22 六月
2017

其實應該是說不論用哪一家雲服務都一樣要注意這三大重點!

【一.資安管控】

資安沒做好、公司小心倒~ (可上網搜尋一下CodeSpaces等慘案)
所以在還沒談到技術、效能和成本之前,最先要做好的就是這件事。

▼帳號管理:對於root帳號一定要十分小心配發給重要人士管控,委外或員工建議給用IAM帳號

#root帳號:就是有權限登入AWS管理平台的管理帳號
#IAM帳號:使用AWS IAM所建立出來的帳號
#MFA認證:建議上述帳號要結合此認證方式來加強安全性

▼權限管理:絕對不能因為偷懶或不懂就指派full access的權限,否則後果自理

#root帳號:擁有最高的權限可以進行任何事,所以root帳號别亂給他人
#IAM帳號:透過權限的指派才能得到適當的權限,可善用group來做管理

▼Key的管理:在AWS裡有各種不同的key,這裡僅針對常用的Key來說明

#EC2 KeyPair:可以用來登入EC2,會產生.pem的金鑰供下載(windows要轉成ppk才能用)
#IAM帳號:每個IAM帳號(User)都能產生Access Keys,主要是用來呼叫AWS API使用

舉例來說,若是希望讓客戶的IT人員可以連上AWS查看EC2的運作狀態、帳單明細,而客戶的委外廠商可以連進EC2進行操控時,可以這麼做:

#客戶的IT人員:給一個專屬的IAM帳號,並設好EC2 Read Only、Billing的權限
#客戶的委外廠商:給一個其專屬的EC2 KeyPair,該台EC2是選擇該KeyPair來啟動

【二.效能選擇】

在自備伺服器的時代,為了擔心效能不足的問題,往往會先買規格最好、最新的伺服器,然後一用就是五年、十年,再來做成本攤提(即便是CPU負載幾乎為0也沒關係,因為採購流程和簽核手續十分繁瑣,所以先買最好的)。

但在雲服務時代,這樣的買法就大大的錯了!

以現在AWS的EC2 Type來說全部有77種 (包括舊Type),依照CPU、GPU、記憶體等不同用途來區分;加上現今要變更Type或是增減EC2數量都十分容易,所以應該是要視實際的需求來選擇效能相當的Type,使用中的EC2之CPU用量應該是30%-60%左右最好,若是CPU都是0%,那麼建議可以選擇小一些的Type來跑跑看 (除非有特殊需求的考量)。

事實上每家雲服務業者也都是這樣在宣導的,只是台灣企業的使用習慣根深蒂固,很多觀念還是改不過來,只好多花冤枉錢了。

【三.成本管理】

很多台灣企業本身並不了解雲服務,只盲目聽從台灣媒體的報導就以為用了雲服務就可以節省大量成本,結果用了之後才發現竟然比原本在IDC的成本多了好幾倍????

究其根本,原因大多如下:

#企業中的負責人員不懂,全部交由委外廠商規劃、建置,只能乖乖繳錢
#企業的IT人員沒受過專業訓練,於是用原本傳統的架構和模式搬上雲服務
#企業經營者不了解雲服務的成本特性,也沒去思考所需的服務是否需要用雲
#即便企業IT人員技術夠專業、委外廠商夠良善,但其不懂AWS的RIs複雜買法
#太過盲從,聽大家用新加坡或東京的Region就跟著一起選用,沒做仔細的評估

所以台灣有很多用了七、八年AWS的企業,都不知道AWS有RIs的買法可以有限節省20%-50%的成本,此外也沒去注意不同Region之間的巨大價差(15%以上),只一昧在意連線速度,而不去考量自己的需求需不需要那麼快的連線速度?沒去思考成本差異和速度差異之間的取捨?

底下是我用「問云」列出的Region成本差異,相信很容易就能一目了然!
(至於連線速度的差異也能在問云的雲服務測試報告中找到,有興趣的請自行去查看!)

中午吃飯去,下次聊囉~

志文

tts.ken@gmail.com