這篇AWS技術介紹,大概會分成下列幾部份做介紹:
- Introduction & History of AWS (介紹AWS的歷史)
- AWS Storage & Content Delivery (AWS儲存與內容傳遞)
- AWS Managed Service & Database (AWS服務管理與資料庫)
- AWS Deployment & Management (AWS佈署與管理)
這節會先介紹 Introduction & History of AWS 的部份,而這節主要的內容除了描述 AWS的歷史與沿革之外,其最主要是要說明 AWS全球基礎設施、提供的安全特性及如何透過 AWS管理控制台等等。
那廢話不多說,現在就開始今天的課程介紹,首先安照慣例還是先來張圖解大綱:
Step 1: Cloud Computing
什麼是雲端運算(Cloud Computing)? 這是一個常見的名詞,廣義的說法是將許多台電腦透過網路即時的串接起來,所提供各式各樣的服務,像網際網路(Internet)就是一個例子。
什麼是雲端運算供應商(Cloud Computing Providers)? 就像AWS所提供的幾種主要的服務,其中一種服務 Infrastructure as a Service(基礎設施即服務),這就是大家都耳熟能詳的 —IaaS。
雲端運算—是將大量電腦的軟硬體資源結合起來,透過網路以各種服務的模組,提供給使用者。而雲端運算的名詞,是來自於一般在畫系統圖時多以「雲形符號」表示。一般會將使用者資料、軟體和運算交給遠端的雲端做運算。
Step 2: Amazon History
傑夫.貝佐斯(Jeff Bezos)在西元 1994年成立亞馬遜(Amazon)這間公司,並在 1995年成立 Amazon.com 這間網路書店。Amazon.com, Inc. 是一家美國的跨國電子商務公司,總部設在美國華盛頓州的西雅圖市(Seattle, Washington),目前是全世界最大的線上購物零售商。從那時候起,亞馬遜就一直在持續成長,並在 2006年的時候正式啟用「亞馬遜網路服務(AWS)」,之後又相繼在 2007年發表電子書閱讀器 Kindle、2012年的亞馬遜遊戲(Amazon Games)和 2013年的亞馬遜藝術(Amazon Art)。
Step 3: AWS History
亞馬遜網路服務(Amazon Web Service),可簡稱「AWS」花超過10年的時間所製作。AWS是集合遠端運算的網路服務。而這個網路服務是透過網際網路,來提供雲端運算平台。他們提供雲端網路服務給儲存空間、運算、網路、資料庫等等...。
AWS的使命是讓企業用戶和開發人員,可以運用Web服務來建構可伸縮性且較複雜的應用程式。而Web服務就會成為人們口中的「雲」。
Step 4: AWS Enterprise Customers
如上圖都是一些已經在使用AWS的企業用戶。
對於企業用戶來說有了AWS,除了可以提供企業快速建構一個企業雲的方案外,還可以免去前期的大量投資。在免費等級(Free Tier)的方案下,幾乎任何的「標準應用」都是免費的。
Step 5: AWS Startup Customers
如上圖是一些已經選擇AWS的新創公司。
「AWS Activate」是一項免費的計畫,讓新創公司一開始就和AWS密切合作並提供資源給他們使用。
「AWS Activate」是一項免費的計畫,讓新創公司一開始就和AWS密切合作並提供資源給他們使用。
Step 6: AWS Public Sector Customers
如上圖是目前有使用AWS的公家單位。
Step 7: AWS Cloud Computing
AWS提供一個具有全球規模的雲端基礎設施,這將可以讓企業或公司更專注且快速在創新研發與重複試驗的專業上。
使用AWS服務有以下幾項優點:
- 依需求性(On Demand):AWS為用戶提供實用型的好處。當有使用需求時不用像傳統做法,等待硬體部署動輒幾個星期或幾個月。AWS可以讓使用者立即部署應用,當工作量增加時可以立即擴大或依需求縮小部署。
- 統一的標準(Uniform):規模經濟和充分利用AWS的專長。用戶可以依成本效益、可擴充性和更靈活的執行AWS雲端服務。
- 用多少算多少(Pay As You Go):AWS不需要長期合約與零建置資本。
- 高可用性(Available):AWS很容易可以透過Web控制台、命令列、API和SDK執行。
Step 8: Gartner Magic Quadrant for Cloud Infrastructure a a Service, Worldwide
這張圖說明AWS在雲端的「基礎設施及服務(IaaS)」一直處於領先的地位。
Step 9: AWS Core Infrastructure & Services
