公有雲知識分享| 中華電信網路門市CHT.com.tw
文章推薦指數: 80 %
AWS是一種公有雲服務; 大型企業一旦採用公有雲,幾乎都是混合雲; 混合雲定義:The cloud infrastructure is a composite of two or more distinct cloud ...
公有雲
私有雲
公有雲
中華電信與世界級雲端服務領導業者Amazon共同合作,打造客戶專屬AWS雲端解決方案
公有雲
中華電信與世界級雲端服務領導業者Amazon共同合作,打造客戶專屬AWS雲端解決方案
公有雲
中華電信與世界級雲端服務領導業者Amazon共同合作,打造客戶專屬AWS雲端解決方案
服務介紹
解決方案
特色與優勢
成功案例
MSP服務方案
優惠套餐
知識分享
知識分享
Security
知識分享
Networking
知識分享
RightSizing
什麼是雲服務?
AWS是一種公有雲服務
大型企業一旦採用公有雲,幾乎都是混合雲
混合雲定義:Thecloudinfrastructureisacompositeoftwoormoredistinctcloudinfrastructures(Private,Community,orPublic)thatremainuniqueentities,butareboundtogetherbystandardizedorproprietarytechnologythatenablesdataandapplicationportability
雲端服務基本模型
地端ICT產品與公雲產品比較
採AWS的DMZ架構設計
企業採用公雲後的防護邊界
公有雲架構介紹
AWSSharedresponsibilitymodel
“SecurityOFtheCloud”-AWSisresponsibleforprotectingtheinfrastructurethatrunsalloftheservicesofferedintheAWSCloud.
“SecurityINtheCloud”-CustomerresponsibilitywillbedeterminedbytheAWSCloudservicesthatacustomerselects.
On-PremisesSecurityModel
AWSSecurityModelforIaaS
AWSSecurityModelforPaaS
AWSSecurityModelforSaaS
AWS與使用者的安全責任
AWSGlobalInfrastructure
RegionvsAvailabilityzones
AWSAvailabilityZones
EdgeLocation(Cloudfront)
公有雲供應商的合規計劃
CHT提供多路由、多接口連網上雲
AWS如何管理使用者
OrganizationvsLinkaccount
帳戶階層分組:您可以將帳戶分組為組織單位(OU),並將不同的存取政策連接到每個OU,滿足預算、安全或合規需求
AWSservicecontrolpolicies(SCP)
HowSecureAWSAccount
AWSaccount
IAM(IdentityandAccessManagement)user
AWScredentials
SecureHTTPSaccesspoints
HTTPorHTTPSusingSSL/TLSaccess
VPCallowsVPNaccessaswell
RedundantconnectiontomorethanonecommunicationserviceateachInternet-facingedge
Securitylogs
AWSTrustedAdvisorsecuritychecks
原生就有備援及HA設計強制的安全管理政策
IAM控制使用權限與資源、VPC保護底層架構、KMS執行加密、AWSShield與WAF阻擋DDoS攻擊。
AWSConfig結合CloudWatch與CloudTrail執行監控與示警。
AWS另有一些工具協助自動化(e.g.SNS、Lambda)
什麼是AWSVPC?
VirtualPrivateCloud,是客戶的AmazonWebServices(AWS)雲端邏輯隔離部分
預設情況下,客戶的VPC無法存取網際網路,也無法從網際網路存取執行個體
客戶可完全掌控虛擬網路環境
經過驗證且易於理解的網路概念:
客戶可自定義IP範圍
存取控制清單(ACL/SecurityGroup)
子網路
路由表
網路閘道
充滿靈活性以及豐富的SecurityPolicy
VPCAsPolicy
VPC可以達到同客戶地端隔離各環境(開發/測試/Production)的效果
客戶更可以在不想使用的情況下,隨時停止某一VPC環境(例如測試),有效控制成本
VPC適用場景(一)
執行單層且公開的Web應用程式(例如部落格或簡單網站)
計費模式
InternettoVPC,Free
VPCtoInternet,ChargingbyGB/Day、GB/Week、GB/Month、TB/Month
VPC適用場景(二)
公開的Web應用程式+不可公開存取的後端伺服器
私有子網路中的執行個體若須將流量傳出網路,可透過位在公有子網路中的NAT閘道來存取網際網路
資料庫伺服器可使用NAT閘道連線到網際網路以取得軟體更新,但網際網路則無法建立與資料庫伺服器的連線
