下載完整視頻：下載完整MP4文件

1.邱洋的理解

• 定義了混合IT架構(gòu)的概念（因為有些企業(yè)本地可能還沒有云，但是需要構(gòu)建云+物理的架構(gòu)）

• 混合IT架構(gòu)是趨勢，但最終不是公有云一統(tǒng)天下，而本地IT必然繼續(xù)存在，因為：

  • 數(shù)據(jù)合規(guī)性要求（例：歐洲的數(shù)據(jù)只能在歐洲）
  • 特殊硬件要求（例：加密狗等）
  • 遺留資產(chǎn)投資回報
  • 商業(yè)權(quán)益保護（例：綁定mac地址的軟件）

• 要實現(xiàn)混合IT架構(gòu)，需要從多個方面的努力

  • 連接性（連接物理環(huán)境和云環(huán)境）
    – VPN
    – 光纖直連

  • 遷移工具
    – 數(shù)據(jù)遷移（如Storage Gateway服務(wù)）
    – VM遷移（如VM Import/Export服務(wù)）
    – 網(wǎng)絡(luò)規(guī)劃遷移（使用VPC來制定子網(wǎng)、ACL等）

  • 企業(yè)組織架構(gòu)信息同步
    – 云中的AD、LDAP等信息同步（可以使用Directory Services 服務(wù)）

  • 了解云服務(wù)與傳統(tǒng)架構(gòu)對應(yīng)關(guān)系
    – EC2 → 物理機
    – EBS/S3 → SAN存儲
    – ELB → F5/Nginx等
    – RDS → Oracle/SQLServer數(shù)據(jù)庫等

• 常見的混合云架構(gòu)應(yīng)用模式

  • 備份，存檔 （通過storage gateway將數(shù)據(jù)保存到S3，在放到磁帶庫Glance上）
  • 存儲擴展 （通過storage gateway直接本地物理機中掛載NFS、iSCIS、CIFS等卷使用）
  • 災(zāi)難恢復 （本地物理機中的應(yīng)用架構(gòu)，復制一套在云中–冷備份、暖備份、熱備份等）
  • 開發(fā),測試驗證 （擴展本地數(shù)據(jù)中心的計算、存儲、網(wǎng)絡(luò)能力）
  • 關(guān)鍵業(yè)務(wù)應(yīng)用（例如：oracle、sqlserver數(shù)據(jù)庫等使用RDS服務(wù)）
  • 大數(shù)據(jù)分析（控制臺在本地數(shù)據(jù)中心，后端數(shù)據(jù)處理能力使用EMR）

2.什么是IT混合架構(gòu)

2.1.混合IT架構(gòu)的定義

之所以定義為IT混合架構(gòu)中，而不是混合云：因為企業(yè)可能是公有+私有云的模式，也有可能是公有+私有數(shù)據(jù)中心（沒云）的架構(gòu)

Gartner對混合IT的定義：混合的IT架構(gòu)是指結(jié)合“內(nèi)部和外部的服務(wù)”，通常通過結(jié)合公有云和私有云，來實現(xiàn)業(yè)務(wù)結(jié)果

AWS對混合架構(gòu)的定義：服務(wù)+解決方案=業(yè)務(wù)結(jié)果

2.2.云是新常態(tài)，為什么還要混合架構(gòu)？（混合云的好處）

• 繼續(xù)使用已經(jīng)建設(shè)的設(shè)施
• 在投資–CapEx和運營–OpEx之間控制支出
• 合規(guī)或行業(yè)性要求
• 降低單個供應(yīng)商風險
• 實現(xiàn)獨特的功能、性能
• 商業(yè)授權(quán)維護支持的限制（例如綁定MAC地址，特定硬件）
• 兼得私有云和公有云的好處

2.3.混合IT架構(gòu)是近期的趨勢

Gartner：2017年底，近半企業(yè)都會采用混合云部署

但是，混合架構(gòu)是旅程，不是目地。AWS重點推薦混合架構(gòu)的目的，是告訴用戶最終還是需要選擇“云”，混合架構(gòu)只是漸進、過渡式的路線方法

3.AWS支持混合IT架構(gòu)