AWS服務和傳統的IT規格或專業設備都有相同可取代的物件。如上圖並排顯示傳統的基礎設施與AWS相對應的產品和服務。
Step 10: AWS Cloud Computing
AWS雲端運算有提供一種簡單的方法,可以透過網際網路連接到伺服器、儲存設備、資料庫和一系列的應用服務。而AWS擁有和維護這些網路設備,以提供以上各個應用層的服務。
Step 11: AWS Foundation Services
AWS基礎服務:AWS提供一套管理工具平台,可讓使用者透過AWS管理主控台(AWS Management Console)進行管理。
Step 12: AWS Platform Services
AWS平台服務:利用AWS所提供的資料庫和資源豐富平台,可以讓使用者處理龐大且不同來源的各種問題。
Step 13: AWS Global Infrastructure
如上圖所示AWS擁有11個區域(Regions)和53個節點(Edge Locations)以上是2015年的資料。而2016年最新消息是AWS目前已經有12個Regions和54個 Edge Locations。
Step 14: AWS Regions and Availability Zones (AZ)
AWS區域(Regions)和可用區域(AZ):由上圖可看出每個Region最少都會有兩個AZ,而這兩個AZ都會分別在兩個不同的地點且距離越遠越好。其最主要的目的是減少因為人為或自然災害(如:火警、跳電、地震、颱風...等等)所造成的影響。
Step 15: Achieving High Availability Using Multi-AZ
使用多個可用區域:AWS強力建議在多個可用區域(AZ)分配使用者的AWS資源。當使用者有多台主機時,可以分別佈署在不同的AZ上。原因無他,當AZ-A發生問題時,另外兩個AZ-B和AZ-C上的佈署至少安全無虞。
Step 16: Shared Responsibility—AWS
共同的責任:當在談論雲端安全時,就必需從共同責任開始談起。AWS負起維護硬體架構、頻寬、硬體設備配置等等...的責任。而使用者確也需要負責管理上的共同責任,此話怎麼講?意思就是說主機硬體配置雖然由AWS負責,但是主機管理卻是由使用者自己,所以說使用者也必需承擔部分責任(例如:使用者帳號、密碼安全...等等)。
Step 17: Physical Security
實體上的安全:
硬體、軟體和網路:
SSL 端點:安全傳輸 —建立一個安全通訊(HTTPS)使用SSL。
AWS提供客戶存取點,也稱為API端點,就是允許HTTPS存取,這樣就可以和AWS建立安全通訊,包含SSL。而SSL的加密傳輸,可以保護使用者的傳輸安全。
Step 20: Security Groups
安全群組:虛擬個體主機防火牆 —用安全群組(Security Group)設定虛擬個體主機(Instances)防火牆規則。AWS提供安全群組,有點像是Instance內建防火牆。使用者可以設定存取控制,如完全對外開放、只能對內網存取或是介於兩者間的配置。而虛擬私有雲(VPC)就可以對子網域做進出的控制。
Step 21: AWS Multi-tier Security Groups
AWS的多層安全群組:舉例建立一個EC2傳統多層網路架構的安全群組規則。Web層的安全群組可以接受任何來自網際網路 port 80/443的存取。而應用層只接受來自Web層的存取,而DB層只能接受來自應用層的存取。最後一個規則,允許遠端透過SSH (port 22)存取。並限制遠端透過應用層存取,只允許特定IP可以使用SSH存取應用層的EC2,連接到網路和資料庫安全群組上的主機。
Step 22: AWS Identity and Access Management (IAM)
認證和存取管理(IAM):使用者帳號 —可以建立個別的IAM帳號,讓使用者擁有個別的AWS登入帳號,簡單的說就是一個AWS帳號管理系統。
Step 23: Amazon Virtual Private Cloud (VPC)
虛擬私有雲(VPC):子網路控制 —為內部虛擬主機建立最底層的網路設定(如:外部和內部Subnet、Gateway和NAT...等等)。
Step 24: Certifications and Accreditations
AWS取得多項認證與驗證:
AWS CloudTrail是一項Web服務,它會記錄使用者帳號的API呼叫。並提供日誌紀錄,內容關於呼叫API使用AWS管理主控台、AWS SDKs開發套件、命令列工具和更高層AWS服務...等等。
Step 26: Knowledge Check
~ See you ~
參考出處:
https://aws.amazon.com/tw/
Amazon Web Services, Inc. or its affiliates. All rights reserved.
