单位 s3.创建服务控制策略(SCP) s4.测试限制
AWS Organizations的4种访问方式:
①AWS管理控制台 ②AWS命令行界面 ③开发工具包(SDK) ④HTTP查询应用程序编程接口(API)
(4)AWS账单工具
AWS Billing and Cost Management:用于支付AWS账单监控使用量和编制成本预算的服务。可以自定义时间颗粒度然后查看使用量;通过筛选和分组,可以从不同维度分析数据。
(5)AWS技术支持
AWS Support:查询AWS Trusted Advisor获得报告分析;只有通过企业支持计划才能获得TAM(技术客户经理)的指导
AWS Support的4中支持计划:
①基本支持:资源中心访问、产品常见问题、开发论坛等等 ②开发人员支持:支持AWS的早期开发 ③商用支持:运行生产工作负载的客户 ④企业支持:运行业务和任务关键型工作负载的客户
另外,案例严重性也会影响到响应时间。有5种风险级别:
严重15min(业务不可用)、
紧急1h(业务受到重大影响,重要功能不可用)、
高4h(重要功能受损或降级)、
中12h(非关键功能行为异常,或遇到时效性开发问题)、
低24h(遇到基本开发问题,或除了基本支持计划以外的计划想要添加一项功能)
三、AWS全球基础设施概览
【核心:能区分AWS区域、可用区、边缘站点之间的区别;能识别AWS服务和服务类别】
(1)AWS全球基础设施
AWS区域:每个区域都彼此隔离,一个区域中的资源不会复制在其他地方。
选择AWS区域时的考虑因素:①数据监管、法律要求(部分数据存在地域性) ②靠近客户:延迟低 ③区域提供的服务:并非所有的AWS服务在所有去中都可用 ④成本
可用区:每个区域有多个可用区,每个可用去都是AWS基础设施中的完全隔离的分区,由分散的数据中心组成,专为故障隔离而设计。【idea:感觉AWS区域像蜂窝而可用区像一个个隔间】
ODM:原始设备制造商
(2)AWS服务 & 服务类别概览
使用范围最广的服务:AWS存储服务
服务的类别:联网、存储、计算、数据库
四、云安全性
(1)AWS责任共担模式
从根本上指出了AWS和客户各自需要负责的安全部分。AWS负责提供工具来维护安全性,客户负责使用这些工具来维护安全性。
(2)IAM服务
使用IAM管理对AWS资源的访问,包括谁可以访问、如何访问等等
基本组件:IAM用户(可使用AWS账户进行身份验证的人员或应用程序);IAM组(具有相同授权的IAM用户集合,没有默认组,一个用户可属于多个组,但组无法互相嵌套);IAM策略(定义可以访问哪些资源);IAM角色(一种机制,用于临时授予选定的用户以资源访问权限)
IAM角色 & IAM用户的区别:在附加权限策略方面类似IAM用户,但IAM角色不像IAM用户一样与一个人唯一关联,它可由人员、应用程序、服务代入;IAM角色提供临时安全凭证。
MFA:多重访问机制,在知道用户名和密码的情况下还需提供MFA代码才能获得访问权限
默认情况下,IAM遵循最低权限原则,即默认情况下无权访问任何资源和操作
IAM确定权限的流程:即如果既不存在显示拒绝,也不村子啊显示允许,则遵循最低原则
权限是否被显示拒绝:
否→ 权限是否被显式允许 (否→ 拒绝)(是→ 允许)
是→ 拒绝
(3)确保新AWS账户的安全性
AWS根账户:具有所有权限,除非必要否则不要使用它(因为账户根用户可以无限制访问所有资源)。有多种处理方法:1、使用IAM创建并手动分配权限,2、要求多重验证(MFA),3、使用AWS CloudTrail追踪用户活动,4、启用账单报告。
(4)确保账户的安全性
通过AWS Organizations来整合多个AWS账户以便集中管理这些账户。
OU:组织单元
SCP:服务控制策略,提供对账户的集中控制。SCP类似IAM,但SCP不会授予权限而是为组织指定最大权限。
KMS:能创建和管理加密密钥
(5)确保AWS数据的安全性
静态数据加密:使用私有密钥对数据进行编码,使其不可读,只有持有私有密钥的用户才可解读
