云架构设计实战 课件 全套1-12 单元 1 云计算及亚马逊云科技简介 - 副本

云计算技术

单元1云计算及亚马逊云科技简介单元概述

随着互联网技术的高速发展，云计算得到了广泛应用本单元将介绍云计算和亚马逊云科技的概念了解什么是云计算和亚马逊云科技如何注册亚马逊云科技海外账户和教育者账户开始使用亚马逊云科技服务学习目标云计算的概念云计算的模式云计算的优势亚马逊云科技亚马逊云科技基础设施注册亚马逊云科技中国区账号项目1了解云计算

本项目主要介绍云计算的相关概念以及云计算的优势项目描述项目1了解云计算

任务1了解云计算的概念1.什么是云计算2006年Google首席执行官埃里克·施密特（EricSchmidt）首次提出“云计算”（CloudComputing）的概念。2006年3月14日亚马逊云科技推出第一项商用存储服务AmazonS3，从此云计算技术和相关产业迅速发展，应用也日益广泛项目1了解云计算

狭义上讲，云计算就是一种提供资源的网络，使用者可以随时获取“云”上的资源，按需求量使用，并且可以看成是无限扩展的从广义上说，云计算是与信息技术、软件、互联网相关的一种服务，这种计算资源共享池叫做“云”，云计算把许多计算资源集合起来，通过软件实现自动化管理，只需要很少的人参与,就能让资源被快速提供项目1了解云计算

2.云计算的模式云计算已经日渐普及，并拥有了几种不同的模型和部署策略，以满足不同用户的特定需求。每种类型的云服务和部署方法都提供了不同级别的控制力、灵活性和管理功能。理解基础设施即服务、平台即服务和软件即服务之间的差异，以及可以使用的部署策略，有助于根据需求选用合适的服务组合按服务模式分类按部署模式分类项目1了解云计算

按服务模式分类基础设施即服务(IaaS)平台即服务(PaaS)软件即服务(SaaS)基础设施即服务(IaaS)：基础设施即服务包含云IT的基本构建块，通常提供对联网功能、计算机（虚拟或专用硬件）以及数据存储空间的访问平台即服务(PaaS)：平台即服务消除了组织对底层基础设施（一般是硬件和操作系统）的管理需要，让用户可以将更多精力放在应用程序的部署和管理上面软件即服务(SaaS)：软件即服务提供了一种完善的产品，其运行和管理皆由服务提供商负责。人们通常所说的软件即服务指的是终端用户应用程序项目1了解云计算

公有云：基于云的应用程序完全部署在云中，并且应用程序的所有部分都在云中运行。云中的应用程序既可以在云中创建，也可以从现有基础设施中迁移而来私有云：当用户从自己的数据中心构建和运营云基础设施时，称为本地或私有云。它可提供专有资源，是需要满足特定合规性标准的组织的热门选择混合云：混合部署是将基于云的资源和云以外的现有资源之间的基础设施和应用程序连接起来的一种方式按部署模式分类公有云私有云混合云项目1了解云计算

任务2了解云计算的优势云计算的优势敏捷性弹性节省成本全球部署项目2了解亚马逊云科技

任务1了解什么是亚马逊云科技1.亚马逊云科技简介AmazonWebServices2006AmazonSimpleStorageServiceAmazonElasticComputeCloudAmazonSimpleQueueService项目2了解亚马逊云科技

亚马逊云科技(AmazonWebServices)是全球最全面、应用最广泛的云平台，从全球数据中心提供超过200项（截止2021年12月）功能齐全的服务亚马逊云科技作为领先的云平台，具有以下特点服务最广最大的客户群体和合作伙伴社区安全功能完善更快的创新速度更成熟的运营专业能力项目2了解亚马逊云科技

2.亚马逊云科技提供的服务亚马逊云科技从数据库到部署工具，从目录到内容交付，从网络到计算服务，提供超过200多种不同的服务（截止2021年12月），所有这些服务都位于亚马逊云科技全球基础设施上，用于帮助企业扩展和增长计算AmazonElasticComputeCloud(AmazonEC2)AmazonLambdaAmazonElasticBeanstalk联网AmazonVirtualPrivateCloud(VPC)AmazonRoute53（以及DNS（域名服务））存储AmazonElasticBlockStore(EBS)AmazonS3（简单存储服务）AmazonGlacier数据库AmazonRDS（关系型数据库服务）AmazonDynamoDB（NoSQL数据库）项目2了解亚马逊云科技

任务2了解亚马逊云科技基础设施1.亚马逊云科技全球基础设施亚马逊云科技拥有最广泛的全球云基础设施，超过为245个国家或地区的数百万个客户提供服务，并将逐步扩大全球基础设施项目2了解亚马逊云科技

云科技云基础设施区域（Region）可用区(AvailabilityZone，AZ)本地扩展区边缘站点WavelengthZones,Outposts

项目2了解亚马逊云科技

2.亚马逊云科技基础设施功能亚马逊云科技基础设施在区域和可用区附近构建，区域提供多个物理分隔并隔离的可用区，区域包含三个或多个可用区基础设施的价值特点：具有弹性和可扩展性。即资源可自动调整以增减容量需求，可以快速适应增长具有容错能力，它具有内置的组件冗余，在组件发生故障的情况下能够继续运行需要极少的人为干预甚至无需人为干预，同时提供高可用性以及最少的停机时间项目2了解亚马逊云科技

任务3访问亚马逊云科技在访问之前，客户需要创建一个亚马逊云科技账户（Account）。亚马逊云科技账户相当于客户拥有所有资源的一个篮子。如果多个人需要访问该账户，可以将多个用户（User）添加到一个账户下面。默认情况下，每个账户拥有一个根（root）用户亚马逊云科技在中国的云服务网址为https://www.amazona/海外（国际、全球）的网址为https:///cn亚马逊云科技在中国的云服务独立于海外云服务亚马逊云科技在中国的云服务目前不支持个人注册，创建亚马逊云科技账户需要提供您的公司企业营业证照和网络安全负责人个人有效身份证件的照片或扫描件项目2了解亚马逊云科技