3.1.AWS支持的混合架構(gòu)

• 混合環(huán)境
  
  • 公有云+私有云
  • 公有云+自建私有IDC
  • 公有云+托管私有IDC
• 公有+私有IDC之間的連接
  
  • 私有鏈接
  • 工作負載與數(shù)據(jù)遷移
  • 訪問控制集成
  • 與現(xiàn)有管理工具一起使用

從IT整體（中、高）層面來看混合架構(gòu)

企業(yè)本地/現(xiàn)有工具	云中對應(yīng)架構(gòu)&功能
企業(yè)目錄登陸(Corporate Directory)	身份認證 IAM Policies
虛擬化VM鏡像(Virtual Images)	VM Import/Export轉(zhuǎn)換成AMI
私有網(wǎng)絡(luò)(PrivateNetwork)	VPC Network
客戶數(shù)據(jù)(Your Data)	Our Storage通過Storage Gateway轉(zhuǎn)移到S3
本地部署的應(yīng)用(On-Premise Apps)	你的云應(yīng)用

3.2.支持混合架構(gòu)的部分云服務(wù)

• 常見公有云基礎(chǔ)服務(wù)(核心)

  • EC2
  • ELB
  • EBS
  • S3
  • RDS

• 高級功能

  • VPC
  • Virtual Private Network（VPN服務(wù)企業(yè)私有網(wǎng)絡(luò)）
  • AWS Direct Connect（專線直連）
  • Directory Services（對應(yīng)企業(yè)的AD，對用戶身份進行管理的服務(wù)）
  • AWS Import/Export（VM鏡像遷移到公有云）
  • AWS Storage Gateway（將用戶本地數(shù)據(jù)傳輸?shù)焦性频墓δ?#xff09;

3.2.1.網(wǎng)絡(luò)VPC服務(wù)

• 用戶使用自己的網(wǎng)絡(luò)地址段在AWS Cloud上創(chuàng)建邏輯上隔離的網(wǎng)絡(luò)
• 企業(yè)用用對虛擬網(wǎng)絡(luò)環(huán)境的完全控制權(quán)，包括創(chuàng)建子網(wǎng)、定義IP地址、路由表和網(wǎng)關(guān)
• 在多個可用區(qū)(AZ)創(chuàng)建公有和私有子網(wǎng)
• 用戶使用NACL管理子網(wǎng)層面的網(wǎng)絡(luò)安全
• 用戶自己管理EC2實例的安全組，為每個EC2實例提供有狀體的網(wǎng)絡(luò)防火墻

3.2.2.網(wǎng)絡(luò)VPN(IPSec VPN)服務(wù)

• 公有云有了VPC之后，可以通過VPN將企業(yè)與AWS相連
• 例如：建立了1個VPC，并且建立了2個Subnet，分別在2個AZ中，而VPN服務(wù)的對象就是針對一個VPC的
• 通過IPSec硬件VPN連接，支持VPN專用設(shè)備
• 加密和驗證
• 私密RFC 1918尋址
• 使用 BGP路由和失效救援
• VPN 服務(wù)提供管理的接入端

3.2.3.網(wǎng)絡(luò)Direct Connect專線直連

• 本質(zhì)上就是在客戶私有數(shù)據(jù)中心中，通過裸光纖建立一個通道

• 通過標準基于互聯(lián)網(wǎng)的IPSec VPN tunnels或者私有線路，或者兩者結(jié)合連接到AWS的接駁處
• 用戶自己選擇連接速度，從50MB到10G的連接，常用的是1G連接
  
  • 允許使用Layer2單模光纖1GBASE-LX or 10GBASE-LR
• 通過行業(yè)標準的VLANs和Layer3 路由
  
  • 使用 802.1Q VLANs 實現(xiàn)連接（標注IP流量）
  • 路由使用BGP多路徑：A/A(雙活，推薦） or A/P(主備)
• 實現(xiàn)通過專線直連到用戶的VPC資源
  
