Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CKmates - AWS 雲端運算 基礎服務介紹

120 views

Published on

CKmates 資深雲端架構師
黃品瑞 (Ray Huang)

  • Be the first to comment

  • Be the first to like this

CKmates - AWS 雲端運算 基礎服務介紹

  1. 1. Copyright © CKmates. All rights reserved AWS 雲端運算 基礎服務介紹 資深雲端架構師 黃品瑞 (Ray Huang) 1 機密等級:公開
  2. 2. Copyright © CKmates. All rights reserved Agenda 2  AWS 雲端概念  AWS 雲端服務簡介 (EC2 , VPC, S3, RDS, Lightsail)  AWS 資安、IAM及存取控制與管理  AWS 擴展及管理工具
  3. 3. Copyright © CKmates. All rights reserved AWS 雲端服務的優勢 3
  4. 4. Copyright © CKmates. All rights reserved AWS 與傳統 IT 的相似處 4
  5. 5. Copyright © CKmates. All rights reserved AWS 全球基礎設施 (2018) 5 • 18 個地理區域 (Region) , 55 個可用區 (AZ) 和 1 個 AWS GovCloud • 計劃於巴林、香港、瑞典增加 12 個可用區域 (AZ) 和 4 個地理區域 (Region) • 美國增加第 2 個 AWS GovCloud 區域
  6. 6. Copyright © CKmates. All rights reserved AWS Region 及 AZ 可用區概念 6 • 1 個 Region 至少有 2 個可用區域 Availability Zones (AZ) • AWS 區域提供多個實體分開且隔離的可用區域 • AZ 之間以低延遲、高輸送量和高冗餘網路連接
  7. 7. Copyright © CKmates. All rights reserved 高可用性 (HA) 與多重可用區 (AZ) 概念 7
  8. 8. Copyright © CKmates. All rights reserved AWS 提供的功能項目 8 運算 儲存 資料庫 網路 開發工具 平台管理 多媒體 AI ML 分析 安全性 行動開發 IoT VDI CRM 整合開發 遊戲開發 企業應用
  9. 9. Copyright © CKmates. All rights reserved AWS 入門的服務 9 • Amazon Elastic Compute Cloud (EC2) – 虛擬主機 • Amazon S3 – 儲存空間 • Virtual Private Cloud (VPC) – 虛擬網路架構 • Amazon RDS – 關聯式資料庫系統
  10. 10. Copyright © CKmates. All rights reserved Amazon Elastic Compute Cloud (EC2) 10 • 使用 AWS 時最先接觸到的服務 • 可彈性調整需要的運算資源 • 以每秒遞增的方式計費,min 60 s • 提供 Linux、Windows 作業系統 • 靈活的雲端主機託管服務 • 完全控制 / 高度整合性
  11. 11. Copyright © CKmates. All rights reserved Amazon EC2 如何選擇適用的型號? 11 Type 適用情境 隨需/Linux 一般用途 (T2, T3) • 客戶選擇最多的型號,是入門的基本款 • 最大優勢為價格較便宜 • 網站和 Web 應用程式、開發環境、建置伺服器、程式碼儲存庫、 微型服務、測試和模擬環境,以及企業營運應用程式 t2.nano $0.0058 t2.2xlarge $0.3712 一般用途 (M5, M4) • 企業客戶選擇次多的型號,若沒有特殊需求,它是最佳選擇 • 用於小型和中型資料庫、需要附加記憶體的資料處理任務以及快 取叢集,也用於執行 SAP、Microsoft SharePoint、叢集運算和 其他企業應用程式的後端伺服器 m5.large $0.096 m5.24xlarge $4.608