创建亚马逊云科技账户（1）打开/链接创建账户填写资料上传资料注册成功登录账号项目2了解亚马逊云科技

（2）填写联系人信息以及公司信息，并勾选“客户协议”和“隐私政策”，单击“继续”按钮创建账户填写资料上传资料注册成功登录账号项目2了解亚马逊云科技

（3）上传企业营业执照，并填写网络安全负责人的信息，单击“提交”按钮，核验结果将以邮件的形式发送至注册邮箱创建账户填写资料上传资料注册成功登录账号项目2了解亚马逊云科技

（4）收到成功注册后的邮件，邮件里包含有12位数的账户ID。打开链接，点击“我的账号”→“管理控制台”菜单，输入账户ID、用户名和密码，单击“登录”按钮创建账户填写资料上传资料注册成功登录账号项目2了解亚马逊云科技

（5）登录成功后，在亚马逊云科技管理控制台中，开始使用亚马逊云科技服务创建账户填写资料上传资料注册成功登录账号云计算技术

单元2

计算服务与块存储服务单元概述

本单元将介绍AmazonWebServices的两个核心服务计算服务AmazonElasticComputeCloud（AmazonEC2）EC2服务提供可以弹性伸缩的云主机用户可以选择适合自己需要的云主机包括内存、CPU、磁盘空间和网络，操作系统和应用程序块存储服务AmazonElasticBlockStore（AmazonEBS）EBS服务提供可以弹性伸缩的块存储服务（即：卷）可以选择卷的类型、大小、是否加密然后把卷挂载到云主机上学习目标知识点什么是弹性计算服务什么是实例实例的类型什么是系统映像什么是块存储服务什么是快照技能点创建EC2实例连接到EC2实例管理EC2实例创建EBS卷在不同操作系统的EC2上挂载EBS卷管理EBS项目1使用AmazonEC2服务项目描述本项目将在AmazonWebServices中使用EC2服务创建两个实例（即：云主机）一个安装MicrosoftWindows操作系统的实例一个安装Linux操作系统的实例任务1知识预备与方案设计项目1使用AmazonEC2服务1.弹性计算服务（AmazonEC2）AmazonElasticComputeCloud的缩写属于基础设施服务，IaaSElastic即弹性，有两层含义可以增加或减少租用的云主机的数量可以改变云主机配置的大小2.实例（Instance）实例是指用户在AmazonWebServices提供的EC2服务中租用的具体的云主机项目1使用AmazonEC2服务根据工作负载不同，AmazonWebServices对实例的虚拟硬件资源进行了优化设计实例类型通用型计算优化型内存优化型存储优化型加速计算型实例类型命名规则（参见：/cn/ec2/instance-types/）项目1使用AmazonEC2服务2.实例（Instance）例如：t3.large第一个字母代表系列名称，例如t代表通用型，适用于多种场合数字3代表世代编号，一般而言世代编号越大的实例，功能就越强大large代表实例的大小，实例越大，CPU的数目和内存越大，实例的性能也就越强t3.xlarge的vCPU和内存是t3.large的两倍t3.2xlarge的vCPU和内存是t3.xlarge的vCPU和内存两倍AmazonEC2服务支持实例上安装操作系统（Windows系列、Linux系列）3.系统映像（AMI）AMI（AmazonMachineImages）译为Amazon系统映像，实际是创建云主机的模板项目1使用AmazonEC2服务AMI包含三个内容：1.一个或多个AmazonElasticBlockStore(AmazonEBS)快照2.控制可以使用AMI启动实例的AmazonWebServices账户的启动许可3.数据块设备映射，指定在实例启动时要附加到实例的卷用户启动一个实例时必须指定源AMI项目1使用AmazonEC2服务3.系统映像（AMI）启动AMI有四种选项第一种是AmazonWebServices提供的AMI即“快速启动”第二种是自定义的AMI即“我的AMI”第三种是经校验过的第三方提供的AMI，即“AMIMarketplace”第四种是“社区AMI”，即他人提供的，但是使用有风险4.方案设计本项目在中国（北京）区域（cn-north-1）创建两个实例项目1使用AmazonEC2服务MicrosoftWindowssever2019Base（简体中文）操作系统类型为“t2.micro”，vCPU为1，内存为1GB名称为Win2019server标签“Name”为“Win2019server”AmazonLinux2操作系统类型为“t2.micro”，vCPU为1，内存为1GB名称为AmazonLinux标签“Name”为“Linux”1.创建WindowsEC2实例（1）登录控制台。在https://页面中，输入用自己的账户ID、用户名、密码，单击“登录”按钮项目1使用AmazonEC2服务任务2创建WindowsEC2实例并连接实例项目1使用AmazonEC2服务（2）使用EC2服务。在窗口右上角选择“北京（cn-north-1）”区域，则实例将在北京的数据中心上运行。再单击“服务”链接→选择EC2或在“FindServices”文本框中输入“EC2”项目1使用AmazonEC2服务（3）创建实例。单击“启动实例”按钮，选择“启动实例”菜单项目1使用AmazonEC2服务（4）选择AMI。进入“步骤1:选择一个Amazon系统映像（AMI）”页面，在左侧AMI类别中选择“快速启动”，右侧下拉垂直滚动条滑块，选择“MicrosoftWindowsServer2019Base(ChineseSimplified)”项目1使用AmazonEC2服务（5）选择实例类型。进入“步骤2:选择实例类型”页面，选择实例类型为“t2.micro”，单击“下一步:配置实例详细信息”按钮（6）配置实例详细信息。进入“步骤3:配置实例详细信息”页面，可以设置实例数量、所在网络、IAM角色、监控等信息。本项目全部使用默认选项，单击“下一步:添加存储”按钮项目1使用AmazonEC2服务项目1使用AmazonEC2服务（7）添加存储。进入“步骤4:添加存储”页面。可以设置实例的系统盘大小，单击“添加新卷”按钮，则可以添加额外的磁盘作为数据盘。单击“下一步:添加标签”按钮项目1使用AmazonEC2服务（8）添加标签。进入“步骤5:添加标签”页面，单击“添加标签”按钮，在“键”栏目中输入“Name”，在“值”栏目中输入该实例的名称“Win2019server”，单击“下一步:配置安全组”按钮项目1使用AmazonEC2服务（9）配置安全组。进入“步骤6:配置安全组”页面。单击“创建一个新的安全组”按钮，输入安全组的名称和描述，单击“添加规则”按钮如图添加规则，允许用户使用RDP和SSH协议登录Windows或者Linux云主机。单击“审核和启动”按钮（10）启动实例。进入“步骤7:检查实例启动”页面。这里显示之前设置的实例的简要信息，确认无误后单击“启动”按钮项目1使用AmazonEC2服务项目1使用AmazonEC2服务（11）创建密钥对。在“选择现有密钥对或创建新密钥对”对话框中，选择“创建新密钥对”，并输入密码对的名称“win2019server”。单击“下载该密钥对”按钮，密钥文件命名为win2019server.pem。单击“启动实例”（13）查看实例。返回到EC2页面，在左侧窗口中单击“实例”链接，可以看到“实例状态”列显示为“running”状态项目1使用AmazonEC2服务（12）系统进入启动实例状态，单击“查看实例”按钮2.以管理员身份连接实例（1）下载远程桌面文件。单击上方的“连接”按钮，打开所示对话框，单击“下载远程桌面文件”按钮，保存WindowsServer的远程桌面文件项目1使用AmazonEC2服务项目1使用AmazonEC2服务（2）获取密码。单击“获取密码”按钮，单击“浏览”按钮，找到刚才下载的密钥文件“win2019server.pem”并上传。单击“解密密码”按钮。把“密码”文本框的字符复制到记事本、保存，单击“关闭”按钮项目1使用AmazonEC2服务（3）远程桌面连接。双击远程桌面文件，将复制到记事本的密码粘贴到密码框，单击“确定”按钮，系统询问是否继续打开，单击“是”按钮项目1使用AmazonEC2服务（4）测试实例。如图，成功使用RDP连接实例，表明EC2实例就可以正常使用了。在Windows实例上，打开浏览器测试是否能成功连接到Internet3.停止实例停止实例时会释放云主机占用的一些硬件资源，如CPU、内存、网络资源但是实例依然存在（仍占用磁盘空间）项目1使用AmazonEC2服务实例停止后，AmazonWebServices不再对实例的CPU、内存、网络资源计费但仍然对实例占用的磁盘空间计费4.终止实例终止实例表示删除该实例所占用的资源项目1使用AmazonEC2服务被终止的实例的状态显示为terminated，过一段时间最终会从实例列表中消失操作方法为：先选中实例，选择“实例状态”→“终止”菜单点击终止任务3创建LinuxEC2实例并连接实例

