AWS架构师
部分定义
User
Group:用户组下的用户继承该用户组所有权限
Policy:Jason format:类似文字描述,指定object的类型。给user和group提供权限的最小单位
每个Policy包含:
- Effect:允许/拒绝
- Action:行动列表
- Recource:执行action的主体
- Condition(可选):实行条件
Role:给不同的主题赋予不同的身份,可分配给多种主体。允许访问AWS的帽子。
可在AWS service上,
或者其他AWS账号:1.指定账号。2.另一个账号下的user需要有 assume role 权限。
Web identity
SAML(一套用于建立、管理两套系统的权限)
ROOT ACCOUNT:无需policy、group,拥有一切权限。删除Access Key
S3(S3存储桶)
只能存储Object based(一个个单独的文件,包含其作者等等信息),区别于Block based(如数据库,操作系统)
不能跨Region
单个大小范围 0byte-5TB ,总容量∞
S3默认是多个 Avaliablity zone 互相备份
命名全局唯一(整个AWS)
Encryption 加密方式 S3是在空闲时加密,并非在传输时
- 可上传后加密(服务端)。
- AES-256:(SSE-S3)
- AWS-KMS:(SSE-KMS)
- 客户端加密
静态主页:
- URL:<bucket-name>.s3-website-<AES-region>.amazonaws.com
- 可和route53联合,改变网址
- 不支持动态读取
- S3 bucket 必须 public
- 需要 index document和 error document
Replication(复制)
跨区域复制&同区域内复制
- 把文件的每一个修改都同步到另一个S3
- 另一个S3可以属于不同账号
- 需要先打开 versioning 保存记录
- 可以是整个S3也可以是其中某个文件夹
- 让多个region同步,便于用户读取
- 防止region故障
Object Lock(对象锁定)
- 在保留期内,阻止删除对象。(等于开启versioning,且version无法删除)
- Governance mode(监管模式)可以禁用对象锁定
- Compliance mode(合规模式)不能禁用
- 只能在创建S3的时候选择,如果选择后,后期只能启用或禁用,不能删除
S3 TIER 分层
- Standard 适合任何数据存储
- Intelligent-Tiering 适用于访问模式未知的数据,自动节约成本
- Standard-IA 不常访问的数据,毫秒级访问
- One Zone-IA 不常访问的数据,同时不重要无需多端备份的数据
- Glacier 适合长期备份和存档(1min-12h)
- Glacier Deep Archive 长期保存且每年访问一两次,且恢复可能需要12h
Pre-signed URL
- 只想给外部用户上传或访问S3的权限,用户直接访问
- 且不想给外部用户登录名密码
- 可以设定
- S3 bucket 名
- 文件名
- Get or put
- 有效期
STORAGE GATEWAY
混合云存储服务
可以在本地访问数据,且被持久存储。
EC2 弹性计算云
一种web服务,计算容量可调整
一个EC2相当于一个裸机,可配置硬件,存储、软件(系统等)、网络、EC2 Fleet(保存配置,批量配置)
EBS 弹性块存储
- 块级存储,存储整体(系统,数据库)
- 可配置大小
- 可加密(硬盘层面)
- 可连接到一个EC2 instance
- 可以断联后连接到另一个(如换硬盘)
SNAPSHOT 快照
- 是EBS某个时间点的快照
- 在EBS所在region
- 可复制到不同region
- 可用来备份重要文件,在不同region,通过快照迅速建立同样的EC2 instance
- 通过证明周期管理,创建定期快照,根据tag选择对哪些EBS快照
AMI: EC2镜像
- 可创建EC2 instance
- 可以共享AMI
- 可用公共AMI
ELB 弹性负载均衡器
- 应用程序负载均衡器
- OSI 7
- 按照应用分配流量
- 网络负载均衡器
- OSI 4
- 根据源、目的IP分配流量
- 传统负载均衡器
- OSI 4
EFS
- File Storage 只用于EC2,但可多实例共享
- 支持文件系统页面
- 容量自动扩展
- 自动备份
- 可以为每个AZ配置ENI(类似固定IP),每个ENI有安全组
- 可选I/O 或者 吞吐
- 在EC2中可通过IP或Domain访问
DATABASE
AWS DATABASE SERVICE
- 不需要管理硬件、安装软件
- 自动备份
- 高效还原
- 故障转移
- 高效只读副本
Dynamo DB:读写快,用JSON 格式,往往用作配置
