AWS認證解決方案架構師SAA-C02考試知識點梳理
- Exam Code: SAA-C02
- Exam Name: AWS Certified Solutions Architect - Associate
- Updated: 2025-04-29
- Q&A: 575 Questions and Answers
- PDF Price: $39.99
AWS認證解決方案架構師(SAA-C02)考試知識點梳理 安全組(Security Group)和網絡訪問控制列表(Network Access Control List)都扮演了類似的防火牆功能。
安全組(Security Group)和網絡訪問控制列表(Network Access Control List)都扮演了類似的防火牆功能。
安全組(Security Group)
在安全組內只能設置允許的條目,不能設置拒絕的條目
安全組會關聯到EC2實例的ENI(網絡接口)上
你不能使用安全組來禁止某些特定的IP地址訪問主機,要達到這個效果需要使用網絡訪問控制列表(NACL)
安全組會跟蹤ICMP流量,因為無論規則如何,安全組都會跟蹤ICMP流量
AWS 網絡ACL(Network Access Control List)
網絡ACL 沒有任何狀態.
網絡ACL 是在子網級別運行的.而安全組在實例級別運行.
VPC中每個子網都必須與一個網絡ACL 關聯 .
默認網絡ACL的內容允許所有的入站和出站流量.
你可以創建自定義網絡ACL 並且將其與子網關聯. 默認情況下 ,每個自定義的網絡ACL 都拒絕所有的入站和出站流量.直至你添加規則.
安全組是有狀態的,返回的數據流會被自動允許;而網絡ACL是無狀態的,返回數據流必須被規則明確允許,就是說使用網絡ACL配置了允許進站的規則必須要有相應允許出站的規則。
規則判斷的區別,安全組會在決定是否允許數據流前評估所有規則;網絡ACL會按照規則的數字,順序處理所有規則.
AWS存儲
Amazon Elastic Block Store(EBS)
亞馬遜EBS卷提供了高可用、可靠、持續性的塊存儲,EBS可以依附到一個正在運行的EC2實例上,不能將EBS掛載到多個EC2實例上,一個EBS只能掛載到1個EC2實例上.
如果你的EC2實例需要使用數據庫或者文件系統,那麼建議使用EBS作為首選的存儲設備
EBS卷的存活可以脫離EC2實例的存活狀態。也就是說在終止一個實例的時候,你可以選擇保留該實例所綁定的EBS卷
EBS卷可以依附到同一個可用區(AZ)內的任何實例上
EBS卷可以被加密,如果進行了加密那麼它存有的所有已有數據,傳輸的數據,以及製造的鏡像都會被加密
EBS卷可以通過快照(Snapshot)來進行(增量)備份,這個快照會保存在S3 (Simple Storage System)上
你可以使用任何快照來創建一個基於該快照的EBS卷,並且隨時將這個EBS卷應用到該區域的任何實例上
EBS卷創建的時候已經固定了可用區,並且只能給該可用區的實例使用。如果需要在其他可用區使用該EBS,那麼可以創建快照,並且使用該快照創建一個在其他可用區的新的EBS卷
9.快照還可以複製到其他的AWS區域
EBS的不同類型,需要了解不同類型的EBS主要的使用場景
通用型SSD – GP2 (高達10,000 IOPS),適用於啟動盤,低延遲的應用程序等
預配置型SSD – IO1 (超過10,000 IOPS),適用於IO密集型的數據庫
吞吐量優化型HDD -ST1,適用於數據倉庫,日誌處理
HDD Cold – SC1 – 適合較少使用的冷數據
根EBS卷默認是不能進行加密的,但可以使用第三方的加密工具(例如BitLocker)對其進行加密,除了根磁盤外的其他卷是可以加密的
實例存儲Amazon EC2 Instance Store
實例存儲為EC2實例提供了短暫的塊存儲設備
實例存儲(Instance Store Volumes)又叫做短暫型存儲(Ephemeral Storage)
實例存儲是AWS的宿主機上依附的存儲(可以理解為實例存儲是真實的物理機上安裝的磁盤,而EBS則是專門的另外的存儲設備)
實例存儲比較適合存放短暫型、變化很快的數據,比方說緩存、爬蟲數據和其他短暫的數據
實例存儲的大小取決於實例的類型
實例存儲的存活與否與實例的狀態有關係,實例重啟,實例存儲的數據將不受影響,一旦實例終止,實例存儲將永久消失
實例存儲的實例不能進入停止狀態(Stop),只能重啟(Reboot)或者終止(Terminate)。
另外,需要注意的是,並不是所有的實例類型都支持實例存儲。在創建實例的時候,你可以在AWS市場上選擇支持實例存儲的鏡像,然後在下一步你只能選擇某些特定的實例類型大小;而對於EBS來說,沒有那麼多限制,你可以選擇任意的實例類型大小。
EFS (Elastic File System)
Amazon EFS可以簡單地理解為是共享盤或NAS存儲。
支持Network File System version 4 (NFSv4)協議
EFS是Block Base Storage,而不是Object Base Storage(例如S3)
使用EFS,你只需要為你使用的存儲空間付費,沒有預支費用
可以有高達PB級別的存儲
同一時間能支持上千個NFS連接
EFS的數據會存儲在一個AWS區域的多個可用區內
Read After Write Consistency
Amazon EFS在Windows實例上不受支持基於 NFS4協議 不支持 SMB文件協議
Amazon Simple Storage Service (S3)
S3是對象存儲,可以在S3上存儲各種類型的文件,它不是塊存儲(EBS是塊存儲)
S3擁有99.99%(4個9)的可用性(Availability)
S3擁有99.999999999%(11個9)的持久性(Durability)
S3創建的時候可以選擇某個AWS區域,一旦選擇了就不能更改,如果要在其他區域使用該S3的內容,可以使用跨區域複製
使用訪問控制列表(Access Control Lists)和桶策略(Bucket Policy)可以控制S3的訪問安全
控制存儲桶的權限可以使用訪問控制列表(ACL)或者桶策略(Bucket Policy)
版本控制啟動後可以使用MFA Delete功能,即在刪除一個文件的時候需要另外提供Token信息(軟Token或者硬件Token),以此增加文件的安全性,減少誤刪的概率
S3跨區域同步
啟用S3跨區域複製首先需要在源S3存儲桶和目標S3存儲桶都開啟S3版本控制功能
源S3存儲桶和目標S3存儲桶不能位於同一個區域
在開啟跨區域複製前的已存在的文件不會被自動同步,開啟跨區域複製之後,新增加的文件會被自動同步
跨區域複製不能疊加,意味着數據不可以從A同步到B,然後再同步到C
刪除文件,文件的某一個版本或者刪除刪除標記(Delete Marker)是不會被同步的
S3加密選項
傳輸過程中的加密(In Transit): 使用SSL/TLS加密,即使用HTTPS而不是HTTP來傳輸從S3到客戶端之間的數據。
使用客戶端加密保護數據(Client Side Encryption): 在數據發送到Amazon S3之前使用客戶端來對數據進行加密
使用服務器端加密保護數據(Server Side Encryption,SSE):即在Amazon S3將你的數據寫入物理磁盤的時候加密這些數據,並在你需要訪問這些數據的時候再對其進行解密
Amazon S3 託管密鑰的服務器端加密 (SSE-S3) – 使用256位AES-256加密標準進行加密,並且主密鑰會定期輪換
AWS KMS 託管密鑰的服務器端加密 (SSE-KMS) – 使用AWS提供的密鑰管理系統,有更多的密鑰管理能力
服務器端加密與客戶提供的密鑰一起使用 (SSE-C) – 你來提供和管理加密密鑰,S3負責加密和解密
S3 傳輸加速(Transfer Acceleration)
Amazon S3 Transfer Acceleration 可在客戶與 S3 存儲桶之間實現快速、輕鬆、安全的遠距離文件傳輸。Transfer Acceleration 利用 Amazon CloudFront 的全球分布式邊緣站點。當數據到達某個邊緣站點時,會被經過優化的網絡路徑路由至 Amazon S3。 在以下情形下你可能就需要考慮使用S3傳輸加速:
您位於全球各地的客戶需要上傳到集中式存儲桶
您定期跨大洲傳輸數 GB 至數 TB 數據
您在上傳到 Amazon S3 時未充分利用 Internet 上的可用帶寬
Storage Gateway
AWS Storage Gateway 是一項混合雲存儲服務,可讓您從本地訪問幾乎不受限制的雲存儲。客戶使用 Storage Gateway 簡化存儲管理,降低關鍵混合雲存儲用例的成本。 其中包括將備份和存檔移動到雲、使用雲存儲支持的本地文件共享,以及為本地應用程序提供對 AWS 中數據的低延遲訪問。
為了支持這些用例,該服務提供了三種不同類型的網關:磁帶網關、文件網關和卷網關,這些網關將本地應用程序無縫連接到雲存儲,從而在本地緩衝數據以進行低延遲訪問。
文件網關(File Gateway)
您可以使用行業標準 NFS 和 SMB 文件協議連接直接訪問存儲在 Amazon S3 或者 Amazon Glacier上的文件 ,並且本地進行緩存 網絡中傳輸的是文件內容 . 您可以將文件網關視為 S3 上的文件系統掛載。
不可以使用文件網關將文件寫入 EFS
即使為存儲桶配置 S3 Transfer Acceleration,文件網關也不會使用加速的終端節點。
Volume Gateway
使用 iSCSI 作為本地磁盤連接到本地服務器上,讓本地服務器可以訪問到 Amazon S3 內的文件,其中,Volume Gateway 又分為以下兩種
Stored Volumes:所有的數據都將保存到本地,但是會異步地將數據備份到AWS S3上
Cached Volumes:所有的數據都會保存到S3,但是會將最經常訪問的數據緩存到本地
AWS Backup 支持緩存卷和存儲卷的備份與還原。將 AWS Backup 與卷網關配合使用,您可以集中管理備份、減輕運營負擔並滿足合規要求。
Tape Gateway
用來取代傳統的磁帶備份,通過 Tape Gateway 可以使用NetBackup,Backup Exec或Veeam 等備份軟件將文件備份到 Amazon S3 或者 Amazon Glacier .磁帶網關使用存儲行業標準 iSCSI 協議向備份應用程序提供了一個虛擬磁帶庫 (VTL),iscsi的block級的協議,網絡中傳輸的是硬件操作命令iscsi適合io操作,比如在iscsi上安裝遊戲/應用程序,提升IO性能
AMI系統鏡像和快照
Amazon Machine Image (AMI) 亞馬遜AWS提供的系統鏡像 考點:
由實例的操作系統、應用程序和應用程序相關的配置組成的模板
一個指定的需要在實例啟動時附加到實例的卷的信息(比方說定義了使用8 GB的General Purpose SSD卷)
你可以創建並註冊一個AMI,並且可以使用這個AMI來創建一個EC2實例。同時你也可以將這個AMI複製到同一個AWS區域或者不同的AWS區域。你同樣也可以註銷這個AMI鏡像。
EBS快照(Snapshot)
備份的快照將會保存在亞馬遜S3 (Simple Storage System)上
EBS快照屬於增量備份,即第二次之後的快照只會更新變化了的那一部分數據
你可以在EC2實例運行的狀態下進行EBS的快照操作,但會給EC2的系統帶來一定延遲(CPU,內存利用率會變高)
最佳實踐是將EC2實例停止,然後將EBS從EC2上卸載下來,進行快照操作
你可以基於EBS快照在同一個AWS區域創建新的EBS卷,這個卷可以是任何EBS類型,任何支持的大小
你也可以將快照複製到其他AWS區域
你可以將快照共享給其他的AWS用戶
加密的EBS卷在創建快照後,該快照也會被自動加密
通過加密快照創建的EBS也是自動加密的
在複製未加密的快照時,你可以在複製過程中對其加密
負載均衡器
傳統負載均衡器(Classic Load Balancer)
ELB是最終用戶的唯一接觸點
但ELB的彈性不是立馬生效的,擴容的過程需要一定的時間(1到7分鐘)
如果有可預料的爆發性流量要發生,AWS可以對該ELB進行預熱(pre-warm)從而提前達到能處理這些流量的性能大小.
