书看了一遍,感觉考试难度确实不高,相当于 AWS 的入门介绍,也是各种 AWS 中最基础(最没用)的考试,因此可能即使这个证考出来也不会对自己的职业生涯有很大帮助。
不过混迹在日本互联网,很多中小型企业也都有在用 AWS 来开展他们的服务,因此对 AWS 的各种专业名词有所了解也不会有什么负面影响。

AWS 認定 クラウドプラクティショナー

此外,通过这次阅读,也知道了不少日文互联网行业的专业名词和一些相关的云概念,还是要告诉自己相信所花的这些时间是值得的吧。


2.1 何为云

形如 AWS 的云服务平台指的是通过网络的形式,能够按需使用计算(虚拟服务器)、数据库、储存、应用等各类 IT 资源的服务的总称。

On-Premises

自行引入服务器、网络、软件等进行开发和运维。

2.2 AWS 优点

  1. 从固定资产费用变成动态费用
  2. 规模大、成本可以得到优化
  3. 无需事先对性能问题进行估算
  4. 高速度、高灵活
  5. 无需对数据中心进行运维或者投资
  6. 可在全世界规模下进行快速发布

2.3 云架构设计原理

Design for Failure

采用基于失败的(Design for Failure)的准则进行设计,最大程度降低故障风险。

  • Design for Failure = 单一故障点(Single Point Of Failure):通过避免仅使用 1 个数据中心、仅使用 1 个实例的构成从而减少单一故障点。
  • 使用 AWS 的托管服务来降低可能会由于单一故障点所造成的风险。

组件分离

云遵循了面向服务的体系结构设计原则。系统组件分离得越好,大规模扩容则越容易进行。

  • 对系统组件进行解耦
  • 使用微服务
  • SQS(Simple Queue Service),使用排队链组成非同步且松耦合的架构

具备弹性(伸缩性)

在使用资源方面,云具有很强的弹性,可自由地进行扩容或缩减。

  • 定期伸缩:在一定期间内(每天、每月、每季度等)进行周期性伸缩。
  • 基于活动的伸缩:在应对特殊情况下(服务上线、大规模优惠活动等),提前进行资源伸缩。
  • 自动伸缩:使用监视服务,根据监视项目变化情况(CPU 平均使用率或者网络 I/O 等)进行伸缩。

并行处理

使用负载均衡进行并行处理。并使用伸缩性对高(Scale Out)低(Scale In)负荷情况下进行合理调节。

Scale Up:提升单个服务的性能。易操作。 Scale Out:增加服务数量。具有强鲁棒性。

动态资源近计算端,静态资源近用户端

  • 静态资源可使用 CDN 等放置在近用户一侧。
  • 需要动态处理的数据等则放在靠近云上计算资源的一侧。

2.4 AWS Well-Architected 框架

  1. 使用上的优越性
  2. 安全性
  3. 可靠性
  4. 运行效率
  5. 成本优化

3.1 AWS 的责任共有模型

AWS 对云本体的安全负责,用户则对云内的数据、服务等的安全负责。用户可使用 AWS 所提供的安全性服务对云内资源进行合理的安全性管理。

3.2 AWS 云的安全性

AWS 安全性主要由以下 4 个优点:

  1. 对数据的保护
  2. 自带对合乎各类基础规范
  3. 节省开销
  4. 可快速扩容

AWS 的责任范围

  1. 环境层:AWS 需要考虑各种自然灾害,谨慎选择数据中心设置地点。
  2. 物理层:配置保安、防护墙、监控等。
  3. 基建层:数据中心的各种建筑、机器和运维相关设备。
  4. 数据层:保护用户数据的最关键一层。

虚拟机监控器的安全性管理

Hypervisor,又称虚拟机监控器,是用来创建与运行虚拟机的软件、固件或硬件。这部分是由 AWS 来对安全性负责。

管理面板

管理面板的保护为用户全责。同时要注意以下一些要点:

  • 合理管理 ID 和密码。高权限的账号务必配合 MAF 使用。
  • 合理的对密钥对、API key 进行管理,同时仅对 key 分配所需的最低权限。
  • 不要生成(超级)管理员级别的 API key。