Step 9: AWS Core Infrastructure & Services
AWS服務和傳統的IT規格或專業設備都有相同可取代的物件。如上圖並排顯示傳統的基礎設施與AWS相對應的產品和服務。
Step 10: AWS Cloud Computing
AWS雲端運算有提供一種簡單的方法,可以透過網際網路連接到伺服器、儲存設備、資料庫和一系列的應用服務。而AWS擁有和維護這些網路設備,以提供以上各個應用層的服務。
Step 11: AWS Foundation Services
AWS基礎服務:AWS提供一套管理工具平台,可讓使用者透過AWS管理主控台(AWS Management Console)進行管理。
Step 12: AWS Platform Services
AWS平台服務:利用AWS所提供的資料庫和資源豐富平台,可以讓使用者處理龐大且不同來源的各種問題。
Step 13: AWS Global Infrastructure
如上圖所示AWS擁有11個區域(Regions)和53個節點(Edge Locations)以上是2015年的資料。而2016年最新消息是AWS目前已經有12個Regions和54個 Edge Locations。
Step 14: AWS Regions and Availability Zones (AZ)
AWS區域(Regions)和可用區域(AZ):由上圖可看出每個Region最少都會有兩個AZ,而這兩個AZ都會分別在兩個不同的地點且距離越遠越好。其最主要的目的是減少因為人為或自然災害(如:火警、跳電、地震、颱風...等等)所造成的影響。
Step 15: Achieving High Availability Using Multi-AZ
使用多個可用區域:AWS強力建議在多個可用區域(AZ)分配使用者的AWS資源。當使用者有多台主機時,可以分別佈署在不同的AZ上。原因無他,當AZ-A發生問題時,另外兩個AZ-B和AZ-C上的佈署至少安全無虞。
Step 16: Shared Responsibility—AWS
共同的責任:當在談論雲端安全時,就必需從共同責任開始談起。AWS負起維護硬體架構、頻寬、硬體設備配置等等...的責任。而使用者確也需要負責管理上的共同責任,此話怎麼講?意思就是說主機硬體配置雖然由AWS負責,但是主機管理卻是由使用者自己,所以說使用者也必需承擔部分責任(例如:使用者帳號、密碼安全...等等)。
Step 17: Physical Security
實體上的安全:
- 每天24小時、每星期七天全年無休且訓練有素的保全人員巡邏。
- 機房地處隱密且不對外開放、不容易被發現的地方。
- 雙認證機制。
- 計算機中心進出管制。
硬體、軟體和網路:
- 自動化變更控制程序。
- 保存所有嘗試存取堡壘主機的紀錄。
- 防火牆及其他分界裝置。
- AWS監控工具。
SSL 端點:安全傳輸 —建立一個安全通訊(HTTPS)使用SSL。
AWS提供客戶存取點,也稱為API端點,就是允許HTTPS存取,這樣就可以和AWS建立安全通訊,包含SSL。而SSL的加密傳輸,可以保護使用者的傳輸安全。
Step 20: Security Groups
安全群組:虛擬個體主機防火牆 —用安全群組(Security Group)設定虛擬個體主機(Instances)防火牆規則。AWS提供安全群組,有點像是Instance內建防火牆。使用者可以設定存取控制,如完全對外開放、只能對內網存取或是介於兩者間的配置。而虛擬私有雲(VPC)就可以對子網域做進出的控制。
Step 21: AWS Multi-tier Security Groups
AWS的多層安全群組:舉例建立一個EC2傳統多層網路架構的安全群組規則。Web層的安全群組可以接受任何來自網際網路 port 80/443的存取。而應用層只接受來自Web層的存取,而DB層只能接受來自應用層的存取。最後一個規則,允許遠端透過SSH (port 22)存取。並限制遠端透過應用層存取,只允許特定IP可以使用SSH存取應用層的EC2,連接到網路和資料庫安全群組上的主機。
Step 22: AWS Identity and Access Management (IAM)
認證和存取管理(IAM):使用者帳號 —可以建立個別的IAM帳號,讓使用者擁有個別的AWS登入帳號,簡單的說就是一個AWS帳號管理系統。
Step 23: Amazon Virtual Private Cloud (VPC)
虛擬私有雲(VPC):子網路控制 —為內部虛擬主機建立最底層的網路設定(如:外部和內部Subnet、Gateway和NAT...等等)。
Step 24: Certifications and Accreditations
AWS取得多項認證與驗證:
- AWS發佈SOC1 Type II、SOC2 Type II和SOC3報告。
- AWS符合PCI DSS初級規範和ISO 27001認證。
- AWS取得FedRAMP規範,且獲得美國政府授權。
- FISMA Moderate 等級。
- 依國防資訊保證認證及驗證計畫(DIACAP),獲得Authorities to Operate(ATOs)。
AWS CloudTrail是一項Web服務,它會記錄使用者帳號的API呼叫。並提供日誌紀錄,內容關於呼叫API使用AWS管理主控台、AWS SDKs開發套件、命令列工具和更高層AWS服務...等等。
Step 26: Knowledge Check
- Q:哪裡可以找到AWS產品及服務? A: AWS管理主控台
- Q:如果你有多部主機,哪個功能可以達到高可用性? A: 多個可用區域(AZ)
- Q:如何控制多層協定存取EC2虛擬個體主機? A: 安全群組
~ See you ~
參考出處:
https://aws.amazon.com/tw/
Amazon Web Services, Inc. or its affiliates. All rights reserved.
