《AWS 认证云从业者》阅读学习笔记

云

形如 AWS 的云服务平台指的是通过网络的形式，能够按需使用计算（虚拟服务器）、数据库、储存、应用等各类 IT 资源的服务的总称。

On-Premises

自行引入服务器、网络、软件等进行开发和运维。

Design for Failure

采用基于失败的（Design for Failure）的准则进行设计，最大程度降低故障风险。

• Design for Failure = 单一故障点（Single Point Of Failure）：通过避免仅使用 1 个数据中心、仅使用 1 个实例的构成从而减少单一故障点。
• 使用 AWS 的托管服务来降低可能会由于单一故障点所造成的风险。

组件分离

云遵循了面向服务的体系结构设计原则。系统组件分离得越好，大规模扩容则越容易进行。

• 对系统组件进行解耦
• 使用微服务
• SQS（Simple Queue Service），使用排队链组成非同步且松耦合的架构

具备弹性（伸缩性）

在使用资源方面，云具有很强的弹性，可自由地进行扩容或缩减。

• 定期伸缩：在一定期间内（每天、每月、每季度等）进行周期性伸缩。
• 基于活动的伸缩：在应对特殊情况下（服务上线、大规模优惠活动等），提前进行资源伸缩。
• 自动伸缩：使用监视服务，根据监视项目变化情况（CPU 平均使用率或者网络 I/O 等）进行伸缩。

并行处理

使用负载均衡进行并行处理。并使用伸缩性对高（Scale Out）低（Scale In）负荷情况下进行合理调节。

Scale Up：提升单个服务的性能。易操作。 Scale Out：增加服务数量。具有强鲁棒性。

动态资源近计算端，静态资源近用户端

• 静态资源可使用 CDN 等放置在近用户一侧。
• 需要动态处理的数据等则放在靠近云上计算资源的一侧。

AWS 的责任范围

1. 环境层：AWS 需要考虑各种自然灾害，谨慎选择数据中心设置地点。
2. 物理层：配置保安、防护墙、监控等。
3. 基建层：数据中心的各种建筑、机器和运维相关设备。
4. 数据层：保护用户数据的最关键一层。

虚拟机监控器的安全性管理

Hypervisor，又称虚拟机监控器，是用来创建与运行虚拟机的软件、固件或硬件。这部分是由 AWS 来对安全性负责。

管理面板

管理面板的保护为用户全责。同时要注意以下一些要点：

• 合理管理 ID 和密码。高权限的账号务必配合 MAF 使用。
• 合理的对密钥对、API key 进行管理，同时仅对 key 分配所需的最低权限。
• 不要生成（超级）管理员级别的 API key。

非托管服务的安全性

类似于 Amazon EC2、Amazon VPC等，被分类在 Infrastructure as a Service（IaaS）下的服务由于用户具有（超级）管理员权限，因此这些服务的安全性由用户自身来进行保障。在此类用户可以操作的部分的运维就和传统方式类似。比如在 Amazon EC2 上运行的软件安全性或者防火墙（安全群组）的设定就是用户全权负责。

托管服务的安全性

AWS 提供 Amazon RDS、 Amazon DynamoDB 等此类托管服务。用户接触不到的部分的安全性由 AWS 负责。服务平台由 AWS 负责，但是平台上托管的数据和服务的安全性则由用户承担。相关访问控制设定和用户认证信息的保护也由用户承担。相比 EC2 这种非托管服务能大大减轻用户的负担。

确保安全性的最佳实践

1. 选择合适的传输协议和加密对传输中的数据进行保护。
2. 合理利用 AWS 提供的加密方法、合乎规范地对储存地数据进行加密。
3. 合理地创建用户并且进行最低限度地权限设定，来对 AWS 认证信息进行保护。
4. 定期进行脆弱性诊断（漏洞检测），确保并改善应用的安全性。

第三方认证

AWS 拥有基于第三方检测的认可报告可通过 AWS Artifact 提供给用户。

区域和可用区

AWS 在全球范围内拥有数量众多的区域（Region）和可用区（AZ，Availability Zone）。

• 一个区域内至少存在 2 个以上的可用区（满足 Design for Failure）。
• 同时一个区域由多个数据中心（地址非公开）组成。
• 在地理上可用区之间保持一定的距离，避免受到同一个灾害的影响。
• 区域之间由高速私有光纤相连。
• 同时使用多个可用区时，可大大提高服务的鲁棒性和可用性。
• 在安全性和规范性方面，数据中心受到第三方监察机构的监管。

