AWS ותשתיות בסיסיות

בימים שבהם ישנו בכל ארגון יותר משירות ענן אחד ומתבסס על תצורת Multi-Cloud, אנו צריכים לנהל את כלל שירותי הענן, למשל ניהול ספקי ענן שונים, כגון: שירות הענן של Microsoft ועד לשירות הענן של AWS.

הפלטפורמה הרשמית של AWS הושקה ביולי 2002, בתחילה הפלטפורמה התבססה על גבי מספר קטן יחסית של שירותי ענן אך עם השנים גדולים שירותי הענן, המודולים, אפליקציות ומשאבים בענן שניתן לצרוך. בשנת 2004 פותח שירות EC2 על גבי תשתית לתפעול המסחר האלקטרוני.

אם בעבר היו משתמשים בשירות הענן של AWS בעיקר חברות קטנות באופן יחסי, הרי שכיום המגמה היא שונה וגם חברות גדולות מאוד, רשויות מדינה ומגזרים שונים משתמשים בשירות הענן AWS.

כיום יש לשירות הענן של AWS עשרות שירותים בענן, בין היתר התשתיות הבאות:

שירותי הענן של AWS כוללים שירותי ענן, רכיבים, כלים ואפליקציות שונות, המוכרים שבהם:

Elastic Compute Cloud (או בשמו הקצר EC2) – מאפשר להריץ מכונות וירטואליות בגדלים שונים וסוגים שונים החל ממכונות מבוססות מיקרו-מכונה ועד Quadruple Extra Large. המכונות מסוגלות להריץ מערכות הפעלה שונות החל מגרסאות Windows Server ועד הפצות לינוקס שונות ואת כל אותן מכונות ניתן להריץ על גבי איזורים שונים בעולם (לפי Region), ובכל איזור כזה ישנם בין 3-4 Availability Zones המספקים שרידות גבוהה.

Simple Storage Service (או בשמו המוכר S3) – תשתית אחסון ענן לשמירה ואחזור נתונים מתוך אותו אחסון, תשתית S3 מספקת שרידות ואמינות גבוהה, אך מהירות שאינה מספיק טובה, כלומר S3 טוב לגיבוי, אך אחרי הכל אינו מומלץ בתור כונן של השרת.

תשתית S3 מבוססת היא לנעשה Object based ובגלל זה ניתן לשמור ולאחסן בו אובייקטים כדוגמת קובץ תמונה, קובץ ווידאו וכו'.

הנתונים בתשתית S3 נשמרים בתוך Buckets, להם ניתן לשייך הרשאות גישה ולכן הגישה לתשתית S3 אינה נעשית כמו לדיסק רגיל אלא כאובייקטים דרך ממשקים שונים כדוגמת API.

Elastic Block Store‏ (או בשמו הקצר EBS) – דיסקים וירטואליים הניתנים להגדרה בנפרד ממכונות וירטואליות המבוססות על EC2. דיסקים אלה יכולים להיות חלק מאותם מכונות וירטואליות ולתפקד בדיוק כמו דיסק רגיל.

בנוסף לשמירת מידע, מציע תשתית EBS יכולות גיבוי ואפשרויות Snapshot, ולכן מכונות EC2 שאינן מבוססות על EBS מוגדרות כמכונות זמניות שאינן שומרות מידע לאחר כיבוי. במידה וישנו צורך להריץ מכונה שמצריכה שמירת שינויים לאחר הכיבוי, המכונה חייבת להיות מבוססת על EBS.

SimpleDB – בסיס נתונים פשוט המאפשר לשמור ולקרוא נתונים בדרכים שונות וללא המורכבות של בסיסי נתונים סטנדרטיים. SimpleDB מבוסס על תשתית S3 ומתאפיין במהירות רבה, יכולת גדילה, מחיר זול ושרידות גבוהה בגלל ריבוי עותקים של הנתונים בצורה אוטומטית.

