【总结】利用AWS搭建混合云的架构

下载完整视频：下载完整MP4文件

1.邱洋的理解

• 定义了混合IT架构的概念（因为有些企业本地可能还没有云，但是需要构建云+物理的架构）

• 混合IT架构是趋势，但最终不是公有云一统天下，而本地IT必然继续存在，因为：

  • 数据合规性要求（例：欧洲的数据只能在欧洲）
  • 特殊硬件要求（例：加密狗等）
  • 遗留资产投资回报
  • 商业权益保护（例：绑定mac地址的软件）

• 要实现混合IT架构，需要从多个方面的努力

  • 连接性（连接物理环境和云环境）
    – VPN
    – 光纤直连

  • 迁移工具
    – 数据迁移（如Storage Gateway服务）
    – VM迁移（如VM Import/Export服务）
    – 网络规划迁移（使用VPC来制定子网、ACL等）

  • 企业组织架构信息同步
    – 云中的AD、LDAP等信息同步（可以使用Directory Services 服务）

  • 了解云服务与传统架构对应关系
    – EC2 → 物理机
    – EBS/S3 → SAN存储
    – ELB → F5/Nginx等
    – RDS → Oracle/SQLServer数据库等

• 常见的混合云架构应用模式

  • 备份，存档 （通过storage gateway将数据保存到S3，在放到磁带库Glance上）
  • 存储扩展 （通过storage gateway直接本地物理机中挂载NFS、iSCIS、CIFS等卷使用）
  • 灾难恢复 （本地物理机中的应用架构，复制一套在云中–冷备份、暖备份、热备份等）
  • 开发,测试验证 （扩展本地数据中心的计算、存储、网络能力）
  • 关键业务应用（例如：oracle、sqlserver数据库等使用RDS服务）
  • 大数据分析（控制台在本地数据中心，后端数据处理能力使用EMR）

2.什么是IT混合架构

2.1.混合IT架构的定义

之所以定义为IT混合架构中，而不是混合云：因为企业可能是公有+私有云的模式，也有可能是公有+私有数据中心（没云）的架构

Gartner对混合IT的定义：混合的IT架构是指结合“内部和外部的服务”，通常通过结合公有云和私有云，来实现业务结果

AWS对混合架构的定义：服务+解决方案=业务结果

2.2.云是新常态，为什么还要混合架构？（混合云的好处）

• 继续使用已经建设的设施
• 在投资–CapEx和运营–OpEx之间控制支出
• 合规或行业性要求
• 降低单个供应商风险
• 实现独特的功能、性能
• 商业授权维护支持的限制（例如绑定MAC地址，特定硬件）
• 兼得私有云和公有云的好处

2.3.混合IT架构是近期的趋势

Gartner：2017年底，近半企业都会采用混合云部署

但是，混合架构是旅程，不是目地。AWS重点推荐混合架构的目的，是告诉用户最终还是需要选择“云”，混合架构只是渐进、过渡式的路线方法

3.AWS支持混合IT架构

3.1.AWS支持的混合架构

• 混合环境
  
  • 公有云+私有云
  • 公有云+自建私有IDC
  • 公有云+托管私有IDC
• 公有+私有IDC之间的连接
  
  • 私有链接
  • 工作负载与数据迁移
  • 访问控制集成
  • 与现有管理工具一起使用

从IT整体（中、高）层面来看混合架构

3.2.支持混合架构的部分云服务

• 常见公有云基础服务(核心)

  • EC2
  • ELB
  • EBS
  • S3
  • RDS

• 高级功能

  • VPC
  • Virtual Private Network（VPN服务企业私有网络）
  • AWS Direct Connect（专线直连）
  • Directory Services（对应企业的AD，对用户身份进行管理的服务）
  • AWS Import/Export（VM镜像迁移到公有云）
  • AWS Storage Gateway（将用户本地数据传输到公有云的功能）

3.2.1.网络VPC服务

• 用户使用自己的网络地址段在AWS Cloud上创建逻辑上隔离的网络
• 企业用用对虚拟网络环境的完全控制权，包括创建子网、定义IP地址、路由表和网关
• 在多个可用区(AZ)创建公有和私有子网
• 用户使用NACL管理子网层面的网络安全
• 用户自己管理EC2实例的安全组，为每个EC2实例提供有状体的网络防火墙

3.2.2.网络VPN(IPSec VPN)服务

• 公有云有了VPC之后，可以通过VPN将企业与AWS相连
• 例如：建立了1个VPC，并且建立了2个Subnet，分别在2个AZ中，而VPN服务的对象就是针对一个VPC的
• 通过IPSec硬件VPN连接，支持VPN专用设备
• 加密和验证
• 私密RFC 1918寻址
• 使用 BGP路由和失效救援
• VPN 服务提供管理的接入端

3.2.3.网络Direct Connect专线直连

• 本质上就是在客户私有数据中心中，通过裸光纤建立一个通道

• 通过标准基于互联网的IPSec VPN tunnels或者私有线路，或者两者结合连接到AWS的接驳处
• 用户自己选择连接速度，从50MB到10G的连接，常用的是1G连接
  
  • 允许使用Layer2单模光纤1GBASE-LX or 10GBASE-LR
• 通过行业标准的VLANs和Layer3 路由
  
  • 使用 802.1Q VLANs 实现连接（标注IP流量）
  • 路由使用BGP多路径：A/A(双活，推荐） or A/P(主备)
• 实现通过专线直连到用户的VPC资源
  
