亚马逊AWS 利用AWS搭建混合云的架构

利用AWS搭建混合云的架构Version1.0XiaZhang,PrincipalEnterpriseEvangelist张侠博士,AWS首席云计算企业顾问v日程•什么是混合IT架构•AWS支持混合IT架构•混合IT架构及使用案例v云之旅：今天的行程VPCVPN备份归档存储扩展混合架构简介专线直连认证联合认证运营监控架构集成服务集成平台集成方案集成起步整合托管服务CI/CD什么是IT混合架构？v什么是混合架构？“HybridITistheresultofcombininginternalandexternalservices,usuallyfromacombinationofinternalandpublicclouds,insupportofabusinessoutcome.”“混合IT架构是指结合内部和外部的服务，通常通过结合公有云和私有云，来实现业务结果。”Build搭建Deliver交付混合IT架构的定义Service服务BusinessOutcome业务结果Solutions解决方案v云是新常态，为什么还要混合架构？•继续使用已经建设的设施•在投资CapEx和运营OpEx之间控制支出•合规或行业性要求•降低单个供应商风险•实现独特的功能性能•商业授权维护支持的限制•兼得私有云和公有云的好处v混合IT架构是近期的趋势“Nearlyhalfoflargeenterpriseswillhavehybridclouddeploymentsbytheendof2017.”“到2017年底，近半企业都会采用混合云部署。”混合架构是旅程，不是目的地HybridITispartoftheJourney,nottheDestination.实现混合架构的关键AWS支持混合架构云应用自有环境上的应用YourDataCenters私有连接工作负载与数据迁移访问控制集成与现有的管理工具一起使用支持混合架构的工具VMImport/ExportVPCNetworkIAMPoliciesVirtualImagesOn-PremiseAppsPrivateNetworkYourDataCentersVPCCorporateDirectoryYourCloudAppsYourDataOurStoragev支持混合架构的部分云服务AWSStorageGatewayAWSImport/ExportAmazonVirtualPrivateCloudAWSDirectConnectVirtualPrivateNetworkDirectoryServicesElasticCloudComputerElasticLoadBalanceSimpleStorageServiceElasticBlockStorageRelationalDatabaseServiceComputeStorageAWSGlobalInfrastructureDatabaseAppServicesDeployment&AdministrationNetworking服务:网络:VPC10.100.0.0/16ApplicationServerAvailabilityZoneBAvailabilityZoneA10.100.2.0/2310.100.0.0/23•用户使用自己的网络地址段在AWSCloud上创建逻辑上隔离的网络•企业拥有对虚拟网络环境完全的控制权，包括创建子网，定义IP地址，路由表和网关•在多个可用区AZ创建公有和私有子网•用户自己选择将EC2实例部署到哪个子网•用户使用NACL管理子网层面的网络安全•用户自己管理EC2实例的安全组，为每个EC2实例提供有状态的网络防火墙vVPCsubnetAvailabilityZoneSecuritygroupVPCsubnetAvailabilityZoneSecuritygroupVirtualGatewayAWSVirtualPrivateNetwork(IPSecVPN)oIPSec硬件VPN连接支持VPN专用设备o加密和验证o私密RFC1918寻址o使用BGP路由和失效备援oVPN服务提供管理的接入端CorporatedatacenterUsersDatacenterrouterServersInternetIPSecVPNComputeStorageAWSGlobalInfrastructureDatabaseAppServicesDeployment&AdministrationNetworkingCustomerVPCInternetVPNConnectionCustomerIPSECRouter/FirewallCustomerDirectConnectRouterPrivateDirectConnectCustomerCorporateNetwork服务:网络:DirectConnect专线直连将用户网络接入VPC•通过标准的基于互联网的IPSecVPNtunnels，或者通过私有线路，或者两者结合连接到AWS直连驳接处•用户自己选择连接速度，支持从50Mto10G•通过行业标准的VLANs和Layer3路由•实现通过专线直连用户的·VPC资源•可以在DirectConnect驳接处使用用户的网络设备，如WAN优化装置vAWS专线直连DirectConnecto使用Layer2单模光纤1000BASE-LXor10GBASE-LRo利用802.1QVLANs实现连接.