亚马逊AWS 企业现代化应用向云中迁移_陈亮

企业现代化应用向云中迁移企业现代化应用向云中迁移陈亮,解决方案架构师陈亮,解决方案架构师向AWS云中迁移的方法向AWS云中迁移的方法人员,流程,技术.向云中迁移的经验知识储备与培训不是主要的业务活动对向云中迁移的各种顾虑同时进行多种尝试无法确定切入点向云中迁移的挑战发现设计改变过渡运营优化计划运行建设•详细的迁移计划•估算的努力•安全与风险评估•网络拓扑结构•迁徙•配置•验证•评估与分析•优先级•数据要求和分类•业务逻辑与基础设施的依赖•试点测试•过渡到支持•发布管理•割接和退役•员工培训•监控•事件管理•配置•监测驱动的优化•持续集成和持续部署应用程序迁移评估重新托管（升力和位移）应用组合优化重新构建平台（提升和重塑）向云中迁移的方法规划迁移迁移到云中可以使用许多路径之一统计整理企业基础架构/应用软件调整迁移与测试正式运行重构应用程序更新升级迁移基础架构确定迁移计划确定迁移路径更新换代暂时不迁移企业云策略设计，规划，部署云中测试环境迁移应用软件确定迁移流程手动迁移基础架构第三方迁移工具AWSVMImport重构重建PaaS/SaaS合作伙伴第三方迁移工具手动迁移应用确定迁移流程重新构建传统架构的应用软件部分重编码重新架构重新编码搭建AWS云中架构/部署应用环境环境/迁移数据确定优化系统切换组织影响分析运维管理计划变更管理计划AWS云中服务体系架构AWS云中服务体系架构规划您在AWS中的系统架构设计云计算环境和体系结构是非常重要的，实现云计算的好处，如敏捷性和成本节约网络融合了本地和云面向云的协议IP方案和解决VPC和帐户配置安全•SSO•访问策略•最小特权•审计•合规•入侵检测与防御•记录合规•计费和成本管理•服务目录•配置管理•建筑标准•SLA/SLO•采购数据管理•RPO/RTO•保持政策•复制•存储优化•ILM•数据质量监控•通知及提醒•应用层意识•阈值•服务台集成您的数据中心基础架构-AWS云服务技术数据中心AWSNetworkVPN,MPLSAmazonVPC,AWSDirectConnectStorageDAS,SAN,NAS,SSDAmazonElasticBlockStore,AmazonS3,AmazonEC2instancestorage,distributed&clusteredFSonAmazonEC2ComputeHardware,virtualizationAmazonEC2,AmazonECS,AWSLambdaContentdeliveryThird-partyCDNAmazonCloudFrontDatabasesMSSQLServer,MySQL,Oracle,DB2,PostgreSQL,MongoDB,.…AmazonRDS,AmazonDynamoDB,AmazonAmazonElastiCache,DBsoftwareonAmazonEC2LoadbalancingHardwareandsoftwareloadbalancersElasticLoadBalancing,softwareloadbalancersScaling&clustermanagementHardwareandsoftwareclusteringtoolsAutoScaling,softwareclusteringsolutionsDNSBIND,WindowsServer,thirdpartyAmazonRoute53,third-partyDNSsoftwareonEC2您的数据中心基础架构-AWS云服务技术数据中心AWSAnalytics&datawarehouseHadoop,Vertica,Cassandra,specializedhardwareandsoftwareAmazonEMR,AmazonRedshift,softwareonAmazonEC2MessagingandworkflowRabbitMQ,ActiveMQ,Kafka,…AmazonSQS,AmazonSNS,AmazonSWF,softwareonEC2CachingRedis,Memcached,…AmazonElastiCache,Memcached,SAPHanaArchivingTapelibrary,off-sitedatastorageAmazonS3,AmazonGlacierEmailEmailsoftwareAmazonSESIdentity,authoritzation,&authenticationAD/ADFS,LDAP,SAML,thirdparty…AWSIdentityandAccessManagement/AWSSTS,AmazonCognito,AWSDirectoryService,AD&LDAPonAmazonEC2Deployment&configurationmanagementChef,Puppet,Salt,Ansible,PowerShellDSCAWSCloudFormation,AWSOpsWorks,AWSElasticBeanstalk,AWSCodeDeploy,AmazonECSManagementandmonitoringCA,BMC,RightscaleAmazonCloudWatch,AWSConfig,AWSCloudTrail,AWSTrustedAdvisor企业应用向AWS云中迁移的最佳实践企业应用向AWS云中迁移的最佳实践确认计划迁移的应用迁移独立的应用系统会相对简单基于SOA设计的松耦合应用系统迁移是个好的选择紧耦合的系统迁移需要做更多详细的计划最初迁移的应用系统开发/测试环境，自包含的网站应用(LAMP)，社交网络的市场活动，培训环境，产品展示与销售网站，软件下载/试用的应用程序。