CKmates - AWS 雲端運算基礎服務介紹

Copyright © CKmates. All rights reserved
AWS 雲端運算基礎服務介紹
資深雲端架構師
黃品瑞 (Ray Huang)
1
機密等級:公開

Agenda
2
 AWS 雲端概念
 AWS 雲端服務簡介 (EC2 , VPC, S3, RDS, Lightsail)
 AWS 資安、IAM及存取控制與管理
 AWS 擴展及管理工具

AWS 雲端服務的優勢
3

AWS 與傳統 IT 的相似處
4

AWS 全球基礎設施 (2018)
5
• 18 個地理區域 (Region) , 55 個可用區 (AZ) 和 1 個 AWS GovCloud
• 計劃於巴林、香港、瑞典增加 12 個可用區域 (AZ) 和 4 個地理區域 (Region)
• 美國增加第 2 個 AWS GovCloud 區域

AWS Region 及 AZ 可用區概念
6
• 1 個 Region 至少有 2 個可用區域 Availability Zones (AZ)
• AWS 區域提供多個實體分開且隔離的可用區域
• AZ 之間以低延遲、高輸送量和高冗餘網路連接

高可用性 (HA) 與多重可用區 (AZ) 概念
7

AWS 提供的功能項目
8
運算
儲存
資料庫
網路
開發工具
平台管理
多媒體
AI ML
分析
安全性
行動開發
IoT
VDI
CRM
整合開發
遊戲開發
企業應用

AWS 入門的服務
9
• Amazon Elastic Compute Cloud (EC2) – 虛擬主機
• Amazon S3 – 儲存空間
• Virtual Private Cloud (VPC) – 虛擬網路架構
• Amazon RDS – 關聯式資料庫系統

Amazon Elastic Compute Cloud (EC2)
10
• 使用 AWS 時最先接觸到的服務
• 可彈性調整需要的運算資源
• 以每秒遞增的方式計費，min 60 s
• 提供 Linux、Windows 作業系統
• 靈活的雲端主機託管服務
• 完全控制 / 高度整合性

Amazon EC2 如何選擇適用的型號?
11
Type 適用情境隨需/Linux
一般用途 (T2, T3)
• 客戶選擇最多的型號，是入門的基本款
• 最大優勢為價格較便宜
• 網站和 Web 應用程式、開發環境、建置伺服器、程式碼儲存庫、
微型服務、測試和模擬環境，以及企業營運應用程式
t2.nano $0.0058
t2.2xlarge $0.3712
一般用途 (M5, M4)
• 企業客戶選擇次多的型號，若沒有特殊需求，它是最佳選擇
• 用於小型和中型資料庫、需要附加記憶體的資料處理任務以及快
取叢集，也用於執行 SAP、Microsoft SharePoint、叢集運算和
其他企業應用程式的後端伺服器
m5.large $0.096
m5.24xlarge $4.608

Amazon EC2 如何選擇適用的型號?
12
Type 適用情境隨需/Linux
運算優化 (C5, C4)
• 適用於高速運算的視訊編碼，或任何需要運算密集
型的工作負載
c5.large $0.085
c5d.18xlarge $3.456
記憶體優化 (X1e, X1, R4)
• 高效能資料庫、記憶體內資料庫及其他記憶體密集
型企業應用程式
x1.16xlarge $6.669
x1e.32xlarge $26.688
高速 I/O 優化 (H1, I3, D2)
• MapReduce 工作負載、分散式檔案系統 (如 HDFS
和 MapR-FS)、網路檔案系統、日誌或資料處理應用
程式 (如 Apache Kafka) 以及大數據工作負載叢集
i3.large $0.156
h1.16xlarge $3.744
GPU 運算 (P3, P2, G3, F1)
• 機器/深度學習、高效能運算、計算流體動力學、計
算金融學、地震分析、語音辨識、自動駕駛汽車、
藥物研發
p2.xlarge $0.9
p3.16xlarge $24.48

Amazon EC2 定價模式
13
隨需
• 首次在 EC2 上開
發和測試應用程式
• 低成本/高靈活
• 不打算支付預付款
或買預留執行個體
的客戶使用
Spot 執行個體
• 最高可享有隨需價
格 90% 的折扣
• 開始時間和結束時
間靈活的應用程式
• 只能承受極低的運
算價格的應用程式
• 具有緊急運算需要，
需要獲取大量附加
容量的使用者
預留執行個體
• 可提供您更多的折
扣 (最多 75%)
• 穩定狀態使用的應
用程式
• 可持續使用 EC2 1
或 3 年以降低總運
算成本的客戶
專用主機
• 專供您使用的實體
EC2 伺服器
• 可用保留形式購買
• 可隨需購買 (依小
時)

