什麼是雲服務?

  • AWS是一種公有雲服務
  • 大型企業一旦採用公有雲,幾乎都是混合雲
  • 混合雲定義:The cloud infrastructure is a composite of two or more distinct cloud infrastructures (Private, Community, or Public) that remain unique entities, but are bound together by standardized or proprietary technology that enables data and application portability

雲端服務基本模型

地端ICT產品與公雲產品比較

採AWS的DMZ架構設計

企業採用公雲後的防護邊界

公有雲架構介紹

AWS Shared responsibility model

“Security OF the Cloud” - AWS is responsible for protecting the infrastructure that runs all of the services offered in the AWS Cloud.

“Security IN the Cloud” - Customer responsibility will be determined by the AWS Cloud services that a customer selects.
On-Premises Security Model

AWS Security Model for IaaS

AWS Security Model for PaaS

AWS Security Model for SaaS

AWS 與使用者的安全責任

AWS Global Infrastructure

Region vs Availability zones

AWS Availability Zones

Edge Location (Cloudfront)

公有雲供應商的合規計劃

CHT提供多路由、多接口連網上雲

AWS如何管理使用者

Organization vs Link account

帳戶階層分組:您可以將帳戶分組為組織單位 (OU),並將不同的存取政策連接到每個 OU ,滿足預算、安全或合規需求

AWS service control policies (SCP)

How Secure AWS Account

AWS account

IAM(Identity and Access Management) user

AWS credentials

Secure HTTPS access points
  • HTTP or HTTPS using SSL/TLS access
  • VPC allows VPN access as well
  • Redundant connection to more than one communication service at each Internet-facing edge
Security logs

AWS Trusted Advisor security checks

原生就有備援及HA設計強制的安全管理政策

  • IAM 控制使用權限與資源、VPC 保護底層架構、KMS 執行加密、AWS Shield 與 WAF 阻擋 DDoS 攻擊。
  • AWS Config 結合 CloudWatch 與 CloudTrail 執行監控與示警。
  • AWS 另有一些工具協助自動化 (e.g.SNS、Lambda)

什麼是 AWS VPC?

  • Virtual Private Cloud,是客戶的 Amazon Web Services (AWS) 雲端邏輯隔離部分
  • 預設情況下,客戶的 VPC 無法存取網際網路,也無法從網際網路存取執行個體
    • 客戶可完全掌控虛擬網路環境
    • 經過驗證且易於理解的網路概念:
      • 客戶可自定義 IP 範圍
      • 存取控制清單(ACL/Security Group)
      • 子網路
      • 路由表
      • 網路閘道
  • 充滿靈活性以及豐富的 Security Policy
VPC As Policy
  • VPC 可以達到同客戶地端隔離各環境 (開發/測試/Production) 的效果
  • 客戶更可以在不想使用的情況下,隨時停止某一 VPC 環境 (例如測試),有效控制成本
VPC 適用場景(一)

執行單層且公開的 Web 應用程式 (例如部落格或簡單網站)

計費模式
  • Internet to VPC, Free
  • VPC to Internet, Charging by GB/Day、GB/Week、GB/Month、TB/Month
VPC 適用場景(二)

公開的 Web 應用程式 + 不可公開存取的後端伺服器

  • 私有子網路中的執行個體若須將流量傳出網路,可透過位在公有子網路中的 NAT 閘道來存取網際網路
  • 資料庫伺服器可使用 NAT 閘道連線到網際網路以取得軟體更新,但網際網路則無法建立與資料庫伺服器的連線

計費模式
  • Internet to VPC, Free
  • VPC to Internet, Charging by GB/Day、GB/Week、GB/Month、TB/Month
  • Data Processed per NAT Gateway, Charging by GB/Day、GB/Week、GB/Month、TB/Month
VPC 適用場景(三)

公開的 Web 應用程式 + 不可公開存取的後端伺服器 + 後端伺服器連回客戶網路

  • 在公有子網路中使用可擴展的 Web 前端來執行多層應用程式,並將資料存放在私有子網路中,而該子網路會透過 IPsec AWS Site-to-Site VPN 連接連線至您的網路

計費模式
  • Internet to VPC, Free
  • VPC to Internet, Charging by GB/Day、GB/Week、GB/Month、TB/Month
  • VPN Connection Usage, Charging by Utilized/Month、Hours/Day、Hours/Week、Hours/Month
VPC 適用場景(四)

希望使用 Amazon 的基礎設施將客戶的網路擴展至雲端,且無須向網際網路公開

計費模式
  • VPN Connection Usage, Charging by Utilized/Month、Hours/Day、Hours/Week、Hours/Month

