AWS SUMMIT In London參會分享

本次AWS在倫敦舉辦的峰會包括三部分：presentation分七個場次持續半天時間、現場演示和培訓持續兩天時間、合作伙伴的展覽活動。我與@陶方參加了這一次會議，由於內容同時進行，我側重在參加展覽以及部分安全相關的session，陶方關注在aurora和redshift資料庫相關的專場。

幾個總體印象：

• 合作伙伴參與度非常的高，合作伙伴參與會議的發起
• 合作伙伴中做安全、監控、日誌分析佔大半以上，很多廠商是從傳統廠商轉型到雲端計算平臺上來的
• AWS的合作伙伴整體質量還是比較高的
• 演講內容同一個主題一般會有兩個人來講，第一個是AWS的解決方案架構師，第二個是一家合作廠商的實踐分享
• 以資料庫、計算和儲存、網路和安全這三個方面的主題為主，在遊戲、物聯網和移動 、初創企業專場有幾個主題，另外成本、效率和企業應用上有幾個主題
• Deep Dive相關的主題技術上的乾貨會多一些，此外大都是產品和應用場景的介紹
• 兩個印象深刻的概念：security by design、serverless

演講部分的詳細主題，及我們參與部分主題的簡要解讀如下，另外會議官網上是沒有提供slide下載的，我們單獨從網上搜尋有AWS在歷史的SUMMIT中的一些slide，內容上大部分內容類似。

演講主題

資料庫專場

• GETTING STARTED WITH MANAGED DATABASE SERVICES ON AWS
• GETTING STARTED WITH AMAZON DYNAMODB
• GETTING STARTED WITH AMAZON AURORA
• GETTING STARTED WITH AMAZON KINESIS
• GETTING STARTED WITH AMAZON REDSHIFT
• DEEP DIVE ON AMAZON DYNAMODB
• DEEP DIVE ON AMAZON AURORA
• DEEP DIVE ON AMAZON RELATIONAL DATABASE SERVICE
• BUILDING YOUR FIRST BIG DATA APPLICATION ON AWS
• BIG DATA ARCHITECTURAL PATTERNS AND BEST PRACTICES ON AWS

計算和儲存專場

• SELF-SERVICE SUPERCOMPUTING: OR WHY THERE’S NO QUEUE IN THE CLOUD
• GETTING STARTED WITH AWS LAMBDA AND THE SERVERLESS CLOUD
• CONTAINERS AND THE EVOLUTION OF COMPUTING
• GETTING STARTED WITH AMAZON EC2 AND COMPUTE SERVICES
• DEEP DIVE ON AMAZON EC2 INSTANCES
• DEEP DIVE ON MICROSERVICES AND AMAZON ECS
• DEEP DIVE ON AMAZON S3

網路和安全專場

• GETTING STARTED WITH AWS SECURITY
• DEEP DIVE ON ELASTIC LOAD BALANCING
• CREATING YOUR VIRTUAL DATA CENTER: VPC FUNDAMENTALS
• PROTECTING YOUR DATA WITH ENCRYPTION ON AWS
• COMPLIANCE IN THE CLOUD USING SECURITY BY DESIGN
• NETWORK SECURITY AND ACCESS CONTROL WITHIN AWS
• SECURING SERVERLESS ARCHITECTURES

遊戲開發專場

• INTRO TO GAME DEVELOPMENT & OPERATIONS ON AWS
• DEEP DIVE: AMAZON LUMBERYARD & AMAZON GAMELIFT

物聯網和移動專場

• GETTING STARTED WITH AWS IOT
• GETTING STARTED WITH AWS MOBILE SERVICES
• DEEP DIVE: DEVELOPING, DEPLOYING & OPERATING MOBILE APPS WITH AWS
• DEEP DIVE ON AWS IOT