非托管服务的安全性

类似于 Amazon EC2、Amazon VPC等,被分类在 Infrastructure as a Service(IaaS)下的服务由于用户具有(超级)管理员权限,因此这些服务的安全性由用户自身来进行保障。在此类用户可以操作的部分的运维就和传统方式类似。比如在 Amazon EC2 上运行的软件安全性或者防火墙(安全群组)的设定就是用户全权负责。

托管服务的安全性

AWS 提供 Amazon RDS、 Amazon DynamoDB 等此类托管服务。用户接触不到的部分的安全性由 AWS 负责。服务平台由 AWS 负责,但是平台上托管的数据和服务的安全性则由用户承担。相关访问控制设定和用户认证信息的保护也由用户承担。相比 EC2 这种非托管服务能大大减轻用户的负担。

确保安全性的最佳实践

  1. 选择合适的传输协议和加密对传输中的数据进行保护。
  2. 合理利用 AWS 提供的加密方法、合乎规范地对储存地数据进行加密。
  3. 合理地创建用户并且进行最低限度地权限设定,来对 AWS 认证信息进行保护。
  4. 定期进行脆弱性诊断(漏洞检测),确保并改善应用的安全性。

第三方认证

AWS 拥有基于第三方检测的认可报告可通过 AWS Artifact 提供给用户。

3.3 IAM

IAM(AWS Identity and Access Management)是对 AWS 的云资源进行访问权限管理的服务。在日常使用中,不应直接使用超级管理员账户进行运维,而应该创建 IAM 组IAM 用户 账号进行日常的各项操作。

  • 各组和用户只分配所需的最低权限即可
  • 如果制定的 IAM 策略存在冲突,则优先适配否决权限
  • IAM 用户最多可生成 2 个 API key(目的是在 key 的更换时不会造成死锁)。
  • 此外,目前并不建议继续使用 API key 进行操作,而建议用 IAM 角色进行访问权限控制管理。

3.4 安全组

安全组为对 1 个以上的实例进行流量控制的虚拟防火墙。和传统的中央集权制的防火墙不同,安全组具有可以在不增加成本的情况下进行个别设置的优点。

3.5 AWS Shield 和 AWS WAF

AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的应用程序。

——AWS Shield 托管式 DDoS 防护

Standard 为免费服务,可以防护一般的 DDos。而收费的 Advanced 还可以依靠 DDoS 响应团队协助进行实施对策,攻击可视化等等。此外,Advanced 用户还可以免费无限制使用 WAF。

AWS WAF 是一种 Web 应用程序防火墙,可帮助保护您的 Web 应用程序或 API 免遭常见 Web 漏洞和机器人程序的攻击,这些漏洞可能会影响可用性、损害安全性或消耗过多的资源。

——AWS WAF – Web 应用程序防火墙

WAF 可以免费使用,但也提供了可以根据网络安全规则进行定制化的收费使用的方式。网络安全规则需要用户自行设定。CloudFront(CDN)、Application Load Balancer、API Gateway 等服务可以使用网络访问控制列表(Web ACL)。

3.6 Inspector

Amazon Inspector 是一项自动安全评估服务,有助于提高在 AWS 上部署的应用程序的安全性与合规性。Amazon Inspector 会自动评估应用程序的风险、漏洞或者相较于最佳实践的偏差。执行评估后,Amazon Inspector 会生成按严重程度确定优先级的安全检测详细列表。这些评估结果可直接接受审核,也可作为通过 Amazon Inspector 控制台或 API 提供的详细评估报告的一部分接受审核。

——Amazon Inspector

  • Amazon Inspector 是一项自动进行漏洞检测的服务。
  • 可用在发布于 EC2 上的应用。
  • 依赖包由 AWS 进行更新。
  • 可自行设定自动化运行规则。
  • AWS 合规性报告可从 AWS Artifact 获得。
  • AWS Key Management Service (KMS) 可创建和管理加密密钥,并控制其在各种 AWS 服务和应用程序中的使用。

