云计算复习重点
云计算
云概述
云计算定义: 云计算是指采用按实际使用量付费的定价模式,通过互联网按需提供计算能力、数据库、储存、应用程序和其他IT资源
云计算部署模式
- 公有云
- AWS提供
- 成本低
- 无需维护
- 高可靠性
- 不安全、无私密性
- 私有云
- 灵活性更高
- 资源不与其他组织共享
- 收缩性更高
- 混合云
云计算服务类型
- IaaS(基础设施即服务)
- PaaS(平台即服务)
- SaaS(软件即服务)
AWS 是一个安全的云平台,提供大量基于云的全球性产品。让您能够按需访问计算、储存、网络、数据库以及其他IT资源和管理工具。
- 按时计费
- 具有灵活性
- 协同工作
云经济
AWS的三个基本成本驱动因素
- 计算
- 储存
- 数据传输
- 出站数据传输费用将汇总收取
- 入站数据传输是免费的
如何支付AWS费用
- 按实际使用量付费
- 预留容量,付费更少
- 使用越多,随着AWS发展,价格越低
要点
- 不收费项目
- 入站数据传输
- 同一AWS区域各种服务之间的数据传输
- 随时开始和停止
- 无需签署长期合同
总拥有成本(TCO)是一项财务估算值,可帮助确定系统的直接和间接成本
为什么使用TCO
- 将在本地运行成本与AWS上的进行比较
-为迁移到云编制预算和构建业务案例
TCO考虑因素
- 服务器成本
- 存储成本
- 网络成本
- IT人力成本
基础设施
AWS区域是一个地理区域
- 区域包含多个可用区
每个可用区都是AWS基础设施中一个完全隔离的分区
- 可用区由分散的数据中心组成
数据中心是存放和处理数据的位置
- 每个数据中心都有冗余电源和网络连接,并且存放在单独的设施中
- 一个数据中心通常有50000到80000台物理服务器
AWS基础设施的特性
- 弹性和可扩展性
- 容错
- 高可用性
要点
- AWS全球基础设施由区域和可用区组成
- 通常按照合规性要求或以减少延迟为原则来确定自己的首选区域
- 每个可用区都在物理上与其他可用区分开,并且具有冗余电源和网络连接
- 边缘站点和区域边缘缓存通过缓存到离用户更近的位置来提高性能
所选择的子网存在于可用区级别
VPC存在于区域级别
IAM和Route53是全球服务,Amazon EC2和Lambda是区域服务
云安全
AWS服务
- 计算
- 储存
- 数据库
- 联网
AWS全球基础设施
- 区域
- 可用区
- 边缘站点
AWS责任
- 数据中心的物理安全性
- 硬件和软件基础设施
- 网络基础设施
- 虚拟化基础设施
客户责任
- Amazon EC2实例 操作系统
- 应用程序
- 安全组配置
- 操作系统或基于主机的防火墙
- 网络配置
- 账户管理
- S3储存桶访问配置
共担安全责任
- AWS负责保护基础设施
- 客户负责执行必要的安全配置和管理任务
使用IAM管理对AWS资源访问
- IAM基本组件
- IAM用户
- IAM组
-IAM用户的集合 - IAM策略
- 是一个用于定义权限的文档
- 两种类型
- 基于身份的策略
- 基于资源的策略
- IAM角色
- 具有特定权限的IAM身份
- 获取访问权限
- 以编程方式访问
- AWS管理控制台访问
- 授权,默认情况下,所有权限均为隐式拒绝
- 最佳实践:遵循最低权限原则
只有根用户才能执行的操作
- 更改根用户密码
- 更改AWS Support计划
- 还原IAM用户的权限
- 更改账户设置
确保AWS账户安全性的最佳实践
- 利用MFA实现安全登入
- 删除账户根用户访问密钥
- 创建单独的IAM用户并根据最低权限原则授予权限
- 使用组为IAM用户分配权限
- 配置强密码策略
- 使用角色授予权限
- 通过AWS CloudTrail监控账户活动
联网
VPC(virtual private cloud)是公有云自定义的逻辑隔离的网络空间
VPC
- 从逻辑上与其他VPC隔离
- 专用于AWS账户
- 属于单个AWS区域并可跨越多个可用区
- VPC可以控制虚拟网络资源
- 自定义网络配置
- 使用多个安全层
子网
- 划分VPC的IP地址范围
- 属于单个可用区
- 划分为公有或私有
VPC安全性
- 安全组在实例级别运行
- 安全组具有控制实例入站和出站流量的规则
