傳統系統架構與AWS服務 - Day04

從前三天的課程可以知道應該如何得到得到一個AWS的帳號，如果是社會人士比較適合免費套餐；如果是在校學生或是新手老師則可以從AWS Educate入手；而如果是打算建立雲中心的高等教育機構，則是可以考慮導入AWS Academy。有了帳號後，接下來就是了解AWS雲計算的內容，本系列以架構(Architech)為主，所以先決條件是希望讀者先有架構的基本概念，以下是一張傳統的網路架構圖。

圖一、傳統的系統架構圖
使用Active Directory/LDAP來管理使用者帳號，或是SSO(Sigle Sign-On)的機制，而在應用程式部分採用三層式架構，把介面、商用邏輯以及資料管理分開：負載均衡器來對網路流量進行分流，而Web伺服器負責提供應用程式介面；在由下一層的負載均衡器進行分流，分配給後端的應用程式伺服器，而考慮硬碟效能、管理及可靠度的情況下，使用SAN(Storage Area Network)來做為硬碟存取，而有些需要共同取用的資料夾，則統一放在NAS(Network-Attached Storage)，供所有應用程式伺服器存取；最後資料則儲存在資料庫中，考慮可用性及可靠性，所以使用Master/Slave架構增加冗餘可用的機制，還有磁帶備份作為災難復原之用。

這是一個很基本的應用系統架構，下一張圖讓我們了解一下要如何把這個架構搬到AWS的雲端服務中，從這張圖，大家就可以看到傳統服務與AWS服務之間的對應。

圖二、AWS雲端的系統架構圖

服務的替換如下

• 將服務器替換為 EC2，其實ECS(Elastic Container Service)也可以，更輕量
• 將 LDAP 伺服器替換為 AWS Directory Service
• 將基於軟體的負載均衡器替換為 Elastic Load Balancing (ELB)
• 將 SAN 解決方案替換為 Amazon EBS
• 將 NAS 檔案伺服器替換為 Amazon EFS
• 將資料庫替換為 Amazon RDS
• 磁帶備份會換成標準S3或是Glacier

從以上兩張圖，讀者應該就比較理解傳統系統架構與AWS服務之間的對應關係，在這裡在補充兩個AWS的基礎服務，在圖一應該會有但沒有畫出來，一個是網路架構，也就是所有的伺服器應該都是透過網際網路串聯起來，所以應該要有一個網路支援系統，在AWS裡這個服務就是Amazon Virtual Private Cloud (VPC)，允許使用者在 AWS 雲端佈建一個在邏輯上隔離的部分，並在自己定義的虛擬網路中啟動 AWS 資源；另一個資源管理帳號，就是Identity and Access Management (IAM)，圖一中的LDAP 伺服器是用來管理整個應用系統的權限，而IAM則是用來管理整個系統的資源權限，舉例來說管理資料庫的內容權限是由LDAP 伺服器來負責，但假如我們需要升級資料庫的硬體設備，如加裝記憶體、升級主機等的權限則是由AWS內的IAM來負責授權，簡單來說就是系統硬體權限部分是由IAM來負責，系統軟體／內容權限部分則由LDAP伺服器來負責