【總結】利用AWS搭建混合雲的架構

阿新 • • 發佈：2019-01-15

1.邱洋的理解

定義了混合IT架構的概念（因為有些企業本地可能還沒有云，但是需要構建雲+物理的架構）
混合IT架構是趨勢，但最終不是公有云一統天下，而本地IT必然繼續存在，因為：
- 資料合規性要求（例：歐洲的資料只能在歐洲）
- 特殊硬體要求（例：加密狗等）
- 遺留資產投資回報
- 商業權益保護（例：繫結mac地址的軟體）
要實現混合IT架構，需要從多個方面的努力
- 連線性（連線物理環境和雲環境）
  – VPN
  – 光纖直連
- 遷移工具
  – 資料遷移（如Storage Gateway服務）
  – VM遷移（如VM Import/Export服務）
  – 網路規劃遷移（使用VPC來制定子網、ACL等）
- 企業組織架構資訊同步
  – 雲中的AD、LDAP等資訊同步（可以使用Directory Services 服務）
- 瞭解雲服務與傳統架構對應關係
  – EC2 → 物理機
  – EBS/S3 → SAN儲存
  – ELB → F5/Nginx等
  – RDS → Oracle/SQLServer資料庫等
常見的混合雲架構應用模式
- 備份，存檔（通過storage gateway將資料儲存到S3，在放到磁帶庫Glance上）
- 儲存擴充套件（通過storage gateway直接本地物理機中掛載NFS、iSCIS、CIFS等卷使用）
- 災難恢復（本地物理機中的應用架構，複製一套在雲中–冷備份、暖備份、熱備份等）
- 開發,測試驗證（擴充套件本地資料中心的計算、儲存、網路能力）
- 關鍵業務應用（例如：oracle、sqlserver資料庫等使用RDS服務）
- 大資料分析（控制檯在本地資料中心，後端資料處理能力使用EMR）

2.什麼是IT混合架構

2.1.混合IT架構的定義

之所以定義為IT混合架構中，而不是混合雲：因為企業可能是公有+私有云的模式，也有可能是公有+私有資料中心（沒雲）的架構

Gartner對混合IT的定義：混合的IT架構是指結合“內部和外部的服務”，通常通過結合公有云和私有云，來實現業務結果

AWS對混合架構的定義：服務+解決方案=業務結果

2.2.雲是新常態，為什麼還要混合架構？（混合雲的好處）

繼續使用已經建設的設施
在投資–CapEx和運營–OpEx之間控制支出
合規或行業性要求
降低單個供應商風險
實現獨特的功能、效能
商業授權維護支援的限制（例如繫結MAC地址，特定硬體）
兼得私有云和公有云的好處

2.3.混合IT架構是近期的趨勢

Gartner：2017年底，近半企業都會採用混合雲部署

但是，混合架構是旅程，不是目地。AWS重點推薦混合架構的目的，是告訴使用者最終還是需要選擇“雲”，混合架構只是漸進、過渡式的路線方法

3.AWS支援混合IT架構

3.1.AWS支援的混合架構

混合環境
- 公有云+私有云
- 公有云+自建私有IDC
- 公有云+託管私有IDC
公有+私有IDC之間的連線
- 私有連結
- 工作負載與資料遷移
- 訪問控制整合
- 與現有管理工具一起使用

從IT整體（中、高）層面來看混合架構

企業本地/現有工具	雲中對應架構&功能
企業目錄登陸(Corporate Directory)	身份認證 IAM Policies
虛擬化VM映象(Virtual Images)	VM Import/Export轉換成AMI
私有網路(PrivateNetwork)	VPC Network
客戶資料(Your Data)	Our Storage通過Storage Gateway轉移到S3
本地部署的應用(On-Premise Apps)	你的雲應用