传输中的数据加密:使用TLS或SSL执行双向数据交换
(6)努力确保合规性:AWS合规性计划
合规性计划大致分类为:认证和鉴证(eg第三方认证)、法律法规和隐士、协定和框架(eg业界合规性要求)
五、联网和内容分发
(1)联网基础知识
32位IP地址称为IPv4,eg:192.0.2.0(每个都是0-255之间的数字)
128位IP地址称为IPv6,eg:2600:1f18:22ba:8c00:ba86:a05e:a5ba:00FF(八个组,每个个包含四个字母和数字,从0到ffff,并用冒号分隔)
CIDR(无类别域间路由):描述网络和IP地址组的常用方法,比如192.0.2.0/24,24表示前24位固定而后8位是灵活的
OSI(开放系统互联模型)
(2)Amazon VPC
VPC:从逻辑上与其他VPC隔离,从属于单个AWS区域并可跨越多个可用区
可在不同的可用区内创建子网
子网:划分VPC的IP地址范围,属于单个可用区,划分为公有或私有
IP寻址:创建VPC时被分配到一个IPv4 CIDR块,创建VPC后不能更改地址范围。最大的IPv4 CIDR块大小为/16(65536个地址),最小的IPv4 CIDR块大小为/28(16个地址),也支持IPv6,但多个子网的CIDR块不能重叠。
AWS会预留5个IP地址给网络地址、内部通信、DNS解析、未来使用、网络广播地址
公有IPv4地址:通过弹性IP地址手动分配,或通过子网级别的自动分配公有IP地址设置自动分配
弹性IP地址:与AWS账户相关联,可以随时分配和重新映射,可能需要额外付费
弹性网络接口:是一种虚拟网络接口,可以连接到实例,或从实例中分离然后连接到其他实例以重定向网络流量
路由表:包含一组规则(或路由),可以将其配置为定向来自子网的网络流量。每个子网都必须关联一个路由表,但是多个子网可以关联到同一个路由。
路由:每个路由都会指定一个目的地和一个目标
(3)VPC联网
互联网网关,两个用途,1、在VPC路由表中为互联网流量提供一个目标,2、为已分配公有IPv4地址的示例执行网络地址转换
VPC终端节点:两种类型的终端节点:1、接口终端节点,由AWS PrivateLink提供支持,2、网关终端节点,由Amazon S3和Amazon DynamoDB提供支持
(4)VPC安全性
用于保护VPC的两个Amazon VPC防火墙选项:
①安全组(在实例级别运行。用作虚拟防火墙,具有控制进出流量的规则,安全组默认拒绝所有入站流量且允许所有出站流量。)安全组是有状态的。
②网络ACL(也叫"网络访问控制列表",在子网级别运行。网络ACL默认允许所有速战和出战IPv4流量)网络ACL是无状态的。
二者区别:
|-------|------------------|---------------------|
| | 安全组 | 网络ACL |
| 范围 | 实例级别 | 子网级别 |
| 支持的规则 | 仅允许规则 | 允许和拒绝规则 |
| 状态 | 有状态 | 无状态 |
| 规则顺序 | 在决定允许流量之前先评估所有规则 | 在决定允许流量之前先按数字顺序评估规则 |
(5)Amazon Route 53
支持的路由:简单路由(单服务器环境中使用)、加权轮询路由(为资源记录及分配权重以指定额度)、延迟路由、地理位置路由(根据用户位置路由流量)、地理位置邻近度路由、故障转移路由(主站点无法访问四化故障转移到备份站点)、多值应答器路由(用随机选择的正常记录响应DNS查询)
(6)Amazon CloudFront
可以以高传输速度安全地向客户交付数据。
六、计算
(1)计算服务概览
①Amazon EC2:是基于实例的,在云端中提供虚拟机
②AWS Lambda:是一句函数的无服务器计算
③基于容器的计算,且基于实例
④AWS Elastic Beanstalk:是适用于web应用程序的,具有平台即服务(PaaS)
选择最佳的计算服务,需要考虑:应用程序设计?使用模式?要管理哪些配置设置?