项目1使用AmazonEC2服务创建一个操作系统为Linux的EC2实例名称为Amazonlinux，vCPU为1，内存为1GB存储空间为8GB，使用EBS存储创建完成之后，以“ec2-user”用户远程登录1.创建LinuxEC2实例（1）～（3）、（5）、（6）、（10）步骤和创建Windows的EC2实例一样（4）AMI选“快速启动”中的“AmazonLinux2AMI(HVM),SSDVolumeType”（7）存储大小使用默认值8GB（8）设置该实例标签名称为Amazonlinux（9）使用现有安全组，名称为“Permit-RDP-SSH”项目1使用AmazonEC2服务（11）创建新密钥对，命名私钥为“linux.pem”，并“下载密钥对”，启动实例项目1使用AmazonEC2服务2.以ec2-user用户登录Linux实例客户端操作系统不同，连接LinuxEC2实例的操作方法也有区别，分两种情况项目1使用AmazonEC2服务（1）客户端操作系统为Windows，连接到linux实例（A）单击上方的“连接”按钮，打开窗口（B）按照图中步骤提供的链接，下载并安装PuTTY软件点击此处下载（C）客户端为Windows操作系统时，前面步骤下载的密钥文件linux.pem不能直接使用，需要将文件转换为.ppk文件格式，才能被PuTTY使用。启动PuTTYgen软件，单击“Load”按钮，找到“linux.pem”文件、上传项目1使用AmazonEC2服务（D）单击“Saveprivatekey”按钮，系统显示保存密钥的警告，选择“是”，输入私钥文件名“linux”，文件被保存为linux.ppk项目1使用AmazonEC2服务（E）启动PuTTY程序，单击“Session”菜单，在“HostName”中输入保存在记事本中Amazonlinux实例中的IPv4公有IP项目1使用AmazonEC2服务（F）单击“Connection”→“SSH”→“Auth”菜单，单击“Browse”按钮，找到私钥文件linux.ppk、打开，单击“Open”按钮。在“PuTTYSecurityAlert”窗口中，单击“是（Y）”按钮项目1使用AmazonEC2服务（G）输入用户名ec2-user，回车登录，输入“ifconfig”命令查看实例的网络信息。可以使用“ping”命令测试和Internet上主机的通信（H）在命令行提示符下，输入“exit”命令退出登录项目1使用AmazonEC2服务（2）客户端是macOS或者linux操作系统（A）在界面单击"连接”，打开窗口（B）打开客户端macOS或Linux命令窗口（C）在客户端命令窗口中，输入命令，连接到实例AmazonLinux（D）以“ec2-user”用户，登录实例AmazonLinux，查看实例的网络信息（E）退出实例任务4管理EC2实例的生命周期实例从创建到被删除共有六种状态pending（等待中）running（正在运行）stopping（休眠）stopped（停止）shutting-down（终止中）terminated（终止）项目1使用AmazonEC2服务状态转换图任务4管理EC2实例的生命周期pending：表示实例正准备进入running状态。不计费项目1使用AmazonEC2服务running：实例正在运行。计费实例正准备进入stopped状态（实例计算部分不计费，但挂载的存储计费）或者实例处于休眠状态（计费）stopped：实例已停机。不计费shutting-down：实例正准备终止。不计费terminated：实例已永久删除，无法启动。不计费stopping：项目2使用AmazonEBS服务项目描述本项目将为项目1的两个实例（WindowsServer、Liunx）申请云磁盘并挂载任务1知识预备与方案设计项目2使用AmazonEBS服务ElasticBlockStore即弹性块存储EBS是块级存储，它存储文件的最小单位是数据块AmazonEBS支持快照操作，实现数据备份功能EBS支持加密功能，它使用行业标准AES-256算法1.块存储服务（AmazonEBS）