  • 每条专线 DX 连接到单一的AWS Region
• 可以在DC接驳处使用用户的网络设备，如WAN优化装置

还可以DC+VPN叠加的使用模式：光纤中不直接走IP，而是在之上再搭建VPN通道，收益是：

• 专用网络路径可以保障带宽
• 比基于互联网的IPSec VPN更能避免网络穿线
• 降低IPSec网络传输成本
• 额外网络安全保障图

4.混合IT架构的例子和用法

4.1.简单例子—通过专线直连实现混合架构

单纯的将不同的业务类型放到不同的云中，例如：生产环境在本地，开发环境在AWS

4.2.高级例子—分割层级，AWS前端

例如将3层架构的web前端放入云中，那么可以：
- 使用ELB保障扩展性
- 通过AS服务应对访问量增加
- 额外还可以通过CDN来加速访问，以及抗DDos攻击

4.3.高级例子—分割层级，本地DMZ前端

将应用层、数据库放入AWS，而本地保证前端，场景是：
- 例如：拥有全球业务的公司，需要严格控制web的访问权限，而后端由于不直接暴露所以放入AWS
- 例如：将大数据分析，数据查询访问在本地数据中心，而后端需要大量处理能力的时候使用AWS

4.4.高级例子—分割层级，应用云爆

将web和数据库放入云中，而将应用层放入本地数据中心，场景是：
- 应用处理有客户的核心技术（例如密码机、特殊硬件等），需要牢牢的把控在自己手里
- 还有将DB放在本地的，因为：数据比较重要，核心机密等，需要牢牢的把控在自己手里

4.5.高级例子—存储扩展

使用数据服务storage gateway，将私有云数据放入公有云S3中，包括：
- 直接使用，虚拟存储卷可以连接作为iSCSI，NFS，CIFS卷使用
- 缓存用法，所有数据都在S3，但是常用数据放在本地

• 备份和存档用法，使用storage gateway与S3的集成 ，然后定期备份到Glance中（虚拟的磁带库服务）
  
  • Glance的恢复需要3–5小时
  • Glance可以做到的功能（去重、压缩、WAN广域网加速）

4.6.高级例子—托管的云服务

• 例如：用户将数据通过DC直连放入S3，然后在大数据服务EMR中进行处理，处理完毕的数据可以放入redshift中
• 例如：有一个物联网数据，前堆采用大量IoT流数据，通过Kinesis获取流数据，让后将数据放入S3中，后续也可以通过EMR进行处理，再次完毕后可以放入redshift中

4.7.高级例子—企业组织架构管理（AD）

企业内部人员认证需要统一使用LDAP、AD等应用进行管理，可以直接在AWS中部署另一套一样的基础架构（不同VPC和子网都有AD，然后同步策略）
好处是：

• 减少往返流量（因为不同区域都有一个独立的AD，因此不用每次都从主AD得到数据）
• 减少认证延迟（同上）
• 增加韧性Resiliency（AD提供的功能来保障可恢复性）
• 并且可以采用
  
  • 多主 同时读写（Multi-Master read/write domain controller）
  • 副本模式（Read-only domain controller—RODCs）

挑战是：需要分别管理不同的AD服务器
注意：需要IPSec VPN 或者DC直连方式

也可以使用AWS自己的认证服务，AWS Directory Service，并且提供了2种模式来适应企业认证管理的工作

1、自助申请云中部署的 Directory Service Connect连接器，然后可以复制云中策略，AWS提供可靠性支持

2、部署一个EC2主机，然后跑一个叫做Simple AD的应用来实现类似功能（Samba 4 Active Directory兼容）

另一种选择，也可以通过AWS提供的IAM进行控制
- 通过在IAM中创建一个令牌，然后将令牌分配给应用，并且通过角色来管理权限
- IAM支持已有的RADIUS-based MFA

注意：需要IPSec VPN 或者DC直连方式

4.8.高级例子—运营和监控工具

混合云的时候，一定要保证监控工具对本地数据中心和公有云中的事件进行统一管理

云中使用CloudWatch和CloudTrial。本地需要使用SIEM 聚合器工具（Security Information and Event Management 安全信息和事件管理）
- CloudTrail就是记录所有标准API的操作记录的服务。云中所有的互动，包括控制台、命令行、编程等都会通过标准API跟云进行通信
- CloudWatch就是对所有AWS服务所创建的实例、资源状态进行监控

具体做法：

• 使用CloudTrail和SIEM聚合器 对集成连接进行安全监控
• 将CloudTrail和SNMP MIBs（针对硬件的监控信息）的数据登记到SIEM 聚合器中
• 通过EC2 guest GEN agent将平台和应用健康信息放入 SIEM 聚合器中
• 通过本地部署升级服务器做补丁和升级

4.9.高级例子—持续集成、持续交付

• 使用CodeDeploy服务实现将应用灵活部署在EC2上的工作
• 其余服务还有：CloudFormation（用代码实现部署架构）、CloudDeploy、ElasticBeanstalk（应用托管架构）等，整体使用来去执行持续集成、持续交付
• 重复使用企业现有的脚本和工具：bash、powershell、chef、puppet等
• 与主要开发工具集成整合：GitHub，jenkins，cloudbees，travisCI、Eclipse等

4.10.高级例子—小米云闪购(AWS前端)

背景：米粉狂欢节，一天每2小时一次抢购。211.2万台手机，1460人参加，吉尼斯世界纪录
架构情况：

• 前端在AWS上，通过ELB+EC2
• 数据+后端应用在小米本地
• 通过DC专线直连

5.总结

5.1.常见混合云应用

• 备份，存档
• 存储扩展
• 灾难恢复
• 开发,测试验证
• 关键业务应用（例如：oracle、sqlserver数据库等）
• 大数据分析

5.2.总结

• 混合架构是通向云的征程，不是最终目标
• 连接性是实现混合架构的关键
• 大小企业都改早日踏上征程