云计算和 AWS 概述（一）

目录

• 云计算基础
  • 概念
  • 优势
  • 云计算分类
• AWS简介
  • 服务概述
    • AWS 核心服务
    • AWS 平台服务
    • AWS开发和操作服务
  • AWS 数据中心和可用区(AZ)
    • 区域
    • 可用区
    • 区域名
  • AWS 云适应框架 （AWSCAF）
    • 概述
    • AWS托管类型
    • AWS安全和合规
    • 共担职责模型
    • 从传统架构到AWS云架构方案示例
  • AWS 官方技术支持
    • AWS支持方案
    • SLA 影响矩阵
  • 技术支持方式
    • AWS专家技术支持
    • 业务支持
    • Trusted Advisor
  • AWS 组织和整合账单服务
    • AWS组织（AWS Organization）
    • 整合账单（Consolidated Billing）

云计算基础

概念

一种基於互联网技术以服务的方式提供客戶可扩展和 IT 弹性能力的计算模式

• 灵活性
  AWS 让企业能够使用他们所熟悉的编程模型、操作系统、数据库和架构。 同时，此灵活性可以帮助企业混合匹配架构，以便为多元的业务需求提供服务。
• 经济高效
  有了 AWS，企业只需支付他们所使用的服务费用， 而没有预付款项或长期承诺金额
• 可扩展性和弹性
  企业可以快速的添加或减低他们应用程序中的 AWS 资源，以迎合客户的需求和成本管理考量。
• 安全性
  为了提供端对端安全和隐私机制， AWS 按照安全性的最佳实践来设置安全服务，在这些服务中提供了相应的安全功能与如何使用这些功能的文件。物理安全，认证和验证，安全服务，数据保密
• 经验丰富
  选用了 AWS ，企业可以安全又可靠的享用 Amazon 累积十五余年经验所推出之大规模且分布全球的基础设施。

优势

• 资本支出变成灵活支出
• 从大范围规模经济中受益
• 不需要猜测容量需求
• 提高速度和敏捷性
• 无需运营和维护沉重的数据中心
• 快速的实现全球化部署

云计算分类

• IaaS - 计算、存储、联网
• PaaS - 直接运行应用程序的平台
• SaaS - 直接使用产品

AWS简介

服务概述

AWS 核心服务

AWS 平台服务

AWS开发和操作服务

AWS 数据中心和可用区(AZ)

区域

• 全球有多个区域(Region)
• 每个区域都有多个可用区
• 区域之间采用Internet互联
• 区域之间的数据复制必须是用户主动触发和执行
• 四个特殊区域：

• 大阪当地区域是一个新型的local region，只有一个可用区，且与其他区域完全隔离。
• 其他特殊区域包括中国北京、中国宁夏和美国西部

可用区

• 每个可用区都有多个数据中心
• 所有都是活数据中心
• 数据中心之间采用N+1形式进行灾备
• 数据中心采用自由网络设备和网络协议
• 可用区之间采用高速低延迟专线直连
• 选择一个可用区并不能指定在哪个物理的数据中心
• AWS可以跨多个可用区复制数据以增强弹性
• 边缘网络节点

1. 每个区域和可用区都有很多边缘站点，用于提供更加方便的本地接入
2. 部署在全球的边缘网络节点，利用CloudFront提供CDN业务

区域名

AWS 云适应框架 （AWSCAF）

概述

• 业务： 技术交付与业务需求的一致性
• 平台： AWS技术服务的 交付模式、工具和指导
• 成熟度：架构的目标状态与技术交付的一致性
• 人员：角色、职责和技能
• 流程：管理产品组合、计划和项目，受控的风险级别
• 安全性：安全级别、监管风险、合规风险
• 运营：运营框架、流程、指导和工具

AWS托管类型

• 非托管服务：AWS仅提供资源，其上的容错、可用性、扩展、补丁等由用户自行管理
• 托管服务 ： AWS 除了资源，还自动提供容错、可用性和扩展等功能，简化用户管理