项目2使用AmazonEBS服务2.卷类型AmazonEBS提供四种类型卷通用型SSD（固态驱动器）预配置IOPSSSD吞吐量优化HDD（硬盘驱动器）冷HDDgp2io1st1sc1EBSSSD-backedvolumesEBSHDD-backedvolumes

项目2使用AmazonEBS服务快照属于增量备份因无需复制全部数据，可最大限度缩短时间和节约存储成本本项目在和项目1两个实例相同的可用区中创建两个EBS卷类型均为通用型SSD一个卷命名为“EBS_WIN”，大小为10GB一个卷命名为“EBS_Linux”，大小为15GB3.快照4.方案设计任务2创建卷项目2使用AmazonEBS服务（1）登录AmazonWebServices控制台，选择“服务”中的“EC2”。（2）在左侧窗格中，选择“ElasticBlockStore”→“卷”链接。在右侧窗格中，可用看到已有的EBS卷的列表项目2使用AmazonEBS服务（3）创建“EBS_WIN”卷。单击“CreateVolume”按钮。在“Size”文本框中输入卷的大小（单位为GB），在“AvailabilityZone”下拉列表中选择卷的可用区域。单击“添加标签”按钮，在“健”、“值”分别输入“Name”“EBS_WIN”。单击“CreateVolume”按钮项目2使用AmazonEBS服务（4）卷创建成功，单击“Close”按钮（5）以相同步骤，创建“EBS_Linux”卷，大小为15GB项目2使用AmazonEBS服务（6）卷列表。在左侧窗格中，选择“ElasticBlockStore”→“卷”链接。在右侧窗格中，可用看到已有的EBS卷的列表。选中“EBS_WIN”，单击“描述”标签页，可以看到该卷大小、可用区、状态、卷类型等信息任务3在WindowsEC2实例挂载卷项目2使用AmazonEBS服务本任务将任务2中创建的“EBS_WIN”卷挂载到项目1创建的实例Win2019server中，初始化为GPT磁盘（1）连接卷。在卷列表中选中“EBS_WIN”，单击“操作”→“连接卷”项目2使用AmazonEBS服务（2）附加到实例。在“实例”下拉列表中选择“Win2019server”实例，单击“附加”按钮项目2使用AmazonEBS服务（3）启动实例。在左侧窗格中选择“实例”链接；在右侧窗格的实例列表中，选择Win2019server，单击“操作”按钮，选择“实例状态”→“启动”菜单，系统弹出窗口询问是否启动实例，选择“是”项目2使用AmazonEBS服务（4）连接到实例。当Win2019server实例的状态为running时，参见项目1的任务2中的步骤，连接到Win2019server项目2使用AmazonEBS服务（5）启动“计算机管理”工具。单击“开始菜单”→“Windows管理具”→“计算机管理”，打开实例Win2019server的“计算机管理”窗口（6）把磁盘联机。在左侧窗格，单击“计算机管理（本地）”→“存储”→“磁盘管理”菜单，可以看到容量为10GB的脱机磁盘，右击该磁盘，选择“联机”菜单，则磁盘的状态变为“没有初始化”项目2使用AmazonEBS服务（7）初始化磁盘。右击磁盘，选择“初始化磁盘”菜单。选择“GPT（GUID分区表）”，单击“确定”按钮项目2使用AmazonEBS服务（8）新建卷。右键未分配的磁盘空间，选择“新建简单卷”菜单；单击“下一步”按钮（9）指定新建卷的大小。如图使用全部容量，单击“下一步”按钮项目2使用AmazonEBS服务（10）分配驱动器号。驱动器号设为D，单击“下一步”（11）格式化分区。文件系统设置为“NTFS”,分配单元大小即为数据块大小，这里使用“1024”字节，卷标设为“EBS_WIN”，单击“下一步”按钮。再单击“完成”按钮项目2使用AmazonEBS服务（12）测试磁盘。在Win2019server实例上，打开资源管理器，可以看到卷EBS_WIN已经被挂载到实例中，驱动器号为D，卷名为EBS_WIN任务4在LinuxEC2实例挂载卷项目2使用AmazonEBS服务本任务将把EBS_Linux挂载到实例AmazonLinux中，格式化为ext3文件系统（1）连接卷。在卷列表中选中“EBS_Linux”，单击“操作”→“连接卷”。在“实例”下拉列表中选择“AmazonLinux”实例，单击“附加”按钮项目2使用AmazonEBS服务（2）登录Linux。在Windows客户端上使用putty软件连接到实例AmazonLinux，以“ec2-user”用户登录Linux，输入“df-h”命令，查看实例Linux上的现有存储项目2使用AmazonEBS服务（3）将新卷格式化为ext3文件系统，输入命令“sudomkfs-text3/dev/sdf”项目2使用AmazonEBS服务（4）创建目录。创建目录用以挂载新卷，目录路径为/mnt/ebs输入命令“sudomkdir/mnt/ebs”（5）挂载新卷。输入命令“sudomount/dev/sdf/mnt/ebs”，把新卷挂载到“/mnt/ebs”目录（6）再次用“df-h”命令查看实例存储，图中末行为新加的15GB的EBS_Linux卷项目2使用AmazonEBS服务（7）测试文件读写是否正常。在“/mnt/ebs”目录里创建并查看文件f1.txt（8）配置Linux启动时挂载此卷。要将Linux实例配置为启动时挂载此卷，要在“/etc/fstab”中增加一行（9）退出linux。输入“exit”命令，注销登录任务5卷的管理1.修改卷可修改卷的类型和大小（只能增加）。将EBS_WIN卷的容量增加到12GB，选择要修改的卷，单击“操作”→“ModifyVolume”，输入卷的新的大小，单击“Modify”按钮项目2使用AmazonEBS服务任务5卷的管理2.断开卷断开卷时，实例和卷脱离连接，建议在实例停止后进行，以免数据损坏。要将“EBS_WIN”卷与实例“Win2019server”断开，选择要修改的卷，单击“操作”→“断开卷”，选择“是”。“EBS_WIN”卷状态由in-use变为available项目2使用AmazonEBS服务3.删除卷删除卷将释放该卷占有资源，卷从列表中消失，该卷上的数据将无法恢复。只有没被连接到实例的卷才能删除，选择要删除的卷，单击“操作”→“删除卷”，选择“是”4.创建快照（1）创建快照。要对“EBS_Linux”卷创建快照，选中“EBS_Linux”卷，单击“操作”→“CreateSnapshot”。在“Description”文本框中输入快照的描述。单击“添加标签”按钮，在“键”、“值”框分别输入“Name”、“EBS_Linux_snapshot”，单击“CreateSnapshot”按钮，然后单击“Close”按钮项目2使用AmazonEBS服务（2）查看快照信息。单击左侧窗格中“快照”链接，在右侧窗格可以看到快照的列表，当快照的“状态”列为“completed”时，表示该快照已创建完成。选择某一快照，在“描述”标签页可以看到快照的信息项目2使用AmazonEBS服务项目2使用AmazonEBS服务5.还原快照（1）登录到“AmazonLinux”实例，删除实例中“EBS_Linux”卷上的文件f1.txt。输入命令“cd/mnt/ebs”,再输入命令“sudormf1.txt”项目2使用AmazonEBS服务（2）用快照“EBS_Linux_snapshot”创建新卷，并将该卷挂载到“AmazonLinux”实例上。选中“EBS_Linux_snapshot”，单击“操作”→“CreateVolume”。该卷名字标签设为“EBS_Linux_2”，单击“CreateVolume”按钮。再单击“Close”按钮项目2使用AmazonEBS服务（3）将“EBS_Linux_2”连接到实例“AmazonLinux”上。在卷列表中选中“EBS_Linux_2”，选择“操作”→“连接卷”，此时“EBS_Linux_2”卷被连接到“AmzonLinux”实例的“/dev/sdg”设备上项目2使用AmazonEBS服务（4）在Liunx挂载卷。登录“AmazonLinux”实例，创建挂载点/mnt/ebs2，将“EBS_Linux_2”卷挂载到/mnt/ebs2，并查看效果。可以看到f1.txt文件所在卷被还原云计算技术