3.2.支援混合架構的部分雲服務

常見公有云基礎服務(核心)
- EC2
- ELB
- EBS
- S3
- RDS
高階功能
- VPC
- Virtual Private Network（VPN服務企業私有網路）
- AWS Direct Connect（專線直連）
- Directory Services（對應企業的AD，對使用者身份進行管理的服務）
- AWS Import/Export（VM映象遷移到公有云）
- AWS Storage Gateway（將使用者本地資料傳輸到公有云的功能）

3.2.1.網路VPC服務

使用者使用自己的網路地址段在AWS Cloud上建立邏輯上隔離的網路
企業用用對虛擬網路環境的完全控制權，包括建立子網、定義IP地址、路由表和閘道器
在多個可用區(AZ)建立公有和私有子網
使用者使用NACL管理子網層面的網路安全
使用者自己管理EC2例項的安全組，為每個EC2例項提供有狀體的網路防火牆

3.2.2.網路VPN(IPSec VPN)服務

公有云有了VPC之後，可以通過VPN將企業與AWS相連
例如：建立了1個VPC，並且建立了2個Subnet，分別在2個AZ中，而VPN服務的物件就是針對一個VPC的
通過IPSec硬體VPN連線，支援VPN專用裝置
加密和驗證
私密RFC 1918定址
使用 BGP路由和失效救援
VPN 服務提供管理的接入端

3.2.3.網路Direct Connect專線直連

本質上就是在客戶私有資料中心中，通過裸光纖建立一個通道

圖10

通過標準基於網際網路的IPSec VPN tunnels或者私有線路，或者兩者結合連線到AWS的接駁處
使用者自己選擇連線速度，從50MB到10G的連線，常用的是1G連線
- 允許使用Layer2單模光纖1GBASE-LX or 10GBASE-LR
通過行業標準的VLANs和Layer3 路由
- 使用 802.1Q VLANs 實現連線（標註IP流量）
- 路由使用BGP多路徑：A/A(雙活，推薦） or A/P(主備)
實現通過專線直連到使用者的VPC資源
- 每條專線 DX 連線到單一的AWS Region
可以在DC接駁處使用使用者的網路裝置，如WAN優化裝置

圖11

還可以DC+VPN疊加的使用模式：光纖中不直接走IP，而是在之上再搭建VPN通道，收益是：

專用網路路徑可以保障頻寬
比基於網際網路的IPSec VPN更能避免網路穿線
降低IPSec網路傳輸成本
額外網路安全保障圖

圖12

4.混合IT架構的例子和用法

4.1.簡單例子—通過專線直連實現混合架構

單純的將不同的業務型別放到不同的雲中，例如：生產環境在本地，開發環境在AWS

圖14

4.2.高階例子—分割層級，AWS前端

例如將3層架構的web前端放入雲中，那麼可以：
- 使用ELB保障擴充套件性
- 通過AS服務應對訪問量增加
- 額外還可以通過CDN來加速訪問，以及抗DDos攻擊

圖15

4.3.高階例子—分割層級，本地DMZ前端

將應用層、資料庫放入AWS，而本地保證前端，場景是：
- 例如：擁有全球業務的公司，需要嚴格控制web的訪問許可權，而後端由於不直接暴露所以放入AWS
- 例如：將大資料分析，資料查詢訪問在本地資料中心，而後端需要大量處理能力的時候使用AWS

圖16

4.4.高階例子—分割層級，應用雲爆

將web和資料庫放入雲中，而將應用層放入本地資料中心，場景是：
- 應用處理有客戶的核心技術（例如密碼機、特殊硬體等），需要牢牢的把控在自己手裡
- 還有將DB放在本地的，因為：資料比較重要，核心機密等，需要牢牢的把控在自己手裡

圖17

4.5.高階例子—儲存擴充套件

使用資料服務storage gateway，將私有云資料放入公有云S3中，包括：
- 直接使用，虛擬儲存卷可以連線作為iSCSI，NFS，CIFS卷使用
- 快取用法，所有資料都在S3，但是常用資料放在本地

圖18

備份和存檔用法，使用storage gateway與S3的整合，然後定期備份到Glance中（虛擬的磁帶庫服務）
- Glance的恢復需要3–5小時
- Glance可以做到的功能（去重、壓縮、WAN廣域網加速）

