邁向以客戶為中心的AWS雲端

趙驚人 Allen Chao

精誠資訊/恆逸教育訓練中心-資深講師
技術分類：虛擬化應用

AWS (Amazon Web Services)是由Amazon成立，初期是解決Amazon自身資訊系統和開發環境的問題，希望基礎設施具備高可用性、容量充足、所有服務提供 API、擴展容易。因效果顯著，證明AWS符合Amazon需求，漸漸擴大其規模，並於2006年正式對外提供雲端服務。AWS在2020年連續第十年在Gartner雲端基礎設施即服務魔力象限(Magic Quadrant)中獲評為領導者。在業界前6家廠商中，AWS在這兩個衡量領域都獲得最高分：執行能力和願景完整性。

傳統IT基礎設施必須先付出大量金額採購軟硬體，然後花費許多時間安裝、建置、部署，最後才能開始使用和開發自身所需的應用程式。

AWS的雲端服務可以省去採購、建置、部署的時間，大幅降低初期投資成本，也沒有基礎設施的維護成本，更不用擔心設備汰舊換新。

雲端服務是按用量計費方式，隨時依需求立即獲得服務和資源，透過網際網路存取伺服器、儲存空間、資料庫和各種應用程式服務，這些視為暫時和可支配資源，可隨時變更規格與容量，而不受限於固定和有限IT基礎設施的約束。

雲端運算部署模型分為三種：第一種是將現有應用程式遷移到雲端，也可以在雲端設計和建置新的應用程式，第二種是混合部署，雲端資源會連接到內部部署基礎設施，適用於舊版應用程式或需要特定硬體的環境，或者政府法規要求業務必須在內部部署保留特定記錄，第三種雲端運算部署模型是內部部署，雖然此模型與傳統IT基礎設施非常相似，但它也結合了應用程式管理和虛擬化技術，以提高資源使用率。

AWS全球基礎設施在22個區域(region)，每個區域至少有兩個可用區(availability zone)，基礎設施皆具備高可用性，非常適合執行需要高可用性的工作負載。客戶可以依據連線速度、價格、法令法規來決定使用和部署服務在哪一個區域，選擇需要的AWS全球機房只在彈指之間。

區域是指AWS基礎設施所在的地理位置，AWS考量自然災害或地震帶的風險，在區域中建設多個地理隔離的可用區域，避免各區域同時遭受影響，可用區域之間使用低延遲、高速網路連接。每一個可用區域中又有多棟資料中心，可以避免火災人為災害。

AWS在全球與各國的電信業者合作建立節點(edge location)，提供CloudFront快取服務、Route 53名稱解析服務，透過內容交付網路(CDN)傳輸資料。

AWS服務概觀

透過全球資料中心提供超過175項功能完整的服務，我們先關注四個主要服務領域，分別是運算、儲存、資料庫，以及網路與內容交付。

運算

EC2服務提供伺服器虛擬化功能，搭配AutoScaling功能，可以自動依據設定的條件擴展或縮減執行個體(Instance)，在多個執行個體前端部署Elastic Load Balancing，可在EC2執行個體之間自動分配傳入的應用程式流量。ECS服務是容器運行的平台，包括EKS相容於Kubernetes，Lambda是無伺服器運算服務，它們都是具備高可用性和可調整運算容量。
儲存

S3是無容量限制的儲存服務，具有99.999%可用性和99.999999999%耐用性，資料複寫到三個可用區域：

Amazon EBS是易於使用的高效能區塊儲存(block storage)服務，專為與Amazon EC2搭配使用而設計，能同時用於輸送量和交易密集型工作負載。

Amazon Elastic File System(Amazon EFS)是一種簡單、可擴展、全受管的檔案系統，可隨需擴展到數PB，而不會中斷應用程式，並隨著您新增和移除檔案自動擴展和縮減。它允許數千個EC2執行個體同時使用NFSv4協定存取，輕鬆處理和分析大量資料。
資料庫

Amazon RDS提供多種資料庫引擎類型(針對記憶體、效能或I/O優化)。它提供六種熟悉的資料庫引擎供選擇，包括Amazon Aurora、PostgreSQL、MySQL、MariaDB、Oracle Database及SQL Server。預設會佈建異地同步備份資料庫執行個體，Amazon RDS會同步將資料複製到其他可用區域中的備用執行個體。

Amazon DynamoDB是一種鍵值與文件資料庫，可於任何規模提供個位數毫秒的絕佳效能。DynamoDB是全受管、多區域、多主機的耐用資料庫，內建安全性、備份和還原以及記憶體內快取，以供網際網路規模的應用程式使用。它每天可以處理超過10兆個請求，而且每秒最多可支援超過2,000萬個請求。