AWS Marketplace
14

Amazon Elastic Block Store (EBS)
15
• 提供用於 EC2 的持久性區塊級儲存磁碟區
• 提供高可用性和耐久性，EBS 磁碟區會在其可用區
域內自動複寫
• Amazon EBS 磁碟區需在特定的可用區域內建立
• EBS 容量大小需在 1 GB 到 16 TB 之間
• 支援的磁碟區有固態硬碟 (SSD) 及硬碟 (HDD)

Amazon EBS Volume Types
16
固態硬碟 (SSD) 硬碟 (HDD)
EBS類型
EBS 佈建 IOPS SSD
(io1)
EBS 一般用途 SSD
(gp2)
輸送量優化 HDD (st1)冷 HDD (sc1)
場景描述
延遲敏感的交易工作
負載而設計的最高效
能 SSD 磁碟區
針對交易工作負載及
平衡價格與效能的一
般用途 SSD 磁碟區
經常存取、輸送量密
集型工作負載而設計
的低成本 HDD 磁碟
區
存取頻率較低工作負
載而設計的最低成本
HDD 磁碟區
實際案例
I/O 密集型 NoSQL
和關聯式資料庫
開機磁碟區、低延遲
互動應用程式、開發
與測試
大數據、資料倉儲、
日誌處理
每天只需較少掃描的
不常使用資料
EBS 大小 4 GB – 16 TB 1 GB – 16 TB 500 GB – 16 TB 500 GB – 16 TB
每磁碟區最大 IOPS 32,000 10,000 500 250
最大輸送量/磁碟區每秒 500 MB 每秒 160 MB 每秒 500 MB 每秒 250 MB
價格每月 0.125 GB 每月 0.10 GB 每月 0.045 GB 每月 0.025 GB

Amazon EC2 Instance Storage
17
• 類似 Ram-Disk 型態的本地磁碟，只會在特定的高級別的 EC2 型號出現此選項
• 擁有較 EBS 更高的 I/O , 最高可達 365000 Read IOPS and 315,000 First Write IOPS
• 存放於 InstanceStorage 的資料 “不提供” 永久保存，當重開機或關機後，資料會永遠消失

Amazon Simple Storage Service (S3)
18
• 提供物件級別的資料儲存服務
• 可選存放地點 (Region) 與儲存等級
• 容量無上限，可靠性達到 99.999999999%
• 單一檔案達 5TB，檔案數無限
• 可提供靜態網站的 Hosting
• 可單獨當作一般備份空間，最常與 AWS 其他服務合併使用
• 資料傳入 AWS S3 沒有費用，主要是傳出 AWS S3 及跨
Region 的流量與實際儲存的空間 (per/GB) 計費

Amazon Glacier
19
隸屬於儲存的長期歸檔服務:
• 單一存檔最大可達 40 TB
• 單一存檔建立時會指派唯一存檔 ID，存檔的內容不能改變
• 存檔一旦建立就無法再更新
• 與 S3 同等的 99.999999999% 可靠性與安全性
• 取出檔案可能要耗時數小時不等，可支付費用加速解凍
使用案例: (節省S3儲存費用)
• 媒體資產
• 醫療保健資訊存檔
• 法規和合規存檔
• 科學資料儲存
• 數位資料保留
• 取代傳統的磁帶

Amazon S3 定價方式
20
• 用多少付多少
• 沒有最低費用
• 儲存定價 (依Region而異)
• 請求定價 (Request Price)
• 資料傳輸定價 (Data Transfer OUT )
• 可用 http://calculator.s3.amazonaws.com/index.html 試算

Amazon S3 儲存等級與適用場景
21
等級耐用性可靠性其他
Standard (標準)
99.999999999%
99.99%
• 為經常存取的資料提供高持久性、
可用性和效能的物件儲存
Standard-Infrequent
Access (IA 不常存取)
99.9%
• 檢索檔案時須支付相關的檢索費用
• 適合不常存取的檔案
Glacier (冰川)
99.99%
(once restored)
• 物件不可即時性存取
• 必須先解凍物件才能存取
• 解凍物件可能需要 3-5 小時不等
• 可支付額外的費用加速解凍