单元3

网络服务单元概述

本单元介绍VPC（VirtualPrivateCloud)亚马逊虚拟私有云AmazonVPC

自定义虚拟网络AmazonWebServices资源自定义虚拟网络环境包括IP地址范围、创建子网以及配置在数据中心和VPC之间创建虚拟专用网络(VPN)连接自定义AmazonVPC网络配置学习目标知识点什么是VPCVPC的CIDRInternet网关路由表弹性IP(EIP，ElasticIP)安全组NACL（NetworkAccessControlList）网络地址转换（NAT，NetworkAddressTranslation）技能点创建VPC配置路由表EC2连接到VPC弹性IP的申请和使用配置安全组配置NACL配置NAT配置VPC对等连接项目1使用AmazonVPC项目描述掌握AmazonWebServices的网络服务（VPC）把原有的IT系统迁移至云第一阶段建立一个带公有子网和私有子网的VPC第二个阶段在VPC中增加私有子网，配置NAT，实现私有子网访问Internet任务1知识预备与方案设计项目1使用AmazonVPC1.AmazonVPCAmazonVirtualPrivateCloud，虚拟私有云，通过AmazonWebServices账号登录亚马逊云科技云来定义的虚拟专用网络用户能在VPC上创建实例，分配网络地址范围，划分子网，配置路由、设置安全组和网络访问控制列表2.VPC的CIDRClasslessInterdomainRouting译为无类别域间路由CIDR用VLSM(可变长子网掩码)，根据用户需要来分配IP地址VPC需要一个连续的IP地址空间，而这个地址空间采用CIDR和VLSM技术任务1知识预备与方案设计项目1使用AmazonVPC3.子网子网类似于传统网络中的VLAN，每个子网都有自己的CIDR，且必须是VPCCIDR的子集