  12. 12. Copyright © CKmates. All rights reserved Amazon EC2 如何選擇適用的型號? 12 Type 適用情境 隨需/Linux 運算優化 (C5, C4) • 適用於高速運算的視訊編碼,或任何需要運算密集 型的工作負載 c5.large $0.085 c5d.18xlarge $3.456 記憶體優化 (X1e, X1, R4) • 高效能資料庫、記憶體內資料庫及其他記憶體密集 型企業應用程式 x1.16xlarge $6.669 x1e.32xlarge $26.688 高速 I/O 優化 (H1, I3, D2) • MapReduce 工作負載、分散式檔案系統 (如 HDFS 和 MapR-FS)、網路檔案系統、日誌或資料處理應用 程式 (如 Apache Kafka) 以及大數據工作負載叢集 i3.large $0.156 h1.16xlarge $3.744 GPU 運算 (P3, P2, G3, F1) • 機器/深度學習、高效能運算、計算流體動力學、計 算金融學、地震分析、語音辨識、自動駕駛汽車、 藥物研發 p2.xlarge $0.9 p3.16xlarge $24.48
  13. 13. Copyright © CKmates. All rights reserved Amazon EC2 定價模式 13 隨需 • 首次在 EC2 上開 發和測試應用程式 • 低成本/高靈活 • 不打算支付預付款 或買預留執行個體 的客戶使用 Spot 執行個體 • 最高可享有隨需價 格 90% 的折扣 • 開始時間和結束時 間靈活的應用程式 • 只能承受極低的運 算價格的應用程式 • 具有緊急運算需要, 需要獲取大量附加 容量的使用者 預留執行個體 • 可提供您更多的折 扣 (最多 75%) • 穩定狀態使用的應 用程式 • 可持續使用 EC2 1 或 3 年以降低總運 算成本的客戶 專用主機 • 專供您使用的實體 EC2 伺服器 • 可用保留形式購買 • 可隨需購買 (依小 時)
  14. 14. Copyright © CKmates. All rights reserved AWS Marketplace 14
  15. 15. Copyright © CKmates. All rights reserved Amazon Elastic Block Store (EBS) 15 • 提供用於 EC2 的持久性區塊級儲存磁碟區 • 提供高可用性和耐久性,EBS 磁碟區會在其可用區 域內自動複寫 • Amazon EBS 磁碟區需在特定的可用區域內建立 • EBS 容量大小需在 1 GB 到 16 TB 之間 • 支援的磁碟區有固態硬碟 (SSD) 及硬碟 (HDD)
  16. 16. Copyright © CKmates. All rights reserved Amazon EBS Volume Types 16 固態硬碟 (SSD) 硬碟 (HDD) EBS類型 EBS 佈建 IOPS SSD (io1) EBS 一般用途 SSD (gp2) 輸送量優化 HDD (st1)冷 HDD (sc1) 場景描述 延遲敏感的交易工作 負載而設計的最高效 能 SSD 磁碟區 針對交易工作負載及 平衡價格與效能的一 般用途 SSD 磁碟區 經常存取、輸送量密 集型工作負載而設計 的低成本 HDD 磁碟 區 存取頻率較低工作負 載而設計的最低成本 HDD 磁碟區 實際案例 I/O 密集型 NoSQL 和關聯式資料庫 開機磁碟區、低延遲 互動應用程式、開發 與測試 大數據、資料倉儲、 日誌處理 每天只需較少掃描的 不常使用資料 EBS 大小 4 GB – 16 TB 1 GB – 16 TB 500 GB – 16 TB 500 GB – 16 TB 每磁碟區最大 IOPS 32,000 10,000 500 250 最大輸送量/磁碟區 每秒 500 MB 每秒 160 MB 每秒 500 MB 每秒 250 MB 價格 每月 0.125 GB 每月 0.10 GB 每月 0.045 GB 每月 0.025 GB
  17. 17. Copyright © CKmates. All rights reserved Amazon EC2 Instance Storage 17 • 類似 Ram-Disk 型態的本地磁碟,只會在特定的高級別的 EC2 型號出現此選項 • 擁有較 EBS 更高的 I/O , 最高可達 365000 Read IOPS and 315,000 First Write IOPS • 存放於 InstanceStorage 的資料 “不提供” 永久保存,當重開機或關機後,資料會永遠消失
  18. 18. Copyright © CKmates. All rights reserved Amazon Simple Storage Service (S3) 18 • 提供物件級別的資料儲存服務 • 可選存放地點 (Region) 與儲存等級 • 容量無上限,可靠性達到 99.999999999% • 單一檔案達 5TB,檔案數無限 • 可提供靜態網站的 Hosting • 可單獨當作一般備份空間,最常與 AWS 其他服務合併使用 • 資料傳入 AWS S3 沒有費用,主要是傳出 AWS S3 及跨 Region 的流量與實際儲存的空間 (per/GB) 計費
  19. 19. Copyright © CKmates. All rights reserved Amazon Glacier 19 隸屬於儲存的長期歸檔服務: • 單一存檔最大可達 40 TB • 單一存檔建立時會指派唯一存檔 ID,存檔的內容不能改變 • 存檔一旦建立就無法再更新 • 與 S3 同等的 99.999999999% 可靠性與安全性 • 取出檔案可能要耗時數小時不等,可支付費用加速解凍 使用案例: (節省S3儲存費用) • 媒體資產 • 醫療保健資訊存檔 • 法規和合規存檔 • 科學資料儲存 • 數位資料保留 • 取代傳統的磁帶