注意以下场景32bit,非Linux/Windows,多播(如：OracleRAC),客户端/服务器应用程序,工程一体机(如：Exadata,Netezza),垂直扩展/无法分布式的应用系统预估与规划:最基本的信息计算:服务器/虚拟机的数量，包括内存,CPU,操作系统,和启动盘的大小(AmazonEC2)存储：对应交易，备份，归档和日志/文件等不同需求(AmazonEBS,AmazonGlacier,andAmazonS3)通过网络传出数据的大小互联网或专线直连，从安全和传输效率两方面考虑(AWSDirectConnectandVPN)选择运行的区域预估与规划:最好获得更多信息每种工作负载的高可用需求(ELB,Route53,RDSMulti-AZ)每种工作负载的扩展需求(ELB,Route53,AutoScaling,CloudFront)每种工作负载的灾备需求每种工作负载的存储性能需求(IOPS)对管理/监控系统的要求每种工作负载的备份需求预估与规划：如果能获得这些信息就太好了工作负载分类：文件服务器，安全，关系型数据库，企业管理软件，大数据分析，管理与监控等等每种工作负载对合规的要求HIPPAandPCI每种工作负载对高性能运算的需求超高CPU,内存的需求对第三方打包软件的需求，IDS/IPS,WAF,management,monitoring,logging,等等.尽早开始PoC，验证计划可行性PoC会解答你很多问题和疑虑，并且让你快速的熟悉AWS帮助你发现设计与实现的差距并找到成功迁移的关键点帮助你做好迁移的成本预估帮助你做好应用系统在AWS运行的成本预估将数据迁移至AWS•通过S/FTP,SCP,UDP,Attunity将文件传输至AmazonS3或EC2•将数据中心的数据通过NFS挂载到AWS上•配置数据中心的备份软件(如NetBackup,CA,CommVault,Riverbed)将数据直接备份至AmazonS3•通过AWSStorageGateway将数据异步备份到AmazonS3•AWSImport/Export服务/SnowBall:将你的磁盘或者SnowBall寄送给AWS•数据库备份工具如OracleSecureBackup•数据库复制工具如GoldenGate,Dbvisit•AWS专线直连，100Mbps至10Gbps将数据迁移至AWS数据容量大小**与网络带宽与延时相关需要快速传输数据UDP传输软件(如,Tsunami…)AttunityCloudBeamAWSStorageGateway,Riverbed,NFSAWSImport/ExportSnowBall通过互联网传输通过专线一次性上传，通过专线一次性上传，并持续同步变化数据天小时TBsGBsPBs企业应用在AWS云中的安全最佳实践企业应用在AWS云中的安全最佳实践深度防御AWS合规第三方认证物理层安全组VPC配置网络WAF堡垒机数据传输加密增强镜像安全操作系统与应用软件补丁管理EC2IAM角色IAM凭证系统安全逻辑访问控制用户授权数据存储加密数据安全云中防火墙:安全组以及网络访问控制列表•VPC安全组(必选)–实例级别，有状态–仅支持允许条件–默认拒绝入站，允许出站–最小权限，类似”白名单”•VPC网络访问控制列表(可选)–子网级别，无状态–同时支持允许和拒绝–默认允许所有–类似使用”黑名单”PhysicalInterfacesCustomer1HypervisorCustomer2Customern……VirtualInterfacesFirewallCustomer1SecurityGroupsCustomer2SecurityGroupsCustomernSecurityGroupsSecurityGroups•任何更改都会被CloudTrail记录•无需为安全组以及网络访问控制列表付任何额外费用数据存储加密EBS卷加密EBSencryptionOStoolsAWSmarketplace/partner对象加密S3serversideencryption(SSE)S3SSEw/customerprovidedkeysClient-sideencryption数据库加密AmazonRedshiftencryptionRDSPostgreSQLKMSRDSMYSQLKMSRDSORACLETDE/HSMRDSMSSQLTDE最低用户权限原则•使用尽量低权限的用户登录AWS–Read-only–EC2launch-only•通过转换角色来获得操作权限–管理IAM–删除实例–删除快照防止误操作(类似于DisableApiTermination=true)整合你的AWSIAM用户•在企业层面，采用整合帐单(consolidatedbilling)•不同Account之间允许通过转换角色(assumeroles)的方法切换帐号•管理与计费Account不产生服务费用与AWSDirectoryService和IAM进行权限联盟DirectoryUsersDirectoryGroupsIAM_AdminsRead_OnlyEC2_AdminGroup‘n’…AWSDirectoryServicesMgmtAcctIAM_AdminIAMRoleMappingRead_OnlyEC2_AdminRole‘n’