AmazonWebServices子网保留网段的前四个IP地址和最后一IP个地址子网地址一旦确定不能更改，子网不能跨AZ，同一个VPC中的子网地址不能重叠4.Internet网关（IGW）IGW，InternetGateway是一种水平扩展的、冗余的高可用的VPC组件IWG有两个功能：一是为VPC路由表提供通往Internet上的目标地址二是为VPC上公有子网上的实例的IPV4地址提供网络地址转换（NAT）任务1知识预备与方案设计5.路由表VPC资源中的路由器是软件实现，隐性存在，只需要维护路由表即可路由表包含一组路由规则，每条路由信息包含目的网络和目标地址项目1使用AmazonVPCVPC的每个子网都要关联一个路由表，没有路由表关联的子网将使用隐式路由表客户路由表由用户建立，可以编辑、可以删除任务1知识预备与方案设计项目1使用AmazonVPC6.安全组安全组是实例的虚拟防火墙，基于协议、端口号和IP地址过滤进出实例的流量对于安全组，可以制定入站规则和出站规则来控制出入实例的流量安全组的基本规则（类似于NACL）如下：（1）只能往安全组制定允许规则，不能制定拒绝规则（2）入站规则和出站规则可以分别制定（3）规则是基于协议和端口号来过滤信息（4）安全组是有状态的（5）新创建的安全组是没有入站规则的，不允许任何信息流入，直到创建入站规则任务1知识预备与方案设计项目1使用AmazonVPC6.安全组安全组是实例的虚拟防火墙，基于协议、端口号和IP地址过滤进出实例的流量对于安全组，可以制定入站规则和出站规则来控制出入实例的流量安全组的基本规则（类似于NACL）如下：（6）默认情况下，安全组包含出站规则，即允许所有信息流出（7）连接到同一个安全组的实例不能彼此通信，除非建立规则（8）安全组是被关联到网络接口上的，启动实例时可以制定或改变（9）安全组的名字在所在的VPC中必须是唯一的（10）一个安全组只能应用在所在的VPC中任务1知识预备与方案设计项目1使用AmazonVPC7.网络访问控制列表NACL，NetworkAccessControlList负责VPC的安全,含入站和出站规则每个VPC都有一个默认的可以修改但无法删除的NACL，它与VPC共生网络访问控制列表遵循如下规则：VPC自动连接一个的默认NACL，一般情况下它允许所有的入站和出站流量用户可以创建自己的NACL，默认情况下用户NACL拒绝所有的入站和出站流量每个VPC中的子网必须连接到一个NACL，如果没有明确指明就连接到默认NALC一个NACL可以连接到多个子网，但一个子网在一个时间里只能连接一个NACL一个NACL包含大量的规则，规则的数量最多可以达到32766制定规则的原则是在保证子网安全的情况下使用最少的规则NACL是无状态的，它不跟踪流经它的流量状态任务1知识预备与方案设计项目1使用AmazonVPC8.弹性网络接口Elasticnetworkinterface，ENI是VPC的逻辑组件，表示虚拟网络接口每个实例必须有一个默认的网络接口（主要的ENI）可以单独创建ENI，然后可附加到实例上或者从实例上分离再将它附加到其它实例上9.弹性IPElasticIPAddress，EIP是一个静态公有IPV4地址EIP在最初分配时没有绑定任何实例，可以连接将它分配给一个实例或网络接口使用EIP的好处是，当实例发生故障时，可以将该EIP重新分配给另一个实例一个EIP一个时间只能分配给一个实例或网络接口任务1知识预备与方案设计项目1使用AmazonVPC10.NATNetworkAddressTranslation，网络地址转换将私网IP转换成公网IP，让私网的主机访问公网AmazonWebServices通过NAT实例和NAT网关实现地址转换，称它们为NAT设备NAT设备允许私有子网的实例访问Internet，不允许反向访问使用NAT设备的路由表要增加一条路由：凡是目的地址是外网的，全部转发到NAT设备任务1知识预备与方案设计项目1使用AmazonVPC11.方案设计在亚马逊云科技的北京区中创建一个带有单个公有子网的VPC命名为VPCEXER，IPv4CIDR/16公有子网命名为PUBSUB，IPv4CIDR/24，AZ：cn-north-1a任务2创建VPC登录AmazonWebServices管理控制台在中国（北京）区域（cn-north-1）创建在VPC

EXER的VPC在VPCEXER中创建名为PUBSUB的公有子网项目1使用AmazonVPC1.创建VPC项目1使用AmazonVPC（1）登录控制台（3）在VPC控制面板中单击“启动VPC向导”按钮（2）使用VPC服务项目1使用AmazonVPC（4）选择“创建一个带单个公有子网的VPC”（5）设置VPC的CIDR及名称2.查看VPC的Name和VPCID项目1使用AmazonVPC在VPC控制面板单击“您的VPC”，在“Name”列表中选择“VPCEXER”3.查看子网信息项目1使用AmazonVPC在VPC控制面板单击“子网”，在子网“Name”列表中选择“PUBSUB”任务3配置路由表项目1使用AmazonVPC1.检索路由表在VPC控制面板单击“路由表”，在“筛选路由表”框中按照VPC：vpc-07bb1e4146d0fb111条件输入，查到两个路由表项目1使用AmazonVPC2.查看客户路由表单击客户路由表ID，看到“路由”中有两条记录项目1使用AmazonVPC3.查看主路由表单击“路由表”“主”列中显示为“是”的路由表ID项目1使用AmazonVPC4.查看Internet网关在VPC控制面板单击“互联网网关”，在搜索框中搜索VPCID任务4EC2实例连接到VPC项目1使用AmazonVPC在PUBSUB的公有子网中创建一个MicrosoftWindowssever2019Base实例该实例命名为vpc_exer_win，vCPU为1，内存为1GB类型为通用型系列，使用EBS存储项目1使用AmazonVPC1.启动EC2实例2.选择一个Amazon系统映像(AMI)3.选择实例类型4.配置实例详细信息项目1使用AmazonVPC5.添加存储6.添加标签项目1使用AmazonVPC7.配置安全组。选择创建一个新的安全组，并输入名称8.核查实例启动项目1使用AmazonVPC9.为实例vpc_exer_win创建新密钥对10.查看实例vpc_exer_win11.查看实例vpc_exer_win详细信息任务5弹性IP的申请和使用项目1使用AmazonVPC2.单击“添加标签”，单击“分配”3.分配结果打开VPC控制面板，选择左侧导航“弹性IP”项目1使用AmazonVPC4.关联弹性IP地址6.在EC2服务中查看实例vpc_exer_win详细信息5.选择关联“实例”7.用单元2的方法远程连接到实例vpc_exer_win任务6配置NAT项目1使用AmazonVPC1.VPCEXER中添加私有子网/24任务6进入该项目的第二部分,扩充VPCEXER（1）在VPC控制台左侧导航栏中选择“子网”单击“创建子网”项目1使用AmazonVPC（2）按图选择和填写后，单击右下角“创建子网”（3）查看结果，按照VPCID搜索，看到公有子网PUBSUB和私有子网PRISUB项目1使用AmazonVPC2.私有子网中添加实例winpri（1）如图中网络选择VPCEXER，子网选择PRISUB实例winpri与实例vpc_exer_win配置选项相同，操作步骤参考前面的内容但请注意下面三个步骤项目1使用AmazonVPC（2）“步骤5”中设置实例名称为winpri（3）为实例winpri选择创建新密钥对，并下载密钥对（4）实例创建成功项目1使用AmazonVPC3.创建NAT网关（1）创建NAT网关（2）设置NAT项目1使用AmazonVPC3.创建NAT网关（3）NAT网关详细信息如图，记录该NATID：nat-08cea39960a39d337项目1使用AmazonVPC4.路由设置（1）打开VPC控制面板左侧“路由表”依VPCID筛选出VPCEXER的路由表（2）创建路由规则项目1使用AmazonVPC4.路由设置（3）选择“添加路由”按图选择，单击“保存更改”（4）结果如图项目1使用AmazonVPC5.使用网络访问控制列表保护子网（1）查看VPCEXER的网络ACL（2）查看入站规则项目1使用AmazonVPC5.使用网络访问控制列表保护子网（3）查看出站规则（4）查看子网关联VPCEXER默认网络ACL关联公有子网PUBSUB和私有子网PRISUB项目1使用AmazonVPC6.私有子网实例winpri通过NAT网关访问Internet（1）远程桌面连接公有子网实例vpc_exer_win（2）解密winpri管理员administrator密码项目1使用AmazonVPC6.私有子网实例winpri通过NAT网关访问Internet（3）通过vpc_exer_win连接winpri项目1使用AmazonVPC6.私有子网实例winpri通过NAT网关访问Internet（4）连通winpri（5）在winpri实例上，通过NAT访问Internet项目2对等连接项目描述使用VPCPeering（对等连接）技术实现不同VPC之间的互联互通本项目在项目一的基础上用原有账户创建一个带单独公有子网的VPC使用对等连接和原来的VPC连接起来，实现互访项目2对等连接任务1知识预备与方案设计1.对等连接VPCVPCPeering是将两个VPC连接起来，对等连接之间的通信是私有网络间的通信不同VPC中的实例相互通信就像在同一个网络中彼此访问网络中的数据在AmazonWebServices全球网络中加密传输，不经过互联网，避免了DDOS攻击，保障数据安全项目2对等连接2.方案设计在亚马逊云科技北京区（cn-north-1）创建一个虚拟私有云VPCEXER2CIDR的地址块为/16公有子网的名称为VPCEXER2_PUBCIDR的地址块为/24在EXER2_PUB创建实例vpc_exer2_win项目2对等连接任务2创建对等连接1.创建VPC项目2对等连接2.创建实例项目2对等连接3.创建对等连接（1）在VPC控制面板左侧导航栏选择“对等连接”，单击“创建对等连接”项目2对等连接3.创建对等连接（2）按照下图完成配置项目2对等连接3.创建对等连接（3）创建结果在VPC控制面板左侧导航栏选择“对等连接”，查看该连接已建立，处于活动状态记录对等连接编号项目2对等连接4.修改路由表（1）打开VPCEXER的“客户路由表”，添加到VPCEXER_2的路由项目2对等连接4.修改路由表（2）同样步骤，打开VPCEXER_2“客户路由表”，添加到VPCEXER的路由项目2对等连接4.修改路由表（3）查看对等网络路由项目2对等连接5.测试两个VPC的实例连通性（1）用户远程桌面登录到vpc_exer_win，步骤见单元2（2）从vpc_exer_win远程桌面登录vpc_exer2_win项目2对等连接5.测试两个VPC的实例连通性（3）成功登录vpc_exer2_win云计算技术