  • 每條專線 DX 連接到單一的AWS Region
• 可以在DC接駁處使用用戶的網(wǎng)絡(luò)設(shè)備，如WAN優(yōu)化裝置

還可以DC+VPN疊加的使用模式：光纖中不直接走IP，而是在之上再搭建VPN通道，收益是：

• 專用網(wǎng)絡(luò)路徑可以保障帶寬
• 比基于互聯(lián)網(wǎng)的IPSec VPN更能避免網(wǎng)絡(luò)穿線
• 降低IPSec網(wǎng)絡(luò)傳輸成本
• 額外網(wǎng)絡(luò)安全保障圖

4.混合IT架構(gòu)的例子和用法

4.1.簡單例子—通過專線直連實現(xiàn)混合架構(gòu)

單純的將不同的業(yè)務(wù)類型放到不同的云中，例如：生產(chǎn)環(huán)境在本地，開發(fā)環(huán)境在AWS

4.2.高級例子—分割層級，AWS前端

例如將3層架構(gòu)的web前端放入云中，那么可以：
- 使用ELB保障擴展性
- 通過AS服務(wù)應(yīng)對訪問量增加
- 額外還可以通過CDN來加速訪問，以及抗DDos攻擊

4.3.高級例子—分割層級，本地DMZ前端

將應(yīng)用層、數(shù)據(jù)庫放入AWS，而本地保證前端，場景是：
- 例如：擁有全球業(yè)務(wù)的公司，需要嚴格控制web的訪問權(quán)限，而后端由于不直接暴露所以放入AWS
- 例如：將大數(shù)據(jù)分析，數(shù)據(jù)查詢訪問在本地數(shù)據(jù)中心，而后端需要大量處理能力的時候使用AWS

4.4.高級例子—分割層級，應(yīng)用云爆

將web和數(shù)據(jù)庫放入云中，而將應(yīng)用層放入本地數(shù)據(jù)中心，場景是：
- 應(yīng)用處理有客戶的核心技術(shù)（例如密碼機、特殊硬件等），需要牢牢的把控在自己手里
- 還有將DB放在本地的，因為：數(shù)據(jù)比較重要，核心機密等，需要牢牢的把控在自己手里

4.5.高級例子—存儲擴展

使用數(shù)據(jù)服務(wù)storage gateway，將私有云數(shù)據(jù)放入公有云S3中，包括：
- 直接使用，虛擬存儲卷可以連接作為iSCSI，NFS，CIFS卷使用
- 緩存用法，所有數(shù)據(jù)都在S3，但是常用數(shù)據(jù)放在本地

• 備份和存檔用法，使用storage gateway與S3的集成 ，然后定期備份到Glance中（虛擬的磁帶庫服務(wù)）
  
  • Glance的恢復需要3–5小時
  • Glance可以做到的功能（去重、壓縮、WAN廣域網(wǎng)加速）

4.6.高級例子—托管的云服務(wù)

• 例如：用戶將數(shù)據(jù)通過DC直連放入S3，然后在大數(shù)據(jù)服務(wù)EMR中進行處理，處理完畢的數(shù)據(jù)可以放入redshift中
• 例如：有一個物聯(lián)網(wǎng)數(shù)據(jù)，前堆采用大量IoT流數(shù)據(jù)，通過Kinesis獲取流數(shù)據(jù)，讓后將數(shù)據(jù)放入S3中，后續(xù)也可以通過EMR進行處理，再次完畢后可以放入redshift中

4.7.高級例子—企業(yè)組織架構(gòu)管理（AD）

企業(yè)內(nèi)部人員認證需要統(tǒng)一使用LDAP、AD等應(yīng)用進行管理，可以直接在AWS中部署另一套一樣的基礎(chǔ)架構(gòu)（不同VPC和子網(wǎng)都有AD，然后同步策略）
好處是：

