2016年11月19日 星期六

AWS Associate SysOps準備(第三天)

Credentials

aws 認證的幾種方式

Direct Connect


簡述 可以想像成就是在資料中心與VPC拉一條專線。
 Direct Connect 服務可讓您輕鬆地建立一個連接本地設施和 AWS 的專用網路連線。在大多數情況下,這樣可以降低網路成本、提高頻寬輸送量,並提供一個比用網際網路連接更為一致的網路體驗。
 利用 AWS Direct Connect 在您的網路與其中一個 AWS Direct Connect 位置之間建立專用網路連線。使用產業標準的 802.1q VLAN 可將這個專線分割成多個虛擬界面。這可讓您利用同一個連線存取公有資源 (例如:存放在使用公有 IP 地址空間的 Amazon S3 中的物件) 和私有資源 (例如:使用私有 IP 空間在 Amazon Virtual Private Cloud (VPC) 中執行的 Amazon EC2 執行個體),同時又能在公有和私有環境之間保持網路區隔。


特色
降低頻寬成本
穩定一致的網路效能
與所有 AWS 服務相容
連接 Amazon VPC 的私有連線

收費方式
AWS Direct Connect 有兩項單獨的費用:連接埠小時費用和資料傳輸費用。


常見問答集


問:連接有什麼技術要求?
AWS Direct Connect 支援在使用乙太網路傳輸的單模式光纖上進行 1000BASE-LX 或 10GBASE-LR 連接。您的裝置必須支援 802.1Q VLAN。有關詳細的要求資訊,請參閱AWS Direct Connect User Guide

問:AWS Direct Connect 連結失敗時,是否會遺失連接?
如果您已經建立第二個 AWS Direct Connect 連接,流量將自動容錯移轉到第二個連結。建議您在設定連接時啟用雙向轉發偵測 (BFD),以確保快速偵測和容錯移轉。如果您已經設定備用的 IPsec VPN 連接,則所有 VPC 流量將自動容錯移轉到 VPN 連接。往返 Amazon S3 等公有資源的流量將透過網際網路路由。如果您沒有備用的 AWS Direct Connect 連結或 IPsec VPN 連結,則出現故障時會遺失 Amazon VPC 流量。往返公有資源的流量將透過網際網路路由。

問:自發系統編號 (ASN) 是什麼?是否需要它才能使用 AWS Direct Connect?
自發系統編號是用於識別網路,其可向網際網路提供明確定義的外部路由政策。AWS Direct Connect 需要 ASN 來建立公有或私有虛擬界面。您可以使用您擁有的公有 ASN,或者可以在 64512 到 65534 之間挑選任何一個私有 ASN 編號。

問:是否可以使用此連線來連接網際網路?
否。

AWS Direct Connect 與 IPSec VPN 連接有什麼區別?
VPC VPN 連接利用 IPSec 在您的內部網路和網際網路上的 Amazon VPC 之間建立加密的網路連接。VPN 連接可在幾分鐘內完成設定,而在您急需連接、對頻寬要求不高,且可以容忍網際網路連接原有的多變性時,這是良好的解決方案。AWS Direct Connect 並未納入網際網路;它改為在內部網路和 Amazon VPC 之間使用專門的私有網路連接。

DynamoDB


每個表格必須有一個主索引鍵。主索引鍵可以是單一屬性鍵,也可以是兩個屬性組合而成的「複合」屬性鍵。允許對 1 位元組到 400 KB 範圍內的項目提供低延遲讀取和寫入存取。項目的總大小 (包括屬性名稱和屬性值) 不得超過 400 KB。

Dynamo連線方式是透過IAM規則

提供強一致性及最終一致性

DynamoDB 可自動對資料進行分割和重新分割,並佈建額外的伺服器容量。还可在 AWS 区域的三个设施上同步复制数据

跨區域複寫
能夠在一個或多個 AWS 區域中維護完全相同的 DynamoDB 表格 (稱為主表格) 副本 (稱為複本)。為表格啟用跨區域複寫後,您可以在其他 AWS 區域中建立完全相同的表格副本。在表格中寫入的內容會自動傳播到所有複本。