4.2 全球架构

区域和可用区

AWS 在全球范围内拥有数量众多的区域(Region)和可用区(AZ,Availability Zone)

  • 一个区域内至少存在 2 个以上的可用区(满足 Design for Failure)。
  • 同时一个区域由多个数据中心(地址非公开)组成。
  • 在地理上可用区之间保持一定的距离,避免受到同一个灾害的影响。
  • 区域之间由高速私有光纤相连。
  • 同时使用多个可用区时,可大大提高服务的鲁棒性和可用性。
  • 在安全性和规范性方面,数据中心受到第三方监察机构的监管。

虽然选择区域时无需申请,但同时也需要注意:

  • 所保存的用户数据和系统要符合当地法律法规。
  • 距离用户足够近。
  • 提供的服务能够满足需求。
  • 成本是否合适(根据所选区域收费可能不同)。

边缘网络站点

在没有可用区的一些国家和地区,也会在人口密度高的城市布置边缘网络站点。

主要有以下 2 个目的:

  • 用来实现低延迟的 DNS(Amazon Route 53)处理。
  • 实现低延迟的内容分发(Amazon CloudFront)。

这些边缘网络的服务(Amazon Route 53、Amazon CloudFront)受到 AWS Shield 的保护。

5.1 EC2 (Elastic Compute Cloud)

  • 仅在需要时启用,按照所用时间(秒单位)进行实际收费。
  • 不需要提前预测所需 EC2 实例数目和性能规格。
  • 可在实际运维后依然灵活地对性能进行调控。
  • 向外部传输数据时需要支付费用,输入时则不收费。跨可用区的数据输出也同样收费。
  • 可在全世界范围启用。
  • 可在 AMI(Amazon Machine Image) 中启动复数的相同架构的 EC2 实例。
  • 发送至 EC2 的流量由安全组进行控制。
  • 具有 root 权限、Administrator 权限的运维管理员可凭借 Key pair 来安全登陆。
  • 根据实际使用场景灵活使用付费方案(On-demand、Reasonable、SpotLight、Dedicated Hosts、硬件专用实例、Saving Plans等)可合理控制成本。

5.2 ELB(Elastic Load Balancer)

  • 可以使用 ELB 来提高 EC2 的可用性
  • 对 HTTP/HTTPS 协议选用 Application Load Balancer,TCP 等以外的使用 Network Load Balancer。
  • ELB 具有 Health Check 功能,只对正常运行的实例穿法接收到的流量请求。
  • 不仅仅只是对外,对内也可以加入 ELB,全方位提高系统的可用性。
  • ELB 本身就具有高可用性(内部可启动多个 ELB 节点,进行负载分散),因此不会成为单一故障点。
  • 可在多个可用区执行负载分散,使得各个资源的负载得到均衡分配。

5.3 Auto Scaling

  • Auto Scaling 可根据需要自动增减 EC2 的实例数量。
  • Auto Scaling 具有高可用性、高鲁棒性、能优化成本等优点。
  • 相对于垂直扩容(提升单个机器的性能但是一般需要中断服务重启),水平扩容(加机器)更安全更实用。
  • Auto Scaling 需要设置启动设定(启动什么)、Auto Scaling 组(在哪里)和扩容决策(什么时候)。
  • 可使用 EC2 的用户数据来自动执行命令完成应用发布等自动化处理。
  • EC2 的基础信息(IP、实例 ID 等)可从 metadata 中获取。
  • 使用 ELB、CloudWatch、Auto Scaling 等 3 个服务可完成自动扩容、应用发布等架构。

5.4 Lambda

  • 不需要搭建环境和学习新的编程语言即可进行快速开发,解放生产力,可让用户专注于开发。
  • 通过分配内存,可使其他资源的性能也得到分配。
  • 可根据流量大小进行水平扩容,并行完成请求处理。
  • 不需要设置 Auto Scaling。
  • 按照所用时间(毫秒单位)进行收费,不过根据所选方案有一定的免费额度,同时不使用时也不收费。
  • 可用于简单的 AWS 服务的自动化处理,或者是设置启动条件,根据事件自动执行 Lambda (中的函数或脚本)。

