[系统运维]云计算复习重点

云计算

云概述

云计算定义: 云计算是指采用按实际使用量付费的定价模式，通过互联网按需提供计算能力、数据库、储存、应用程序和其他IT资源

云计算部署模式

• 公有云
  • AWS提供
  • 成本低
  • 无需维护
  • 高可靠性
  • 不安全、无私密性
• 私有云
  • 灵活性更高
  • 资源不与其他组织共享
  • 收缩性更高
• 混合云

云计算服务类型

• IaaS（基础设施即服务）
• PaaS（平台即服务）
• SaaS（软件即服务）

AWS 是一个安全的云平台，提供大量基于云的全球性产品。让您能够按需访问计算、储存、网络、数据库以及其他IT资源和管理工具。

• 按时计费
• 具有灵活性
• 协同工作

云经济

AWS的三个基本成本驱动因素

• 计算
• 储存
• 数据传输
  • 出站数据传输费用将汇总收取
  • 入站数据传输是免费的

如何支付AWS费用

• 按实际使用量付费
• 预留容量，付费更少
• 使用越多，随着AWS发展，价格越低

要点

• 不收费项目
  • 入站数据传输
  • 同一AWS区域各种服务之间的数据传输
  • 随时开始和停止
  • 无需签署长期合同

总拥有成本（TCO）是一项财务估算值，可帮助确定系统的直接和间接成本

为什么使用TCO

• 将在本地运行成本与AWS上的进行比较
  -为迁移到云编制预算和构建业务案例

TCO考虑因素

• 服务器成本
• 存储成本
• 网络成本
• IT人力成本

基础设施

AWS区域是一个地理区域

• 区域包含多个可用区

每个可用区都是AWS基础设施中一个完全隔离的分区

• 可用区由分散的数据中心组成

数据中心是存放和处理数据的位置

• 每个数据中心都有冗余电源和网络连接，并且存放在单独的设施中
• 一个数据中心通常有50000到80000台物理服务器

AWS基础设施的特性

• 弹性和可扩展性
• 容错
• 高可用性

要点

• AWS全球基础设施由区域和可用区组成
• 通常按照合规性要求或以减少延迟为原则来确定自己的首选区域
• 每个可用区都在物理上与其他可用区分开，并且具有冗余电源和网络连接
• 边缘站点和区域边缘缓存通过缓存到离用户更近的位置来提高性能

所选择的子网存在于可用区级别

VPC存在于区域级别

IAM和Route53是全球服务，Amazon EC2和Lambda是区域服务

云安全

AWS服务

• 计算
• 储存
• 数据库
• 联网

AWS全球基础设施

• 区域
• 可用区
• 边缘站点

AWS责任

• 数据中心的物理安全性
• 硬件和软件基础设施
• 网络基础设施
• 虚拟化基础设施

客户责任

• Amazon EC2实例 操作系统
• 应用程序
• 安全组配置
• 操作系统或基于主机的防火墙
• 网络配置
• 账户管理
• S3储存桶访问配置

共担安全责任

• AWS负责保护基础设施
• 客户负责执行必要的安全配置和管理任务

使用IAM管理对AWS资源访问

• IAM基本组件
• IAM用户
• IAM组
  -IAM用户的集合
• IAM策略
  • 是一个用于定义权限的文档
  • 两种类型
    • 基于身份的策略
    • 基于资源的策略
• IAM角色
  • 具有特定权限的IAM身份
• 获取访问权限
  • 以编程方式访问
  • AWS管理控制台访问
• 授权，默认情况下，所有权限均为隐式拒绝
• 最佳实践：遵循最低权限原则

只有根用户才能执行的操作

• 更改根用户密码
• 更改AWS Support计划
• 还原IAM用户的权限
• 更改账户设置

确保AWS账户安全性的最佳实践

• 利用MFA实现安全登入
• 删除账户根用户访问密钥
• 创建单独的IAM用户并根据最低权限原则授予权限
• 使用组为IAM用户分配权限
• 配置强密码策略
• 使用角色授予权限
• 通过AWS CloudTrail监控账户活动

联网

VPC（virtual private cloud）是公有云自定义的逻辑隔离的网络空间

VPC

• 从逻辑上与其他VPC隔离
• 专用于AWS账户
• 属于单个AWS区域并可跨越多个可用区
• VPC可以控制虚拟网络资源
• 自定义网络配置
• 使用多个安全层