Capacity units
強一致性之下 一個unit可坐一個讀操作(4kB),  寫操作 一單位只能1KB  

事件一致性下,一Unit 能坐兩個讀操作(8KB), 寫操作 一單位只能1KB  

一個寫入容量單位可讓您針對最大 1 KB 的項目每秒執行一次寫入操作。同樣地,一個讀取容量單位可讓您針對最大 4 KB 的項目每秒執行一次強制一致性讀取操作 (或每秒兩次最終一致讀取操作)。

多久可以變更一次佈建的輸送量?
您可以隨時提高佈建的輸送量,但一天只能降低四次。


兩種次要索引:
  • 本機次要索引(Local secondary index) – 是一種與表格擁有相同分區索引鍵但不同排序索引鍵的索引。本機次要索引之所以稱為「本機」,這是因為它的每個分割的範圍都限制在分區索引鍵相同的表格分割內。您需要在建立表格時建立 LSI。目前還無法在之後新增。一旦建立就無法從表格中移除本機次要索引。
  • 全域次要索引(gsi) – 一種可與表格分區索引鍵或分區排序索引鍵不同的索引。全域次要索引之所以稱為「全域」,這是因為該索引上的查詢可跨過所有分割,涵蓋表格中的所有項目。 建立表格之後,您仍可以隨時變更全域次要索引。
預留容量?
預留容量是一種計費功能,可讓您享有佈建的吞吐容量的折扣。

DynamoDB 微調存取控制權?
微調存取控制權 (FGAC) 可讓 DynamoDB 表擁有者對表中的資料進行高度控制。特別是表格擁有者可指定 (發起人) 可以存取哪些表格項目或屬性,以及執行什麼動作 (讀/寫能力)。FGAC 與 AWS Identity and Access Management (IAM) 配合使用,後者可管理安全登入資料及相關的許可。
使用 FGAC 時,應用程式會要求安全字符,授權應用程式只能存取特定 DynamoDB 表中的特定項目。
使用 FGAC 不會收取其他費用。

DynamoDB 跨區域複寫?
DynamoDB 跨區域複寫讓您能夠在一個或多個 AWS 區域中維護完全相同的 DynamoDB 表格 (稱為主表格) 副本 (稱為複本)。

DynamoDB Triggers

DynamoDB Triggers 的功能讓您能根據 DynamoDB 表格上的項目等級更新來執行自訂動作。您可以在程式碼中指定自訂動作。

使用 DynamoDB Triggers,您只需按 AWS Lambda 函數的請求數和 AWS Lambda 函數的執行時間支付費用。

DynamoDB Streams

DynamoDB Streams 會按時間順序排序過去 24 小時內表格中的項目等級的資料變更。您可以透過簡單的 API 呼叫存取串流,並使用它將其他資料存放區保持在 DynamoDB 最新變更的最新狀態,或根據表格變更採取動作。

適用於 Titan 的 DynamoDB 儲存後端?
適用於 Titan 的 DynamoDB 儲存後端是一個外掛程式,讓您可以使用 DynamoDB 作為 Titan 圖形資料庫的基礎儲存層。

哪些應用程式適用於圖形資料庫?
只要實體之間的連線或關係位於您嘗試要建立模型的資料核心,圖形資料庫就是當然之選。因此,圖形資料庫非常適用於社交網路、商業關係、相依性、運輸路線等等的模型建立和查詢。