5.5 其他服务

  • ECS(Elastic Container Service):进行 Container 管理的服务。
  • Lightsail:虚拟私有服务器。
  • Batch:批处理运行环境服务。

6.1 EBS(Elastic Block Store)

EBS,易于使用、适用于任何规模的高性能数据块存储。

  • 和 EC2 一起搭配使用。
  • 可自动在可用区内进行复制。
  • 可随时变更卷类型,容量方案。
  • 具有高鲁棒性的 EBS 快照。
  • 储存内容加密。
  • 永久储存。

卷类型

  1. 通用型 SSD:最大 16,000 IOPS(每秒的读写次数)。
  2. 预置 IOPS SSD:最大 64,000 IOPS。
  3. 吞吐量优化型 HDD:不需要 SSD 般的高性能。
  4. Cold HDD:访问频度更低时候的方案。

卷类型和容量都可以在使用后开始变更调整。

高鲁棒性的快照

EBS 可自动在同一个可用区内的多个服务器间进行自动复制,如果一个可用区完全停止服务的话那么该 EBS 也无法使用。 因此可以一般搭配 S3 和 EBS 快照功能来保证储存稳定性。S3 可以在多个可用区内进行自动备份,确保鲁棒性高达 11 个 9(99.999999999 %),从而达到高鲁棒性。

卷加密

如果对 EBS 进行加密的话,那 EBS 快照也自然会被加密。由于 EC2 的数据会自动进行加密,因此用户无需额外操作即可保证数据是已经加密的。

永久储存

实例存储会由于实例停止运行而被删除(内存),而 EBS 可理解为外置硬盘(外存)。

6.2 S3(Amazon Simple Storage Service)

S3 具有以下特性:

  1. 无限容量(单文件上限 5 TB)
  2. 高鲁棒性(每个文件会在 1 个区域的所有可用区进行自动复制,保证单可用区不可用会造成影响)
  3. 可通过互联网访问(也可设置权限)

S3 的安全性

可设置下列三种权限:

  1. 访问控制列表 (ACL)
  2. 存储桶策略
  3. IAM 策略

ACL 可对桶进行设置,也可以对单个文件进行设置。ACL 拥有下述几种权限控制: 来自于其他账号对于文件的一览、读、写权限。或者是来自任意的对于于文件的一览、读、写权限。

存储桶策略可比 ACL 设置得更为详细,如只允许来自于特定 IP 的特定文件夹的访问权限等。

对于 S3 的访问权限同样可以通过设置 IAM 策略来完成(如在 EC2 中生成的 HTML 文件直接写入 S3 的 Python 程序用)。 在使用 IAM 策略中,虽然能够通过把 IAM 用户的认证信息直接设定在 EC2 上,但如此一来认证信息的管理就需要用户自己来负责,不能算作非常安全的办法。 正确的做法是将该 EC2 设定成 IAM 用户即可。

数据通信和储存时的加密

可以直接通过 HTTP/HTTPS 对 S3 中储存的数据进行访问。

在对储存的数据进行加密时可选择下面几种办法:

  1. 使用 S3 的 Key 进行服务端加密;
  2. 利用 KMS 进行客户端或者是服务端的加密;
  3. 使用用户自己的 Key 进行客户端或者是服务端的加密;

S3 的收费

主要有:1. 按存储量收费;2. 按访问量收费;3. 数据传输时的收费。

1. 按存储量收费

  • S3 标准 - 适合任何数据类型的通用型存储,通常用于经常访问的数据(需要经常访问的静态资源等);
  • S3 标准 – 不频繁访问 - 支持毫秒级访问的长期保存但不经常访问的数据(备份数据);
  • S3 单区 – 不频繁访问 - 支持毫秒级访问的可重新创建的不经常访问的数据(备份数据的备份);
  • S3 Glacier - 适用于长期备份和存档(由于规定需要保存到一定年份的数据);
  • S3 Glacier Deep Archive - 适用于长期保存每年访问一两次且可在 12 小时内恢复的数据;
  • S3 智能分层 - Life Cycle Policy - 适用于访问模式未知或不断变化的数据,可自动成本节省;