AWS Direct Connection

  • 客戶可透過 Direct Connection 與 AWS 建立私有連線,將 AWS 與資料中心、辦公室或主機託管環境互相連接,達到降低網路成本、提高頻寬輸送量,並提供一個比用網際網路連接 AWS 更為安全及穩定的網路體驗
CHT Advantages in Direct Connection
  • 整合中華 IDC 及國際骨幹,提供客戶接取全球雲端服務
  • 多類型線路,多點,多路由,分散備援,高品質直連接取服務
Direct Connection Type
接取方式
  • Dedicated Connection
  • 專用連線是單一客戶專用的 1 G 或 10 G 實體乙太網路連接埠,客戶可以透過主控台、CLI 或 API 直接向 AWS 訂購專用連線

  • Hosted Connection
  • 提供多種容量,從 50M 到最多 10G,CHT 會在 AWS 與多個客戶共用的網路連結佈建每個託管連線,AWS 會確保 CHT 和 AWS 之間網路連結的所有託管連線容量仍足夠,客戶必須透過 AWS 主控台、CLI 或 API 接受之後才能啟用託管連線

AWS ELB 應用

情境一:Classic Load Balancing
  • 自動分散傳入的應用程式流量
  • 隨著應用程式的擴展自動納入新資源
  • 偵測並處理應用程式故障
  • 計費模式
    • 執行小時數及負載平衡器傳輸的資料流量 (GB) 計算,不足一小時按一小時計費
情境二:Application Load Balancing
  • 可以根據請求的內容,將流量路由到不同的目標 (集群)
    • By HTTP 的主機欄位來路由用戶端請求
    • By HTTP 的 URL 路徑路由用戶端請求
    • By Source IP 網段路由用戶端請求
  • 計費模式
  • 執行小時數及負載平衡器傳輸的資料流量 (GB) 計算,不足一小時按一小時計費
  • - LCU 定義是 ALB 處理流量時在各定價方式 (新連線、作用中連線、頻寬、Rule) 消耗的最高資源量

情境三:Network Load Balancing
  • 適用於高流量的應用,可以支持每秒數百萬個請求的負載,也可以處理突然變化的流量模式
  • 低延遲,適用於對延遲敏感的應用程式
  • 保留來源 IP 地址,以便後端查看用戶端的 IP 地址,供應用程式執行進一步的處理
  • 計費模式
    • 執行小時數及每小時使用的負載平衡器容量單位 (LCU) 數計算,不足一小時按一小時計費

- LCU 的定義是 NLB 處理流量時在各定價方式 (新連線、作用中連線、頻寬、Rule) 消耗的最高資源量

什麼是 CDN?

  • 內容傳遞網路 (Content Delivery Network),是指一種透過網際網路互相連接的電腦網路系統,利用最靠近每位使用者的伺服器,更快、更可靠的將音樂、圖片、影片、應用程式及其他檔案傳送給使用者,進而提供高效能、可擴展性及低成本的網路內容傳遞給使用者

AWS CloudFront

  • 是一種全球內容傳遞網路服務,可以安全的以低延遲、高傳輸速度向使用者傳遞數據、視頻、應用程式、API
  • 藉由 CloudFront 將客戶想傳遞的內容儲存於靠近使用者的 Edge Server,讓使用者可以就近訪問
    • 加速 Content 傳遞
    • 降低原本 Serve 的訪問壓力
  • 計費模式
  • Data Transfer、檔案大小、邊緣位置流量分配 (美國、加拿大、歐洲、日本、香港、新加坡…)、SSL 憑證

什麼是 DNS?

  • 連網的所有 Device (電腦、手機、平板…),都是使用數字來找到彼此並互相通訊,這些數字稱為 IP 地址,也就是說當你開啟瀏覽器進入網站時,不需要記住這些冗長的數字進行輸入,而是輸入像 example.com 這樣的網域名稱就可以連接到正確的位置

AWS Route53

  • 全域網域名稱系統 (DNS) 服務
  • 高度可用且可擴展,100% 可用性 SLA
  • 計費模式
    • 託管區域 (域名數量,e.g. emample.com、domain.com)、用戶發起查詢的數量、向 AWS 購買的網域名稱
AWS Route53 適用場景(一)

根據服務健康狀態路由路徑

AWS Route53 適用場景(二)

根據權重路由路徑

AWS Route53 適用場景(三)

根據延遲選擇路由路徑

AWS Route53 適用場景(四)

根據地理位置選擇路由路徑

什麼是 Right Sizing?

  • 目的
    • 預設情況下,客戶的 VPC 無法存取網際網路,也無法從網際網路存取執行個體
  • 原因
    • 多數使用者,在開立 EC2 / RDS 資源後,就變成常態使用,不太會根據使用強況做調整。
    • 用多少算多少 (Pay as you go) 是雲端帶來的好處。多數 IT 人員在開立硬體規格需求時,會因為考慮用量尖峰,而將高估硬體的觀念帶到雲端時代。
  • 優點
    • 投資效益最大化
    • 增加預測使用量與帳單金額的準確性
    • 由於常態審視用量,可使團隊內部在合作公開透明
    • 維持帳務與效能在最佳狀態
  • 使用時機
    • 平時:長時間蒐集使用情況,記錄運算用量(CPU)、記憶體用量(Memory)、資料存取(Storage I/O)、網路流量(Networking)等
    • 定期:定期審閱使用情況是否符合效益。建議每個月至少一次。
  • 作法
    • 使用帳單報表、標籤
    • 替不符合效益的重新選用合適規格
    • 用來輔助 Right Sizing 的工具,搜集用量統計、判斷使用效率