ELB是阻擋來自網絡攻擊的第一道防線(比如DDoS攻擊)
能和AWS彈性伸縮(Auto Scaling)集成,從而能保證後台運行的EC2實例能滿足流量的需求
ELB只在一個特定的AWS區域中工作,不能跨區域(Region),但可以跨可用區(AZs)
ELB會以DNS (Domain Name System)的形式顯示在AWS管理控制台
內部負載均衡器:典型的使用案例是放置在前端服務器和後端服務器之間
應用程序負載均衡器()Application Load Balancer)
ALB支持通過IP地址進行目標註冊,包括位於VPC之外的目標。即可以在一個ALB中定義4個AWS中的EC2實例,同時定義2個來自公司內網的物理服務器
支持容器化的應用程序
網絡負載均衡器(Network Load Balancer)
網絡負載均衡器,簡稱其為NLB,在 OSI模型的第四層. 運行於請求路徑路由功能,以及基於HTTP標頭路由等等這些7層的功能,NLB是無法做到的
只支持傳輸層協議 TCP UDP 意思TLS
使用 流哈希算法 選擇目標
通過 源端口和序列號 路由到不同目標
每個單獨的TCP 有效期內只會路由到單個目標
能夠處理 突發和不穩定 的流量模式,處理極具波動的工作負載,可擴展到每秒處理上百萬個請求
支持將靜態IP地址 用於負載,還可以為負載均衡器啟用的每個子網分配一個彈性IP地址.
EC2
彈性伸縮組(Auto Scaling Group)
彈性伸縮組(ASG)只能在某一個AWS區域內運行,不能跨越多個區域.但可以多個可用區
AWS 置放群組
Cluster(集群): 單個可用區內啟動物理上彼此接近的每個關聯實例 「集群置放群組」,最適用於HPC 應用程序通常使用的緊密耦合的節點到節點通信的要求。如果大部分網絡流量在組中的實例之間進行,也建議使用「集群置放群組」。**最後要注意,AWS認證考試經常會出現的考點,一個集群置放群組不能跨過多個可用區。Placement Group可以跨越peerd VPC,但要保證在同一個可用區內.
Spread 組 在硬件之間物理分離實例,以降低故障 .分布置放群組可以跨越同一區域中的多個可用區,每個群組在每個可用區中最多有 7 個正在運行的實例。
partiton(分區):分區策略通常為大型分布式和重複的工作負載所使用,例如,Hadoop、Cassandra 和 Kafka。分區置放群組可以在同一區域的多個可用區中具有分區。對於每個可用區,一個分區置放群組最多可具有 7 個分區。
Bootstrap開機腳本
在你啟動一個Amazon EC2實例的時候,你可以選擇在實例啟動的時候運行你預先設定的Bootstrap腳本。該腳本可以是一段代碼、文件或者base64的編碼。
Elastic Beanstalk
使用者只需要上傳應用程序,Elastic Beanstalk 將自動處理容量預配置、負載均衡、Auto Scaling 和應用程序運行狀況監控的部署細節
數據傳輸
AWS Snowball
通過使用 Snowball 服務,你可以將 PB 級別的分析數據、基因組數據、視頻庫等數據簡單地、快速地、安全地傳送到 AWS 的數據中心去,並且花費低至使用高速互聯網的五分之一。
可以在本地數據中心和 Amazon S3 之間進行數據的導入和導出
支持 50TB 的容量版本以及 80TB 的容量版本,可以同時使用多個 Snowball 並行傳輸數據。
外設使用了防篡改外殼,支持 AES-256 加密和行業標準的可信平台模塊 (TP
Snowball Edge
Snowball Edge 實際上和標準版的 Snowball 很類似,只是它還另外提供了計算的功能。它除了能提供 100TB 的數據傳輸能力外,還有 AWS Lambda 的計算能力。
支持 100 TB 的存儲容量,是原始 Snowball 的兩倍
能編寫 Lambda 函數並在創建 Snowball Edge 設備任務的時候將其與 S3 存儲桶關聯起來
Snowball Mobile
AWS Snowmobile 是一種用於將海量數據移動到 AWS 中的 EB 級數據傳輸服務。
Amazon Virtual Private Cloud (Amazon VPC)
VPC
可以創建Internet Gateway並且綁定到VPC上,讓EC2實例可以訪問互聯網
一個VPC可以跨越多個可用區(AZ),一個子網只能在一個可用區(AZ)內
VPC的子網掩碼範圍是從/28到/16,不能設置在這個範圍外的子網掩碼
VPC可以通過Virtual Private Gateway (VGW) 來與企業本地的數據中心相連
VPC可以通過AWS PrivateLink訪問其他AWS賬戶託管的服務(VPC終端節點服務)
每個子網 CIDR 塊中的前四個 IP 地址和最後一個 IP 地址無法供您使用,而且無法分配到一個實例。
VPC Peering
VPC Peering可是兩個VPC之間的網絡連接,通過此連接,你可以使用IPv4地址在兩個VPC之間傳輸流量。這兩個VPC內的實例會和如果在同一個網絡一樣彼此通信。
可以通過AWS內網將一個VPC與另一個VPC相連
同一個AWS賬號內的2個VPC可以進行VPC Peering
不同AWS賬號內的VPC也可以進行VPC Peering
不支持VPC Transitive Peering : 如果VPC A和VPC B做了Peering , 而且VPC B和VPC C做了Peering, 那麼VPC A是不能和VPC C進行通信的,要通信,只能將VPC A和VPC C進行Peering.
如果兩個VPC出現了地址覆蓋/重複,那麼這兩個VPC不能做Peering
如果只需要精確控制兩個vpc中的兩個子網聯通怎麼辦?借用NACL/路由表
VPC流日誌(Flow Logs)
Flow logs可以在以下級別創建:
VPC級別
子網級別
網絡接口級別
VPC終端節點(VPC Endpoints)
VPC終端節點能建立VPC和一些AWS服務之間的高速、私密的「專線」。這個專線叫做PrivateLink,使用了這個技術,你無需再使用Internet網關、NAT網關、VPN或AWS Direct Connect連接就可以訪問到一些AWS資源了!
接口終端節點 interface VPC endpoints :
供一個彈性網絡接口ENI,ENI會被分配一個所屬子網的私有 IP 地址. 當創建訪問EC2服務的接口終端節點後,會生成3個DNS域名。
前面這兩個VPCE開頭的DNS名稱,會解析為這個創建的接口終端節點的私有IP,可以通過這兩個DNS,通過私有網絡訪問EC2服務。
重點是最後這個EC2開頭的DNS名稱,這個是我測試的區域調用EC2服務API的公有DNS,在沒使用終端節點時,都是使用這個公有的DNS名稱與EC2服務通信。但注意如果您勾選啟用了私有DNS名稱,這個公有DNS將會解析為您創建的終端節點的私有IP地址,這樣的話您可以繼續使用這個DNS通過終端節點訪問EC2服務。
網關終端節點 geteway VPC endpoints
只支持S3和DynamoDB服務
需要更新路由表,在其中創建到AWS服務的路由
網關終端節點在VPC級別定義
必須在VPC中啟動DNS 解析
無法將終端節點擴展到VPC之外(VPN 連接、VPC 對等連接、transit gateway、AWS Direct Connect )
Direct Connect線路
AWS Direct Connect線路可以讓你通過以太網光纖線路連接你的內部網絡與AWS Direct Connect Location,可以打通你的內部網絡與AWS的網絡,從而擁有高速率、低延遲,安全、可靠的專線網絡。
AWS提供的Direct Connect的帶寬是1Gbps或者是10Gbps
少於1Gbps速率的Direct Connect線路可以向AWS Direct Connect合作夥伴申請,可以申請50Mbps到500Mbps的線路
Direct Connect的數據包使用802.1Q協議進行封裝(Q-in-Q tagging)
VPN連接和Direct Connect的區別
VPN連接可以在數分鐘之內就搭建成功。如果有緊急的業務需求,可以使用VPN連接。VPN連接是基於互聯網線路的,因此帶寬不高,穩定性也不好,但價格便宜
AWS Direct Connect使用的是專線,你的數據不會跑在互聯網上,是私有的、安全的網絡
NAT
NAT實例(NAT Instance)
創建NAT實例之後,一定要關閉源/目標檢查(Source/Destination Check)
NAT實例需要創建在公有子網內
私有子網需要創建一條默認路由(0.0.0.0/0),指到NAT實例
NAT實例的瓶頸在於實例的大小,如果遇到了網絡吞吐瓶頸,你可以加大實例類型
需要自己創建彈性伸縮組(Auto Scaling Group),自定義腳本來達到NAT實例的高可用(比如部署在多個可用區)
需要關聯一個安全組(Security Group)
NAT網關(NAT Gateway)
網絡吞吐可以達到10Gbps
不需要為NAT的操作系統和程序打補丁
不需要關聯安全組
自動分配一個公網IP地址(EIP)
私有子網需要創建一條默認路由(0.0.0.0/0)到NAT網關
不需要更改源/目標檢查(Source/Destination Check)
堡壘機(Bastion Host)又叫做跳板機(Jump Box)
主要用於運維人員遠程登陸服務器的集中管理。運維人員首先登陸到這台堡壘機(公網),然後再通過堡壘機管理位於內網的所有服務器。
Route53
其他知識點
彈性負載均衡器(ELB)沒有固定的IPv4地址,在使用ELB的時候永遠使用它的DNS名字。很多場景下我們需要綁定DNS記錄到ELB的endpoint地址,而不綁定任何IP
需要熟記Alias記錄和CNAME的區別,別名記錄只能將查詢重定向到選定的 AWS 資源
考試中,如果出現選擇Alias記錄和CNAME記錄的選擇,95%的情況都要選擇Alias記錄
數據庫
RDS
關係型數據庫 SQL Server,Oracle,MySQL Server,PostgreSQL,Aurora,MariaDB等 適合聯機事務處理OLTP(Online Transaction Processing)
現在AWS RDS的所有關係數據庫都支持加密。一旦啟用了加密的功能,所有數據的存儲都將會被加密,包括數據庫本身、自動備份、快照和只讀副本(read replicas)。
如果在創建數據庫的時候沒有加密,我們不能在事後對其進行加密,但我們可以創建這個數據庫的快照,複製該快照並且加密這個複製的版本
高可用的設置只是用來解決災備的問題,並不能解決讀取性能的問題;要提升數據庫讀取性能,我們需要用到Read Replicas。
Read Replicas是用來提高讀取性能的,不是用來做災備的
要創建Read Replicas需要源RDS實例開啟了自動備份的功能
可以為數據庫創建最多5個Read Replicas
可以為Read Replicas創建Read Replicas
每一個Read Replicas都有自己的URL Endpoint
可以為一個啟用了Multi-AZ的數據庫創建Read Replicas
Read Replicas可以提升成為獨立的數據庫
可以創建位於另一個區域(Region)的Read Replicas
DynamoDB
DynamoDB是一種非關係數據庫(NoSQL),可在任何規模提供可靠的性能。DynamoDB能在任何規模下實現不到10毫秒級的一致相應,並且它的存儲空間無限。
使用SSD存儲
數據分散在3個不同地理位置的數據中心(並不是3個可用區)
最終一致性讀取(Eventual Consistent Reads):默認的設置,即如果寫入數據到DynamoDB之後馬上讀取該數據,可能會讀取到舊的信息,DynamoDB需要時間(一秒內)把寫入的數據同步到3個不同地理位置的數據中心
強一致性讀取(Strongly Consistent Reads):在寫入數據到DynamoDB之後馬上讀取該數據,會等所有寫入操作以及數據同步全部完成後再回饋結果,即強一致性讀取一定會讀到最新的數據結果
如果我們需要增加DynamoDB的規格,我們可以直接在AWS管理控制台上進行更改,並且不會有任何系統downtime
除非您指定其他讀取方式,否則 DynamoDB 將使用最終一致性讀取。讀取操作 (例如 GetItem,Query 和 Scan) 提供了一個 ConsistentRead 參數。如果您將此參數設置為 true,DynamoDB 將在操作過程中使用強一致性讀取。
Redshift
數據倉庫 類似Greenplum, Hive: 適合 聯機分析處理OLAP(Online Analytics Processing)