- 默认安全组拒绝所有入站流量,允许所有出站流量
- 安全组是有状态的
网络ACL
- 有单独的入站和出站规则,每项规则都可以允许或拒绝流量
- 默认网络ACL允许所有入站和出站IPv4流量
- 网络ACL没有状态
安全组和网络ACL是可用来保护VPC的防火墙选项
Route 53:一种具有很高可用性和可扩展性的域名系统Web服务,可将域名转化成数字IP地址
计算
在云端提供虚拟机,称为EC2实例
计算服务分类
- 基础设施即服务,基于实例,虚拟机
- EC2
- 定价模型
- 按需实例
- 短期、突发性或不可预知的工作负载
- 专用主机
- 预留实例
- 具有稳定状态或可预测使用量的工作负载
- Spot实例
- 具有紧急计算需求、需要获取大量附加容量的用户
- 按需实例
- 成本优化四大支柱
- 合理调整大小
- 提升弹性
- 选择最佳定价模式
- 优化存储选项
- 定价模型
- EC2
- 无服务器计算,基于函数
- Lambda
- 基于容器的计算,基于实例
- ECS
- 高度可扩展的快速容器管理服务
- 优势
- 编排Docker容器的执行
- 维护和扩展运行容器的节点队列
- 消除构建基础设施的复杂性
- ECS
- 平台即服务,适用于Web应用程序
- AWS Elastic Beanstalk
- 能够提高开发人员工作效率
- 不收费,仅需为实际使用的AWS资源付费
- AWS Elastic Beanstalk
通过 AMI 模板在账户下的VPC内启动EC2实例
可以通过安全组来控制对实例的访问
容器可以容纳应用程序运行所需的所有资源
AWS Lambda是一种无服务器计算服务
存储
数据块存储
- 更新包含该字符的一个数据块
对象存储
- 必须更新整个文件
EBS
- 借助EBS,可以创建单个存储卷并将其附加到EC2实例
- EBS提供数据块级存储
- 在同一可用区中复制
- 快速访问,长期持久保存
- 加密
- 自动通过快照备份到S3
S3
- 数据作为对象存储在存储桶中
- 几乎无限的存储空间
- 设计为具有11个9的持久性
- 完全托管的云存储服务
S3 Glacier
- 一种数据存档服务,旨在实现安全性、持久性和极低的成本
- 定价基于区域
- 采用极低成本设计,非常适合长期存档
随地访问数据
- AWS管理控制台
- AWS命令行界面
- 软件开发包工具
数据库
非托管服务
- 自行管理扩展、容错和可用性
托管服务
- 自带扩展性、容错能力和可用性
RDS
- 面临的挑战
- 服务器维护和能源消耗
- 软件安装和补丁
- 数据库备份和高可用性
- 可扩展性受限
- 数据安全性
- OS安装和补丁
- 托管服务
- 数据库引擎
- MySQL
- Amazon Aurora
- SQL Server
- PostgreSQL
- MariaDB
- Oracle
DynamoDB
- 完全托管的NoSQL数据库服务
- 仅在SSD上运行
- 支持文档和键值存储模型
- 跨AWS区域自动复制
Redshift 功能
- 快速、完全托管的数据仓库服务
- 轻松扩展,无需停机
- 加密
Aurora功能
- 完全托管
- 高性能和可扩展性
- 高可用性和耐久性
- 多层安全性
云架构
五大支柱
- 卓越运营
- 安全性
- 可靠性
- 性能效率
- 问题
- 选择
- 查看
- 监控
- 权衡
- 原则
- 普及先进技术
- 数分钟内实现全球部署
- 使用无服务器架构
- 更频繁地进行试验
- 选择更合适的技术
- 问题
- 成本优化
AWS Trusted Advisor 提供五个类别意见
- 成本优化
- 性能
- 安全性
- 容错能力
- 服务限制
自动扩展和监控
三大主题
- ELB
- 跨一个或多个可用区中的多个目标分配传入的应用程序或网络流量
- 支持三种负载均衡器
- ALB
- NLB
- CLB
- CloudWatch
- 帮助实时监控AWS资源及在AWS上运行相应的程序
- EC2 Auto Scaling
- Auto Scaling组是EC2实例集合
- 动态扩展使用EC2 AutoScaling、Cloud Watch和ELB
- AutoScaling是独立于EC2 Auto Scaling的一项服务