Endpoint

挑幾個常用的出來

aws console
https://<account>.signin.aws.amazon.com/console  

Apigateway
apigateway.<region>.amazonaws.com 

autoscaling
autoscaling.<region>.amazonaws.com 

cloudformation
cloudformation.<region>.amazonaws.com 

cloudwatch
monitoring.<region>.amazonaws.com 

cloudwatch events
events.<region>.amazonaws.com 

cloudwatch logs
logs.<region>.amazonaws.com 

dynamodb
dynamodb.<region>.amazonaws.com 

dynamodb streams
streams.dynamodb.<region>.amazonaws.com 

ec2
ec2.<region>.amazonaws.com 

elb
elasticloadbalancing.<region>.amazonaws.com 

lambda
lambda.<region>.amazonaws.com 

sqs
sqs.<region>.amazonaws.com 

s3
s3.<region>.amazonaws.com 
s3.dualstack.<region>.com 


Elastic Block Service

Instance store 與ebs ami 的製作方式是有差異的


Encrypt ebs 若要分享數據給不同帳號,需要將資料解密後複製至未加密的EBS

不同類型的ebs,  gb-iops ratio 不同
gp2 1G:3iops
provision 1G:50iops
但instance 各有各的io上限

關於iops的官方文獻
general ssd  可加速至iops 3000 若想超過,則要擴增volume size, 3 IOPS/per GiB, iops max 10000
provision ssd  iops可超過10000,到達20000
block size 不同ebs type有變
gp2/io1 based on 16KiB I/O size, st1/sc1 based on 1 MiB I/O size


若將EBS assign 至 ec2 instance時,會出現的情況。
若是以Snapshot的方式還原的ebs,為了效能,建議將所有的區塊都寫一遍(pre-warm,可用fio實踐)

I/O Credits
每個 EBS Volume 都會預設有定值的 io credit (5400000) ,這些點數足以 使用max 3000 iops跑半小時,會定期補充io credit

若要加快,則用raid 0。


EBS的加密種類,有限機型。
不能對已經存在的未加密硬碟做加密,或從已加密硬碟解除加密,必須透過移動資料的方式,另外可用創建快照的方式來置換加密key
不能從未加密的硬碟作一份加密快照,但可從未加密的快照,複製一份加密的快照出來

Elastic Block Service的狀態若為warning與impaired,所代表的涵義 與 ebs metric (內有metric)


GP2, io2, magn的差異
一般用途 (SSD)、佈建 IOPS (SSD) 和磁帶。一般用途 (SSD) 是全新可支援 SSD 的一般用途 EBS 磁碟區類型,我們建議客戶選擇此類型作為預設值。一般用途 (SSD) 磁碟區適用於各種工作負載,包含中小型資料庫、開發和測試環境,以及啟動磁碟區。佈建 IOPS (SSD) 磁碟區可提供一致且低延遲效能的儲存,適用於 I/O 密集型應用程式,例如大型關聯式或NoSQL 資料庫。磁帶磁碟區是所有 EBS 磁碟區類型中每 GB 成本最低的磁碟區。磁帶磁碟區非常適用於較不常存取資料的工作負載,以及需要最低儲存成本的應用程式。

問:是否需要卸載磁碟區才能拍攝快照?是否需要完成快照後才能重新使用磁碟區?
否,可以在連接和使用磁碟區期間即時拍攝快照。不過,快照只能擷取已寫入 Amazon EBS 磁碟區的資料,可能不包含應用程式或作業系統已在本機快取的資料。為了確保能為執行個體連接的磁碟區獲得一致的快照,我們建議先徹底地斷開磁碟區連接,再發出快照命令,然後重新連接磁碟區。對於用作根裝置的 Amazon EBS 磁碟區,我們建議先關閉機器,以便能拍攝完整的快照。

快照共享
可將快照與其他用戶共享,每個快照都會獲得一個唯一的識別符

是否提供 Amazon EBS 磁碟區和快照的加密?
是。EBS 提供順暢的資料磁碟區和快照加密。EBS 加密可讓您更符合安全性和加密規範要求。

沒有留言:

張貼留言