2. 按访问量收费

数据上下传时候的收费,根据不同的存储方案价格也不一样。

3. 数据传输时的收费

仅在往区外传输数据时收费。如果是在同一个区内(如东京区内)的数据传输即使是不同账号间也不收费。

6.3 其他的存储服务

EFS(Elastic File System)

可挂载在多个 EC2 实例上的共享型文件存储服务。

Storage Gateway

可无缝连接 On-Premises 应用和 AWS 存储服务的网关服务。

Snowball

使用物理介质进行 TB 级大容量数据传输的服务。主要是将 On-Premises 中的数据进行转移到 AWS 时使用。EB 级的传输时则可使用 Snowmobile。

7.1 VPC(Virtual Private Cloud)

使用 VPC 可在 AWS 云中搭建用户具有控制权的私有网络环境。 可在一个区内搭建跨可用区的 VPC,并且通过 CIDR(Classless Inter-Domain Routing)来对 VPC 的私有 IP 地址范围进行自定义。

子网

  • 在选择的可用区内可搭建子网。
  • 子网的私有 IP 地址和 VPC 一样,由 CIDR (和所属 VPC 地址)进行可用范围定义,且同一 VPC 内地址是唯一的。
  • 子网根据功能可分为公开子网(外部互联网可访问)和私有子网(不与外部网络有直接接触,可借公开子网实现资源交换)。

网关(Internet Gateway)

连接互联网和 VPC 的网关,1 个 VPC 只可设置 1 个网关。由于网关本身可由水平 Scaling 来保证高可用性,因此不会成为系统的单一故障点。

路由表

路由表与子网存在关联,并且定义子网内的资源可往何处连接。

安全组

  • 是一种对往 实例 进行传输的流量进行控制的虚拟防火墙。
  • 在 VPC 下建立安全组时,初始会被默认设定为 拒绝 一切输入流量,因此需要自行设定许可列表(白名单)。
  • 指定发送方时,可设定 CIDR 或者是其他安全组的 ID(来快速设置)。

访问控制列表 (ACL)

(注:注意和上述安全组进行对比。)

  • 是一种对往 子网 进行传输的流量进行控制的虚拟防火墙。
  • 初始会被默认设定为 允许 一切输入流量,因此需要自行设定拒绝列表(黑名单)。
  • 如无特殊必要,一般不需要设定。

通过设置使外部可直接访问到 EC2 实例

  • 将网关接入 VPC;
  • 将列有通向网关路径的路由表关联上子网;
  • 在子网中启动 EC2;
  • 设置 EC2 的公开 IP 地址为有效(或者将公开 IP 地址进行固定的 Elastic IP 接入其中)。

搭建混合网络

可用 VPN 把 VPC 和 On-Premises 对接。或者是使用 AWS Direct Connect 专有线路进行对接。 其他还有使用 VPC Paring(热点共享)进行跨区域、跨账号的多个 VPC 连接。 可构建大规模网络的 AWS Transit Gateway、基于客户端的 AWS Client VPN 等。

7.2 CloudFront(CDN)

  • CloudFront 是使用边缘网络来进行资源分发的 CDN 服务。
  • 通过分布在全世界的众多边缘网络的缓存,从距离用户最近的地方完成低延迟的资源分发。
  • CloudFront 提供最先进的安全功能,包括领域级加密和 HTTPS 支持,与AWS Shield、AWS Web 应用防火墙和 Route 53 无缝集成,以防止多种类型的攻击,包括网络和应用层 DDoS 攻击。

7.3 Route 53

Amazon Route 53 是一种可用性高、可扩展性强的云域名系统 (DNS) Web 服务。 它的目的是为开发人员和企业提供一种非常可靠且经济高效的方式,把名称(如 www.example.com)转换为计算机用于互相连接的数字 IP 地址(如 192.0.2.1),从而将最终用户路由到 Internet 应用程序。 配合 Heath Check 和 Zone Apex 的高自由度设定可使其具有非常高的可用性。