OLAP是數據倉庫(Data Warehousing)系統的主要應用,支持複雜的分析操作,側重決策支持,並且能提供直觀易懂的查詢結果。OLAP是用來做商業智能(Business Intelligence)方面的分析的。
目前Redshift只能部署在一個可用區內,不能跨可用區或者用類似RDS的高可用配置, Redshift是用來產生報告和做商業分析的,並不需要像生產環境一樣對可用性有高保證
我們可以對Redshift做快照,並且在需要的時候恢復這個快照到另一個可用區
Redshift傳輸過程中使用SSL加密
Redshift使用AES-256進行加密
默認情況下Redshift幫我們解決了秘鑰管理的問題
我們也可以使用自己的秘鑰
或者使用AWS Key Management Service (KMS)來管理秘鑰
Elasticache
數據緩存 : Memcached,Redis
Aurora
Amazon Aurora是一種兼容MySQL和PostgreSQL的商用級別關係數據庫,Aurora的速度可以達到MySQL數據庫的5倍,同時它的成本只是商用數據庫的1/10。
Aurora會將你的數據複製2份到每一個可用區內,並且複製到最少3個可用區,因此你會有6份數據庫備份,2份及以下的數據備份丟失,不影響Aurora的寫入功能,3份及以下的數據備份丟失,不影響Aurora的讀取功能
Aurora有自動修復的功能,AWS會自動檢查磁盤錯誤和數據塊問題並且自動進行修復
有兩種數據庫只讀副本
Aurora Replicas(最多支持15個)
MySQL Replica(最多支持5個)
兩者的區別是Aurora主數據庫出現故障的時候,Aurora Replicas可以自動變成主數據庫,而MySQL Replica不可以
消息
SQS (Simple Queue Service)
Amazon Simple Queue Service (SQS)是一種完全託管的消息隊列服務,可以讓你分離和擴展微服務、分布式系統和無服務應用程序。
標準隊列(Standard Queue)
標準隊列擁有無限的吞吐量,所有消息都會至少傳遞一次,並且它會盡最大努力進行排序。
FIFO隊列
FIFO (First-in-first-out)隊列在不使用批處理的情況下,最多支持300TPS(每秒300個發送、接受或刪除操作)。
在隊列中的消息都只會不多不少地被處理一次。
FIFO隊列嚴格保持消息的發送和接收順序。
3.== SQS是靠應用程序去拉取的,而不能主動推送給應用程序==,推送服務我們使用SNS(Simple Notification Service)
消息會以256 KB的大小存放
消息會在隊列中保存1分鐘~14天,默認時間是4天
可見性超時(Visibility Timeout): 即當SQS隊列收到新的消息並且被拉取走進行處理時,會觸發Visibility Timeout的時間。這個消息不會被刪除,而是會被設置為不可見,用來防止該消息在處理的過程中再一次被拉取
標準SQS隊列保證了每一個在隊列內的消息都至少會被處理一次
長輪詢(Long Polling): 默認情況下,Amazon SQS使用短輪詢(Short Polling),即應用程序每次去查詢SQS隊列,SQS都會做回應(哪怕隊列一直是空的,使用了長輪訓,應用程序每次去查詢SQS隊列,SQS隊列不會馬上做回應。而是等到隊列里有消息可處理時,或者等到設定的超時時間再做出回應。長輪詢可以一定程度減少SQS的花銷
SNS (Simple Notification Service)
SNS (Simple Notification Service) 是一種完全託管的發布/訂閱消息收發和移動通知服務,用於協調向訂閱終端節點和客戶端的消息分發。和SQS (Simple Queue Service)一樣,SNS也可以輕鬆分離和擴展微服務,分布式系統和無服務應用程序,對程序進行解耦。
我們可以使用SNS將消息推送到SQS消息隊列中、AWS Lambda函數或者HTTP終端節點上。
SNS是實時的推送服務(Push),有別於SQS的拉取服務(Pull/Poll)
擁有簡單的API,可以和其他應用程序兼容
可以通過多種不同的傳輸協議進行集成
可以推送目標 HTTP,HTTPS,Email,Email-JSON,SQS,Application,Lambda
SWF (Simple Workflow Service)
Amazon Simple Workflow Service (Amazon SWF) 提供了給應用程序異步、分布式處理的流程工具。SWF可以用在媒體處理、網站應用程序後端、商業流程、數據分析和一系列定義好的任務上。
SWF除了支持順序執行的流程之外,也支持並行處理的流程,即一個任務的完成可以觸發多個任務同時執行。
SWF決策者和參與者可以是運行在AWS上的EC2實例或者其他計算資源,SWF只是保存不同的任務,把這些任務分配給worker,並且監控他們的任務處理進展。
SWF和SQS的區別
SWF是面向任務的;SQS是面向消息的;
SWF保證了每一個任務都只執行一次而不會重複;標準的SQS消息可能會被處理多次
SWF保證了程序內所有任務都正常被處理,並且追蹤工作流;而SQS只能在應用程序的層面追蹤工作流
SWF內的任務最長可以保存1年;SQS內的消息最長只能保存14天
API Gateway
Amazon API Gateway可以讓開發人員創建、發布、維護、監控和保護任何規模的API。你可以創建能夠訪問 AWS、其他 Web 服務以及存儲在 AWS 雲中的數據的API。
API Gateway可以緩存內容,從而更快地將一些常用內容發送給用戶
API Gateway是一種低成本的無服務(serverless)方案,而且它可以自動彈性伸縮(類似ELB,NAT網關)
可以對API Gateway進行節流,以防止惡意攻擊
可以將API Gateway的日誌放到CloudWatch中
如果你使用JavaScript/AJAX來跨域訪問資源,那麼你需要保證在API Gateway上已經開啟了CORS (Corss-Origin Resource Sharing)功能
Elastic Transcoder
Amazon Elastic Transcoder是一種在線媒體轉碼的工具,使用它我們可以很容易地將我們的視頻從源格式轉換到其他的格式和分辨率,以便在手機、平板、PC等設備上播放。
Kinesis
Amazon Kinesis可以讓你輕鬆收集、處理和分析實時流數據。利用Amazon Kinesis,你可以在收到數據的同時對數據進行處理和分析,無需等到數據全部收集完成才進行處理。
數據流是從成千上萬的數據源上持續產生的數據,並且這些數據都很小(KB級別),它們可能是:
電商網站上的訂單信息(比如京東,淘寶)
股票信息
遊戲信息 社交網絡信息(微信/微博的信息流)
地理位置信息(滴滴)
物聯網數據
Kinesis Data Streams (Kinesis Streams):使用自定義的應用程序分析數據流
: Amazon Kinesis Data Streams可以實時收集和處理大型數據流,這些數據會被處理並且發送到多種AWS服務中去,也可以生成報警、動態更改定價和廣告戰略等。
Kinesis Video Streams:捕獲、處理並存儲視頻流用於分析和機器學習(Machine Learning)
: Kinesis Video Streams主要用來進行實時的視頻處理,或者批量進行視頻分析。
Kinesis Data Firehose:將數據加載到AWS數據存儲上
: Kinesis Data Firehose可以讓我們的實時數據流傳輸到我們定義的目標,包括Amazon S3,Amazon Redshift,Amazon Elasticsearch Service (ES)和Splunk。
Kinesis Data Analytics:使用SQL分析數據流
: 使用Kinesis Data Analytics,我們可以使用標準的SQL語句來處理和分析我們的數據流。這個服務可以讓我們使用強大的SQL代碼來做實時的數據流分析、創建實時的參數。
其他服務
AWS組織和整合賬單
AWS組織(Organization)是一項賬戶管理服務,它可以將你的多個AWS賬號整合到集中管理的組織中。
AWS組織包含了整合賬單(Consolidated Billing)和賬號管理功能,通過這些功能,你能夠更好地滿足企業的預算、安全性和合規性的要求。
整合賬單主賬號最好使用多因素認證(Multi-Factor Authentication)
整合賬單主賬號最好只用來管理賬單,不擁有任何訪問AWS資源的權限
一個Organization默認只能管理20個賬號,超過這個數字需要找AWS Support
跨賬號訪問權限(Cross Account Access)
跨賬號訪問權限(Cross Account Access),你可以在AWS管理控制台上輕鬆地進行賬號(角色)的切換,讓你在不同的開發賬號(角色)、測試賬號(角色)、生產賬號(角色)中進行快捷的切換。
資源組和標籤
AWS的資源組(Resource Group)和標籤(Tagging),巧妙地使用這兩個工具可以幫助我們更有效率地管理大規模的AWS資源。
Security Token Service
使用AWS Security Token Service (STS)服務,你可以創建和控制對你的AWS資源訪問的安全憑證。
STS服務產生的憑證是臨時的,它的有效期可以是幾分鐘到幾小時,一旦過了這個時效時間,你的憑證就會失去作用,無法再訪問相應的資源
IAM會長期保存在AWS賬戶中,
企業聯合身份驗證(Federation):
使用了基於Security Assertion Markup Language (SAML) 的標準 ;
可以使用微軟Active Directory的用戶來獲取臨時權限,不需要創建IAM用戶 ;
支持單點登錄(Single Sign On, SSO) ;
Web聯合身份驗證(Federation with Mobile Apps):
使用已知的第三方身份供應商(Amazon, Facebook, Google或其他OpenID提供商)來登錄
跨賬戶訪問 :
讓一個賬號內的用戶訪問同一個組織(Organization)內其他賬號的AWS資源
Amazon WorkSpaces (VDI)
使用Amazon WorkSpaces,你可以為用戶預配置基於雲的虛擬Windows桌面或者Linux桌面。WorkSpaces即遠程虛擬桌面,或者VDI (Virtual Desktop infrastructure)。
FSX
Amazon FSx for Windows File Server
完全託管的Windows文件服務器, 構建於SSD存儲之上,可提供(Windows應用程序)所期望的吞吐量,IOPS和一致的亞毫秒級性能。適用於業務應用程序. Amazon FSx for Windows File Server 提供完全託管的文件存儲,可通過行業標準服務器消息塊 (SMB) 協議進行訪問。Amazon FSx 在 Windows Server 上構建而成,提供多種管理功能,例如重複數據刪除、最終用戶文件還原以及 Microsoft Active Directory (AD) 集成。它提供單可用區和多可用區部署選項、完全託管的備份,以及靜態和傳輸中數據加密。藉助 HDD 存儲選項,Amazon FSx for Windows File Server 可在雲中為 Windows 應用程序和工作負載提供成本最低的文件存儲。您可以從運行在 亞馬遜雲科技 雲上或本地的 Windows、Linux 或 MacOS 計算實例和設備訪問 Amazon FSx。您可以使用多個存儲選項來優化成本和性能,並且可以隨時擴展文件系統存儲和提高性能. 使用案例 : 文件訪問目錄,遷移 Windows 應用程序,高度可用的 Microsoft SQL Server 部署,媒體工作流,Web 服務和內容管理,分析
Amazon FSx for Lustre
全託管的針對繁重計算負載的Lustre文件系統,Lustre是一種平行分布式文件系. 適用於計算密集型工作負載. Amazon FSx for Lustre 是一項完全託管的服務,可為計算工作負載提供經濟高效的高性能存儲。許多工作負載(如機器學習、高性能計算 (HPC)、視頻渲染和財務模擬)都依賴於計算實例通過高性能共享存儲訪問同一組數據。FSx for Lustre 由常見的高性能文件系統 Lustre 提供支持,可提供低延遲、高達每秒數百 GB 的吞吐量和數百萬 IOPS 的共享存儲。FSx for Lustre 提供多種部署類型、存儲類型和吞吐量性能水平,以優化成本和性能,滿足您的工作負載要求。FSx for Lustre 文件系統還可以鏈接 到 Amazon S3 存儲桶,使您能夠同時從高性能文件系統和 S3 API 中訪問和處理數據。。 使用案例 : 機器學習,高性能計算,媒體處理和轉碼,自動駕駛汽車