初創企業專場

• HOW TO MIGRATE YOUR STARTUP TO AWS
• HOW TO SCALE TO MILLIONS OF USERS WITH AWS
• UK&I HOT STARTUP SHOWCASE
• MEET AMAZON ECHO (POWERED BY ALEXA) AND ALEXA SKILLS KIT

其他主題

• DEVOPS ON AWS: DEEP DIVE ON CONTINUOUS DELIVERY AND THE AWS DEVELOPER TOOLS
• COST OPTIMIZATION AT SCALE
• SUPPORTING DIVERSITY IN TECHNICAL WORKSPACES
• GETTING STARTED WITH AWS ENTERPRISE APPLICATIONS: WORKSPACES, WORKMAIL, WORKDOCS

合作伙伴展覽

合作伙伴展覽區共有63家，涵蓋日誌和監控分析、安全與合規、雲端資源管理（視覺化會做得很好）、部署工具、效能優化、成本優化、上雲服務、硬體基礎設施（cpu、寬頻等）等等。其中安全和監控相關廠商較多，總體感覺佔據一半以上。

重點說一下安全相關的廠商及其大概分類，這些廠商產品是對現有AWS服務很好的補充。

AWS自己提供的安全基礎設施如下設施：

• 基礎設施安全：VPC、WAF;TLS;VPN
• 威脅預防：防DDOS，Amazon CloudFront 和 Amazon Route 53
• 資料加密：KMS、CloudHSM
• 配置安全：安全評估服務Amazon Inspector；AWS Config；AWS CloudFormation
• 日誌記錄和監控：AWS CloudTrail；Amazon CloudWatch
• 身份和訪問控制：IAM；AWS Directory Service

如下廠商是本次展覽當中進行了一些溝通了解的廠商，這些廠商大部分是通過呼叫AWS提供的API服務實現，少部分是要求部署在使用者的基礎設施中。AWS的CloudTrail、AWS Config、CloudFormation、CloudWatch是幾個廠商常用的服務。

• 基礎設施安全：

  • Alert Logic：完全託管且基於雲的安全與合規解決方案套件
  • Imperva：直接保護網站、應用程式及其背後的資料免受攻擊，WAF
  • Trend Micro：基於主機的入侵檢測和預防、防惡意軟體，需要部署agent

• 日誌記錄和監控：

  • DataDog：應用監控利器，包含對各類常見的開源軟體系統的監控指標，監控指標非常全面，對AWS上的資源監控也非常細緻和全面，比如RDS；另外視覺化效果做的非常不錯；metrics可以自定義；天象可以參考。
  • ELK：ElasticSearch＋logstash＋kibana的開源日誌分析解決方案，該廠商提供技術支援服務
  • Splunk：日誌採集、互動式分析、關聯和預警的工具，使用過免費版本，日誌大小限制在500MB，對半結構化的日誌進行採集處理，可非常容易擴充套件日誌的標準化外掛，其檢索語法非常強大，實現類似於SQL的功能，可高效率實現多維度分析能力。
  • SumoLogic：SAAS服務，利用動態閾值監控多維度KPI，並通過線性預測分析來預測未來事件。通過關聯多個資料來源的日誌來縮短識別操作的平均時間；減少誤報；將成千上萬個結果頁面減少為少量有意義的模式。