各种路由功能:

  • 简单路由:解析后返回单一的 IP 地址。
  • 低延迟路由 / Geo DNS:对于单一域名拥有多个 DNS 记录,返回物理距离近、延迟低的地址。
  • 加权流量路:对于单一域名拥有多个 DNS 记录,根据占比进行返回。
  • 复数值回应:随机选一条进行返回。

8.1 RDS

Amazon Relational Database Service (Amazon RDS) 可通过简单的设置就能使用下面 6 种关系型数据库:

  • Amazon Aurora
  • MySQL
  • PostgreSQL
  • MariaDB
  • Oracle
  • Microsoft SQL Server

自己搭建数据库时,在正常使用之外,还需要考虑搭建数据库服务器时的一些硬件类问题(电源、空调、网络设置、放置架等)。 而在 EC2 中搭建数据库的话,也要考虑数据库版本升级、数据备份等问题。而直接使用 RDS 的话只需要考虑如何和应用进行最优化对接就可以了。

使用 RDS 时,用户无需对操作系统和数据库引擎进行维护,可全权交给 AWS 处理。 同时也会自动进行数据库的备份(默认 7 天,最大 可设置 35 天,超出 35 天范围则需手动制作快照),在自动备份期间内可快速回退到某个时间带。 只要勾选在多个 AZ(可用区) 中配置后,将会自动在多个可用区内进行数据库的复制。 当主数据库出现异常后会自动将备用数据库(副本)升级成主数据库,保证高可用性。

Amazon Aurora

Amazon Aurora 是一种 与 MySQL 和 PostgreSQL 兼容的关系数据库,专为云而打造。性能和可用性与商用数据库相当,成本只有其 1/10。

  • 有容错能力并且可以自我修复的分布式存储系统。
  • 可访问备用数据库(等同于将备用数据库当主数据库来用)。
  • 支持最多 15 个低延迟读取副本。
  • 速度最高可以达到标准 MySQL 数据库的五倍、标准 PostgreSQL 数据库的三倍。
  • 可自动根据需要扩容。

DMS(Datebase Migration Service)

AWS Database Migration Service 可帮助您快速并安全地将数据库迁移至 AWS。

  • 源数据库在迁移过程中可继续正常运行,从而最大程度地减少依赖该数据库的应用程序的停机时间。
  • 支持同构迁移(例如从 Oracle 迁移至 Oracle),以及不同数据库平台之间的异构迁移(例如从 Oracle 或 Microsoft SQL Server 迁移至 Amazon Aurora)。

8.2 DynamoDB

AWS 的高性能托管型 NoSQL 数据库。使用简单,仅需设定表名和主键即可立即使用。 在使用时仅需选择区域(Region)即可,数据会自动在各个可用区内同步保存。

DynamoDB 和 RDS 的区别

  • 关系型数据库适合需要记录 Transaction 的情况(预约系统等)。可纵向扩容(提升单个数据库的存储量)。
  • 需要大量数据更新或者读取,但对数据整合要求没那么严时适合用 NoSQL 数据库。可水平扩容(多加几个数据库)。
  • 关系型数据库为表格型数据库。对于每个记录该有的字段(列)是一定会有,任意列都可以搜索,且列的属性被严格定义。
  • NoSQL 数据库存储的是 Item(可理解为 JSON 对象)。主键是一定要有,搜索时也仅可搜索主键,其他字段有没有都无所谓。

8.3 其他数据库服务

Amazon Redshift

速度最快且使用最广泛的云数据仓库。适合大规模数据分析用。

Amazon ElasticCache

Amazon ElastiCache 是一种与 Redis 或 Memcached 兼容的完全托管型内存中数据存储。支持实时应用程序,提供亚毫秒级延迟。 是缓存、会话存储、游戏、地理空间服务、实时分析和队列等实时使用案例的常见选择。

