云计算复习重点
简介云计算云概述云计算定义: 云计算是指采用按实际使用量付费的定价模式,通过互联网按需提供计算能力、数据库、储存、应用程序和其他IT资源云计算部署模式公有云AWS提供成本低无需维护高可靠性不安全、无私密性私有云灵活性更高资源不与其他组织共享收缩性更高混合云云计算服务类型IaaS(基础设施即服务)PaaS(平台即服务)SaaS(软件即服务)AWS是一个安全的云平台,提供大量基于云的全球性产品。让您能够按需访问计算、储存、网络、数据库以及其他IT资源和管理工
云计算
云概述
云计算定义: 云计算是指采用按实际使用量付费的定价模式,通过互联网按需提供计算能力、数据库、储存、应用程序和其他IT资源
云计算部署模式
- 公有云
- AWS提供
- 成本低
- 无需维护
- 高可靠性
- 不安全、无私密性
- 私有云
- 灵活性更高
- 资源不与其他组织共享
- 收缩性更高
- 混合云
云计算服务类型
- IaaS(基础设施即服务)
- PaaS(平台即服务)
- SaaS(软件即服务)
AWS 是一个安全的云平台,提供大量基于云的全球性产品。让您能够按需访问计算、储存、网络、数据库以及其他IT资源和管理工具。
- 按时计费
- 具有灵活性
- 协同工作
云经济
AWS的三个基本成本驱动因素
- 计算
- 储存
- 数据传输
- 出站数据传输费用将汇总收取
- 入站数据传输是免费的
如何支付AWS费用
- 按实际使用量付费
- 预留容量,付费更少
- 使用越多,随着AWS发展,价格越低
要点
- 不收费项目
- 入站数据传输
- 同一AWS区域各种服务之间的数据传输
- 随时开始和停止
- 无需签署长期合同
总拥有成本(TCO)是一项财务估算值,可帮助确定系统的直接和间接成本
为什么使用TCO
- 将在本地运行成本与AWS上的进行比较
-为迁移到云编制预算和构建业务案例
TCO考虑因素
- 服务器成本
- 存储成本
- 网络成本
- IT人力成本
基础设施
AWS区域是一个地理区域
- 区域包含多个可用区
每个可用区都是AWS基础设施中一个完全隔离的分区
- 可用区由分散的数据中心组成
数据中心是存放和处理数据的位置
- 每个数据中心都有冗余电源和网络连接,并且存放在单独的设施中
- 一个数据中心通常有50000到80000台物理服务器
AWS基础设施的特性
- 弹性和可扩展性
- 容错
- 高可用性
要点
- AWS全球基础设施由区域和可用区组成
- 通常按照合规性要求或以减少延迟为原则来确定自己的首选区域
- 每个可用区都在物理上与其他可用区分开,并且具有冗余电源和网络连接
- 边缘站点和区域边缘缓存通过缓存到离用户更近的位置来提高性能
所选择的子网存在于可用区级别
VPC存在于区域级别
IAM和Route53是全球服务,Amazon EC2和Lambda是区域服务
云安全
AWS服务
- 计算
- 储存
- 数据库
- 联网
AWS全球基础设施
- 区域
- 可用区
- 边缘站点
AWS责任
- 数据中心的物理安全性
- 硬件和软件基础设施
- 网络基础设施
- 虚拟化基础设施
客户责任
- Amazon EC2实例 操作系统
- 应用程序
- 安全组配置
- 操作系统或基于主机的防火墙
- 网络配置
- 账户管理
- S3储存桶访问配置
共担安全责任
- AWS负责保护基础设施
- 客户负责执行必要的安全配置和管理任务
使用IAM管理对AWS资源访问
- IAM基本组件
- IAM用户
- IAM组
-IAM用户的集合 - IAM策略
- 是一个用于定义权限的文档
- 两种类型
- 基于身份的策略
- 基于资源的策略
- IAM角色
- 具有特定权限的IAM身份
- 获取访问权限
- 以编程方式访问
- AWS管理控制台访问
- 授权,默认情况下,所有权限均为隐式拒绝
- 最佳实践:遵循最低权限原则
只有根用户才能执行的操作
- 更改根用户密码
- 更改AWS Support计划
- 还原IAM用户的权限
- 更改账户设置
确保AWS账户安全性的最佳实践
- 利用MFA实现安全登入
- 删除账户根用户访问密钥
- 创建单独的IAM用户并根据最低权限原则授予权限
- 使用组为IAM用户分配权限
- 配置强密码策略
- 使用角色授予权限
- 通过AWS CloudTrail监控账户活动
联网
VPC(virtual private cloud)是公有云自定义的逻辑隔离的网络空间
VPC
- 从逻辑上与其他VPC隔离
- 专用于AWS账户
- 属于单个AWS区域并可跨越多个可用区
