AWS云架构
2024-02-21 18:19:38 3 举报AI智能生成
AWS(Amazon Web Services)云架构是一种全球领先的云计算服务平台,提供广泛的基础设施和应用程序服务。它基于互联网的虚拟化技术,使用户能够按需访问计算资源、存储空间和各种功能服务。AWS云架构由多个层次组成,包括计算、存储、数据库、网络、安全等。用户可以根据需求选择合适的服务,构建灵活、可扩展的应用程序。AWS还提供了丰富的开发工具和API,使开发者能够轻松地集成和管理他们的应用程序。总之,AWS云架构为用户提供了一种可靠、高效、安全的云计算解决方案,帮助企业和个人实现数字化转型。
作者其他创作
大纲/内容
访问权限管理
根用户
完全权限, 相当于root
IAM用户
基于身份的策略
基于资源的策略
角色
临时凭证
有过期时间
Security Token Service
下发
AK/SK/TOKEN
Cognito
用来做ToC的身份验证、授权
用户池
下发Token
身份池
使用Token换取AK/SK
AWS Organizations
树形结构
基于组织单元(OU)
创建策略添加到OU上
自动化
CloudFormation
作用
自动化创建整个基础设施
编写模板
支持YAML和JSON
通过模板创建基础设施
统一管理, 比如添加新的安全规则
SystemManager
有哪些功能
批量管理实例
运行命令
维护时段
补丁管理器
等等
Elastic Beanstalk
标准化预构环境
完全托管
仅需要关注代码层
仅需选择代码环境(比如Java)并上传代码即可
缓存
CloudFront(CDN)
TTL可以设置为会0
利用边缘节点的骨干网络加速
DAX
完全兼容DynamoDB
DynamoDB搭配DAX可以提供微秒级延迟
内存数据库, 命中缓存时才能提供微秒级响应
粘性会话
ElasticCache
旁路缓存
集群中每个节点都有自己的域名和端口
底层
Redis
MemCached
解耦合
消息通知
SNS
发布订阅
持久化
topic主动推送到订阅方
消息队列
SQS
简单队列服务
支持标准队列是FIFO队列
FIFO的QPS最高300
可见性超时
根据轮询次数收费
客户端主动轮询
不可持久
AmazonMQ
ActiveMQ
微服务和Serveless
ECS
托管容器
EKS
K8S
ECR
Docker镜像仓库
Fargate
完全托管的容器服务
Amazon lambda
Serveless
运行无状态代码
按计划或针对事件运行代码
按毫秒收费
Step Function
状态机
触发Lambda
灾备
指标
RPO
恢复点目标
单位是时间
最多能容忍丢失多久的数据
数据多久备份一次
RTO
恢复时间目标
单位是时间
最多能容忍多久的不可用时间
多久能从灾难中恢复
灾备方式
S3备份+还原
Pilot Light模式
低容量备用
多站点多活
AmazonS3
bucket
bucketName每个管理区内唯一
访问策略
公开
私有
定制访问策略
特性
11个9的持久性
数据会存储在当前region的多个az中
对象级存储
事件触发器
每个对象都有对应的URL可以访问
Url/对象桶/对象名
分段上传(可并行上传多个分段)
存储对象数无上限,单文件限制5T
使用场景
托管静态网站
大规模分析的数据存储
备份工具
不适合存储频繁修改的资源
不适合长期存储,有其它方案
版本控制
数据迁移
online
控制台
CLI/SDK
Transfer Acceleration
利用边缘节点加速
offline
snowball
PB级传输方案
在AWS中提交申请, Amazon会邮寄硬到客户这里
snowmobile
EB级传输方案
计价方案
计费维度
每月GB数
传出到其他区域或Internet
传出到同region内的EC2不收费
S3的API交互按数量收费
上传不收费
区域对价格有影响
分层
生命周期策略
根据生命周期策略放到不同的分层中
标准S3
冷数据
S3标准IA、单区IA
Glacier
数据检索选项
加速
1-5分钟
0.03美元/GB
标准
3-5小时
批量
5-12小时
0.0025美元/GB
文件锁
一定时间内不可以修改
满足合规要求
如何选择region
主要几个考量的指标
法律法规
离用户的距离
不同的region可能有不同的服务
不同的region价格不同
Amazon EC2
能解决什么需求
WEB托管
数据库
身份验证
服务器所做的任何事情
EC2实例
类型(硬件)
通用型
计算优化型
内存优化型
加速优化型
存储优化型
配备本地硬盘
不适合长期存储,多租户共享资源,回收后丢失
不同类型的特性不同,比如是否带有本地硬盘或不同的内存CPU比
AMI(软件)
什么是AMI
类似镜像的概念,不同的AMI会有不同的预装环境
在哪里获取AMI
aws预构件
相当于纯净版系统
aws marketplace
镜像商店
自行创建
也称黄金镜像
UserData
允许在创建EC2实例前自定义一段脚本,做一些初始化工作
Meta Data
169.254.169.254
实例ID
mac地址
等等
存储
本地存储
仅存储优化型机器可以选择本地存储
r5d,m5d机器类型
EBS(弹性块存储)
解决什么问题
应用程序需要块级存储
实例存储是临时的
需要数据在关闭操作系统后还存在
需要能够备份数据卷
与实例无关,松耦合
存储介质
通用SSD
IOPS随着所选的硬盘大小变化
吞吐优化型SSD
IOPS可自定义,最高64000