,大數據和財務分析,電子設計自動化
Windows Active Directory
Active Directory 就是活動目錄,在域中真正幹活的就是這個,他把所有加入域的計算機的所有資源集合起來,並且在用戶認證方面也集中管理,並且可以做到在同一個局域網內任何一個台計算機都可以使用你的賬號登陸,並且登陸後都是相同的桌面了。
AWS Transit Gateway
每個網絡只需連接到 AWS Transit Gateway。通過 Transit Gateway 上的有效路由策略,您可以集中控制 Amazon VPC 與本地網絡相互之間的連接方式。這種連接模式使您可以輕鬆簡單地隨着時間的推移而擴展和監控網絡。
WAF
您可以將 AWS WAF 作為 CDN 解決方案的一部分部署到 Amazon CloudFront 上,也可以將其部署到位於 Web 服務器或來源服務器(運行於 EC2 上)之前的 Application Load Balancer、適用於您的 REST API 的 Amazon API Gateway 或者是適用於您的 GraphQL API 的 AWS AppSync 上。
AWS Shield
託管式 DDoS 防護
AWS Shield Standard 可以防護大多數以網站或應用程序為攻擊對象並且頻繁出現的網絡和傳輸層 DDoS 攻擊。將 AWS Shield Standard 與 Amazon CloudFront 和 Amazon Route 53一起使用時,您將獲得針對所有已知基礎設施(第 3 層和第 4 層)攻擊的全面可用性保護。
成了 AWS WAF 這一 Web 應用程序防火牆。 您的源服務器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB) 或 AWS 外部的自定義服務器。您還可以在以下 AWS 區域直接在彈性 IP 或 Elastic Load Balancing (ELB) 上啟用 AWS Shield Advanced。
如果您希望對添加到您的資源的保護進行精細控制,單獨使用 AWS WAF 是正確的選擇。如果您希望跨賬戶使用 AWS WAF、加快您的 AWS WAF 配置或自動執行新資源的保護,請將 Firewall Manager 與 AWS WAF 結合使用。Shield Advanced 在 AWS WAF 的基礎上添加了額外功能,例如來自 DDoS 響應團隊 (DRT) 的專屬支持和高級報告。
DAX
Amazon DynamoDB Accelerator (DAX) 是適用於 Amazon DynamoDB 的完全託管且高度可用的內存中的緩存,可實現高達 10 倍的性能提升(從數毫秒縮短到數微秒),即使在每秒處理的請求數量達到數百萬個的情況下也是如此。
DAX 負責完成為 DynamoDB 表進行內存中的加速所需的所有繁重任務,使開發人員無需管理緩存失效、數據填充或集群管理。
Amazon Neptune
Amazon Neptune 是一項快速、可靠且完全託管的圖形數據庫服務,可幫助您輕鬆構建和運行使用高度互連數據集的應用程序.Neptune 支持圖形使用案例,如建議引擎、欺詐檢測、知識圖譜、藥物開發和網絡安全。
AWS Config rule
評估您 AWS 資源配置是否具備所需設置。
獲得與您的 AWS 賬戶關聯的受支持資源的當前配置快照。
檢索您的賬戶中的一個或多個資源配置。
檢索一個或多個資源的歷史配置。
在資源被創建、修改或刪除時接收通知。
查看不同資源之間的關係。例如,您可能想要找到使用特定安全組的所有資源。
Amazon Trusted Advisor
Amazon Trusted Advisor 的作用類似於自定義雲專家,幫助您按照以下最佳實踐來配置資源。Trusted Advisor 會檢查您的亞馬遜雲科技環境,並發現可以節省開支、提高系統性能和可靠性或幫助彌補安全漏洞的機會。 Amazon Trusted Advisor 提供了以下四種類別的最佳實踐:成本優化、安全、容錯能力和性能提升。
CloudHSM
控制和管理自己的密鑰,WS KMS 還與 集成AWS CloudTrail以記錄您的 的使用CMKs,從而滿足審計、監督和合規性需求。== 通過使用 CloudTrail ,您可以監控和調查哪些人在何時以何種方式CMKs使用了==。
AWS Glue
AWS Glue 是一項完全託管的 ETL(提取、轉換和加載)服務,使您能夠輕鬆而經濟高效地對數據進行分類、清理和擴充,並在各種數據存儲和數據流之間可靠地移動數據。
Aurora Global Databases V.S. DynamoDB Global Tables
Aurora Global Databases 一寫多讀, 毫秒級同步
DynamoDB Global Tables 多點寫入
AWS Organizations
AWS Organizations 是一項賬戶管理服務,使您能夠將多個 AWS 賬戶整合到您創建併集中管理的組織 中。AWS Organizations 包含賬戶管理和整合賬單功能,可利用這些功能更好地滿足企業的預算、安全性和合規性需求。作為組織的管理員,您可以在組織中創建賬戶並邀請現有賬戶加入組織。
Kinesis
Kinesis Data Streams (Kinesis Streams):使用自定義的應用程序分析數據流
Kinesis Video Streams:捕獲、處理並存儲視頻流用於分析和機器學習(Machine Learning)
Kinesis Data Firehose:將數據加載到AWS數據存儲上
Kinesis Data Analytics:使用SQL分析數據流(Athena是交互式查詢)
CloudTrail data events v.s. s3 server access log
Cloud Trail能提供一致性驗證,s3 server access log不能
AWS Transfer Family
AWS Transfer Family 提供完全託管支持,可將文件直接傳入和傳出 Amazon S3 或 Amazon EFS
Aws Inspector, AWS Macie , AWS Trusted Advisor , AWS GuardDuty, AWS Cognito
Amazon Inspector 是一項自動安全評估服務,有助於提高在 AWS 上部署的應用程序的安全性與合規性
Amazon Macie 是一項完全託管的數據安全和數據隱私服務,它利用機器學習和模式匹配來發現和保護 AWS 中的敏感數據
AWS Trusted Advisor 是一個在線工具,可提供實時指導,幫助您按照 AWS 最佳實踐預置資源
Amazon GuardDuty 提供智能威脅檢測和持續監控,保護您的 AWS 賬戶、工作負載和數據。是一種威脅檢測服務,可持續監控惡意活動和未經授權的行為,從而保護您的== AWS 賬戶、工作負載和在 Amazon S3 中存儲的數據==
Amazon Cognito,簡單安全的用戶註冊、登錄和訪問控制
Internet Gateway
Internet網關是 logical connection between an Amazon VPC and the Internet . 它不是物理設備 . 每個VPC只能關聯一個 . 它不限制Internet連接的帶寬
gateway分很多種,比如:
nat gateway:network address translate,只能從vpc內部訪問internet或者aws services,外部無法訪問vpc,這樣大大地提高了安全性
vpn gateway:virtual private network,用於通過vpn連接企業的局域網或者數據中心
internet gateway:同internet進行雙向通信,一般會給ec2 instance綁定一個elastic ip address用於從外部訪問ec2 instance
egress-only gateway:只能從ec2 instance向外訪問,並且只適用於ipv6地址的路由,ipv4的話需要使用nat gateway
下面再說一說network interface,如果ec2 instance當作電腦主機的話,network interface相當於網卡,每個ec2 instance可以指定一個或多個network interface,有了網卡,主機才能同外界進行數據通信,而且不同的網卡可以存在於不同的subnet裡面
Elastic Fabric Adapter
Elastic Fabric Adapter (EFA) 是一種網絡設備,可以將其附加到 Amazon EC2 實例以加速高性能計算 (HPC) 和機器學習應用程序。通過使用 EFA,您可以實現本地 HPC 集群的應用程序性能,並具有 AWS 雲提供的可擴展性、靈活性和彈性。
AWS Billing and Cost Management
AWS Billing and Cost Management 是您用來支付 AWS 帳單、監控用量,以及分析和控制成本的 服務。
AWS Security Hub
AWS Security Hub 讓您全面了解 AWS 賬戶中的高優先級安全警報與合規性狀態。 藉助 Security Hub,您現在可以設置單個位置,聚合、組織和優先處理來自多個 AWS 服務(如 Amazon GuardDuty,Amazon Inspector 和 Amazon Macie),以及來自 AWS 合作夥伴解決方案的安全警報或檢測結果。
S3 IAM Policy , 桶策略(Bucket Policy)和訪問控制列表(Access Control Lists)
AWS S3的權限設置一直是一個重難點,而且是比較混淆的一個概念。比較混淆的地方在於,用戶可以通過三個不同的地方進行權限管理,這三個地方分別是 IAM Policy, Bucket Policy 以及 Bucket ACL。
IAM Policy是global級別的,他是針對用戶來設置的,比如一個用戶對所有的S3Bucket擁有get和list權限,那他就可以瀏覽任何一個Bucket的內容
S3 Bucket Policy僅僅是針對單個Bucket 而言的,他可以控制不同用戶對他本身的訪問權限
Bucket ACL是一個早期的服務,現在用的比較少了,但是如果我們需要對Bucket其中的具體對象配置訪問權限,我們需要使用Bucket ACL。
默認情況下,所有新創建的S3存儲桶都是私有的,只有存儲桶的創建者/擁有者才能訪問
你可以通過桶策略(Bucket Policy)和訪問控制列表(Access Control Lists)兩個方法來控制S3存儲桶的安全性
S3存儲桶的訪問日誌可以存到另一個S3存儲桶裡面,方便對日誌進行查看
AWS Security Token Service
AWS Security Token Service (AWS STS) 使您能夠為 AWS IAM 用戶或您通過聯合身份驗證進行身份驗證的用戶請求權限受限的臨時憑證。
一個常見的臨時憑證使用案例是向移動或客戶端應用程序授予對 AWS 資源的訪問權限,方法是通過第三方身份提供程序對用戶進行身份驗證
CloudTrail 數據事件
CloudTrail 默認會禁用數據事件。您可以啟用日誌記錄,但需要額外付費。數據事件也稱為數據層面操作,通常都屬於較高容量的活動。數據事件無法在 CloudTrail 事件歷史記錄中查看,所有副本都將按低於管理事件的折扣價格收費。
CloudTrail 管理事件
CloudTrail 免費記錄最近 90 天的管理事件,可在 CloudTrail 控制台的「事件歷史記錄」中查看。對於 Amazon S3 交付的 CloudTrail 事件,交付的第一份副本也是免費的。其他管理事件副本則會收費。管理事件也稱為控制層面操作。
AWS Global Accelerator
通過持續監控應用程序端點的運行狀況並將流量路由到最近的健康端點來提高應用程序可用性。
AWS Cloud Map
會持續監控應用程序中每個基於IP的組件的運行狀況,並在添加或刪除每個微服務時動態更新每個微服務的位置。這可確保您的應用程序僅發現其資源的最新位置,從而提高應用程序的可用性。
安全組(Security Group)
在安全組內只能設置允許的條目,不能設置拒絕的條目
安全組會關聯到EC2實例的ENI(網絡接口)上
你不能使用安全組來禁止某些特定的IP地址訪問主機,要達到這個效果需要使用網絡訪問控制列表(NACL)
安全組會跟蹤ICMP流量,因為無論規則如何,安全組都會跟蹤ICMP流量
AWS 網絡ACL(Network Access Control List)
網絡ACL 沒有任何狀態.