EBS、Instance Storage、S3 比較
22
EBS Instance Storage S3/Glacier
底層
區塊型
(需格式化成檔案系統)
區塊型
(需格式化成檔案系統)
物件型儲存
存取性能高極高普通
存取方式
掛載到 EC2 才能用
無法直接分享
掛載到 EC2 才能用
無法直接分享
透過 CLI、SDK、https
方式存取
加密可選加密不提供可選加密
價格較高
含在 EC2 內不另收費
但通常提供此種功能的的 EC2 也
不會便宜
低廉
注意事項資料會在重開機後消失

Amazon Virtual Private Cloud (Amazon VPC)
23
• 佈建一個在邏輯上隔離的部分，並在自己定義的
虛擬網路中啟動 AWS 資源
• 可以完全掌控虛擬聯網環境，包括選擇 IP 地址範
圍、建立子網路，以及配置路由表和網路閘道
• 可支援 VPC 中同時使用 IPv4 與 IPv6 來安全且輕
鬆地存取資源和應用程式

Amazon Virtual Private Cloud (Amazon VPC)
24
• 選擇自己的 IP 地址範圍、建立子網路，以及配置
路由表和網路閘道
• 公司資料中心和 VPC 之間建立硬體虛擬專用網路
(VPN) 連線，利用 AWS 雲端來擴展公司資料中心

Amazon VPC應用
25

Amazon Relational Database Service (RDS)
26
• 高可用性與耐久性及高度相容性
• 簡易的快速佈署與擴展
• 高安全性
• 經濟實惠
• 輕鬆管理
• 支援六種資料庫引擎

Amazon RDS 與自建資料庫優勢
27

Amazon RDS 簡易架構及擴展
28

Amazon RDS 最佳作法
29
• 使用 Cloudwatch 監控 CPU , RAM 及儲存空間
• 使用多可用區 (AZ) 自動配置和維護
• 在不同的可用區中進行同步
• 使用自動備份，並將備份時間選在 WriteIOPS 中的每日
低點發生 (通常為半夜)
• 增加資料庫的 I/O 容量，如有不足應遷移到高 I/O 的資
料庫實例
• 從標準儲存轉換為預配置的 IOPS 儲存並使用資料庫實
例，針對預配置的 IOPS 進行優化
• 測試及演練 RDS 的故障恢復與轉移

你可能會想…
30
現階段只有建立小型網站的需求，有無提供類似 VPS
服務商的產品?
EC2, S3, RDS 功能太多又複雜, 有容易入門的產品?
不想管 EC2,VPC,RDS 設定，有一鍵備份還原的方式?

Amazon Lightsail
31

Amazon Lightsail 建立 wordpress 的三步驟
32

33
選擇OS 或 OS+APP

34
選擇付費方案

AWS 資安、IAM及存取控制與管理
35

AWS 與客戶責任分攤模型
36

AWS 取得的國際認證
37https://aws.amazon.com/tw/compliance/programs/

AWS Identity and Access Management (IAM)
AWS 使用者的權限控制
38
• 對 AWS 資源進行精確的存取控制
• 管理 IAM User及存取權限
• 管理 IAM Role及存取權限
• 適用於高權限使用者的多重驗證 (MFA)
• 與公司的 AD 目錄整合
• 管理聯合身分使用者及權限
• 透過 Web 身分供應商管理行動應用程式的存取控制 (SAML) (SSO)

AWS IAM Authentication
39
IAM 使用者透過 WEB Console 操作 AWS 服務

AWS IAM Authentication
40
• 透過 IAM 產生的 AccessKey 來使用 AWS 資源
• 假設產生名為 abc 的帳戶，只給必要權限到帳戶
• 配合 AWS CLI/SDK 或程式開發及第三方軟體呼叫使用

AWS IAM 權限規則與賦予
41

AWS IAM 權限規則與賦予
42
• 權限賦予 Role, 指定到 AWS EC2
• 不需透過 AccessKey 存取 AWS 資源
• 安全性提高

AWS IAM 安全性的最佳實踐
43
1. 刪除 ROOT 帳戶的存取金鑰，不使用 ROOT 帳號登入 AWS
2. 建立 IAM 的使用者帳戶
3. 使用群組來附加權限，並將 IAM 使用者加入群組統一管理
4. 建立強式密碼，並定期更換密碼
5. 只使用最小權限
6. 使用 MFA (二次驗證) 保護 IAM 使用者登入 AWS Console
7. 使用 Roles 來執行相對應的權限
8. 通過使用 Roles 而不是通過共享金鑰進行委派
9. 定期更換金鑰
10. 刪除不必要的帳戶和金鑰
11. 使用 IAM Policy 的條件式來提高安全性 (限定 IP 登入 AWS )
12. 監控 AWS 帳戶內的所有的活動
https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/best-practices.html