- VPC可以控制虚拟网络资源
- 自定义网络配置
- 使用多个安全层
子网
- 划分VPC的IP地址范围
- 属于单个可用区
- 划分为公有或私有
VPC安全性
- 安全组在实例级别运行
- 安全组具有控制实例入站和出站流量的规则
- 默认安全组拒绝所有入站流量,允许所有出站流量
- 安全组是有状态的
网络ACL
- 有单独的入站和出站规则,每项规则都可以允许或拒绝流量
- 默认网络ACL允许所有入站和出站IPv4流量
- 网络ACL没有状态
安全组和网络ACL是可用来保护VPC的防火墙选项
Route 53:一种具有很高可用性和可扩展性的域名系统Web服务,可将域名转化成数字IP地址
计算
在云端提供虚拟机,称为EC2实例
计算服务分类
- 基础设施即服务,基于实例,虚拟机
- EC2
- 定价模型
- 按需实例
- 短期、突发性或不可预知的工作负载
- 专用主机
- 预留实例
- 具有稳定状态或可预测使用量的工作负载
- Spot实例
- 具有紧急计算需求、需要获取大量附加容量的用户
- 按需实例
- 成本优化四大支柱
- 合理调整大小
- 提升弹性
- 选择最佳定价模式
- 优化存储选项
- 定价模型
- EC2
- 无服务器计算,基于函数
- Lambda
- 基于容器的计算,基于实例
- ECS
- 高度可扩展的快速容器管理服务
- 优势
- 编排Docker容器的执行
- 维护和扩展运行容器的节点队列
- 消除构建基础设施的复杂性
- ECS
- 平台即服务,适用于Web应用程序
- AWS Elastic Beanstalk
- 能够提高开发人员工作效率
- 不收费,仅需为实际使用的AWS资源付费
- AWS Elastic Beanstalk
通过 AMI 模板在账户下的VPC内启动EC2实例
可以通过安全组来控制对实例的访问
容器可以容纳应用程序运行所需的所有资源
AWS Lambda是一种无服务器计算服务
存储
数据块存储
- 更新包含该字符的一个数据块
对象存储
- 必须更新整个文件
EBS
- 借助EBS,可以创建单个存储卷并将其附加到EC2实例
- EBS提供数据块级存储
- 在同一可用区中复制
- 快速访问,长期持久保存
- 加密
- 自动通过快照备份到S3
S3
- 数据作为对象存储在存储桶中
- 几乎无限的存储空间
- 设计为具有11个9的持久性
- 完全托管的云存储服务
S3 Glacier
- 一种数据存档服务,旨在实现安全性、持久性和极低的成本
- 定价基于区域
- 采用极低成本设计,非常适合长期存档
随地访问数据
- AWS管理控制台
- AWS命令行界面
- 软件开发包工具
数据库
非托管服务
- 自行管理扩展、容错和可用性
托管服务
- 自带扩展性、容错能力和可用性
RDS
- 面临的挑战
- 服务器维护和能源消耗
- 软件安装和补丁
- 数据库备份和高可用性
- 可扩展性受限
- 数据安全性
- OS安装和补丁
- 托管服务
- 数据库引擎
- MySQL
- Amazon Aurora
- SQL Server
- PostgreSQL
- MariaDB
- Oracle
DynamoDB
- 完全托管的NoSQL数据库服务
- 仅在SSD上运行
- 支持文档和键值存储模型
- 跨AWS区域自动复制
Redshift 功能
- 快速、完全托管的数据仓库服务
- 轻松扩展,无需停机
- 加密
Aurora功能
- 完全托管
- 高性能和可扩展性
- 高可用性和耐久性
- 多层安全性
云架构
五大支柱
- 卓越运营
- 安全性
- 可靠性
- 性能效率
- 问题
- 选择
- 查看
- 监控
- 权衡
- 原则
- 普及先进技术
- 数分钟内实现全球部署
- 使用无服务器架构
- 更频繁地进行试验
- 选择更合适的技术
- 问题
- 成本优化
AWS Trusted Advisor 提供五个类别意见
- 成本优化
- 性能
- 安全性
- 容错能力
- 服务限制
自动扩展和监控
三大主题
- ELB
- 跨一个或多个可用区中的多个目标分配传入的应用程序或网络流量
- 支持三种负载均衡器
- ALB
- NLB
- CLB
- CloudWatch
- 帮助实时监控AWS资源及在AWS上运行相应的程序
- EC2 Auto Scaling
- Auto Scaling组是EC2实例集合
- 动态扩展使用EC2 AutoScaling、Cloud Watch和ELB
- AutoScaling是独立于EC2 Auto Scaling的一项服务