網絡ACL 是在子網級別運行的.而安全組在實例級別運行.
VPC中每個子網都必須與一個網絡ACL 關聯 .
默認網絡ACL的內容允許所有的入站和出站流量.
你可以創建自定義網絡ACL 並且將其與子網關聯. 默認情況下 ,每個自定義的網絡ACL 都拒絕所有的入站和出站流量.直至你添加規則.
安全組是有狀態的,返回的數據流會被自動允許;而網絡ACL是無狀態的,返回數據流必須被規則明確允許,就是說使用網絡ACL配置了允許進站的規則必須要有相應允許出站的規則。
規則判斷的區別,安全組會在決定是否允許數據流前評估所有規則;網絡ACL會按照規則的數字,順序處理所有規則.
AWS存儲
Amazon Elastic Block Store(EBS)
亞馬遜EBS卷提供了高可用、可靠、持續性的塊存儲,EBS可以依附到一個正在運行的EC2實例上,不能將EBS掛載到多個EC2實例上,一個EBS只能掛載到1個EC2實例上.
如果你的EC2實例需要使用數據庫或者文件系統,那麼建議使用EBS作為首選的存儲設備
EBS卷的存活可以脫離EC2實例的存活狀態。也就是說在終止一個實例的時候,你可以選擇保留該實例所綁定的EBS卷
EBS卷可以依附到同一個可用區(AZ)內的任何實例上
EBS卷可以被加密,如果進行了加密那麼它存有的所有已有數據,傳輸的數據,以及製造的鏡像都會被加密
EBS卷可以通過快照(Snapshot)來進行(增量)備份,這個快照會保存在S3 (Simple Storage System)上
你可以使用任何快照來創建一個基於該快照的EBS卷,並且隨時將這個EBS卷應用到該區域的任何實例上
EBS卷創建的時候已經固定了可用區,並且只能給該可用區的實例使用。如果需要在其他可用區使用該EBS,那麼可以創建快照,並且使用該快照創建一個在其他可用區的新的EBS卷
9.快照還可以複製到其他的AWS區域
EBS的不同類型,需要了解不同類型的EBS主要的使用場景
通用型SSD – GP2 (高達10,000 IOPS),適用於啟動盤,低延遲的應用程序等
預配置型SSD – IO1 (超過10,000 IOPS),適用於IO密集型的數據庫
吞吐量優化型HDD -ST1,適用於數據倉庫,日誌處理
HDD Cold – SC1 – 適合較少使用的冷數據
根EBS卷默認是不能進行加密的,但可以使用第三方的加密工具(例如BitLocker)對其進行加密,除了根磁盤外的其他卷是可以加密的
實例存儲Amazon EC2 Instance Store
實例存儲為EC2實例提供了短暫的塊存儲設備
實例存儲(Instance Store Volumes)又叫做短暫型存儲(Ephemeral Storage)
實例存儲是AWS的宿主機上依附的存儲(可以理解為實例存儲是真實的物理機上安裝的磁盤,而EBS則是專門的另外的存儲設備)
實例存儲比較適合存放短暫型、變化很快的數據,比方說緩存、爬蟲數據和其他短暫的數據
實例存儲的大小取決於實例的類型
實例存儲的存活與否與實例的狀態有關係,實例重啟,實例存儲的數據將不受影響,一旦實例終止,實例存儲將永久消失
實例存儲的實例不能進入停止狀態(Stop),只能重啟(Reboot)或者終止(Terminate)。
另外,需要注意的是,並不是所有的實例類型都支持實例存儲。在創建實例的時候,你可以在AWS市場上選擇支持實例存儲的鏡像,然後在下一步你只能選擇某些特定的實例類型大小;而對於EBS來說,沒有那麼多限制,你可以選擇任意的實例類型大小。
EFS (Elastic File System)
Amazon EFS可以簡單地理解為是共享盤或NAS存儲。
支持Network File System version 4 (NFSv4)協議
EFS是Block Base Storage,而不是Object Base Storage(例如S3)
使用EFS,你只需要為你使用的存儲空間付費,沒有預支費用
可以有高達PB級別的存儲
同一時間能支持上千個NFS連接
EFS的數據會存儲在一個AWS區域的多個可用區內
Read After Write Consistency
Amazon EFS在Windows實例上不受支持基於 NFS4協議 不支持 SMB文件協議
Amazon Simple Storage Service (S3)
S3是對象存儲,可以在S3上存儲各種類型的文件,它不是塊存儲(EBS是塊存儲)
S3擁有99.99%(4個9)的可用性(Availability)
S3擁有99.999999999%(11個9)的持久性(Durability)
S3創建的時候可以選擇某個AWS區域,一旦選擇了就不能更改,如果要在其他區域使用該S3的內容,可以使用跨區域複製
使用訪問控制列表(Access Control Lists)和桶策略(Bucket Policy)可以控制S3的訪問安全
控制存儲桶的權限可以使用訪問控制列表(ACL)或者桶策略(Bucket Policy)
版本控制啟動後可以使用MFA Delete功能,即在刪除一個文件的時候需要另外提供Token信息(軟Token或者硬件Token),以此增加文件的安全性,減少誤刪的概率
S3跨區域同步
啟用S3跨區域複製首先需要在源S3存儲桶和目標S3存儲桶都開啟S3版本控制功能
源S3存儲桶和目標S3存儲桶不能位於同一個區域
在開啟跨區域複製前的已存在的文件不會被自動同步,開啟跨區域複製之後,新增加的文件會被自動同步
跨區域複製不能疊加,意味着數據不可以從A同步到B,然後再同步到C
刪除文件,文件的某一個版本或者刪除刪除標記(Delete Marker)是不會被同步的
S3加密選項
傳輸過程中的加密(In Transit): 使用SSL/TLS加密,即使用HTTPS而不是HTTP來傳輸從S3到客戶端之間的數據。
使用客戶端加密保護數據(Client Side Encryption): 在數據發送到Amazon S3之前使用客戶端來對數據進行加密
使用服務器端加密保護數據(Server Side Encryption,SSE):即在Amazon S3將你的數據寫入物理磁盤的時候加密這些數據,並在你需要訪問這些數據的時候再對其進行解密
Amazon S3 託管密鑰的服務器端加密 (SSE-S3) – 使用256位AES-256加密標準進行加密,並且主密鑰會定期輪換
AWS KMS 託管密鑰的服務器端加密 (SSE-KMS) – 使用AWS提供的密鑰管理系統,有更多的密鑰管理能力
服務器端加密與客戶提供的密鑰一起使用 (SSE-C) – 你來提供和管理加密密鑰,S3負責加密和解密
S3 傳輸加速(Transfer Acceleration)
Amazon S3 Transfer Acceleration 可在客戶與 S3 存儲桶之間實現快速、輕鬆、安全的遠距離文件傳輸。Transfer Acceleration 利用 Amazon CloudFront 的全球分布式邊緣站點。當數據到達某個邊緣站點時,會被經過優化的網絡路徑路由至 Amazon S3。 在以下情形下你可能就需要考慮使用S3傳輸加速:
您位於全球各地的客戶需要上傳到集中式存儲桶
您定期跨大洲傳輸數 GB 至數 TB 數據
您在上傳到 Amazon S3 時未充分利用 Internet 上的可用帶寬
Storage Gateway
AWS Storage Gateway 是一項混合雲存儲服務,可讓您從本地訪問幾乎不受限制的雲存儲。客戶使用 Storage Gateway 簡化存儲管理,降低關鍵混合雲存儲用例的成本。 其中包括將備份和存檔移動到雲、使用雲存儲支持的本地文件共享,以及為本地應用程序提供對 AWS 中數據的低延遲訪問。
為了支持這些用例,該服務提供了三種不同類型的網關:磁帶網關、文件網關和卷網關,這些網關將本地應用程序無縫連接到雲存儲,從而在本地緩衝數據以進行低延遲訪問。
文件網關(File Gateway)
您可以使用行業標準 NFS 和 SMB 文件協議連接直接訪問存儲在 Amazon S3 或者 Amazon Glacier上的文件 ,並且本地進行緩存 網絡中傳輸的是文件內容 . 您可以將文件網關視為 S3 上的文件系統掛載。
不可以使用文件網關將文件寫入 EFS
即使為存儲桶配置 S3 Transfer Acceleration,文件網關也不會使用加速的終端節點。
Volume Gateway
使用 iSCSI 作為本地磁盤連接到本地服務器上,讓本地服務器可以訪問到 Amazon S3 內的文件,其中,Volume Gateway 又分為以下兩種
Stored Volumes:所有的數據都將保存到本地,但是會異步地將數據備份到AWS S3上
Cached Volumes:所有的數據都會保存到S3,但是會將最經常訪問的數據緩存到本地
AWS Backup 支持緩存卷和存儲卷的備份與還原。將 AWS Backup 與卷網關配合使用,您可以集中管理備份、減輕運營負擔並滿足合規要求。
Tape Gateway
用來取代傳統的磁帶備份,通過 Tape Gateway 可以使用NetBackup,Backup Exec或Veeam 等備份軟件將文件備份到 Amazon S3 或者 Amazon Glacier .磁帶網關使用存儲行業標準 iSCSI 協議向備份應用程序提供了一個虛擬磁帶庫 (VTL),iscsi的block級的協議,網絡中傳輸的是硬件操作命令iscsi適合io操作,比如在iscsi上安裝遊戲/應用程序,提升IO性能
AMI系統鏡像和快照
Amazon Machine Image (AMI) 亞馬遜AWS提供的系統鏡像 考點:
由實例的操作系統、應用程序和應用程序相關的配置組成的模板
一個指定的需要在實例啟動時附加到實例的卷的信息(比方說定義了使用8 GB的General Purpose SSD卷)
你可以創建並註冊一個AMI,並且可以使用這個AMI來創建一個EC2實例。同時你也可以將這個AMI複製到同一個AWS區域或者不同的AWS區域。你同樣也可以註銷這個AMI鏡像。
EBS快照(Snapshot)
備份的快照將會保存在亞馬遜S3 (Simple Storage System)上
EBS快照屬於增量備份,即第二次之後的快照只會更新變化了的那一部分數據
你可以在EC2實例運行的狀態下進行EBS的快照操作,但會給EC2的系統帶來一定延遲(CPU,內存利用率會變高)
最佳實踐是將EC2實例停止,然後將EBS從EC2上卸載下來,進行快照操作
你可以基於EBS快照在同一個AWS區域創建新的EBS卷,這個卷可以是任何EBS類型,任何支持的大小
你也可以將快照複製到其他AWS區域
你可以將快照共享給其他的AWS用戶
加密的EBS卷在創建快照後,該快照也會被自動加密
通過加密快照創建的EBS也是自動加密的
在複製未加密的快照時,你可以在複製過程中對其加密
負載均衡器
傳統負載均衡器(Classic Load Balancer)
ELB是最終用戶的唯一接觸點
但ELB的彈性不是立馬生效的,擴容的過程需要一定的時間(1到7分鐘)
如果有可預料的爆發性流量要發生,AWS可以對該ELB進行預熱(pre-warm)從而提前達到能處理這些流量的性能大小.