DocumentDB:兼容MongoDB
DATA WAREHOUSE
OLTP
注重业务层面,与某个应用程序关联,一般使用者为操作人员
OLAP
DATAWAREHOUSE,注重数据分析,可从多个DATABASE获取数据分析。
提供:REDSHIFT
Dynamo DB:
- 无需安装、管理
- 自动扩展
- 直接建立table
- 需要大量查询时考虑
- cost基于R/W capacity,而不是存储数据的大小
- 一个region可创建256个table
R/W capacity
- 一个read capacity 4KB/s,指eventual read
- 若要20KB/s,要5个read capacity
- 如果需要强一致性,需要提高一倍,配置10个
- 一个write capacity 1KB/s
DAX:与DynamoDB兼容的缓存服务,希望读取效率
- 微秒级别
- 比其他应用更频繁读取少量项目
- 不但需要大量读取,且成本敏感
- 针对一组大型数据重复读取
- 不适合:
- 需要强一致性
- 大量写入,少量读取
DocumentDB:
- 兼容MongoDB API
- 无需升级安装
- 高吞吐量
- Cluster 分配 instance在不同AZ,提高可用性,若某instance出错,会到别的instance
- 只有一个writer 剩余的为reader,若writer出错,会选择一个reader成为新的writer
ElastiCache
- 内存中数据存储
- 极高速度
- 两个产品:
- Redis
- 与Redis API兼容
- MultiAZ Auto Failover
- 5个Read replicas,可跨AZ
- 非常适用于实时事务和分析处理使用案例
- Memcached
- 分布式高速缓存系统
- 多语言兼容
- 自动检测更换故障节点
- Redis
- 数据库大量读取,且少更新
VPC
在AWS中的虚拟局域网
Route 53
用于维护AWS中的DNS Server
简要概括:
亚马逊网络服务(AWS)提供全面的网络服务套件,旨在为企业提供安全、可扩展和高度可用的网络基础设施。AWS 的网络架构组件可实现互联网、远程工作人员、企业数据中心之间以及 AWS 生态系统内部的无缝连接。
什么是 VPC(虚拟私有云)?
AWS 网络服务的核心是亚马逊 VPC,它允许用户配置 AWS 云的逻辑隔离部分。在这个隔离的环境中,用户可以在自己定义的虚拟网络中启动 AWS 资源。
什么是 AZ(可用区)?
AWS 中的 AZ 是指 AWS 区域中一个或多个具有冗余电源、网络和连接的离散数据中心。每个 AZ 的设计目的是与其他 AZ 的故障隔离,并为同一 AWS 区域内的其他 AZ 提供廉价、低延迟的网络连接。
01 连接到互联网 - 互联网网关(IGW)
IGW 是 AWS VPC 与互联网之间的门户,可达成双向通信。它允许 VPC 内的资源访问互联网,反之亦然,确保可以访问需要公开访问的资源。
02 远程工作人员 - 客户端 VPN 端点
AWS 提供客户端 VPN 服务,使远程工作人员能够通过互联网安全地访问 AWS 资源或内部网络。它提供了一个安全且易于管理的 VPN 解决方案。
03 企业数据中心连接 - 虚拟网关 (VGW)
VGW 是您的网络与 VPC 之间站点到站点 VPN 连接亚马逊一侧的 VPN 集中器。它允许您通过互联网或 AWS Direct Connect 将内部网络安全地扩展到 AWS 云。
04 VPC 对等连接 (VPC Peering)
VPC 对等连接允许您连接两个 VPC,使您能够使用私有 IPv4 或 IPv6 地址在它们之间路由流量。对于需要在两个 VPC 之间共享资源,同时又要保持每个网络的隔离性和安全性的场景,这是一项至关重要的功能。
05 转接网关 (Transit Gateway)
AWS Transit Gateway 可充当网络中转枢纽,使您能够将多个 VPC、VPN 和 AWS 账户连接在一起。它可降低管理多个连接的复杂性,从而简化网络架构和操作。
06 VPC 端点(网关)
VPC 端点(网关类型)允许您将 VPC 私有连接到由 PrivateLink 提供支持的 AWS 服务和 VPC 端点服务,而无需互联网网关、VPN。
07 VPC 端点(接口)
接口 VPC 端点(由 AWS PrivateLink 提供支持)可在您的 VPC 和支持的 AWS 服务、其他 VPC 或 AWS Marketplace 服务之间实现专用连接,而无需 IGW、VGW 或 NAT 设备。
08 SaaS 专用链接连接
AWS PrivateLink 在 VPC 与 AWS 或企业内部托管的服务之间提供专用连接,是安全访问 SaaS 应用程序的理想选择。
1001
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