  20. 20. Copyright © CKmates. All rights reserved Amazon S3 定價方式 20 • 用多少付多少 • 沒有最低費用 • 儲存定價 (依Region而異) • 請求定價 (Request Price) • 資料傳輸定價 (Data Transfer OUT ) • 可用 http://calculator.s3.amazonaws.com/index.html 試算
  21. 21. Copyright © CKmates. All rights reserved Amazon S3 儲存等級與適用場景 21 等級 耐用性 可靠性 其他 Standard (標準) 99.999999999% 99.99% • 為經常存取的資料提供高持久性、 可用性和效能的物件儲存 Standard-Infrequent Access (IA 不常存取) 99.9% • 檢索檔案時須支付相關的檢索費用 • 適合不常存取的檔案 Glacier (冰川) 99.99% (once restored) • 物件不可即時性存取 • 必須先解凍物件才能存取 • 解凍物件可能需要 3-5 小時不等 • 可支付額外的費用加速解凍
  22. 22. Copyright © CKmates. All rights reserved EBS、Instance Storage、S3 比較 22 EBS Instance Storage S3/Glacier 底層 區塊型 (需格式化成檔案系統) 區塊型 (需格式化成檔案系統) 物件型儲存 存取性能 高 極高 普通 存取方式 掛載到 EC2 才能用 無法直接分享 掛載到 EC2 才能用 無法直接分享 透過 CLI、SDK、https 方式存取 加密 可選加密 不提供 可選加密 價格 較高 含在 EC2 內不另收費 但通常提供此種功能的的 EC2 也 不會便宜 低廉 注意事項 資料會在重開機後消失
  23. 23. Copyright © CKmates. All rights reserved Amazon Virtual Private Cloud (Amazon VPC) 23 • 佈建一個在邏輯上隔離的部分,並在自己定義的 虛擬網路中啟動 AWS 資源 • 可以完全掌控虛擬聯網環境,包括選擇 IP 地址範 圍、建立子網路,以及配置路由表和網路閘道 • 可支援 VPC 中同時使用 IPv4 與 IPv6 來安全且輕 鬆地存取資源和應用程式
  24. 24. Copyright © CKmates. All rights reserved Amazon Virtual Private Cloud (Amazon VPC) 24 • 選擇自己的 IP 地址範圍、建立子網路,以及配置 路由表和網路閘道 • 公司資料中心和 VPC 之間建立硬體虛擬專用網路 (VPN) 連線,利用 AWS 雲端來擴展公司資料中心
  25. 25. Copyright © CKmates. All rights reserved Amazon VPC應用 25
  26. 26. Copyright © CKmates. All rights reserved Amazon Relational Database Service (RDS) 26 • 高可用性與耐久性及高度相容性 • 簡易的快速佈署與擴展 • 高安全性 • 經濟實惠 • 輕鬆管理 • 支援六種資料庫引擎
  27. 27. Copyright © CKmates. All rights reserved Amazon RDS 與自建資料庫優勢 27
  28. 28. Copyright © CKmates. All rights reserved Amazon RDS 簡易架構及擴展 28
  29. 29. Copyright © CKmates. All rights reserved Amazon RDS 最佳作法 29 • 使用 Cloudwatch 監控 CPU , RAM 及儲存空間 • 使用多可用區 (AZ) 自動配置和維護 • 在不同的可用區中進行同步 • 使用自動備份,並將備份時間選在 WriteIOPS 中的每日 低點發生 (通常為半夜) • 增加資料庫的 I/O 容量,如有不足應遷移到高 I/O 的資 料庫實例 • 從標準儲存轉換為預配置的 IOPS 儲存並使用資料庫實 例,針對預配置的 IOPS 進行優化 • 測試及演練 RDS 的故障恢復與轉移
  30. 30. Copyright © CKmates. All rights reserved 你可能會想… 30 現階段只有建立小型網站的需求,有無提供類似 VPS 服務商的產品? EC2, S3, RDS 功能太多又複雜, 有容易入門的產品? 不想管 EC2,VPC,RDS 設定,有一鍵備份還原的方式?