Right Sizing 的作法

  • 透過 AWS 的內建的資源管理功能進行 Right Sizing
  • 對所有的 Instance 都打上標籤 (Tagging),常見標籤如下:

    • 使用者 (User)
    • 應用程式 (Application)
    • 環境 (Environment)
      • 開發環境 Development
      • 測試環境 Testing
      • 上線產品環境 Production

  • 根據案例特性,選擇適合的 Instance Families
    • EC2
      • 一般用途系列 General purpose
      • 運算最佳化系列 Compute optimized
      • 記憶體最佳化系列 Memory optimized
      • 儲存最佳化系列 Storage optimized
      • 輔助運算系列 Accelerated computing
    • RDS
      • 一般用途系列 General Purpose: Standard Performance, Burstable Performance
      • 記憶體最佳化系列 Memory Optimized

    • AWS 將 EC2 和 RDS ,根據眾多用途,劃分成數種 Instance Families
    • 各系列的 Instance 有不同的收費標準,因此在不同應用案例中,應根據實際的使用統計數據,找出最適合、最優惠的方案。如:選擇 C 系列 (Compute),單位CPU運算資源,較其它系列便宜。
    • 同系列、同量級的 Instance,選擇較新款的機種,費用較低。例如:將 c4.8xlarge EC2 轉換成 c4.4xlarge,每個月將節省 $570 美金。
    • 若您的應用服務用量都集中在少部分時段,可採用 Burstable 機種的 EC2 或 RDS。
    • 例:選用 T 系列的機種。在離峰時段,使用很少的運算,則會累積 Credits。而在尖峰時段使用大量運算,則會消耗 Credits。


  • 蒐集用量統計的原則
    • 長時間監控下列使用情況(至少兩週以上,一個月為佳)
      • vCPU, memory, network
    • 嘗試分析出用量特徵,例如:
      • 週期性的尖峰使用(每天上班時間的電子信箱系統)
      • 可預測會出現的瞬時流量(短期促銷活動湧入流量)

Right Sizing 的輔助工具

  • Amazon CloudWatch
    • 有免費額度可用、超過額度開始收費(收費標準)
    • 透過觀察 CPU用量、網路流量、硬碟的 I/O 調整合適的 instance
    • 提供收費的客製化 Dashboard,每個 Dashboard $USD 3/month
  • AWS Trusted Advisor
    • 付費加值服務,透過擁有 AWS 原廠證照的專家進行評估
    • 包含成本優化、安全性、容錯能力、效能和服務限制等五個項目之最佳實務檢查項目和建議

Right Sizing 的法則

根據用途選擇合適方法
  • 穩定狀態 (Steady state)
  • 完全可預測的用量,可以透過 Reserved Instances 節省預算

  • 用量不確定、可預測 (Variable, but predictable)
  • 週期性任務為主的應用;適合採取 Auto-Scaling

  • 開發、測試、生產 (Dev/test/production)
  • 透過標上 Tagging 方式,以方便管理。在放假時段可以關閉省錢

  • 暫時 (Temporary)
  • 可以參考競標型的 Amazon EC2 Spot Instance,該計費方式在離峰時段會較 On-Demand Instance便宜很多

關閉閒置資源的考量
  • 關掉之前要考慮三件事情
    • 這個 Instance 是誰擁有、誰在使用的?
    • 關閉 Instance 後,會造成的潛在影響為何?
    • 事後如果想要重新建回一樣的 Instance 的難易程度?
考量資源相容性
  • Right Sizing 除了可以在相同系列 (Instance Family) 進行切換,亦可以轉換成不同系列的 Instance。關掉之前要考慮三件事情
  • 當轉換成不同 Instance Family 時,需考慮所使用的虛擬化技術 (Virtualization Type)、網路連線方式 (Network) 和 支援的平台 (Platform)
資料庫
  • 資料庫的儲存(Storage)和執行個體(Instance)互相解耦 (Decoupled)
    • 意思是當調整 Database instance 升規或降規,並不會影響 Storage 剩餘量。容量和效能的監視是分開獨立的。
  • 可以針對儲存裝置的硬體種類進行調整
    • 一般用途固態硬碟 (General Purpose SSD) 或是每秒有較高讀寫次數的固態硬碟 (Provisioned IOPS SSD)
  • 調整之前須注意是否有對應的 License
    • Commercial engines (SQL Server, Oracle)
    • 選擇“Bring Your Own License (BYOL)”者要特別注意
總結 Right Sizing 的法則
  • Right Sizing 是最有效的省錢方法
  • 搭配 AWS 輔助工具定期進行資源與效能 Review
  • 關掉閒置的 instance / 配置適當的 instance
  • 對每個 instance 都建立標籤方便監控