1--基于AWS云服务的企业混合IT架构和网络实现-孙素梅

©2014Amazon.com,Inc.anditsaffiliates.Allrightsreserved.Maynotbecopied,modified,ordistributedinwholeorinpartwithouttheexpressconsentofAmazon.com,Inc.基于AWS云服务的企业混合IT架构和网络实现JennySun孙素梅AWS解决方案架构师December12,2014日程•什么是混合IT架构•AWS支持混合IT架构•基于AWS的混合IT架构的网络实现日程•什么是混合IT架构•AWS支持混合IT架构•基于AWS的混合IT架构的网络实现“HybridITistheresultofcombininginternalandexternalservices,usuallyfromacombinationofinternalandpublicclouds,insupportofabusinessoutcome.”混合IT架构的定义BuildDeliver混合IT架构的定义ServicesBusinessOutcomesSolutions混合IT架构是未来的趋势“Nearlyhalfoflargeenterpriseswillhavehybridclouddeploymentsbytheendof2017.”企业需要混合IT架构企业需要混合IT架构CloudDatacenter日程•什么是混合IT架构•AWS支持混合IT架构•基于AWS的混合IT架构的网络实现AWS安全职责共担模型基础设施物理安全服务器平台存储平台网络平台虚拟化层操作系统应用帐户管理安全组防火墙网络配置+=客户审计与合规要求管控与风险管理要求信息安全数据安全AWS安全认证ISO27001ISO9001SOC1/SSAE16/ISAE3402SOC2SOC3HIPAAPCIDSSLevel1MPAACSAMTCSTier3CertificationFedRAMP(SM)DIACAP&FISMAITARDoDCSMLevels1-2and3-5FIPS140-2提供给用户的安全技术与工具VPC虚拟私有云/私有网络/VPN安全组防火墙数据加密/CloudHSMIAM身份认证和访问管理安全日志AWSCloudTrailAWSTrustedAdvisor……安全组SecurityGroup私有子网AWS支持混合IT架构私有连接工作负载与数据迁移访问控制集成与现有的管理工具一起使用自有环境上的应用你的数据中心云应用+AWS的“私有”网络能力你的数据中心AWSDirectConnectAWS虚拟私有云VirtualPrivateCloud(AWSVPC)AWS的“私有”计算能力你的数据中心虚机（AWSEC2）用户定义的网络网络逻辑隔离AWSEC2专属实例（DedicatedInstance)物理隔离单租户基础架构AWS的“私有”存储能力你的数据中心加密对象存储客户端和服务器端加密加密块存储AWSStorageGatewayAWSEBS块存储私有加密密钥管理AWSCloudHSMAWSS3对象存储日程•什么是混合IT架构•AWS支持混合IT架构•基于AWS的混合IT架构的网络实现AWSVPC介绍虚拟私有云（VPC,VirtualPrivateCloud)子网（Subnets）路由表（RouteTables）,安全组（SecurityGroups）,网络访问控制列表（NACL）虚拟私有网关（VirtualPrivateGateway）Internet网关（InternetGateway）弹性IP和负载均衡（ElasticIPsandLoadBalancers）AWSDirectConnectComputeStorageAWSGlobalInfrastructureDatabaseAppServicesDeployment&AdministrationNetworking将企业数据中心扩展到AmazonVPC•用企业自己指定的IP地址段在AWScloud上创建逻辑上隔离的网络•企业拥有对虚拟网络环境完全的控制权，包括创建子网，定义IP地址，路由表和网关•在多个AZ创建公有和私有子网•企业自己选择将EC2实例部署到哪个子网•企业使用NACL管理子网层面的网络安全•企业自己管理EC2实例的安全组，为每个EC2实例提供网络防火墙10.100.0.0/16ApplicationServerAvailabilityZoneBAvailabilityZoneA10.100.2.0/2310.100.0.0/23•通过标准的基于互联网的IPSECVPNtunnels•$0.05perVPNConnectionHour($36permonth)•Cisco,Juniper,Yamaha,Astaro,Fortinet,Vyatta,etc•支持BGP和静态路由•通过AWSDirectConnect，或者两者的结合•DirectConnect的连接速度支持从50Mto10G,企业自己选择ComputeStorageAWSGlobalInfrastructureDatabaseAppServicesDeployment&AdministrationNetworkingCustomerVPCInternetVPNConnectionCustomerIPSECRouter/FirewallCustomerDirectConnectRouterPrivateDirectConnectCustomerCorporateNetwork将企业数据中心扩展到AmazonVPCAWSVPC应用场景示例一：数据中心扩展互联网客户数据中心网络172.16.0.0/16私有子网PrivateSubnet10.0.1.0/24RVPC10.0.0.0/16VPNGatewayERP系统BI商业智能私有子网PrivateSubnet10.0.2.0/24开发测试环境演示培训环境私有子网PrivateSubnet10.0.3.0/24其它应用大数据分析平台备份、容灾PrivateSubnet10.0.x.0/24应用NAWSVPC应用场景示例二：混合IT架构互联网客户数据中心网络172.16.0.0/16RVPC10.0.0.0/16VPNGateway私有子网PrivateSubnet10.0.1.0/24ERP系统BI商业智能大数据分析平台公共子网PublicSubnet10.0.100.0/24CRM系统PRM系统E-Commerce电商平台InternetGatewayAWSVPC:按照企业级的安全要求构建“亚马逊的虚拟私有云（VPC）是一个独特的选择，它提供了一层额外的安全和一个让我们可以与已有的基础设施进行集成的能力。”Dr.MichaelMiller,研发团队负责人:按照企业级的安全要求构建节约了3400万美元比传统的托管服务节约了85%NASAJPL–混和IT架构，NASAJPL演示：五分钟构建属于你自己的数据中心PublicSubnet10.0.0.0/24互联网客户数据中心网络172.16.0.0/16WebServer10.0.0.5198.51.100.1(EIP)WebServer10.0.0.6198.51.100.2(EIP)WebServer10.0.0.7198.51.100.3(EIP)NAT10.0.0.8198.51.100.4(EIP)PrivateSubnet10.0.1.0/24DBServer10.0.1.5DBServer10.0.1.6DBServer10.0.1.7AmazonEC2APIendpointAmazonS3APIendpointRVPC10.0.0.0/16CustomRouteTableDestinationTarget10.0.0.0/16local0.0.0.0/0InternetGatewayMainRouteTableDestinationTarget10.0.0.0/16local172.16.0.0/8VirtualPrivateGateway0.0.0.0/0NATInstanceInternetGatewayVPNGateway谢谢大家！亚马逊AWS中文博客：：