标注IP流量o路由用BGPA/AorA/Pmultipath.o每条专线DX连接到单一的AWSRegionCorporatedatacenterUsersVPCsubnetAvailabilityZoneSecuritygroupVPCsubnetAvailabilityZoneSecuritygroupDatacenterrouterCustomerrouterServersAWSDirectConnectlocationAWSDirectConnectroutersVirtualGatewayvVPCSubnetAvailabilityZoneSecuritygroupVPCsubnetAvailabilityZoneSecuritygroupAWSDirectConnect+AWSVPNo专用网络路径以确保带宽o比基于互联网的IPSecVPN–避免网络穿线o降低IPSec网络传输成本o额外网络安全保证CorporatedatacenterUsersDatacenterrouterCustomerRouterServersIPSecVPNAWSDirectConnectlocationAWSDirectConnectroutersVirtualGatewayvChallengesandBestPractices•Challenges•Comparableservices•Transportdelays•Customerislimitedtotheleastcommondenominator•Degradedagility•Complexmaintenanceandoperation•Bestpractices•Definedoperatingmodel•Automation…automation…automation•Appropriatetools–Noonetoolfitsall•Useeachenvironment’snativeservicesandfeaturesasmuchaspossible混合架构例子和用法AWSregionWeb层Web层数据库层实现混合架构--专线直连客户数据中心应用层应用层数据库层DirectConnectAWSregionWeb层Internet应用层数据库层混合架构实例：SplitTier：AWS前端客户数据中心自动扩展负载均衡EC2DirectConnectAWSregionInternet混合架构实例：SplitTier：本地DMZ前端Web层应用层数据库层客户数据中心DirectConnectAWSregionYourDataCenterInternet混合架构实例：SplitTier：应用CloudBursting应用层数据库层Web层DirectConnectCustomerrouterAWSDirectConnectLocationAWSDirectConnectrouters存储扩展o虚拟存储卷可以连接作为iSCSI,NFSandCIFS卷使用o通过本地缓存盘实现快速读取o网关前数据加密安全VirtualGatewayCorporatedatacenterUsersDatacenterrouterVPCSubnetAvailabilityZoneSecurityGroupVPCSubnetAvailabilityZoneSecurityGroupAmazonS3AWSStorageGatewayiSCSIStorageApplianceAWSStorageGatewayiSCSIServersAWSStorageGatewayCloudONTAPSecureCloud-IntegratedBackupPanzuraGlobalNASTwinStrataCloudArrayAWSMarketplace合作伙伴CustomerrouterAWSDirectConnectLocationAWSDirectConnectrouters备份和存档o备份网关与AmazonS3集成整合o冷数据通过AmazonS3向AmazonGlacier备份o从分利用现有的投资和可供选择的解决方案o去重o压缩oWAN广域网加速VirtualGatewayCorporatedatacenterUsersDatacenterrouterVPCSubnetAvailabilityZoneSecurityGroupVPCSubnetAvailabilityZoneSecurityGroupAmazonS3AmazonGlacierAWSStorageGatewayiSCSIBackupSystemAWSStorageGatewayiSCSIServersAWSStorageGatewaySymantecNetBackupVeeamBackup&ReplicationCloudONTAPSecureCloud-IntegratedBackupAWSMarketplace合作伙伴CustomerrouterAWSDirectConnectLocationAWSDirectConnectrouters使用各托管的服务o使用托管工具的好处灵活快速易于伸缩安全可靠自动维护升级VirtualGatewayCorporatedatacenterUsersDatacenterrouterVPCSubnetAvailabilityZoneSecurityGroupVPCSubnetAvailabilityZoneSecurityGroupServersS3bucketApacheKafkaAmazonRedshiftAmazonEMRAmazonRedshiftAmazonEMRCustomerrouterAWSDirectConnectLocationAWSDirectConnectroutersActiveDirectory/LDAPo减少往返流量o