Relational Database Service‏ (או בשמו הקצר RDS) -תשתית המיועדת למערכות של בסיסי נתונים כדוגמת: MySQl, SQL, MariaDB וכן הלאה. תשתית RDS כוללת גיבוי נתונים, Snapshots, יצירת רפליקציות בצורה מאד פשוטה ועוד.
תשתית RDS מבוססת על תשתית EC2 ומאפשר לבחור את גודל המכונה שתריץ את השירות החל ממכונה קטנה של פחות מ-2GB זיכרון ועד 68GB זיכרון.

Elastic Load Balancing‏ (או בשמו הקצר ELB) – רכיב רשת המנתב בקשות רשת למספר שרתי EC2 בהתאם לעומס על השרתים. כמו כל שאר השירותים, מדובר בתשלום על פי שימוש ויכולת הגדרה פשוטה. ממשק API מאפשר הוספת שרתים לרכיבי Cluster בצורה אוטומטית.

Glacier – תשתיתת המיועדת לשמירת כמויות של מידע חלקן במצב Offline ונועד למטרות ארכיב ארוכות טווח של שמירה על המידע. ישנם מצבים בהם לוקח זמן רב להוריד מידע רב מתוך התשתית ולעיתים שעות בודדות (בהתאם לגודל הקובץ).

למשל, בכדי לצמצם את מחיר הורדת הקובץ מתוך תשתית Glacier מומלץ להוריד את המידע בקצב הורדה קבוע לאורך זמן, ויש הנחה אם אתם מורידים קובץ שלם ולא חלק ממנו.

Availability Zone (או בקצרה AZ) – מערך ותשתית Data Center עצמאית, הכוללםי בין רכיבים עצמאיים של רשת, הספק חשמל, אבטחה, עמידות בתנאים קשים ועם שרידות מול Availability Zone אחר.

תשתית Availability Zone מקובץ לאיזורים שונים (Region) שונים בעולם כאשר בין כל Region ישנם קצבים גבוהים של מהירות ודרישות המאפשרים רפליקציה וסנכרון מהיר של נתונים.

אבטחת מידע – מודל האבטחה של AWS הוא מודל של אחריות משותפת: של AWS יחד עם הלקוח. כלומר, אמזון לוקחת אחריות על מספר תחומים ומספקת ללקוח מגוון כלים במטרה שהלקוח יהיה אחראי על הצד שלו. ישנם כלים רבים של אבטחת מידע לרובדים השונים נתחיל בדרישות הבסיסיות אשר מחולקות לאחריות ארגונית וכן אחריות של AWS

אחריות מצד הארגון כולל בין היתר:

  • ניהול משתמשים והרשאות – תשתית AWS מספקת יכולות לניהול זהויות IAM שהוא למעשה סוג של Directory לניהול משתמשים (בדומה לתשתית Azure AD או לחלופין לתשתית Active Directory), וצכיל בנוסף אפשרויות של Federated Identity ויכולות SSO.
  • קבוצות מבוססות על גבי Security Groups המאפשרות להחיל מדיניות של Firewall על השרתים שלכם. הריכוז בקבוצות עוזר לנהל מצב בו יש לכם instances רבים.
  • ACLs -הרשאת גישה לתשתיות ורכיבים כדוגמת בסיסינ נתונים, מכונות, CDN וכן הלאה
  • Virtual Private Cloud (או בקצרה VPC) המספקת רשת נפרדת משאר הענן ותאפשר שליטה על הגדרת הרשת וההרשאות שלה.

אחריות ברמת AWS כולל בין היתר:

  • הגנה פיסית -רק מורשי גישה יכולים להתחבר לשרתים והחומרה הקיימת
  • הגנת הרשת הפנימית של AWS – למשל ניהול נתבים בצורה מאובטחת.וניטור תנועת הרשת מפני חריגות והתנהגות חשודה.
  • Multi-tenancy של המערכות (ע"י Hypervisors, VLANs, או Multi-tenancy ברמת התוכנה, וכו') שמבטיח שלקוח אחר, שמשתף אתכם חומרה פיסית לא יוכל לנצל עובדה זו בכדי לגשת לנתונים שלכם.
  • תאימות לסטנדרט אבטחה מרכזי בתעשייה, כדוגמת HIPPA.

 



:קטגוריותAWS

תגים: , ,

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.