安全存取網路端點的方式
44
防護方式功能說明
SSL 端點
Secure
Transmission
透過建立 HTTPS 存取服務
Security Groups Instance 防火牆
使用 VPC / Security Groups 的防火
牆規則控管進出入服務
VPC 網路控制
使用 VPC 切出公開和私有網段
透過 VPN 或 NAT 方式存取資源

AWS 多層式的安全存取原則
45

AWS CloudTrail
46
• 可啟用 AWS 帳戶管控、合規、操作稽核和風險稽核的服務
• 可記錄並持續監控和保留 AWS 所有與動作相關的帳戶活動
• 可記錄 AWS 帳戶活動的事件歷史記錄
✓ AWS 管理主控台
✓ AWS 開發套件與命令列工具
✓ 其他 AWS 服務所採取的動作

AWS 彈性擴展及管理工具
47

Amazon CloudWatch
48
針對 AWS 雲端資源和在 AWS 上執行的應用程式進行監控的
服務
• 監控 Amazon EC2 及其他 AWS 資源
• 監控自訂指標
• 監控和存放日誌
• 設定警示
• 檢視圖表和統計資料
• 監控資源變更並做出反應

Amazon CloudWatch 架構與運作邏輯
49

Amazon CloudWatch Demo
50

AWS Auto Scaling
51
• 可監控應用程式並自動調整容量，盡可能以最低
成本維持穩定、持續的優異效能
• 通常在幾分鐘內即可為多項服務的多種資源啟動
可以運作的程式擴展
• 支援 EC2 和 Spot 叢集、ECS 任務、
DynamoDB 表格和索引，以及 Aurora 複本等多
項 AWS 服務

AWS Auto Scaling 架構概念
52

AWS Auto Scaling 的使用時機
53

AWS Auto Scaling 所需要的設定元件
•Auto Scaling Groups
設定所需要啟動的 instance 最大最小及需要數量 ?
• Launch configurations
設定要啟動什麼樣的 image ?
(AMI Image 檔需事先準備好) 以及 EBS，防火牆等機器相關設定
• Scaling plans
根據條件來自動擴展或縮減 (CPU loading or some metrics)
EX:
➢ 當 CPU 或網路流量大於 80% 且持續時間大於 30 分鐘時，開始進行水平
擴展，每次擴展 1 台，最大數量達到 4 台就停止
➢ 當 CPU 或網路流量小於 20% 且持續時間大於 60 分鐘時，開始進行水平
縮減，每次縮減 1 台，最小數量達到 2 台就停止
54

AWS Elastic Load Balancer
55
• 支援對內或對外的流量導向到多重 AZ 及 EC2
• 支援 Health Check 偵測 EC2 目前狀態
• 提高應用程式容錯能力
• 支援 L4 或 L7 層的路由協定，包含 http、https 、SSL、 TCP 等
• 提供三種不同的形態可供選擇
• Application Load Balancer (HTTP、HTTPS)
• Network Load Balancer (TCP)
• Classic Load Balancer (TCP、SSL、HTTP、HTTPS)

AWS Elastic Load Balancer 運作模式
56
• 在多個可用區的多個 EC2 分散應用程式傳入流量
• 提高應用程式的容錯能力及可用性
• 直接減少 EC2 實例暴露真實 IP 的風險
• 配合 Auto Scaling 在負載平衡器內增加或減少
EC2 而不中斷服務
• 透過 Health Check 確保流量只送到正常的 EC2

Elastic Load Balancing 產品的比較
57
https://aws.amazon.com/tw/elasticloadbalancing/details/
根據使用情況與應用程式判斷需要何種的負載平衡器?
需要彈性的應用程式管理 Application Load Balancer
應用程式絕佳的效能和靜態 IP Network Load Balancer
EC2-Classic Classic Load Balancer

ELB / Auto Scaling / CloudWatch 間的關係
58
監控發現 EC2 的 CPU 使用率過高，
呼叫 Auto Scaling 進行水平擴展
OK，開始進行
EC2 擴展
EC2 擴展完成並附加在 ELB 之下
完成擴展循環

Thanks
59
Q & A

CKmates - AWS 雲端運算基礎服務介紹

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a CKmates - AWS 雲端運算基礎服務介紹

Semelhante a CKmates - AWS 雲端運算基礎服務介紹 (20)

Mais de 均民戴

Mais de 均民戴 (15)