(2)Amazon EC2
AMI(Amazon系统映像):是用于创建EC2实例的模板,包含Window或Linux操作系统以及一些预安装的软件
实例类型:通用型(多场景)/计算优化型(高性能)/内存优化型(内存数据库)/存储优化型(分布式文件系统)/加速计算型(机器学习)
选择的实例类型决定了:内存(RAM)、处理能力(CPU)、磁盘空间和磁盘类型、网络性能
标签:为AWS资源分配的标记,包含一个键和一个可选的值
在实例启动时,可以指定一个现有的密钥对或创建一个新的密钥对,由AWS存储的公共密钥和存储的私有密钥文件组成
定价模型:
①按需实例:低成本和灵活性。适合突发性的工作负载。
②Spot实例:大规模、动态工作负载。适合对时间不敏感的工作负载。
③预留实例:可预测性,能确保计算容量在需要时可立即使用。适合稳态工作负载。
④专用主机:节省许可费用且帮助满足合规性和监管要求。适合高敏感的工作负载。
成本优化:合理调整大小并提前预留资源、提升弹性(使用自动扩展根据使用量匹配需求)、选择最佳定价模式、优化存储选项(调整EBS卷大小&更改EBS卷类型&删除不再需要的EBS快照)。
成本优化是一个持续性的过程。
(3)容器服务
容器是实现操作系统虚拟化的一种方法,可重复且支持环境一致性,且比虚拟机的启动速度更快。
Docker是一个软件平台,让人可以快速构建、测试、部署应用程序。可以在Docker上运行容器。
容器≠虚拟机。容器小于虚拟机,且不包含整个操作系统。
Amazon ECS是高度可拓展的快速容器管理服务。
Amazon EKS使用户可以在AWS上运行Kubernetes而无需安装、操作、维护自己的Kubernetes控制计划。
Amazon ECR,与Amazon ECS集成,共同管理运行的应用程序容器映像
(4)Amazon Lambda
Amazon Lambda是一种无服务器计算服务,所运行的代码是lambda函数。优势是支持多种编程语言、完全自动化的管理。
单个lambda函数的最大内存分配容量为3008兆字节。lambda将一个区域内并发执行的次数限制在1000以内,且可以配置为每次执行最长运行为15min。
(5)AWS Elastic Beanstalk(AWS EB服务)
是让web应用程序启动并运行的一种简单方法,可自动处理部分是想的托管服务并且不收取额外费用,只需为使用的底层资源付费。
七、存储
(1)AWS Elastic Block Store(Amazon EBS)
Amazon EBS功能:快照、加密、弹性
Amazon EBS卷独立于实例存在,所有类型的卷都按每月预置的数量计费。
(2)Amazon Simple Storage Service(Amazon S3)
是一项托管的云存储方案。存储桶名称是通用的,并且在全球范围内必须是唯一的。单个对象最大为5TB。
Amazon S3标准--不频繁访问:适合长期存储和备份,或者灾难恢复文件的数据存储
Amazon S3单区--不频繁访问:适合低成本存储不常访问但在需要时要求快速访问的数据。将数据存储在一个可用区中,成本低于"Amazon S3标准--不频繁访问"。适合存储辅助备份副本或易于重建的数据。
Amazon S3智能分层:适合访问位置或不可预测的长期存在的数据
Amazon S3 Glacier Deep Archive:可用于备份和灾难回复使用案例,是磁带系统的经济高效且易于管理的替代方案
Amazon S3定价:仅按使用量付费,包括每月GB数、传出至其他区域、PUT/COPY/POST/LIST/GET请求。传出至Amazon S3、从Amazon S3传出至同一区域的Amazon EC2、传出至Amazon CloudFront都无需付费
要估算Amazon S3的成本,需考虑存储类的类型、存储量的大小、请求的数量和类型、数据传输的类型和量(传入是免费的,只需要为传出付费)。