子网

• 划分VPC的IP地址范围
• 属于单个可用区
• 划分为公有或私有

VPC安全性

• 安全组在实例级别运行
• 安全组具有控制实例入站和出站流量的规则
• 默认安全组拒绝所有入站流量，允许所有出站流量
• 安全组是有状态的

网络ACL

• 有单独的入站和出站规则，每项规则都可以允许或拒绝流量
• 默认网络ACL允许所有入站和出站IPv4流量
• 网络ACL没有状态

安全组和网络ACL是可用来保护VPC的防火墙选项

Route 53:一种具有很高可用性和可扩展性的域名系统Web服务，可将域名转化成数字IP地址

计算

在云端提供虚拟机，称为EC2实例

计算服务分类

• 基础设施即服务，基于实例，虚拟机
  • EC2
    • 定价模型
      • 按需实例
        • 短期、突发性或不可预知的工作负载
      • 专用主机
      • 预留实例
        • 具有稳定状态或可预测使用量的工作负载
      • Spot实例
        • 具有紧急计算需求、需要获取大量附加容量的用户
    • 成本优化四大支柱
      • 合理调整大小
      • 提升弹性
      • 选择最佳定价模式
      • 优化存储选项
• 无服务器计算，基于函数
  • Lambda
• 基于容器的计算，基于实例
  • ECS
    • 高度可扩展的快速容器管理服务
    • 优势
      • 编排Docker容器的执行
      • 维护和扩展运行容器的节点队列
      • 消除构建基础设施的复杂性
• 平台即服务，适用于Web应用程序
  • AWS Elastic Beanstalk
    • 能够提高开发人员工作效率
    • 不收费，仅需为实际使用的AWS资源付费

通过 AMI 模板在账户下的VPC内启动EC2实例

可以通过安全组来控制对实例的访问

容器可以容纳应用程序运行所需的所有资源

AWS Lambda是一种无服务器计算服务

存储

数据块存储

• 更新包含该字符的一个数据块

对象存储

• 必须更新整个文件

EBS

• 借助EBS，可以创建单个存储卷并将其附加到EC2实例
• EBS提供数据块级存储
• 在同一可用区中复制
• 快速访问，长期持久保存
• 加密
• 自动通过快照备份到S3

S3

• 数据作为对象存储在存储桶中
• 几乎无限的存储空间
• 设计为具有11个9的持久性
• 完全托管的云存储服务

S3 Glacier

• 一种数据存档服务，旨在实现安全性、持久性和极低的成本
• 定价基于区域
• 采用极低成本设计，非常适合长期存档

随地访问数据

• AWS管理控制台
• AWS命令行界面
• 软件开发包工具

数据库

非托管服务

• 自行管理扩展、容错和可用性

托管服务

• 自带扩展性、容错能力和可用性

RDS

• 面临的挑战
  • 服务器维护和能源消耗
  • 软件安装和补丁
  • 数据库备份和高可用性
  • 可扩展性受限
  • 数据安全性
  • OS安装和补丁
  • 托管服务
• 数据库引擎
  • MySQL
  • Amazon Aurora
  • SQL Server
  • PostgreSQL
  • MariaDB
  • Oracle

DynamoDB

• 完全托管的NoSQL数据库服务
• 仅在SSD上运行
• 支持文档和键值存储模型
• 跨AWS区域自动复制

Redshift 功能

• 快速、完全托管的数据仓库服务
• 轻松扩展，无需停机
• 加密

Aurora功能

• 完全托管
• 高性能和可扩展性
• 高可用性和耐久性
• 多层安全性

云架构

五大支柱

• 卓越运营
• 安全性
• 可靠性
• 性能效率
  • 问题
    • 选择
    • 查看
    • 监控
    • 权衡
  • 原则
    • 普及先进技术
    • 数分钟内实现全球部署
    • 使用无服务器架构
    • 更频繁地进行试验
    • 选择更合适的技术
• 成本优化

AWS Trusted Advisor 提供五个类别意见

• 成本优化
• 性能
• 安全性
• 容错能力
• 服务限制

自动扩展和监控

三大主题

• ELB
  • 跨一个或多个可用区中的多个目标分配传入的应用程序或网络流量
  • 支持三种负载均衡器
    • ALB
    • NLB
    • CLB
• CloudWatch
  • 帮助实时监控AWS资源及在AWS上运行相应的程序
• EC2 Auto Scaling
  • Auto Scaling组是EC2实例集合
  • 动态扩展使用EC2 AutoScaling、Cloud Watch和ELB
  • AutoScaling是独立于EC2 Auto Scaling的一项服务

Cloud Trail日志