AWS DMS可協助您快速安全地將資料庫遷移到AWS雲端的資料庫。
網路

VPC是在AWS雲端佈建一個在邏輯上隔離的部分，也就是虛擬網路，並可在自己定義的虛擬網路中啟動AWS資源。客戶可以完全掌控虛擬網路環境，包括選擇自己的IP地址範圍(支援IPv4和IPv6)、建立子網路，以及配置路由表和網路閘道。

Route 53是一種可用性高、可擴展性強的雲端網域名稱系統(DNS) Web服務，不但如此，Route 53還能偵測目標IP的延遲時間和健康狀態，以便提供最佳名稱解析給用戶端。

AWS Direct Connect是一種雲端服務解決方案，可讓客戶輕鬆建立從企業內部部署到AWS的專用網路連接。可利用AWS Direct Connect建立專線，將AWS與資料中心、辦公室或主機託管環境相互連接。在許多情況下，這可降低網路費用、提高頻寬輸送量，並提供比網際網路連線速度更穩定的網路體驗。

CloudFront是快捷的內容交付網路(CDN)，可在開發人員容易使用的環境中，以低延遲、高速傳輸的方式，將資料、影片、應用程式和API安全地傳送到全球客戶手中。

安全與合規

考量安全時可能浮現的一些想法包括可見性、可稽核性、可控制性和敏捷性。

Amazon與客戶共同承擔保護AWS雲端中客戶資料的責任，讓AWS安全成為共同的責任。這個概念稱為共同的責任模型。

AWS確保和維護雲端基礎設施，客戶需負責保護一切他們放在雲端的一切。客戶需負責使用AWS實作的項目以及連接到AWS的應用程式。需要採取的安全步驟取決於所使用的服務及系統的複雜程度。這包括選取執行個體作業系統、應用程式、安全群組、防火牆、網路組態和帳戶管理。

Identity and Access Management類別包含以下AWS服務：

Amazon Cognito，為應用程式提供身分管理。
AWS Directory Service，受管的Microsoft Active Directory服務。
AWS Identity and Access Management (IAM)，可以管理使用者存取與加密金鑰。
AWS Secrets Manager，可以輪換、管理和擷取登入資料。
AWS Single Sign-On，一種雲端單一登入(SSO)服務。

偵測控制的AWS服務包括：

AWS Security Hub，統一的安全與合規中心。
Amazon GuardDuty，一種受管的威脅偵測服務。
Amazon Inspector，一種可分析應用程式安全性的服務。
Amazon Macie，一種可探索、分類和保護資料的服務。

AWS安全服務的下一個類別是基礎設施保護:

AWS Shield，一種提供受管分散式阻斷服務(DDoS)保護的服務。
AWS Web Application Firewall (WAF)，可篩選惡意Web流量。
AWS Firewall Manager，提供防火牆規則的集中管理。

為了保護資料，AWS提供下列服務：

AWS Key Management Service (KMS)，這是金鑰儲存和管理的服務。
AWS CloudHSM，有助於遵守法律規定以硬體為基礎的金鑰儲存。
AWS Certificate Manager，一種可佈建、部署和管理公有和私有SSL/TLS 憑證的服務。

AWS安全服務的第五個也是最後一個類別是合規。這個類別的服務是AWS Artifact，這是一個隨需存取AWS合規報告的免費自助服務入口網站。

AWS合規計劃可協助客戶了解AWS在維護雲端安全和合規方面所具備的強大控制能力。AWS合規輔助程式建立在傳統計劃的基礎上，透過將注重管理且易於稽核的服務功能與適用的合規或稽核標準結合在一起，來協助客戶建立和操作安全可控的AWS環境。

結語

AWS是一個完整且龐大的雲端服務平台，服務數量持續增加中，對於客戶而言操作介面會是一個顧慮，但是AWS令人激賞的地方是操作介面簡單易懂，而且部署快速，如果有興趣，可以連至 https://aws.amazon.com，在螢幕右上角按「建立 AWS 帳戶」申請免費試用帳戶，試用帳戶在一年中，於多種服務每月都有免費額度可以使用。

工作忙碌的IT人員靠自己慢慢探索相當耗時，來恆逸參加AWS相關課程，可以快速領略AWS雲端服務的優勢，透過講解與實作，更能輕鬆上手。

邁向以客戶為中心的AWS雲端

趙驚人 Allen Chao

AWS服務概觀

安全與合規

結語

【AWTE】AWS Technical Essentials

【AWAR】Architecting on AWS

【AWSO】Systems Operations on AWS

您可在下列課程中了解更多技巧喔！

相關學習資源