  31. 31. Copyright © CKmates. All rights reserved Amazon Lightsail 31
  32. 32. Copyright © CKmates. All rights reserved Amazon Lightsail 建立 wordpress 的三步驟 32
  33. 33. Copyright © CKmates. All rights reserved Amazon Lightsail 建立 wordpress 的三步驟 33 選擇OS 或 OS+APP
  34. 34. Copyright © CKmates. All rights reserved Amazon Lightsail 建立 wordpress 的三步驟 34 選擇付費方案
  35. 35. Copyright © CKmates. All rights reserved AWS 資安、IAM及存取控制與管理 35
  36. 36. Copyright © CKmates. All rights reserved AWS 與客戶責任分攤模型 36
  37. 37. Copyright © CKmates. All rights reserved AWS 取得的國際認證 37https://aws.amazon.com/tw/compliance/programs/
  38. 38. Copyright © CKmates. All rights reserved AWS Identity and Access Management (IAM) AWS 使用者的權限控制 38 • 對 AWS 資源進行精確的存取控制 • 管理 IAM User及存取權限 • 管理 IAM Role及存取權限 • 適用於高權限使用者的多重驗證 (MFA) • 與公司的 AD 目錄整合 • 管理聯合身分使用者及權限 • 透過 Web 身分供應商管理行動應用程式的存取控制 (SAML) (SSO)
  39. 39. Copyright © CKmates. All rights reserved AWS IAM Authentication 39 IAM 使用者 透過 WEB Console 操作 AWS 服務
  40. 40. Copyright © CKmates. All rights reserved AWS IAM Authentication 40 • 透過 IAM 產生的 AccessKey 來使用 AWS 資源 • 假設產生名為 abc 的帳戶,只給必要權限到帳戶 • 配合 AWS CLI/SDK 或程式開發及第三方軟體呼叫使用
  41. 41. Copyright © CKmates. All rights reserved AWS IAM 權限規則與賦予 41
  42. 42. Copyright © CKmates. All rights reserved AWS IAM 權限規則與賦予 42 • 權限賦予 Role, 指定到 AWS EC2 • 不需透過 AccessKey 存取 AWS 資源 • 安全性提高
  43. 43. Copyright © CKmates. All rights reserved AWS IAM 安全性的最佳實踐 43 1. 刪除 ROOT 帳戶的存取金鑰,不使用 ROOT 帳號登入 AWS 2. 建立 IAM 的使用者帳戶 3. 使用群組來附加權限,並將 IAM 使用者加入群組統一管理 4. 建立強式密碼,並定期更換密碼 5. 只使用最小權限 6. 使用 MFA (二次驗證) 保護 IAM 使用者登入 AWS Console 7. 使用 Roles 來執行相對應的權限 8. 通過使用 Roles 而不是通過共享金鑰進行委派 9. 定期更換金鑰 10. 刪除不必要的帳戶和金鑰 11. 使用 IAM Policy 的條件式來提高安全性 (限定 IP 登入 AWS ) 12. 監控 AWS 帳戶內的所有的活動 https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/best-practices.html
  44. 44. Copyright © CKmates. All rights reserved 安全存取網路端點的方式 44 防護方式 功能 說明 SSL 端點 Secure Transmission 透過建立 HTTPS 存取服務 Security Groups Instance 防火牆 使用 VPC / Security Groups 的防火 牆規則控管進出入服務 VPC 網路控制 使用 VPC 切出公開和私有網段 透過 VPN 或 NAT 方式存取資源
  45. 45. Copyright © CKmates. All rights reserved AWS 多層式的安全存取原則 45
  46. 46. Copyright © CKmates. All rights reserved AWS CloudTrail 46 • 可啟用 AWS 帳戶管控、合規、操作稽核和風險稽核的服務 • 可記錄並持續監控和保留 AWS 所有與動作相關的帳戶活動 • 可記錄 AWS 帳戶活動的事件歷史記錄 ✓ AWS 管理主控台 ✓ AWS 開發套件與命令列工具 ✓ 其他 AWS 服務所採取的動作