(3)Amazon Elastic File System(Amazon EFS)
是使用了网络文件系统的共享文件系统实施
可以利用Amazon EFS创建文件系统,再再amazon EC2实例上挂载该文件系统,然后在文件系统中对数据执行读取和写入操作。
Amazon EFS支持NFS
Amazon EFS实施步骤:s1.创建Amazon EC2资源并启动Amazon EC2实例 s2.创建Amazon EFS s3.在适当的子网中创建挂载目标 s4.将Amazon EC2实例连接到挂载目标 s5.验证AWS账户的资源和保护
文件系统具有挂载目标和标签(键值对)
(4)Amazon S3 Glacier
使用案例:媒体资产存档、医疗信息存档、法律合规性存档、科学数据存档、数字化保存
Amazon S3和Amazon S3 Glacier的比较
Amazon S3:①设计更侧重对数据进行频繁的低延迟访问;②最大5TB;③对PUT/COPY/POST/LIST/GET请求收费;④检索定价:按请求;⑤成本高
Amazon S3 Glacier:①设计更侧重于低成本长期存储不常访问的数据;②最大40TB;③对上传和检索操作收费;④检索定价:按请求且按GB;⑤成本低
八、数据库
(1)Amazon Relational Database Service(Amazon RDS)
分为两种类型:
①托管服务(自带扩展性、容错能力、可用性)
②非托管服务(用户自行管理扩展、容错、可用性)
使用Amazon RDS的情形:应用程序具有复杂的事物处理或复杂的查询;具有中高查询或写入速率(30000 IOPS,或15000次读取+15000次写入);不超过一个工作节点或分区;高持久性。
请勿使用Amazon RDS的情形:极高的读取/写入速率;因数据量大或吞吐需求高而进行分区;NoSQL数据库可处理的简单GET或PUT请求和查询;关系数据库管理系统自定义。
Amazon RDS:小时计费 & 数据库特性(①物理容量:引擎、大小、内存类别;②数据库购买类型:按小时计算容量的按需实例、一次性支付预留1-3年数据库的预留实例;③数据库实例数量:预置多个数据库实例来处理峰值负载)
(2)Amazon DynamoDB
非关系数据库(NoSQL数据库)可以横向缩减,因此更适合处理大量数据集。
DynamoDB是一项快速而灵活的NoSQL数据库服务
优势:具有几乎无限的存储空间、低延迟查询、可扩展的读/写吞吐量、项目可能拥有不同属性。
DynamoDB的核心组件:表、项目、属性
DynamoDB支持两种不同的逐渐:分区键及分区 & 排序键
(3)Amazon Redshift
是一种快速且完全托管的数据仓库,让用户可以使用标准SQL和商业工具来分析所有数据
Amazon Redshift使用案例:①小型客户可以借助它以相对较低的价格快速建立和使用数据仓库。②软件及服务(SaaS)
(4)Amazon Aurora
是专为云构建的兼容MySQL和PostgreSQL的关系数据库,可降低数据库成本的同时提高数据库实例的可靠性和可用性。
仅需为使用的服务和功能付费。
可跨不同可用区存储数据的多个副本,从而实现高可用性。
九、云架构
(1)AWS架构完善的框架
AWS架构完善的框架:一个用于设计基础设置的指南,具有特点:安全、高性能、弹性、高效;一种评估和实施云架构的一致方法;一种提供最佳实践的方式。
(2)卓越运营支柱
6个设计原则:以代码形式运营;注释文档;进行频繁、可逆的微小更改;经常优化运行程序;预见故障、从所有运营事件和故障中汲取教训
3个基本步骤:s1.准备 s2.运营 s3.发展
(3)安全性支柱
7个设计原则:实施强有力的身份管理基础做法;弃用可追踪性;在所有层应用安全性;自动实施安全性最佳实践;保护传输中的数据和静态数据;使人员远离数据;做好应对安全事件的准备