計費模式
InternettoVPC,Free
VPCtoInternet,ChargingbyGB/Day、GB/Week、GB/Month、TB/Month
DataProcessedperNATGateway,ChargingbyGB/Day、GB/Week、GB/Month、TB/Month
VPC適用場景(三)
公開的Web應用程式+不可公開存取的後端伺服器+後端伺服器連回客戶網路
在公有子網路中使用可擴展的Web前端來執行多層應用程式,並將資料存放在私有子網路中,而該子網路會透過IPsecAWSSite-to-SiteVPN連接連線至您的網路
計費模式
InternettoVPC,Free
VPCtoInternet,ChargingbyGB/Day、GB/Week、GB/Month、TB/Month
VPNConnectionUsage,ChargingbyUtilized/Month、Hours/Day、Hours/Week、Hours/Month
VPC適用場景(四)
希望使用Amazon的基礎設施將客戶的網路擴展至雲端,且無須向網際網路公開
計費模式
VPNConnectionUsage,ChargingbyUtilized/Month、Hours/Day、Hours/Week、Hours/Month
AWSDirectConnection
客戶可透過DirectConnection與AWS建立私有連線,將AWS與資料中心、辦公室或主機託管環境互相連接,達到降低網路成本、提高頻寬輸送量,並提供一個比用網際網路連接AWS更為安全及穩定的網路體驗
CHTAdvantagesinDirectConnection
整合中華IDC及國際骨幹,提供客戶接取全球雲端服務
多類型線路,多點,多路由,分散備援,高品質直連接取服務
DirectConnectionType
接取方式
DedicatedConnection
專用連線是單一客戶專用的1G或10G實體乙太網路連接埠,客戶可以透過主控台、CLI或API直接向AWS訂購專用連線
HostedConnection
提供多種容量,從50M到最多10G,CHT會在AWS與多個客戶共用的網路連結佈建每個託管連線,AWS會確保CHT和AWS之間網路連結的所有託管連線容量仍足夠,客戶必須透過AWS主控台、CLI或API接受之後才能啟用託管連線
AWSELB應用
情境一:Classic Load Balancing
自動分散傳入的應用程式流量
隨著應用程式的擴展自動納入新資源
偵測並處理應用程式故障
計費模式
執行小時數及負載平衡器傳輸的資料流量(GB)計算,不足一小時按一小時計費
情境二:Application Load Balancing
可以根據請求的內容,將流量路由到不同的目標(集群)
ByHTTP的主機欄位來路由用戶端請求
ByHTTP的URL路徑路由用戶端請求
BySourceIP網段路由用戶端請求
計費模式
執行小時數及負載平衡器傳輸的資料流量(GB)計算,不足一小時按一小時計費
-LCU定義是ALB處理流量時在各定價方式(新連線、作用中連線、頻寬、Rule)消耗的最高資源量
情境三:Network Load Balancing
適用於高流量的應用,可以支持每秒數百萬個請求的負載,也可以處理突然變化的流量模式
低延遲,適用於對延遲敏感的應用程式
保留來源IP地址,以便後端查看用戶端的IP地址,供應用程式執行進一步的處理
計費模式
執行小時數及每小時使用的負載平衡器容量單位(LCU)數計算,不足一小時按一小時計費
-LCU的定義是NLB處理流量時在各定價方式(新連線、作用中連線、頻寬、Rule)消耗的最高資源量
什麼是CDN?
內容傳遞網路(Content DeliveryNetwork),是指一種透過網際網路互相連接的電腦網路系統,利用最靠近每位使用者的伺服器,更快、更可靠的將音樂、圖片、影片、應用程式及其他檔案傳送給使用者,進而提供高效能、可擴展性及低成本的網路內容傳遞給使用者
AWSCloudFront
是一種全球內容傳遞網路服務,可以安全的以低延遲、高傳輸速度向使用者傳遞數據、視頻、應用程式、API
藉由CloudFront將客戶想傳遞的內容儲存於靠近使用者的EdgeServer,讓使用者可以就近訪問
加速Content傳遞
降低原本Serve的訪問壓力
計費模式
Data Transfer、檔案大小、邊緣位置流量分配(美國、加拿大、歐洲、日本、香港、新加坡…)、SSL憑證
什麼是DNS?
連網的所有Device(電腦、手機、平板…),都是使用數字來找到彼此並互相通訊,這些數字稱為 IP地址,也就是說當你開啟瀏覽器進入網站時,不需要記住這些冗長的數字進行輸入,而是輸入像example.com這樣的網域名稱就可以連接到正確的位置
AWSRoute53
全域網域名稱系統(DNS)服務
高度可用且可擴展,100%可用性SLA
計費模式
託管區域(域名數量,e.g.emample.com、domain.com)、用戶發起查詢的數量、向AWS購買的網域名稱
AWSRoute53適用場景(一)
根據服務健康狀態路由路徑
AWSRoute53適用場景(二)
根據權重路由路徑
AWSRoute53適用場景(三)
根據延遲選擇路由路徑
AWSRoute53適用場景(四)
根據地理位置選擇路由路徑
什麼是RightSizing?
