Overview cloud and AWS (a)

Cloud computing infrastructure

concept

An Internet-based technology as a service to provide client computing model scalable and elastic IT capabilities

• Flexibility of
  AWS allows businesses to use their familiar programming models, operating systems, databases and infrastructure. At the same time, this flexibility can help enterprises to mix and match architectures in order to provide services for diverse business needs.
• Cost-effective
  With AWS, companies only pay for services they use, but no long-term commitment or prepayment amount
• Scalability and flexibility
  businesses can quickly add or reduce their AWS resources applications, to meet the needs of customers and cost management considerations.
• Security
  In order to provide end to end security and privacy mechanisms, AWS security in accordance with the best practices to set security services to provide the appropriate security features and document how to use these features in these services. Physical security, authentication and verification, security services, data privacy
• Experienced
  selected AWS, businesses can enjoy safe and reliable Amazon accumulated more than 15 years experience in the launch of large-scale and global distribution infrastructure.

Advantage

• Capital expenditures become flexible spending
• Benefit from a wide range of economies of scale
• You do not need to guess the capacity requirements
• Improve the speed and agility
• No need to operate and maintain heavy data center
• Rapid deployment of globalization

Cloud Computing Category

• IaaS - computing, storage, networking
• PaaS - platform to run applications directly
• SaaS - direct use of the product

About AWS

Services Overview

AWS core services

AWS platform services

AWS development and operations services

Data Center and available AWS zone (AZ)

region

• The world has more area (Region)
• Each region has a plurality of available area
• The use of Internet connectivity between regions
• Data replication between regions must be active user to trigger and execute
• Four special areas:
  1. Osaka local area is a new local region, only one of the available area, and is completely isolated from other regions.
  2. Other special areas, including Beijing, China Ningxia and western United States

Available area

• Each region has a plurality of available data centers
• All data centers are live
• Between a data center using the form of N + 1 disaster
• Data centers consisting of network devices and network protocols
• 可用区之间采用高速低延迟专线直连
• 选择一个可用区并不能指定在哪个物理的数据中心
• AWS可以跨多个可用区复制数据以增强弹性
• 边缘网络节点
  1. 每个区域和可用区都有很多边缘站点，用于提供更加方便的本地接入
  2. 部署在全球的边缘网络节点，利用CloudFront提供CDN业务

区域名

AWS 云适应框架 （AWSCAF）

概述

• 业务： 技术交付与业务需求的一致性
• 平台： AWS技术服务的 交付模式、工具和指导
• 成熟度：架构的目标状态与技术交付的一致性
• 人员：角色、职责和技能
• 流程：管理产品组合、计划和项目，受控的风险级别
• 安全性：安全级别、监管风险、合规风险
• 运营：运营框架、流程、指导和工具

AWS托管类型

• 非托管服务：AWS仅提供资源，其上的容错、可用性、扩展、补丁等由用户自行管理
• 托管服务 ： AWS 除了资源，还自动提供容错、可用性和扩展等功能，简化用户管理

AWS安全和合规

• AWS及其合作伙伴提供数百种工具和功能来实现可见性、可审计性、可控性和敏捷性的安全目标
• AWS上的策略、体系架构和运营流程继承了最佳安全实践。
• 采用冗余和分层控制，持续验证和测试以及大量的自动化功能，确保底层基础架构得到全天候监控和保护
• 用户对数据有完全的控制和所有权限，并且可以被物理定位，以满足各地区合规需求
• 满足 SOC1\2\3、ISAE、FISMA、PCIDSS、DIACAP、FedRAMP、ISO9001、ISO27001、ISO27018安全规范

共担职责模型

AWS责任

• 数据中心： 无明显标志，全天候保卫，双重身份验证，访问记录审查，视频监控，磁盘和数据消费
• 硬件基础: 服务器、存储等
• 软件基础： 操作系统、虚拟化软件和服务应用程序
• 网络基础： 路由器、交换机、负载均衡、防火墙、布线、外部接入点等

用户责任

• 系统： 操作系统维护
• 软件： 自行安装运营的软件
• 访问权限： 账户密码管理，用户权限设置
• 安全：主机防火墙等
• 网络： VPC设置

从传统架构到AWS云架构方案示例

• 传统架构

• 云架构

AWS 官方技术支持

AWS支持方案

• 基础支持
• 开发人员支持
• 业务支持
• 企业支持

SLA 影响矩阵

技术支持方式

AWS专家技术支持

• 技术客户经理
• 主动指导和分析，确定如何通过业务和性能评估来优化AWS
• 通过全面和深入的技术专业知识，提出最佳实践建议
• 基础设施实践管理
• 事件前规划和准备，对事件目标和使用案例达成一致
• 根据预期容量，提出资源建议和部署指导
• 在事件过程中提供持续关注
• 在事件结束后可以立即缩减资源，恢复正常运行水平

业务支持

• 协助管理AWS资源的主要联系人
• 个性化处理账单、税务、服务限制、预留实例批量购买等问题

Trusted Advisor

• 确定让AWS 支出发挥最大效果的方式
• 在实现最佳性能和可用性方面提供指导
• 保证环境的安全性
• 有机会提供降低成本提高生产力的解决方案建议

AWS 组织和整合账单服务

AWS组织（AWS Organization）

• 一项账户管理服务，它可以将多个AWS账号整合到集中管理的组织中。
• AWS组织包含了整合账单（Consolidated Billing）和账号管理功能
• 可以在AWS Organization内创建一个主账户，并且创建不同的组织单元（OU）。每一个OU可以代表一个部门或者一个系统环境，
• 每一个OU下面可以分配若干个不同的AWS账号，每一个账号拥有不同的访问AWS的权限。
• 使用访问策略来控制每一个OU的权限，OU下面可以再创建其他的OU，最多支持5层嵌套。
• 在一个组织下的账号，利用Service Control Policy （SCP）可以统一部署策略控制各个账号或OU的IAM的设置权限
• 默认策略是允许所有操作，策略设置只能选择白名单或者黑名单的形式，无论哪种都必须显示声明
• 一个Organization默认只能管理20个账号，超过这个数字需要找AWS Support

整合账单（Consolidated Billing）

• 将多个AWS账户的账单都合并为同一个账单进行付款。
• 整合账单主账号最好使用多因素认证（Multi-Factor Authentication）
• 整合账单主账号最好只用来管理账单，不拥有任何访问AWS资源的权限
• 单一的账单：不需要为每个账号单独处理账单，所有账号的账单都被统一成一个
• Track convenient: You can easily track each account's specific spending
• Use volume discount: AWS's many services is the more the cheaper price, so if the bill to merge more easily reach the threshold Discount
• No additional charges: no charge alone bill consolidation

Links: https://www.jianshu.com/p/858771718152