• 減少往返流量（因為不同區(qū)域都有一個獨立的AD，因此不用每次都從主AD得到數(shù)據(jù)）
• 減少認證延遲（同上）
• 增加韌性Resiliency（AD提供的功能來保障可恢復性）
• 并且可以采用
  
  • 多主 同時讀寫（Multi-Master read/write domain controller）
  • 副本模式（Read-only domain controller—RODCs）

挑戰(zhàn)是：需要分別管理不同的AD服務(wù)器
注意：需要IPSec VPN 或者DC直連方式

也可以使用AWS自己的認證服務(wù)，AWS Directory Service，并且提供了2種模式來適應(yīng)企業(yè)認證管理的工作

1、自助申請云中部署的 Directory Service Connect連接器，然后可以復制云中策略，AWS提供可靠性支持

2、部署一個EC2主機，然后跑一個叫做Simple AD的應(yīng)用來實現(xiàn)類似功能（Samba 4 Active Directory兼容）

另一種選擇，也可以通過AWS提供的IAM進行控制
- 通過在IAM中創(chuàng)建一個令牌，然后將令牌分配給應(yīng)用，并且通過角色來管理權(quán)限
- IAM支持已有的RADIUS-based MFA

注意：需要IPSec VPN 或者DC直連方式

4.8.高級例子—運營和監(jiān)控工具

混合云的時候，一定要保證監(jiān)控工具對本地數(shù)據(jù)中心和公有云中的事件進行統(tǒng)一管理

云中使用CloudWatch和CloudTrial。本地需要使用SIEM 聚合器工具（Security Information and Event Management 安全信息和事件管理）
- CloudTrail就是記錄所有標準API的操作記錄的服務(wù)。云中所有的互動，包括控制臺、命令行、編程等都會通過標準API跟云進行通信
- CloudWatch就是對所有AWS服務(wù)所創(chuàng)建的實例、資源狀態(tài)進行監(jiān)控

具體做法：

• 使用CloudTrail和SIEM聚合器 對集成連接進行安全監(jiān)控
• 將CloudTrail和SNMP MIBs（針對硬件的監(jiān)控信息）的數(shù)據(jù)登記到SIEM 聚合器中
• 通過EC2 guest GEN agent將平臺和應(yīng)用健康信息放入 SIEM 聚合器中
• 通過本地部署升級服務(wù)器做補丁和升級

4.9.高級例子—持續(xù)集成、持續(xù)交付

• 使用CodeDeploy服務(wù)實現(xiàn)將應(yīng)用靈活部署在EC2上的工作
• 其余服務(wù)還有：CloudFormation（用代碼實現(xiàn)部署架構(gòu)）、CloudDeploy、ElasticBeanstalk（應(yīng)用托管架構(gòu)）等，整體使用來去執(zhí)行持續(xù)集成、持續(xù)交付
• 重復使用企業(yè)現(xiàn)有的腳本和工具：bash、powershell、chef、puppet等
• 與主要開發(fā)工具集成整合：GitHub，jenkins，cloudbees，travisCI、Eclipse等

4.10.高級例子—小米云閃購(AWS前端)

背景：米粉狂歡節(jié)，一天每2小時一次搶購。211.2萬臺手機，1460人參加，吉尼斯世界紀錄
架構(gòu)情況：

• 前端在AWS上，通過ELB+EC2
• 數(shù)據(jù)+后端應(yīng)用在小米本地
• 通過DC專線直連

5.總結(jié)

5.1.常見混合云應(yīng)用

• 備份，存檔
• 存儲擴展
• 災(zāi)難恢復
• 開發(fā),測試驗證
• 關(guān)鍵業(yè)務(wù)應(yīng)用（例如：oracle、sqlserver數(shù)據(jù)庫等）
• 大數(shù)據(jù)分析

5.2.總結(jié)

• 混合架構(gòu)是通向云的征程，不是最終目標
• 連接性是實現(xiàn)混合架構(gòu)的關(guān)鍵
• 大小企業(yè)都改早日踏上征程

總結(jié)

以上是生活随笔為你收集整理的【总结】利用AWS搭建混合云的架构的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。