ELB是阻擋來自網絡攻擊的第一道防線(比如DDoS攻擊)
能和AWS彈性伸縮(Auto Scaling)集成,從而能保證後台運行的EC2實例能滿足流量的需求
ELB只在一個特定的AWS區域中工作,不能跨區域(Region),但可以跨可用區(AZs)
ELB會以DNS (Domain Name System)的形式顯示在AWS管理控制台
內部負載均衡器:典型的使用案例是放置在前端服務器和後端服務器之間
應用程序負載均衡器()Application Load Balancer)
ALB支持通過IP地址進行目標註冊,包括位於VPC之外的目標。即可以在一個ALB中定義4個AWS中的EC2實例,同時定義2個來自公司內網的物理服務器
支持容器化的應用程序
網絡負載均衡器(Network Load Balancer)
網絡負載均衡器,簡稱其為NLB,在 OSI模型的第四層. 運行於請求路徑路由功能,以及基於HTTP標頭路由等等這些7層的功能,NLB是無法做到的
只支持傳輸層協議 TCP UDP 意思TLS
使用 流哈希算法 選擇目標
通過 源端口和序列號 路由到不同目標
每個單獨的TCP 有效期內只會路由到單個目標
能夠處理 突發和不穩定 的流量模式,處理極具波動的工作負載,可擴展到每秒處理上百萬個請求
支持將靜態IP地址 用於負載,還可以為負載均衡器啟用的每個子網分配一個彈性IP地址.
EC2
彈性伸縮組(Auto Scaling Group)
彈性伸縮組(ASG)只能在某一個AWS區域內運行,不能跨越多個區域.但可以多個可用區
AWS 置放群組
Cluster(集群): 單個可用區內啟動物理上彼此接近的每個關聯實例 「集群置放群組」,最適用於HPC 應用程序通常使用的緊密耦合的節點到節點通信的要求。如果大部分網絡流量在組中的實例之間進行,也建議使用「集群置放群組」。**最後要注意,AWS認證考試經常會出現的考點,一個集群置放群組不能跨過多個可用區。Placement Group可以跨越peerd VPC,但要保證在同一個可用區內.
Spread 組 在硬件之間物理分離實例,以降低故障 .分布置放群組可以跨越同一區域中的多個可用區,每個群組在每個可用區中最多有 7 個正在運行的實例。
partiton(分區):分區策略通常為大型分布式和重複的工作負載所使用,例如,Hadoop、Cassandra 和 Kafka。分區置放群組可以在同一區域的多個可用區中具有分區。對於每個可用區,一個分區置放群組最多可具有 7 個分區。
Bootstrap開機腳本
在你啟動一個Amazon EC2實例的時候,你可以選擇在實例啟動的時候運行你預先設定的Bootstrap腳本。該腳本可以是一段代碼、文件或者base64的編碼。
Elastic Beanstalk
使用者只需要上傳應用程序,Elastic Beanstalk 將自動處理容量預配置、負載均衡、Auto Scaling 和應用程序運行狀況監控的部署細節
數據傳輸
AWS Snowball
通過使用 Snowball 服務,你可以將 PB 級別的分析數據、基因組數據、視頻庫等數據簡單地、快速地、安全地傳送到 AWS 的數據中心去,並且花費低至使用高速互聯網的五分之一。
可以在本地數據中心和 Amazon S3 之間進行數據的導入和導出
支持 50TB 的容量版本以及 80TB 的容量版本,可以同時使用多個 Snowball 並行傳輸數據。
外設使用了防篡改外殼,支持 AES-256 加密和行業標準的可信平台模塊 (TP
Snowball Edge
Snowball Edge 實際上和標準版的 Snowball 很類似,只是它還另外提供了計算的功能。它除了能提供 100TB 的數據傳輸能力外,還有 AWS Lambda 的計算能力。
支持 100 TB 的存儲容量,是原始 Snowball 的兩倍
能編寫 Lambda 函數並在創建 Snowball Edge 設備任務的時候將其與 S3 存儲桶關聯起來
Snowball Mobile
AWS Snowmobile 是一種用於將海量數據移動到 AWS 中的 EB 級數據傳輸服務。
Amazon Virtual Private Cloud (Amazon VPC)
VPC
可以創建Internet Gateway並且綁定到VPC上,讓EC2實例可以訪問互聯網
一個VPC可以跨越多個可用區(AZ),一個子網只能在一個可用區(AZ)內
VPC的子網掩碼範圍是從/28到/16,不能設置在這個範圍外的子網掩碼
VPC可以通過Virtual Private Gateway (VGW) 來與企業本地的數據中心相連
VPC可以通過AWS PrivateLink訪問其他AWS賬戶託管的服務(VPC終端節點服務)
每個子網 CIDR 塊中的前四個 IP 地址和最後一個 IP 地址無法供您使用,而且無法分配到一個實例。
VPC Peering
VPC Peering可是兩個VPC之間的網絡連接,通過此連接,你可以使用IPv4地址在兩個VPC之間傳輸流量。這兩個VPC內的實例會和如果在同一個網絡一樣彼此通信。
可以通過AWS內網將一個VPC與另一個VPC相連
同一個AWS賬號內的2個VPC可以進行VPC Peering
不同AWS賬號內的VPC也可以進行VPC Peering
不支持VPC Transitive Peering : 如果VPC A和VPC B做了Peering , 而且VPC B和VPC C做了Peering, 那麼VPC A是不能和VPC C進行通信的,要通信,只能將VPC A和VPC C進行Peering.
如果兩個VPC出現了地址覆蓋/重複,那麼這兩個VPC不能做Peering
如果只需要精確控制兩個vpc中的兩個子網聯通怎麼辦?借用NACL/路由表
VPC流日誌(Flow Logs)
Flow logs可以在以下級別創建:
VPC級別
子網級別
網絡接口級別
VPC終端節點(VPC Endpoints)
VPC終端節點能建立VPC和一些AWS服務之間的高速、私密的「專線」。這個專線叫做PrivateLink,使用了這個技術,你無需再使用Internet網關、NAT網關、VPN或AWS Direct Connect連接就可以訪問到一些AWS資源了!
接口終端節點 interface VPC endpoints :
供一個彈性網絡接口ENI,ENI會被分配一個所屬子網的私有 IP 地址. 當創建訪問EC2服務的接口終端節點後,會生成3個DNS域名。
前面這兩個VPCE開頭的DNS名稱,會解析為這個創建的接口終端節點的私有IP,可以通過這兩個DNS,通過私有網絡訪問EC2服務。
重點是最後這個EC2開頭的DNS名稱,這個是我測試的區域調用EC2服務API的公有DNS,在沒使用終端節點時,都是使用這個公有的DNS名稱與EC2服務通信。但注意如果您勾選啟用了私有DNS名稱,這個公有DNS將會解析為您創建的終端節點的私有IP地址,這樣的話您可以繼續使用這個DNS通過終端節點訪問EC2服務。
網關終端節點 geteway VPC endpoints
只支持S3和DynamoDB服務
需要更新路由表,在其中創建到AWS服務的路由
網關終端節點在VPC級別定義
必須在VPC中啟動DNS 解析
無法將終端節點擴展到VPC之外(VPN 連接、VPC 對等連接、transit gateway、AWS Direct Connect )
Direct Connect線路
AWS Direct Connect線路可以讓你通過以太網光纖線路連接你的內部網絡與AWS Direct Connect Location,可以打通你的內部網絡與AWS的網絡,從而擁有高速率、低延遲,安全、可靠的專線網絡。
AWS提供的Direct Connect的帶寬是1Gbps或者是10Gbps
少於1Gbps速率的Direct Connect線路可以向AWS Direct Connect合作夥伴申請,可以申請50Mbps到500Mbps的線路
Direct Connect的數據包使用802.1Q協議進行封裝(Q-in-Q tagging)
VPN連接和Direct Connect的區別
VPN連接可以在數分鐘之內就搭建成功。如果有緊急的業務需求,可以使用VPN連接。VPN連接是基於互聯網線路的,因此帶寬不高,穩定性也不好,但價格便宜
AWS Direct Connect使用的是專線,你的數據不會跑在互聯網上,是私有的、安全的網絡
NAT
NAT實例(NAT Instance)
創建NAT實例之後,一定要關閉源/目標檢查(Source/Destination Check)
NAT實例需要創建在公有子網內
私有子網需要創建一條默認路由(0.0.0.0/0),指到NAT實例
NAT實例的瓶頸在於實例的大小,如果遇到了網絡吞吐瓶頸,你可以加大實例類型
需要自己創建彈性伸縮組(Auto Scaling Group),自定義腳本來達到NAT實例的高可用(比如部署在多個可用區)
需要關聯一個安全組(Security Group)
NAT網關(NAT Gateway)
網絡吞吐可以達到10Gbps
不需要為NAT的操作系統和程序打補丁
不需要關聯安全組
自動分配一個公網IP地址(EIP)
私有子網需要創建一條默認路由(0.0.0.0/0)到NAT網關
不需要更改源/目標檢查(Source/Destination Check)
堡壘機(Bastion Host)又叫做跳板機(Jump Box)
主要用於運維人員遠程登陸服務器的集中管理。運維人員首先登陸到這台堡壘機(公網),然後再通過堡壘機管理位於內網的所有服務器。
Route53
其他知識點
彈性負載均衡器(ELB)沒有固定的IPv4地址,在使用ELB的時候永遠使用它的DNS名字。很多場景下我們需要綁定DNS記錄到ELB的endpoint地址,而不綁定任何IP
需要熟記Alias記錄和CNAME的區別,別名記錄只能將查詢重定向到選定的 AWS 資源
考試中,如果出現選擇Alias記錄和CNAME記錄的選擇,95%的情況都要選擇Alias記錄
數據庫
RDS
關係型數據庫 SQL Server,Oracle,MySQL Server,PostgreSQL,Aurora,MariaDB等 適合聯機事務處理OLTP(Online Transaction Processing)
現在AWS RDS的所有關係數據庫都支持加密。一旦啟用了加密的功能,所有數據的存儲都將會被加密,包括數據庫本身、自動備份、快照和只讀副本(read replicas)。
如果在創建數據庫的時候沒有加密,我們不能在事後對其進行加密,但我們可以創建這個數據庫的快照,複製該快照並且加密這個複製的版本
高可用的設置只是用來解決災備的問題,並不能解決讀取性能的問題;要提升數據庫讀取性能,我們需要用到Read Replicas。
Read Replicas是用來提高讀取性能的,不是用來做災備的
要創建Read Replicas需要源RDS實例開啟了自動備份的功能
可以為數據庫創建最多5個Read Replicas
可以為Read Replicas創建Read Replicas
每一個Read Replicas都有自己的URL Endpoint
可以為一個啟用了Multi-AZ的數據庫創建Read Replicas
Read Replicas可以提升成為獨立的數據庫
可以創建位於另一個區域(Region)的Read Replicas
DynamoDB
DynamoDB是一種非關係數據庫(NoSQL),可在任何規模提供可靠的性能。DynamoDB能在任何規模下實現不到10毫秒級的一致相應,並且它的存儲空間無限。
使用SSD存儲
數據分散在3個不同地理位置的數據中心(並不是3個可用區)
最終一致性讀取(Eventual Consistent Reads):默認的設置,即如果寫入數據到DynamoDB之後馬上讀取該數據,可能會讀取到舊的信息,DynamoDB需要時間(一秒內)把寫入的數據同步到3個不同地理位置的數據中心
強一致性讀取(Strongly Consistent Reads):在寫入數據到DynamoDB之後馬上讀取該數據,會等所有寫入操作以及數據同步全部完成後再回饋結果,即強一致性讀取一定會讀到最新的數據結果
如果我們需要增加DynamoDB的規格,我們可以直接在AWS管理控制台上進行更改,並且不會有任何系統downtime
除非您指定其他讀取方式,否則 DynamoDB 將使用最終一致性讀取。讀取操作 (例如 GetItem,Query 和 Scan) 提供了一個 ConsistentRead 參數。如果您將此參數設置為 true,DynamoDB 將在操作過程中使用強一致性讀取。
Redshift
數據倉庫 類似Greenplum, Hive: 適合 聯機分析處理OLAP(Online Analytics Processing)