圖19

4.6.高階例子—託管的雲服務

例如：使用者將資料通過DC直連放入S3，然後在大資料服務EMR中進行處理，處理完畢的資料可以放入redshift中
例如：有一個物聯網資料，前堆採用大量IoT流資料，通過Kinesis獲取流資料，讓後將資料放入S3中，後續也可以通過EMR進行處理，再次完畢後可以放入redshift中

圖20

4.7.高階例子—企業組織架構管理（AD）

企業內部人員認證需要統一使用LDAP、AD等應用進行管理，可以直接在AWS中部署另一套一樣的基礎架構（不同VPC和子網都有AD，然後同步策略）
好處是：

減少往返流量（因為不同區域都有一個獨立的AD，因此不用每次都從主AD得到資料）
減少認證延遲（同上）
增加韌性Resiliency（AD提供的功能來保障可恢復性）
並且可以採用
- 多主同時讀寫（Multi-Master read/write domain controller）
- 副本模式（Read-only domain controller—RODCs）

挑戰是：需要分別管理不同的AD伺服器
注意：需要IPSec VPN 或者DC直連方式

圖21

也可以使用AWS自己的認證服務，AWS Directory Service，並且提供了2種模式來適應企業認證管理的工作

1、自助申請雲中部署的 Directory Service Connect聯結器，然後可以複製雲中策略，AWS提供可靠性支援

2、部署一個EC2主機，然後跑一個叫做Simple AD的應用來實現類似功能（Samba 4 Active Directory相容）

另一種選擇，也可以通過AWS提供的IAM進行控制
- 通過在IAM中建立一個令牌，然後將令牌分配給應用，並且通過角色來管理許可權
- IAM支援已有的RADIUS-based MFA

注意：需要IPSec VPN 或者DC直連方式

圖22

4.8.高階例子—運營和監控工具

混合雲的時候，一定要保證監控工具對本地資料中心和公有云中的事件進行統一管理

雲中使用CloudWatch和CloudTrial。本地需要使用SIEM 聚合器工具（Security Information and Event Management 安全資訊和事件管理）
- CloudTrail就是記錄所有標準API的操作記錄的服務。雲中所有的互動，包括控制檯、命令列、程式設計等都會通過標準API跟雲進行通訊
- CloudWatch就是對所有AWS服務所建立的例項、資源狀態進行監控

具體做法：

使用CloudTrail和SIEM聚合器對整合連線進行安全監控
將CloudTrail和SNMP MIBs（針對硬體的監控資訊）的資料登記到SIEM 聚合器中
通過EC2 guest GEN agent將平臺和應用健康資訊放入 SIEM 聚合器中
通過本地部署升級伺服器做補丁和升級

圖23

4.9.高階例子—持續整合、持續交付

使用CodeDeploy服務實現將應用靈活部署在EC2上的工作
其餘服務還有：CloudFormation（用程式碼實現部署架構）、CloudDeploy、ElasticBeanstalk（應用託管架構）等，整體使用來去執行持續整合、持續交付
重複使用企業現有的指令碼和工具：bash、powershell、chef、puppet等
與主要開發工具整合整合：GitHub，jenkins，cloudbees，travisCI、Eclipse等

圖24

4.10.高階例子—小米雲閃購(AWS前端)

背景：米粉狂歡節，一天每2小時一次搶購。211.2萬臺手機，1460人蔘加，吉尼斯世界紀錄
架構情況：

前端在AWS上，通過ELB+EC2
資料+後端應用在小米本地
通過DC專線直連

圖25

5.總結

5.1.常見混合雲應用

備份，存檔
儲存擴充套件
災難恢復
開發,測試驗證
關鍵業務應用（例如：oracle、sqlserver資料庫等）
大資料分析

5.2.總結

混合架構是通向雲的征程，不是最終目標
連線性是實現混合架構的關鍵
大小企業都改早日踏上征程