单元4身份和访问管理单元概述

IAM是一种Web服务可以帮助用户安全地控制对亚马逊云科技资源的访问用户可以使用IAM控制对用户进行身份验证(登录)和授权(具有权限)以使用资源本单元将介绍AmazonWebServices的身份和访问控制服务：IAM（IdentityandAccessManagement）学习目标知识点：账户（Account）和用户（User）的区别什么是身份验证、授权用户的访问密码ID和私有访问密钥什么是MFA（Multi-FactorAuthentication，多重身份验证）什么是策略、内联策略、权限边界策略的JSON文档结构什么是角色角色的两个典型应用场景技能点：创建用户、启用用户的多重身份验证创建组、维护组的成员创建、编辑策略为用户、组、角色附加策略（授权）创建角色使用IAM角色委托跨Amazon账户的访问权限使用角色向EC2实例提供访问权限从实例的元数据中获取临时凭证项目1创建用户和组项目描述本项目将在亚马逊云科技中国区创建必要的用户、组和策略企业在亚马逊云科技注册账户（Account）亚马逊云科技国际（即：全球）亚马逊云科技中国的北京和宁夏区域Amazon账户根用户（AmazonAccountRootUser）没有根用户的概念可使用根用户或AmazonWebServices的IAM服务来创建新的用户、组、角色等，并创建策略对用户、组、角色进行授权所有用户都是IAM（AmazonIdentityandAccessManagement，身份和管理）用户，包括创建Amazon账户的用户任务1知识预备与方案设计项目1创建用户和组1.账户、用户账户（Account）、用户（User）在中文中含义很类似但是在AmazonWebServices中意义完全不一样账户（Account）是一个12位数字的ID，主要的目的是用于计费和付款初次在AmazonWebServices进行注册时会生成一个账户用户（User）是在账户（Account）下创建的一个账户（Account）下可以有多个用户（User）通常会为组织中的不同员工创建不同的用户不同用户用不同的密码登录、访问项目1创建用户和组2.身份身份（IAMIdentity）是AWS中用于标识和分组的IAM资源对象可以将策略附加到IAM身份，身份包括用户、组和角色3.身份验证委托人（Principal）是请求对Amazon资源执行操作的人员或应用程序这些人员或者应用程序必须使用其凭证先进行身份验证（登录）IAM用户要从API或AmazonCLI中进行身份验证，需要提供访问密钥ID和私有密钥4.授权委托人还必须获得授权（允许）才能完成对Amazon资源执行的操作授权使用策略（Policy）来确定委托人所使用的用户、组、角色的权限大多数策略作为JSON文档存储在Amazon中项目1创建用户和组5.策略的JSON文档结构大多数策略在Amazon中存储为JSON文档JSON策略文档包含以下元素：文档顶部的可选策略范围信息一个或多个单独语句Version：指定要使用的策略语言版本Statement：将该主要策略元素作为以下元素的容器Sid（可选）：包括可选的语句ID以区分不同的语句Effect：使用Allow或Deny指示策略是允许还是拒绝访问Principal（仅在某些情况下需要）Action：包括策略允许或拒绝的操作列表Resource（仅在某些情况下需要）Condition（可选）：指定策略在哪些情况下授予权限项目1创建用户和组6.方案设计本项目创建管理员组Administrators该组中有两个管理员用户admin1、admin2为安全起见两个管理员采用基于时间的动态密码登录控制台对管理员组Administrators进行授权，附加AdministratorAccess策略创建额外的用户EC2_admin，该用户仅能管理EC2实例任务2创建管理员用户、管理员组项目1创建用户和组本任务将创建管理员组Administrators，该组绑定AdministratorAccess策略创建两个管理员用户admin1、admin2，加入到Administrators管理员组两个管理员采用多重验证（MFA，Multi-FactorAuthentication）（1）以根用户登录管理控制台单击“服务”→“安全&身份”→“IAM”打开IAM控制面板，单击“管理访问”→“用户组”→“创建组”项目1创建用户和组（2）输入用户组名“Administrators”（3）在控制面板左侧，单击“管理访问”→“用户”→“添加用户”，输入用户名项目1创建用户和组（4）选择“将用户添加到组”，并选择上一步骤创建的“Administrators”组项目1创建用户和组（5）重新进入到IAM控制面板（6）在手机上的APP商店查找“Authenticator”APP并安装并启动项目1创建用户和组（7）单击“已分配MFA设备”所在行的“管理”链接，出现QR码在手机上的“Authenticator”APP中，扫描该码项目1创建用户和组（8）成功激活用户的MFA功能后，该用户登录时，还需要输入该帐户的每30秒更新一次的密码代码，大大提高了安全性（9）参见以上步骤，创建admin2用户（10）从控制台中注销根用户，使用刚创建admin1、admin2用户进行登录测试任务3使用策略授权项目1创建用户和组本任务将创建额外的用户EC2_admin，该用户仅能管理EC2实例（1）参见的任务2，创建用户EC2_admin注意：不要把EC2_admin加入到Administrators组中（2）以用户EC2_admin登录AmazonWebServices控制台由于EC2_admin当前没有任何权限因此单击“服务”→“EC2”→“实例”，将无法看到EC2实例项目1创建用户和组（3）以管理员登录控制台在IAM控制面板中，单击“访问管理”→“策略”→“创建策略”（4）选中EC2服务后，选择对该服务可以进行的操作，不同服务有不同的操作项目1创建用户和组（5）如图可以选择对EC2中的哪些资源进行操作不同的服务有不同的资源本例选“所有资源”（6）单击“请求条件”链接弹出新的窗口