• 配置和漏洞分析：

  • Evident.io、CloudCheckr、Dome9、CloudHeath：幫助檢查應用程式部署的安全風險和漏洞，同時提供相關建議以協助修復。

• 訪問和控制

  • Okta：通過與用於管理員工的現有基礎設施（例如 Active Directory）連線，Okta 可簡化並保護對 AWS 使用者和訪問的內部管理。

一些廠商交流過程中的圖片：

參與的主題分享

主題一：GETTING STARTED WITH AWS SECURITY

這個主題的內容主要分享AWS的安全最佳實踐，其標準的方法為：

• 理解AWS的安全實踐
• 構建強合規的基礎設施，滿足合規要求如SOC，ISO27001，CSA等等，AWS Trusted Advisor是一個可在安全、效能、成本優化、可用性上給出建議的產品，目前阿里雲沒有這方面的產品
• 整合IAM，統一的身份認證和授權系統，在阿里雲對應的元件是RAM
• 開啟監測控制，AWS提供基礎設施AWS CloudTrail和AWS CloudWatch，輸出所有的操作日誌和監控指標，合作伙伴（如 CloudCheckr）在此基礎上開發監控服務，具備持續的最佳安全實踐檢查、日誌智慧分析監控、安全行為告警和報表等能力。阿里雲對應的元件是ActionTrail，CloudWatch類似的功能目前是沒有開放出來的。
• 構建網路安全，使用VPC和安全組，這個阿里雲完全相同。
• 實現資料保護，使用KMS和雲加密機CloudHSM，阿里雲目前具備。
• 優化變更管理，使用AWS Config和Config Rules、AWS CloudFormation，其有大量合作伙伴通過該產品API提供配置的檢查和脆弱性分析等服務，如Evident.io、CloudCheckr、Dome9、CloudHeath等等，目前阿里雲沒有類似產品。
• 自動化安全功能，安全能力融入到開發週期中，包括需求、設計、開發、部署、測試等環節。

強調一個觀點：業務在快速發展的同時能夠始終保證安全，選擇安全不代表要放棄便利並引入複雜度。

與使用者的安全共擔模型如下圖：

AWS有非常強大的安全合作伙伴陣營：

主題二：COMPLIANCE IN THE CLOUD USING SECURITY BY DESIGN

一個核心觀點：security by design，將安全能力構建於AWS IT管理過程中。

• 自動化安全：自動化部署和使用者環境配置
• 持續的監控
• 現代化技術治理

舉個例子：

主題三：SERVERLESS ARCHITECTURE

serverless這個概念最近越來越火，尤其是Martin Fowler在6月17日釋出《serverless architecture》一文後。本次大會也有多個slide講這個主題，結合AWS lambda來講。構建於其良好的基礎設施之上，AWS在這個方向已經有所成績，生態也逐步起來了。

Serverless是最新興起的架構模式，中文意思是“無伺服器”架構。跟很多其它軟體類似，對Serverless還沒有清晰定義，但是肯定有兩個互相有重疊的定義：

1. Serverless最初是用於描述依賴第三方服務（‘雲端’）實現對邏輯和狀態進行管理的應用。典型的包括“富客戶端”（例如單頁Web應用、移動應用），他們一般都使用基於雲端的資料庫（例如Parse、Firebase），認證服務（Auth0、AWS congnito）等。這類服務以前被稱為“（Mobile） backend as a Service （https://en.wikipedia.org/wiki/Mobile_backend_as_a_service）”，稱為“BaaS”。
2. Serverless也可以指這樣的應用，一部分服務邏輯由應用實現，但是跟傳統架構不同在於，他們執行於無狀態的容器中，可以由事件觸發，短暫的，完全被第三方管理。這種思路是‘Functions as a Service / FaaS’，AWS Lambda是目前最佳的FaaS實現之一。

詳細定義可以參考Matrin Flower的文章：Serverless architecture。

要實現serverless架構， 需要利用以下技術和方案，

• 實現BaaS中的雲程式碼特性， 開發者可以直接開發在雲端業務程式碼，實現Functions as a Service。
• 實現API閘道器，對用API代表服務的入口，並對所有服務進行治理。
• 微服務架構技術，用微服務的概念來實施服務的開發。
• 利用docker容器技術部署執行微服務

如下是AWS的API gateway

總結

總體來說，AWS的產品服務體系和合作夥伴生態已經比較成熟，這次峰會也不涉及新產品的釋出。所以內容上來說基本上還是老的東西，不過到現場去體驗一下，還是可以看到很多細節的。相關的ppt還沒有放出來，我們根據關注的主題收集了一些歷史峰會的資料。