Amazon Neptune

专为云构建的快速可靠的图形数据库。 Amazon Neptune 的核心是专门构建的高性能图形数据库引擎,它进行了优化以存储数十亿个关系并将图形查询延迟降低到毫秒级。 适合推荐系统、欺诈检测、知识图谱、药物开发和网络安全。

9.1 CloudWatch

Amazon CloudWatch 是一种面向开发运营工程师、开发人员、站点可靠性工程师 (SRE) 和 IT 经理的监控和可观测性服务。 可对 EC2、RDS、DynamoDB 等各种实例的实时状态和各种信息进行监控。只要启用服务就能开始记录标准 metrics。

CloudWatch 主要有以下几个功能:

  • 标准 metrics 的收集和可视化(CPU 使用情况、I/O 情况等,根据使用的服务有所不同);
  • 支持自定义 metrics 的收集和可视化(在 EC2 中安装 CloudWatch Agent,或者使用 PutMetricData API 进行高度定制);
  • log 收集(同样使用 CloudWatch Agent 导出到 CloudWatch Logs 里);
  • 提供警报(同时可对接发出警报后的自动化处理方式如 EC2 的重设、执行 Auto Scaling、SNS 通知等)。

9.2 Trusted Advisor

Trusted Advisor 可以自动对 AWS 环境进行检查,提出符合最佳实践的建议。

  • 检查是否存在无必要的支出,提出成本最优化建议。
  • 检查所使用的服务和方案是否达到了最佳性能。
  • 检查环境的安全性是否存在问题。
  • 检查故障容许度(Fault Tolerance),环境是否具有良好的抗故障能力。
  • 出于对用户的安全考虑,会对一些服务做出一定的限制,以免用户因为误操作或者不熟悉造成没必要的损失。
  • 对于前述限制,在即将到达所规定限制时,会告知用户。

9.3 其他的管理工具

CloudTrail

AWS CloudTrail 是一项支持对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核的服务。 借助 CloudTrail,您可以记录日志、持续监控并保留与整个 AWS 基础设施中的操作相关的账户活动。

类似服务还有 AWS Config,可以记录资源的变更履历(如 VPC 的修改记录等)。

CloudFormation

AWS CloudFormation 通过将基础设施视为代码,为您提供一种简单的方式,为一系列相关 AWS 资源和第三方资源建模,快速而又一致地对这些资源进行预置并在它们的整个生命周期内对其进行管理。 可将整个 AWS 的各项配置记录为 JSON 或者 YAML 文件,便于环境的快速整体重构。

Elastic Beanstalk

AWS Elastic Beanstalk 是一项易于使用的服务,用于在熟悉的服务器(例如 Apache 、Nginx、Passenger 和 IIS )上部署和扩展使用 Java、.NET、PHP、Node.js、Python、Ruby、GO 和 Docker 开发的 Web 应用程序和服务。 只需上传代码,Elastic Beanstalk 即可自动处理包括容量预配置、负载均衡、自动扩展和应用程序运行状况监控在内的部署工作。

10.1 AWS 的收费模式

将固定支出变成了可变支出,按用量收费,根据所用服务和所处地区收费会有不同。 实时费用、每月支出的详细可在费用仪表盘上确认。

使用 AWS Cost Explorer 可以直观看到、理解和管理随时间变化的 AWS 成本和使用情况,创建自动移成本分析报告进行费用分析。
此外,还可以使用成本分配标签进行 ROI 分析、用 AWS Budgets 进行预算分配。
还能使用 AWS Organizations 进行多账户管理,一次性结算等。

10.4 AWS 的 Support 计划

根据价格不同,可提供不同程度的支持。

  • 默认提供的免费支持
  • 开发人员方案
  • 业务方案
  • 企业方案

以上为本书的主要内容。 接下来可以看下备战 AWS Certification 考试中的考试指南和去找一些真题来确认一下自己的掌握程度了。 考试本身可以选择中文版进行考试,因此考试时间方面应该问题不大(毕竟已经是所有考试里面最简单的一个了)。 争取 5 月份就把它拿下吧,然后去备考已经交了钱了的 Tableau Desktop Specialist。