  47. 47. Copyright © CKmates. All rights reserved AWS 彈性擴展及管理工具 47
  48. 48. Copyright © CKmates. All rights reserved Amazon CloudWatch 48 針對 AWS 雲端資源和在 AWS 上執行的應用程式進行監控的 服務 • 監控 Amazon EC2 及其他 AWS 資源 • 監控自訂指標 • 監控和存放日誌 • 設定警示 • 檢視圖表和統計資料 • 監控資源變更並做出反應
  49. 49. Copyright © CKmates. All rights reserved Amazon CloudWatch 架構與運作邏輯 49
  50. 50. Copyright © CKmates. All rights reserved Amazon CloudWatch Demo 50
  51. 51. Copyright © CKmates. All rights reserved AWS Auto Scaling 51 • 可監控應用程式並自動調整容量,盡可能以最低 成本維持穩定、持續的優異效能 • 通常在幾分鐘內即可為多項服務的多種資源啟動 可以運作的程式擴展 • 支援 EC2 和 Spot 叢集、ECS 任務、 DynamoDB 表格和索引,以及 Aurora 複本等多 項 AWS 服務
  52. 52. Copyright © CKmates. All rights reserved AWS Auto Scaling 架構概念 52
  53. 53. Copyright © CKmates. All rights reserved AWS Auto Scaling 的使用時機 53
  54. 54. Copyright © CKmates. All rights reserved AWS Auto Scaling 所需要的設定元件 •Auto Scaling Groups 設定所需要啟動的 instance 最大最小及需要數量 ? • Launch configurations 設定要啟動什麼樣的 image ? (AMI Image 檔需事先準備好) 以及 EBS,防火牆等機器相關設定 • Scaling plans 根據條件來自動擴展或縮減 (CPU loading or some metrics) EX: ➢ 當 CPU 或網路流量大於 80% 且持續時間大於 30 分鐘時,開始進行水平 擴展,每次擴展 1 台,最大數量達到 4 台就停止 ➢ 當 CPU 或網路流量小於 20% 且持續時間大於 60 分鐘時,開始進行水平 縮減,每次縮減 1 台,最小數量達到 2 台就停止 54
  55. 55. Copyright © CKmates. All rights reserved AWS Elastic Load Balancer 55 • 支援對內或對外的流量導向到多重 AZ 及 EC2 • 支援 Health Check 偵測 EC2 目前狀態 • 提高應用程式容錯能力 • 支援 L4 或 L7 層的路由協定,包含 http、https 、SSL、 TCP 等 • 提供三種不同的形態可供選擇 • Application Load Balancer (HTTP、HTTPS) • Network Load Balancer (TCP) • Classic Load Balancer (TCP、SSL、HTTP、HTTPS)
  56. 56. Copyright © CKmates. All rights reserved AWS Elastic Load Balancer 運作模式 56 • 在多個可用區的多個 EC2 分散應用程式傳入流量 • 提高應用程式的容錯能力及可用性 • 直接減少 EC2 實例暴露真實 IP 的風險 • 配合 Auto Scaling 在負載平衡器內增加或減少 EC2 而不中斷服務 • 透過 Health Check 確保流量只送到正常的 EC2
  57. 57. Copyright © CKmates. All rights reserved Elastic Load Balancing 產品的比較 57 https://aws.amazon.com/tw/elasticloadbalancing/details/ 根據使用情況與應用程式判斷需要何種的負載平衡器? 需要彈性的應用程式管理 Application Load Balancer 應用程式絕佳的效能和靜態 IP Network Load Balancer EC2-Classic Classic Load Balancer
  58. 58. Copyright © CKmates. All rights reserved ELB / Auto Scaling / CloudWatch 間的關係 58 監控發現 EC2 的 CPU 使用率過高, 呼叫 Auto Scaling 進行水平擴展 OK,開始進行 EC2 擴展 EC2 擴展完成並附加在 ELB 之下 完成擴展循環
  59. 59. Copyright © CKmates. All rights reserved Thanks 59 Q & A

×