机械硬盘
共享文件系统
Amazon EFS
Linux
FSx
Windows
计价方案
按需实例-默认
按时间计费
UBuntu和Amazon Linux按秒,其它按分钟
单位时间最贵
预留实例
为容量预先付费
相当于手机套餐
比如5台实例 large2
Saving Plans
承诺最低消费
单位时间有折扣
Spot实例
购买闲置资源
无闲置资源时会被回收
提前两分钟发中断通知
最便宜
置放群组策略
默认
随意找一个可用的位置
集群置放
高性能(机器间距离尽量短)
分布置放
放在不同的底层硬件上,防止共享的底层硬件出现故障实例同时出问题
可以跨区,每个群组每个可用区最多7个实例
分区置放
在逻辑分区中置放
提供对分区的可见性
确保不同分区的实例不共享相同的底层硬件
适合HDFD、HBase等
租赁方式
默认
实例在共享硬件上运行
单租户
专用实例
硬件上只有自己的实例,但不能指定硬件
专用主机
可以指定特定的硬件
全球基础设施
IDC
每个IDC通常有上万台服务器
AZ
由一个或多少IDC组成
AZ之间故障隔离
Region
由两个或更多的AZ构成
Region之间通过骨干网互联
目前一共25个region
管理区
global
aws-cn(北京/宁夏)
govCloud
81个AZ
边缘节点
230+接入点
遍布30+国家或地区的69个城市
与region间有骨干网连接
数据库服务
数据库选项
关系型数据库
RDS
特性
完全托管的关系型数据库
通过点击即可完成垂直扩展
数据库版本
Mysql
Oracle
Aurora
兼容Mysql/PostgresQL
等等
安全控制
对数据库访问的控制
谁具有可见性以及谁可以在数据库中执行操作
静态加密
加密的静态数据包括数据库实例的基础存储、其自动化备份、只读副本和快照
AES256
RDS会处理身份验证和解密
传输加密
SSL
事件通知
可定制发邮件等
备份
可以恢复到35天内任意一秒
快照
非关系型数据库
DynamoDB
特性
完全托管, 到表的维度
事件驱动型编程(serverless)
极强的水平扩展能力
强一致性
每次从n个副本中读取数据,选一个最新的
消耗一个RCU
最终一致性
从任意一个副本中返回数据
消耗0.5个RCU
主键
分区键
分区键+排序键
这个模式分区键可以不唯一
计量单位
RCU
读容量单位
WCU
写容量单位
安全控制
DynamoDB托管到了表的维度,所以可以从表到项目再到属性都可以控制权限
静态加密
SSL/TSL
事件通知
数据库迁移
online
支持大多商用/开源的数据库
EC2自己部署的DB也可以迁移
offline
Amazon Snowball
联网层
VPC
什么是VPC
AWS云中的私有网络空间
工作负载逻辑隔离
自定义访问控制和安全设置
特性
AWS账户的专属虚拟网络
存在于IPv4或IPv6地址范围内
支持创建特定的网段以供资源使用
针对出入站流量做严格的访问控制
部署VPC
region级别
使用VPC
单VPC模式
小规模团队
高性能环境(如物理模拟), 单VPC延迟更低
多VPC模式
一个账户下多个VPC
适合单个团体或单个组织
多账户模式
大型组织和拥有多个开发团队的组织
子网
AZ级
子网间默认互通
使用无类别域间路由(CIDR)定义IP范围
路由表
定义跳转地址
弹性IP
固定IP,关机不回收
收费
关机后不释放IP,有额外费用
网关
Internet网关
NAT网关
全托管, 水平扩展
弹性网络接口(ENI)
可以在同AZ的EC2之间移动
安全性
安全组
有状态防火墙
建议按应用层级配
WEB程序
SOA
DB
网络访问控制列表(ACL)
无状态防火墙
处于子网边界
虚拟私有网关(VGW)
使用方式
把虚拟网关Attach到VPC上
创建自定义路由表
更新安全规则
创建VPN
AWS提供的硬件VPN
在EC2实例中使用软件VPN
将本地网络扩展到AWS
DX(Driect Connection)
AWS提供的专线
使用案例
混合云架构
持续传输大型数据集
可预测的网络性能
安全性与合规性
VPC互联
VPC对等连接
特性
无需Internet网关或虚拟网关
链接高可用无单点故障
无带宽瓶颈
流量始终保留在AWS骨干网上
使用规则
使用私有IP
区域内和区域间支持
IP空间不能重叠
VPC间只有一个对等资源
对等关系不传递
可以跨AWS账号建立对等关系
TransitGateway
作用
多VPC互通
利用ENI,创建attachment关联到子网
ELB(弹性负载均衡)
特点
高可用
运行状态检查
安全
TLS终止
提供集成的证书管理和SSL解密
类型
应用层负载均衡器(7层)
可以识别请求中的路径或主机信息
分发到不同的服务组
网络层负载均衡器(4层)
并发高
支持静态IP
针对AZ级别的分发
Route53
作用
跨region的高可用
可以根据距离和负载情况只能路由
CloudWatch
特性
收集并跟踪资源的各项指标
创建告警并发送通知
根据设置的规则触发资源容量的变更
响应方式
指标
比如CPU
日志
EC2日志
VPC日志
R53日志
等等
告警
比如CPU利用率超过x%
事件
EC2实例变更
AutoScaling状态变更
等等
规则
规则会基于事件并将他们路由到目标以进行处理
目标
目标会处理特定事件
EC2实例
Amazon Lambda
等等
AutoScaling
扩展方式
按计划
比如特定事件
动态
比如根据CPU
预测
基于机器学习
定义
最小实例
最大实例
0 条评论
下一页