OLAP是數據倉庫(Data Warehousing)系統的主要應用,支持複雜的分析操作,側重決策支持,並且能提供直觀易懂的查詢結果。OLAP是用來做商業智能(Business Intelligence)方面的分析的。
目前Redshift只能部署在一個可用區內,不能跨可用區或者用類似RDS的高可用配置, Redshift是用來產生報告和做商業分析的,並不需要像生產環境一樣對可用性有高保證
我們可以對Redshift做快照,並且在需要的時候恢復這個快照到另一個可用區
Redshift傳輸過程中使用SSL加密
Redshift使用AES-256進行加密
默認情況下Redshift幫我們解決了秘鑰管理的問題
我們也可以使用自己的秘鑰
或者使用AWS Key Management Service (KMS)來管理秘鑰
Elasticache
數據緩存 : Memcached,Redis
Aurora
Amazon Aurora是一種兼容MySQL和PostgreSQL的商用級別關係數據庫,Aurora的速度可以達到MySQL數據庫的5倍,同時它的成本只是商用數據庫的1/10。
Aurora會將你的數據複製2份到每一個可用區內,並且複製到最少3個可用區,因此你會有6份數據庫備份,2份及以下的數據備份丟失,不影響Aurora的寫入功能,3份及以下的數據備份丟失,不影響Aurora的讀取功能
Aurora有自動修復的功能,AWS會自動檢查磁盤錯誤和數據塊問題並且自動進行修復
有兩種數據庫只讀副本
Aurora Replicas(最多支持15個)
MySQL Replica(最多支持5個)
兩者的區別是Aurora主數據庫出現故障的時候,Aurora Replicas可以自動變成主數據庫,而MySQL Replica不可以
消息
SQS (Simple Queue Service)
Amazon Simple Queue Service (SQS)是一種完全託管的消息隊列服務,可以讓你分離和擴展微服務、分布式系統和無服務應用程序。
標準隊列(Standard Queue)
標準隊列擁有無限的吞吐量,所有消息都會至少傳遞一次,並且它會盡最大努力進行排序。
FIFO隊列
FIFO (First-in-first-out)隊列在不使用批處理的情況下,最多支持300TPS(每秒300個發送、接受或刪除操作)。
在隊列中的消息都只會不多不少地被處理一次。
FIFO隊列嚴格保持消息的發送和接收順序。
3.== SQS是靠應用程序去拉取的,而不能主動推送給應用程序==,推送服務我們使用SNS(Simple Notification Service)
消息會以256 KB的大小存放
消息會在隊列中保存1分鐘~14天,默認時間是4天
可見性超時(Visibility Timeout): 即當SQS隊列收到新的消息並且被拉取走進行處理時,會觸發Visibility Timeout的時間。這個消息不會被刪除,而是會被設置為不可見,用來防止該消息在處理的過程中再一次被拉取
標準SQS隊列保證了每一個在隊列內的消息都至少會被處理一次
長輪詢(Long Polling): 默認情況下,Amazon SQS使用短輪詢(Short Polling),即應用程序每次去查詢SQS隊列,SQS都會做回應(哪怕隊列一直是空的,使用了長輪訓,應用程序每次去查詢SQS隊列,SQS隊列不會馬上做回應。而是等到隊列里有消息可處理時,或者等到設定的超時時間再做出回應。長輪詢可以一定程度減少SQS的花銷
SNS (Simple Notification Service)
SNS (Simple Notification Service) 是一種完全託管的發布/訂閱消息收發和移動通知服務,用於協調向訂閱終端節點和客戶端的消息分發。和SQS (Simple Queue Service)一樣,SNS也可以輕鬆分離和擴展微服務,分布式系統和無服務應用程序,對程序進行解耦。
我們可以使用SNS將消息推送到SQS消息隊列中、AWS Lambda函數或者HTTP終端節點上。
SNS是實時的推送服務(Push),有別於SQS的拉取服務(Pull/Poll)
擁有簡單的API,可以和其他應用程序兼容
可以通過多種不同的傳輸協議進行集成
可以推送目標 HTTP,HTTPS,Email,Email-JSON,SQS,Application,Lambda
SWF (Simple Workflow Service)
Amazon Simple Workflow Service (Amazon SWF) 提供了給應用程序異步、分布式處理的流程工具。SWF可以用在媒體處理、網站應用程序後端、商業流程、數據分析和一系列定義好的任務上。
SWF除了支持順序執行的流程之外,也支持並行處理的流程,即一個任務的完成可以觸發多個任務同時執行。
SWF決策者和參與者可以是運行在AWS上的EC2實例或者其他計算資源,SWF只是保存不同的任務,把這些任務分配給worker,並且監控他們的任務處理進展。
SWF和SQS的區別
SWF是面向任務的;SQS是面向消息的;
SWF保證了每一個任務都只執行一次而不會重複;標準的SQS消息可能會被處理多次
SWF保證了程序內所有任務都正常被處理,並且追蹤工作流;而SQS只能在應用程序的層面追蹤工作流
SWF內的任務最長可以保存1年;SQS內的消息最長只能保存14天
API Gateway
Amazon API Gateway可以讓開發人員創建、發布、維護、監控和保護任何規模的API。你可以創建能夠訪問 AWS、其他 Web 服務以及存儲在 AWS 雲中的數據的API。
API Gateway可以緩存內容,從而更快地將一些常用內容發送給用戶
API Gateway是一種低成本的無服務(serverless)方案,而且它可以自動彈性伸縮(類似ELB,NAT網關)
可以對API Gateway進行節流,以防止惡意攻擊
可以將API Gateway的日誌放到CloudWatch中
如果你使用JavaScript/AJAX來跨域訪問資源,那麼你需要保證在API Gateway上已經開啟了CORS (Corss-Origin Resource Sharing)功能
Elastic Transcoder
Amazon Elastic Transcoder是一種在線媒體轉碼的工具,使用它我們可以很容易地將我們的視頻從源格式轉換到其他的格式和分辨率,以便在手機、平板、PC等設備上播放。
Kinesis
Amazon Kinesis可以讓你輕鬆收集、處理和分析實時流數據。利用Amazon Kinesis,你可以在收到數據的同時對數據進行處理和分析,無需等到數據全部收集完成才進行處理。
數據流是從成千上萬的數據源上持續產生的數據,並且這些數據都很小(KB級別),它們可能是:
電商網站上的訂單信息(比如京東,淘寶)
股票信息
遊戲信息 社交網絡信息(微信/微博的信息流)
地理位置信息(滴滴)
物聯網數據
Kinesis Data Streams (Kinesis Streams):使用自定義的應用程序分析數據流
: Amazon Kinesis Data Streams可以實時收集和處理大型數據流,這些數據會被處理並且發送到多種AWS服務中去,也可以生成報警、動態更改定價和廣告戰略等。
Kinesis Video Streams:捕獲、處理並存儲視頻流用於分析和機器學習(Machine Learning)
: Kinesis Video Streams主要用來進行實時的視頻處理,或者批量進行視頻分析。
Kinesis Data Firehose:將數據加載到AWS數據存儲上
: Kinesis Data Firehose可以讓我們的實時數據流傳輸到我們定義的目標,包括Amazon S3,Amazon Redshift,Amazon Elasticsearch Service (ES)和Splunk。
Kinesis Data Analytics:使用SQL分析數據流
: 使用Kinesis Data Analytics,我們可以使用標準的SQL語句來處理和分析我們的數據流。這個服務可以讓我們使用強大的SQL代碼來做實時的數據流分析、創建實時的參數。
其他服務
AWS組織和整合賬單
AWS組織(Organization)是一項賬戶管理服務,它可以將你的多個AWS賬號整合到集中管理的組織中。
AWS組織包含了整合賬單(Consolidated Billing)和賬號管理功能,通過這些功能,你能夠更好地滿足企業的預算、安全性和合規性的要求。
整合賬單主賬號最好使用多因素認證(Multi-Factor Authentication)
整合賬單主賬號最好只用來管理賬單,不擁有任何訪問AWS資源的權限
一個Organization默認只能管理20個賬號,超過這個數字需要找AWS Support
跨賬號訪問權限(Cross Account Access)
跨賬號訪問權限(Cross Account Access),你可以在AWS管理控制台上輕鬆地進行賬號(角色)的切換,讓你在不同的開發賬號(角色)、測試賬號(角色)、生產賬號(角色)中進行快捷的切換。
資源組和標籤
AWS的資源組(Resource Group)和標籤(Tagging),巧妙地使用這兩個工具可以幫助我們更有效率地管理大規模的AWS資源。
Security Token Service
使用AWS Security Token Service (STS)服務,你可以創建和控制對你的AWS資源訪問的安全憑證。
STS服務產生的憑證是臨時的,它的有效期可以是幾分鐘到幾小時,一旦過了這個時效時間,你的憑證就會失去作用,無法再訪問相應的資源
IAM會長期保存在AWS賬戶中,
企業聯合身份驗證(Federation):
使用了基於Security Assertion Markup Language (SAML) 的標準 ;
可以使用微軟Active Directory的用戶來獲取臨時權限,不需要創建IAM用戶 ;
支持單點登錄(Single Sign On, SSO) ;
Web聯合身份驗證(Federation with Mobile Apps):
使用已知的第三方身份供應商(Amazon, Facebook, Google或其他OpenID提供商)來登錄
跨賬戶訪問 :
讓一個賬號內的用戶訪問同一個組織(Organization)內其他賬號的AWS資源
Amazon WorkSpaces (VDI)
使用Amazon WorkSpaces,你可以為用戶預配置基於雲的虛擬Windows桌面或者Linux桌面。WorkSpaces即遠程虛擬桌面,或者VDI (Virtual Desktop infrastructure)。
FSX
Amazon FSx for Windows File Server
完全託管的Windows文件服務器, 構建於SSD存儲之上,可提供(Windows應用程序)所期望的吞吐量,IOPS和一致的亞毫秒級性能。適用於業務應用程序. Amazon FSx for Windows File Server 提供完全託管的文件存儲,可通過行業標準服務器消息塊 (SMB) 協議進行訪問。Amazon FSx 在 Windows Server 上構建而成,提供多種管理功能,例如重複數據刪除、最終用戶文件還原以及 Microsoft Active Directory (AD) 集成。它提供單可用區和多可用區部署選項、完全託管的備份,以及靜態和傳輸中數據加密。藉助 HDD 存儲選項,Amazon FSx for Windows File Server 可在雲中為 Windows 應用程序和工作負載提供成本最低的文件存儲。您可以從運行在 亞馬遜雲科技 雲上或本地的 Windows、Linux 或 MacOS 計算實例和設備訪問 Amazon FSx。您可以使用多個存儲選項來優化成本和性能,並且可以隨時擴展文件系統存儲和提高性能. 使用案例 : 文件訪問目錄,遷移 Windows 應用程序,高度可用的 Microsoft SQL Server 部署,媒體工作流,Web 服務和內容管理,分析
Amazon FSx for Lustre
全託管的針對繁重計算負載的Lustre文件系統,Lustre是一種平行分布式文件系. 適用於計算密集型工作負載. Amazon FSx for Lustre 是一項完全託管的服務,可為計算工作負載提供經濟高效的高性能存儲。許多工作負載(如機器學習、高性能計算 (HPC)、視頻渲染和財務模擬)都依賴於計算實例通過高性能共享存儲訪問同一組數據。FSx for Lustre 由常見的高性能文件系統 Lustre 提供支持,可提供低延遲、高達每秒數百 GB 的吞吐量和數百萬 IOPS 的共享存儲。FSx for Lustre 提供多種部署類型、存儲類型和吞吐量性能水平,以優化成本和性能,滿足您的工作負載要求。FSx for Lustre 文件系統還可以鏈接 到 Amazon S3 存儲桶,使您能夠同時從高性能文件系統和 S3 API 中訪問和處理數據。。 使用案例 : 機器學習,高性能計算,媒體處理和轉碼,自動駕駛汽車