AWS安全和合规

• AWS及其合作伙伴提供数百种工具和功能来实现可见性、可审计性、可控性和敏捷性的安全目标
• AWS上的策略、体系架构和运营流程继承了最佳安全实践。
• 采用冗余和分层控制，持续验证和测试以及大量的自动化功能，确保底层基础架构得到全天候监控和保护
• 用户对数据有完全的控制和所有权限，并且可以被物理定位，以满足各地区合规需求
• 满足 SOC123、ISAE、FISMA、PCIDSS、DIACAP、FedRAMP、ISO9001、ISO27001、ISO27018安全规范

共担职责模型

AWS责任

• 数据中心： 无明显标志，全天候保卫，双重身份验证，访问记录审查，视频监控，磁盘和数据消费
• 硬件基础: 服务器、存储等
• 软件基础： 操作系统、虚拟化软件和服务应用程序
• 网络基础： 路由器、交换机、负载均衡、防火墙、布线、外部接入点等

用户责任

• 系统： 操作系统维护
• 软件： 自行安装运营的软件
• 访问权限： 账户密码管理，用户权限设置
• 安全：主机防火墙等
• 网络： VPC设置

从传统架构到AWS云架构方案示例

• 传统架构

• 云架构

AWS 官方技术支持

AWS支持方案

• 基础支持
• 开发人员支持
• 业务支持
• 企业支持

SLA 影响矩阵

技术支持方式

AWS专家技术支持

• 技术客户经理
• 主动指导和分析，确定如何通过业务和性能评估来优化AWS
• 通过全面和深入的技术专业知识，提出最佳实践建议
• 基础设施实践管理
• 事件前规划和准备，对事件目标和使用案例达成一致
• 根据预期容量，提出资源建议和部署指导
• 在事件过程中提供持续关注
• 在事件结束后可以立即缩减资源，恢复正常运行水平

业务支持

• 协助管理AWS资源的主要联系人
• 个性化处理账单、税务、服务限制、预留实例批量购买等问题

Trusted Advisor

• 确定让AWS 支出发挥最大效果的方式
• 在实现最佳性能和可用性方面提供指导
• 保证环境的安全性
• 有机会提供降低成本提高生产力的解决方案建议

AWS 组织和整合账单服务

AWS组织（AWS Organization）

• 一项账户管理服务，它可以将多个AWS账号整合到集中管理的组织中。
• AWS组织包含了整合账单（Consolidated Billing）和账号管理功能
• 可以在AWS Organization内创建一个主账户，并且创建不同的组织单元（OU）。每一个OU可以代表一个部门或者一个系统环境，
• 每一个OU下面可以分配若干个不同的AWS账号，每一个账号拥有不同的访问AWS的权限。
• 使用访问策略来控制每一个OU的权限，OU下面可以再创建其他的OU，最多支持5层嵌套。
• 在一个组织下的账号，利用Service Control Policy （SCP）可以统一部署策略控制各个账号或OU的IAM的设置权限
• 默认策略是允许所有操作，策略设置只能选择白名单或者黑名单的形式，无论哪种都必须显示声明
• 一个Organization默认只能管理20个账号，超过这个数字需要找AWS Support

整合账单（Consolidated Billing）

• 将多个AWS账户的账单都合并为同一个账单进行付款。
• 整合账单主账号最好使用多因素认证（Multi-Factor Authentication）
• 整合账单主账号最好只用来管理账单，不拥有任何访问AWS资源的权限
• 单一的账单：不需要为每个账号单独处理账单，所有账号的账单都被统一成一个
• 方便追踪：你可以很容易追踪每个账号的具体花费
• 使用量折扣：AWS的很多服务是用得越多单价越便宜，因此如果账单进行合并更容易达到便宜折扣的门槛
• 无额外费用：整合账单不单独收费