5个安全性问题:身份和访问管理;检测性控制;基础设施保护;数据保护;事件响应
(4)可靠性支柱
关注预防故障和快速从故障中恢复
5个设计原则:测试恢复流程;自动从故障中回复;横向扩展以便提高聚合系统的可用性;无需猜测容量;管理自动化方面的变更;
3个可靠性问题:基础;变更管理;故障管理
(5)性能效率支柱
5个设计原则:普及先进技术;数分钟内实现全球化部署;使用无服务器架构;更频繁地进行试验;选择最合适的技术
(6)成本优化支柱
5个设计原则:采用已有的消费模型;衡量总体效率;无需再为数据中心运营投入资金;分析支出和确定支出归属;使用托管的应用程序级服务降低持有成本
4个成本优化问题:支出意识;经济高效的资源;供需平衡;持续不断的优化
(7)可靠性 & 高可用性
可靠性def:系统(包括硬件、固件、软件)在用户需要时提供功能的能力的衡量指标
是整个系统在特定时间段内按预期正常工作的可能性。
平均无故障时间MTBF = 平均故障时间MTTF + 平均修复时间MTTR
影响可用性的3因素:容错能力;可扩展性;可恢复性
(8)AWS Trusted Advisor
提供实时指导来帮助按AWS最佳实践预置资源的在线工具,通过查看整个AWS环境来提供5个类别的实时建议:成本优化、性能、按去啊逆行、容错能力、服务限制
十、自动扩展和监控
(1)Elastic Load Balancing(ELB)
有3种类型:
①应用程序负载均衡器:在OSI的应用层运行
②网络负载均衡器:在OSI的传输层运行
③上一代:在应用层和传输层运行
(2)Amazon CloudWatch
是一种面向客户的监控和可观测性服务,可以实时监测正在运行的AWS资源和应用程序。可以使用cloudwatch来追踪个收集指标。
在创建CloudWatch警报时:
需要基于以下内容创建警报:静态阈值、异常检测、指标数学表达式
必须要指定的内容:命名空间、指标、统计数据、时间段、条件、其他配置、操作
(3)Amazon EC2 Auto Scaling动态扩缩
可在保持应用程序可用性的同时,根据用户自定义的条件自动添加或删除EC2实例
部分练习题记录:
1、平台及服务(PaaS)云服务模型的优势:PaaS无需管理操作系统
2、从业务角度描述了AWS Cloud Adoption Framework:
3、公司可以如何使用AWS Organizations:
4、如果希望按照EC2实例类型将过去3个月的AWS成本可视化,该使用AWS工具:AWS Cost Explorer
5、边缘站点:Amazon CloudFront使用边缘站点和区域性边缘缓存来以较低的延迟交付内容
6、临时会话的最佳实践:
7、AWS CloudTrail的使用案例:允许账户管理员跟踪用户在其账户上的活动
8、VPC功能:如果网络管理员希望配置公有子网,并将进出其中的Amazon EC2实例的传入和传出流量路由到公共互联网,则应该使用
9、VPC:配置A表示在VPC中有效地使用了安全组
10、实例定价模型:开发者测试原型并在测试后终止实例,但应用程序在处理需求时需要不间断地计算,此时用"按需实例"能以最低成本满足需求
11、实例定价模型:有一组大数据处理任务需要大量计算资源,此时用" "能以最低成本满足需求
12、Amazon EBS:
13、生命周期策略
14、Amazon S3 Standard存储地使用案例:
16、Amazon DynamoDB表中的属性是:
17、AWS安全性支柱的设计原则:
18、AWS Trusted Advisor可以提供的提醒:
19、Amazon EC2 Auto Scaling类型:
云概念概览
云经济和账单
AWS全球基础设施概览
AWS云安全性
联网和内容分发
计算
存储
数据库
云架构
弹性伸缩和监控