,大數據和財務分析,電子設計自動化
Windows Active Directory
Active Directory 就是活動目錄,在域中真正幹活的就是這個,他把所有加入域的計算機的所有資源集合起來,並且在用戶認證方面也集中管理,並且可以做到在同一個局域網內任何一個台計算機都可以使用你的賬號登陸,並且登陸後都是相同的桌面了。
AWS Transit Gateway
每個網絡只需連接到 AWS Transit Gateway。通過 Transit Gateway 上的有效路由策略,您可以集中控制 Amazon VPC 與本地網絡相互之間的連接方式。這種連接模式使您可以輕鬆簡單地隨着時間的推移而擴展和監控網絡。
WAF
您可以將 AWS WAF 作為 CDN 解決方案的一部分部署到 Amazon CloudFront 上,也可以將其部署到位於 Web 服務器或來源服務器(運行於 EC2 上)之前的 Application Load Balancer、適用於您的 REST API 的 Amazon API Gateway 或者是適用於您的 GraphQL API 的 AWS AppSync 上。
AWS Shield
託管式 DDoS 防護
AWS Shield Standard 可以防護大多數以網站或應用程序為攻擊對象並且頻繁出現的網絡和傳輸層 DDoS 攻擊。將 AWS Shield Standard 與 Amazon CloudFront 和 Amazon Route 53一起使用時,您將獲得針對所有已知基礎設施(第 3 層和第 4 層)攻擊的全面可用性保護。
成了 AWS WAF 這一 Web 應用程序防火牆。 您的源服務器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB) 或 AWS 外部的自定義服務器。您還可以在以下 AWS 區域直接在彈性 IP 或 Elastic Load Balancing (ELB) 上啟用 AWS Shield Advanced。
如果您希望對添加到您的資源的保護進行精細控制,單獨使用 AWS WAF 是正確的選擇。如果您希望跨賬戶使用 AWS WAF、加快您的 AWS WAF 配置或自動執行新資源的保護,請將 Firewall Manager 與 AWS WAF 結合使用。Shield Advanced 在 AWS WAF 的基礎上添加了額外功能,例如來自 DDoS 響應團隊 (DRT) 的專屬支持和高級報告。
DAX
Amazon DynamoDB Accelerator (DAX) 是適用於 Amazon DynamoDB 的完全託管且高度可用的內存中的緩存,可實現高達 10 倍的性能提升(從數毫秒縮短到數微秒),即使在每秒處理的請求數量達到數百萬個的情況下也是如此。
DAX 負責完成為 DynamoDB 表進行內存中的加速所需的所有繁重任務,使開發人員無需管理緩存失效、數據填充或集群管理。
Amazon Neptune
Amazon Neptune 是一項快速、可靠且完全託管的圖形數據庫服務,可幫助您輕鬆構建和運行使用高度互連數據集的應用程序.Neptune 支持圖形使用案例,如建議引擎、欺詐檢測、知識圖譜、藥物開發和網絡安全。
AWS Config rule
評估您 AWS 資源配置是否具備所需設置。
獲得與您的 AWS 賬戶關聯的受支持資源的當前配置快照。
檢索您的賬戶中的一個或多個資源配置。
檢索一個或多個資源的歷史配置。
在資源被創建、修改或刪除時接收通知。
查看不同資源之間的關係。例如,您可能想要找到使用特定安全組的所有資源。
Amazon Trusted Advisor
Amazon Trusted Advisor 的作用類似於自定義雲專家,幫助您按照以下最佳實踐來配置資源。Trusted Advisor 會檢查您的亞馬遜雲科技環境,並發現可以節省開支、提高系統性能和可靠性或幫助彌補安全漏洞的機會。 Amazon Trusted Advisor 提供了以下四種類別的最佳實踐:成本優化、安全、容錯能力和性能提升。
CloudHSM
控制和管理自己的密鑰,WS KMS 還與 集成AWS CloudTrail以記錄您的 的使用CMKs,從而滿足審計、監督和合規性需求。== 通過使用 CloudTrail ,您可以監控和調查哪些人在何時以何種方式CMKs使用了==。
AWS Glue
AWS Glue 是一項完全託管的 ETL(提取、轉換和加載)服務,使您能夠輕鬆而經濟高效地對數據進行分類、清理和擴充,並在各種數據存儲和數據流之間可靠地移動數據。
Aurora Global Databases V.S. DynamoDB Global Tables
Aurora Global Databases 一寫多讀, 毫秒級同步
DynamoDB Global Tables 多點寫入
AWS Organizations
AWS Organizations 是一項賬戶管理服務,使您能夠將多個 AWS 賬戶整合到您創建併集中管理的組織 中。AWS Organizations 包含賬戶管理和整合賬單功能,可利用這些功能更好地滿足企業的預算、安全性和合規性需求。作為組織的管理員,您可以在組織中創建賬戶並邀請現有賬戶加入組織。
Kinesis
Kinesis Data Streams (Kinesis Streams):使用自定義的應用程序分析數據流
Kinesis Video Streams:捕獲、處理並存儲視頻流用於分析和機器學習(Machine Learning)
Kinesis Data Firehose:將數據加載到AWS數據存儲上
Kinesis Data Analytics:使用SQL分析數據流(Athena是交互式查詢)
CloudTrail data events v.s. s3 server access log
Cloud Trail能提供一致性驗證,s3 server access log不能
AWS Transfer Family
AWS Transfer Family 提供完全託管支持,可將文件直接傳入和傳出 Amazon S3 或 Amazon EFS
Aws Inspector, AWS Macie , AWS Trusted Advisor , AWS GuardDuty, AWS Cognito
Amazon Inspector 是一項自動安全評估服務,有助於提高在 AWS 上部署的應用程序的安全性與合規性
Amazon Macie 是一項完全託管的數據安全和數據隱私服務,它利用機器學習和模式匹配來發現和保護 AWS 中的敏感數據
AWS Trusted Advisor 是一個在線工具,可提供實時指導,幫助您按照 AWS 最佳實踐預置資源
Amazon GuardDuty 提供智能威脅檢測和持續監控,保護您的 AWS 賬戶、工作負載和數據。是一種威脅檢測服務,可持續監控惡意活動和未經授權的行為,從而保護您的== AWS 賬戶、工作負載和在 Amazon S3 中存儲的數據==
Amazon Cognito,簡單安全的用戶註冊、登錄和訪問控制
Internet Gateway
Internet網關是 logical connection between an Amazon VPC and the Internet . 它不是物理設備 . 每個VPC只能關聯一個 . 它不限制Internet連接的帶寬
gateway分很多種,比如:
nat gateway:network address translate,只能從vpc內部訪問internet或者aws services,外部無法訪問vpc,這樣大大地提高了安全性
vpn gateway:virtual private network,用於通過vpn連接企業的局域網或者數據中心
internet gateway:同internet進行雙向通信,一般會給ec2 instance綁定一個elastic ip address用於從外部訪問ec2 instance
egress-only gateway:只能從ec2 instance向外訪問,並且只適用於ipv6地址的路由,ipv4的話需要使用nat gateway
下面再說一說network interface,如果ec2 instance當作電腦主機的話,network interface相當於網卡,每個ec2 instance可以指定一個或多個network interface,有了網卡,主機才能同外界進行數據通信,而且不同的網卡可以存在於不同的subnet裡面
Elastic Fabric Adapter
Elastic Fabric Adapter (EFA) 是一種網絡設備,可以將其附加到 Amazon EC2 實例以加速高性能計算 (HPC) 和機器學習應用程序。通過使用 EFA,您可以實現本地 HPC 集群的應用程序性能,並具有 AWS 雲提供的可擴展性、靈活性和彈性。
AWS Billing and Cost Management
AWS Billing and Cost Management 是您用來支付 AWS 帳單、監控用量,以及分析和控制成本的 服務。
AWS Security Hub
AWS Security Hub 讓您全面了解 AWS 賬戶中的高優先級安全警報與合規性狀態。 藉助 Security Hub,您現在可以設置單個位置,聚合、組織和優先處理來自多個 AWS 服務(如 Amazon GuardDuty,Amazon Inspector 和 Amazon Macie),以及來自 AWS 合作夥伴解決方案的安全警報或檢測結果。
S3 IAM Policy , 桶策略(Bucket Policy)和訪問控制列表(Access Control Lists)
AWS S3的權限設置一直是一個重難點,而且是比較混淆的一個概念。比較混淆的地方在於,用戶可以通過三個不同的地方進行權限管理,這三個地方分別是 IAM Policy, Bucket Policy 以及 Bucket ACL。
IAM Policy是global級別的,他是針對用戶來設置的,比如一個用戶對所有的S3Bucket擁有get和list權限,那他就可以瀏覽任何一個Bucket的內容
S3 Bucket Policy僅僅是針對單個Bucket 而言的,他可以控制不同用戶對他本身的訪問權限
Bucket ACL是一個早期的服務,現在用的比較少了,但是如果我們需要對Bucket其中的具體對象配置訪問權限,我們需要使用Bucket ACL。
默認情況下,所有新創建的S3存儲桶都是私有的,只有存儲桶的創建者/擁有者才能訪問
你可以通過桶策略(Bucket Policy)和訪問控制列表(Access Control Lists)兩個方法來控制S3存儲桶的安全性
S3存儲桶的訪問日誌可以存到另一個S3存儲桶裡面,方便對日誌進行查看
AWS Security Token Service
AWS Security Token Service (AWS STS) 使您能夠為 AWS IAM 用戶或您通過聯合身份驗證進行身份驗證的用戶請求權限受限的臨時憑證。
一個常見的臨時憑證使用案例是向移動或客戶端應用程序授予對 AWS 資源的訪問權限,方法是通過第三方身份提供程序對用戶進行身份驗證
CloudTrail 數據事件
CloudTrail 默認會禁用數據事件。您可以啟用日誌記錄,但需要額外付費。數據事件也稱為數據層面操作,通常都屬於較高容量的活動。數據事件無法在 CloudTrail 事件歷史記錄中查看,所有副本都將按低於管理事件的折扣價格收費。
CloudTrail 管理事件
CloudTrail 免費記錄最近 90 天的管理事件,可在 CloudTrail 控制台的「事件歷史記錄」中查看。對於 Amazon S3 交付的 CloudTrail 事件,交付的第一份副本也是免費的。其他管理事件副本則會收費。管理事件也稱為控制層面操作。
AWS Global Accelerator
通過持續監控應用程序端點的運行狀況並將流量路由到最近的健康端點來提高應用程序可用性。
AWS Cloud Map
會持續監控應用程序中每個基於IP的組件的運行狀況,並在添加或刪除每個微服務時動態更新每個微服務的位置。這可確保您的應用程序僅發現其資源的最新位置,從而提高應用程序的可用性。