虽然选择区域时无需申请，但同时也需要注意：

• 所保存的用户数据和系统要符合当地法律法规。
• 距离用户足够近。
• 提供的服务能够满足需求。
• 成本是否合适（根据所选区域收费可能不同）。

边缘网络站点

在没有可用区的一些国家和地区，也会在人口密度高的城市布置边缘网络站点。

主要有以下 2 个目的：

• 用来实现低延迟的 DNS（Amazon Route 53）处理。
• 实现低延迟的内容分发（Amazon CloudFront）。

这些边缘网络的服务（Amazon Route 53、Amazon CloudFront）受到 AWS Shield 的保护。

卷类型

1. 通用型 SSD：最大 16,000 IOPS（每秒的读写次数）。
2. 预置 IOPS SSD：最大 64,000 IOPS。
3. 吞吐量优化型 HDD：不需要 SSD 般的高性能。
4. Cold HDD：访问频度更低时候的方案。

卷类型和容量都可以在使用后开始变更调整。

高鲁棒性的快照

EBS 可自动在同一个可用区内的多个服务器间进行自动复制，如果一个可用区完全停止服务的话那么该 EBS 也无法使用。 因此可以一般搭配 S3 和 EBS 快照功能来保证储存稳定性。S3 可以在多个可用区内进行自动备份，确保鲁棒性高达 11 个 9（99.999999999 %），从而达到高鲁棒性。

卷加密

如果对 EBS 进行加密的话，那 EBS 快照也自然会被加密。由于 EC2 的数据会自动进行加密，因此用户无需额外操作即可保证数据是已经加密的。

永久储存

实例存储会由于实例停止运行而被删除（内存），而 EBS 可理解为外置硬盘（外存）。

S3 的安全性

可设置下列三种权限：

1. 访问控制列表 (ACL)
2. 存储桶策略
3. IAM 策略

ACL 可对桶进行设置，也可以对单个文件进行设置。ACL 拥有下述几种权限控制： 来自于其他账号对于文件的一览、读、写权限。或者是来自任意的对于于文件的一览、读、写权限。

存储桶策略可比 ACL 设置得更为详细，如只允许来自于特定 IP 的特定文件夹的访问权限等。

对于 S3 的访问权限同样可以通过设置 IAM 策略来完成（如在 EC2 中生成的 HTML 文件直接写入 S3 的 Python 程序用）。 在使用 IAM 策略中，虽然能够通过把 IAM 用户的认证信息直接设定在 EC2 上，但如此一来认证信息的管理就需要用户自己来负责，不能算作非常安全的办法。 正确的做法是将该 EC2 设定成 IAM 用户即可。

数据通信和储存时的加密

可以直接通过 HTTP/HTTPS 对 S3 中储存的数据进行访问。

在对储存的数据进行加密时可选择下面几种办法：

1. 使用 S3 的 Key 进行服务端加密；
2. 利用 KMS 进行客户端或者是服务端的加密；
3. 使用用户自己的 Key 进行客户端或者是服务端的加密；

S3 的收费

主要有：1. 按存储量收费；2. 按访问量收费；3. 数据传输时的收费。

EFS（Elastic File System）

可挂载在多个 EC2 实例上的共享型文件存储服务。

Storage Gateway

可无缝连接 On-Premises 应用和 AWS 存储服务的网关服务。

Snowball

使用物理介质进行 TB 级大容量数据传输的服务。主要是将 On-Premises 中的数据进行转移到 AWS 时使用。EB 级的传输时则可使用 Snowmobile。

子网

• 在选择的可用区内可搭建子网。
• 子网的私有 IP 地址和 VPC 一样，由 CIDR （和所属 VPC 地址）进行可用范围定义，且同一 VPC 内地址是唯一的。
• 子网根据功能可分为公开子网（外部互联网可访问）和私有子网（不与外部网络有直接接触，可借公开子网实现资源交换）。

网关（Internet Gateway）

连接互联网和 VPC 的网关，1 个 VPC 只可设置 1 个网关。由于网关本身可由水平 Scaling 来保证高可用性，因此不会成为系统的单一故障点。

路由表

路由表与子网存在关联，并且定义子网内的资源可往何处连接。

安全组

• 是一种对往 实例 进行传输的流量进行控制的虚拟防火墙。
• 在 VPC 下建立安全组时，初始会被默认设定为 拒绝 一切输入流量，因此需要自行设定许可列表（白名单）。
• 指定发送方时，可设定 CIDR 或者是其他安全组的 ID（来快速设置）。