目的
預設情況下,客戶的VPC無法存取網際網路,也無法從網際網路存取執行個體
原因
多數使用者,在開立EC2/RDS資源後,就變成常態使用,不太會根據使用強況做調整。
用多少算多少(Payasyougo)是雲端帶來的好處。
多數IT人員在開立硬體規格需求時,會因為考慮用量尖峰,而將高估硬體的觀念帶到雲端時代。
優點
投資效益最大化
增加預測使用量與帳單金額的準確性
由於常態審視用量,可使團隊內部在合作公開透明
維持帳務與效能在最佳狀態
使用時機
平時:長時間蒐集使用情況,記錄運算用量(CPU)、記憶體用量(Memory)、資料存取(StorageI/O)、網路流量(Networking)等
定期:定期審閱使用情況是否符合效益。
建議每個月至少一次。
作法
使用帳單報表、標籤
替不符合效益的重新選用合適規格
用來輔助RightSizing的工具,搜集用量統計、判斷使用效率
RightSizing的作法
透過AWS的內建的資源管理功能進行RightSizing
對所有的Instance都打上標籤(Tagging),常見標籤如下:
使用者(User)
應用程式(Application)
環境(Environment)
開發環境Development
測試環境Testing
上線產品環境Production
根據案例特性,選擇適合的InstanceFamilies
EC2
一般用途系列Generalpurpose
運算最佳化系列Computeoptimized
記憶體最佳化系列Memoryoptimized
儲存最佳化系列Storageoptimized
輔助運算系列Acceleratedcomputing
RDS
一般用途系列GeneralPurpose:StandardPerformance,BurstablePerformance
記憶體最佳化系列MemoryOptimized
AWS將EC2和RDS,根據眾多用途,劃分成數種InstanceFamilies
各系列的Instance有不同的收費標準,因此在不同應用案例中,應根據實際的使用統計數據,找出最適合、最優惠的方案。
如:選擇C系列(Compute),單位CPU運算資源,較其它系列便宜。
同系列、同量級的Instance,選擇較新款的機種,費用較低。
例如:將c4.8xlargeEC2轉換成c4.4xlarge,每個月將節省$570美金。
若您的應用服務用量都集中在少部分時段,可採用Burstable機種的EC2或RDS。
例:選用T系列的機種。
在離峰時段,使用很少的運算,則會累積Credits。
而在尖峰時段使用大量運算,則會消耗Credits。
蒐集用量統計的原則
長時間監控下列使用情況(至少兩週以上,一個月為佳)
vCPU,memory,network
嘗試分析出用量特徵,例如:
週期性的尖峰使用(每天上班時間的電子信箱系統)
可預測會出現的瞬時流量(短期促銷活動湧入流量)
RightSizing的輔助工具
AmazonCloudWatch
有免費額度可用、超過額度開始收費(收費標準)
透過觀察CPU用量、網路流量、硬碟的I/O調整合適的instance
提供收費的客製化Dashboard,每個Dashboard$USD3/month
AWSComputeOptimizer
本功能免費(官網定價)
自動分析Instance使用量,並且產生建議機種,一鍵切換
AWSTrustedAdvisor
付費加值服務,透過擁有AWS原廠證照的專家進行評估
包含成本優化、安全性、容錯能力、效能和服務限制等五個項目之最佳實務檢查項目和建議
RightSizing的法則
根據用途選擇合適方法
穩定狀態(Steadystate)
完全可預測的用量,可以透過ReservedInstances節省預算
用量不確定、可預測(Variable,butpredictable)
週期性任務為主的應用;適合採取Auto-Scaling
開發、測試、生產(Dev/test/production)
透過標上Tagging方式,以方便管理。
在放假時段可以關閉省錢
暫時(Temporary)
可以參考競標型的AmazonEC2SpotInstance,該計費方式在離峰時段會較On-DemandInstance便宜很多
關閉閒置資源的考量
關掉之前要考慮三件事情
這個Instance是誰擁有、誰在使用的?
關閉Instance後,會造成的潛在影響為何?
事後如果想要重新建回一樣的Instance的難易程度?
考量資源相容性
RightSizing除了可以在相同系列(InstanceFamily)進行切換,亦可以轉換成不同系列的Instance。
關掉之前要考慮三件事情
當轉換成不同InstanceFamily時,需考慮所使用的虛擬化技術(VirtualizationType)、網路連線方式(Network)和支援的平台(Platform)
資料庫
資料庫的儲存(Storage)和執行個體(Instance)互相解耦(Decoupled)
意思是當調整Databaseinstance升規或降規,並不會影響Storage剩餘量。
容量和效能的監視是分開獨立的。
可以針對儲存裝置的硬體種類進行調整
一般用途固態硬碟(GeneralPurposeSSD)或是每秒有較高讀寫次數的固態硬碟(ProvisionedIOPSSSD)
調整之前須注意是否有對應的License
Commercialengines(SQLServer,Oracle)
選擇“BringYourOwnLicense(BYOL)”者要特別注意
總結RightSizing的法則
RightSizing是最有效的省錢方法
搭配AWS輔助工具定期進行資源與效能Review
關掉閒置的instance/配置適當的instance
對每個instance都建立標籤方便監控
專人與我聯絡