访问控制列表 (ACL)

（注：注意和上述安全组进行对比。）

• 是一种对往 子网 进行传输的流量进行控制的虚拟防火墙。
• 初始会被默认设定为 允许 一切输入流量，因此需要自行设定拒绝列表（黑名单）。
• 如无特殊必要，一般不需要设定。

通过设置使外部可直接访问到 EC2 实例

• 将网关接入 VPC；
• 将列有通向网关路径的路由表关联上子网；
• 在子网中启动 EC2；
• 设置 EC2 的公开 IP 地址为有效（或者将公开 IP 地址进行固定的 Elastic IP 接入其中）。

搭建混合网络

可用 VPN 把 VPC 和 On-Premises 对接。或者是使用 AWS Direct Connect 专有线路进行对接。 其他还有使用 VPC Paring（热点共享）进行跨区域、跨账号的多个 VPC 连接。 可构建大规模网络的 AWS Transit Gateway、基于客户端的 AWS Client VPN 等。

Amazon Aurora

Amazon Aurora 是一种 与 MySQL 和 PostgreSQL 兼容的关系数据库，专为云而打造。性能和可用性与商用数据库相当，成本只有其 1/10。

• 有容错能力并且可以自我修复的分布式存储系统。
• 可访问备用数据库（等同于将备用数据库当主数据库来用）。
• 支持最多 15 个低延迟读取副本。
• 速度最高可以达到标准 MySQL 数据库的五倍、标准 PostgreSQL 数据库的三倍。
• 可自动根据需要扩容。

DMS（Datebase Migration Service）

AWS Database Migration Service 可帮助您快速并安全地将数据库迁移至 AWS。

• 源数据库在迁移过程中可继续正常运行，从而最大程度地减少依赖该数据库的应用程序的停机时间。
• 支持同构迁移（例如从 Oracle 迁移至 Oracle），以及不同数据库平台之间的异构迁移（例如从 Oracle 或 Microsoft SQL Server 迁移至 Amazon Aurora）。

DynamoDB 和 RDS 的区别

• 关系型数据库适合需要记录 Transaction 的情况（预约系统等）。可纵向扩容（提升单个数据库的存储量）。
• 需要大量数据更新或者读取，但对数据整合要求没那么严时适合用 NoSQL 数据库。可水平扩容（多加几个数据库）。
• 关系型数据库为表格型数据库。对于每个记录该有的字段（列）是一定会有，任意列都可以搜索，且列的属性被严格定义。
• NoSQL 数据库存储的是 Item（可理解为 JSON 对象）。主键是一定要有，搜索时也仅可搜索主键，其他字段有没有都无所谓。

Amazon Redshift

速度最快且使用最广泛的云数据仓库。适合大规模数据分析用。

Amazon ElasticCache

Amazon ElastiCache 是一种与 Redis 或 Memcached 兼容的完全托管型内存中数据存储。支持实时应用程序，提供亚毫秒级延迟。 是缓存、会话存储、游戏、地理空间服务、实时分析和队列等实时使用案例的常见选择。

Amazon Neptune

专为云构建的快速可靠的图形数据库。 Amazon Neptune 的核心是专门构建的高性能图形数据库引擎，它进行了优化以存储数十亿个关系并将图形查询延迟降低到毫秒级。 适合推荐系统、欺诈检测、知识图谱、药物开发和网络安全。

CloudTrail

AWS CloudTrail 是一项支持对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核的服务。 借助 CloudTrail，您可以记录日志、持续监控并保留与整个 AWS 基础设施中的操作相关的账户活动。

类似服务还有 AWS Config，可以记录资源的变更履历（如 VPC 的修改记录等）。

CloudFormation

AWS CloudFormation 通过将基础设施视为代码，为您提供一种简单的方式，为一系列相关 AWS 资源和第三方资源建模，快速而又一致地对这些资源进行预置并在它们的整个生命周期内对其进行管理。 可将整个 AWS 的各项配置记录为 JSON 或者 YAML 文件，便于环境的快速整体重构。

Elastic Beanstalk

AWS Elastic Beanstalk 是一项易于使用的服务，用于在熟悉的服务器（例如 Apache 、Nginx、Passenger 和 IIS ）上部署和扩展使用 Java、.NET、PHP、Node.js、Python、Ruby、GO 和 Docker 开发的 Web 应用程序和服务。 只需上传代码，Elastic Beanstalk 即可自动处理包括容量预配置、负载均衡、自动扩展和应用程序运行状况监控在内的部署工作。