可以添加策略生效的条件项目1创建用户和组（7）单击“JSON”选项卡可以看到策略的JSON文本（8）输入策略名称、描述单击“创建策略”按钮项目1创建用户和组（9）在IAM控制面板中单击“访问管理”→“用户”显示用户列表，单击“EC2_admin”用户（10）选择“直接附加现有策略”输入筛选条件，找到并选中创建策略“单击添加权限”按钮（11）重新以EC2_admin用户登录控制台，由于EC2_admin已经附加了“EC2_admin”策略，故单击“服务”→“EC2”→“实例”，将可以看到EC2实例项目2使用角色项目描述企业注册了两个账户（Account）其中一个账户用于生产，另一个账户用于开发测试在生产账户中，创建了一个存储桶（参见单元6）管理员想通过在生产账户创建的IAM角色，实现：开发测试账户的用户能临时切换为生产账户中的角色，对生产账户中的存储桶进行临时性访问生产账户中的EC2实例上的应用程序可以使用角色访问存储桶，而不是在应用程序中使用固定用户的凭证来访问存储桶项目2使用角色任务1知识预备与方案设计1.角色（Role）角色和用户都具有确定的、其在Amazon中可执行和不可执行的操作的权限策略但是，角色旨在让需要它的任何人临时代入，而不是唯一地与某个人员关联角色可由以下用户使用：与该角色在相同Amazon账户中的IAM用户位于与该角色不同的Amazon账户中的IAM用户由Amazon提供的Web服务由与SAML2.0或OpenIDConnect兼容的外部身份提供商(IdP)服务或定制的身份代理进行身份验证的外部用户项目2使用角色2.使用角色的典型场景一：在另一个Amazon账户中向IAM用户提供访问权限一个组织可以拥有多个Amazon账户以将开发测试环境与生产环境隔离开发测试账户中的用户有时可能需要访问生产账户中的资源项目2使用角色2.使用角色的典型场景一：在另一个Amazon账户中向IAM用户提供访问权限在另一个Amazon账户中向IAM用户提供访问权限（1）在生产账户中管理员使用IAM在该账户中创建UpdateApp角色在角色中，管理员定义信任策略，意味着授权用户可以使用UpdateApp角色管理员还为角色定义权限策略，该策略指定对名为productionapp-210711的AmazonS3存储桶的读取和写入权限（2）在开发测试账户中管理员向用户Jack授予切换为UpdateApp角色的权限。其他用户无权切换为该角色，因此无法访问生产账户中的S3存储桶项目2使用角色在另一个Amazon账户中向IAM用户提供访问权限（3）用户请求切换为角色Amazon控制台用户选择导航栏上的账户名并选择切换角色AmazonAPI/AmazonCLI开发账户中开发人员组的用户调用AssumeRole函数以获取UpdateApp角色的凭证（4）AmazonSTS

返回临时凭证Amazon控制台AmazonSTS使用角色的信任策略来验证请求，以确保请求来自受信任实体验证完成后，AmazonSTS向Amazon控制台返回临时安全凭证API/CLIAmazonSTS根据角色的信任策略来验证请求，以确保请求来自受信任实体。验证完成后，AmazonSTS向应用程序返回临时安全凭证（5）临时凭证

允许访问Amazon资源Amazon控制台Amazon控制台在所有后续控制台操作中代表用户使用临时凭证，在本例中是用于读取和写入productionapp-210711存储桶API/CLI应用程序使用临时安全凭证更新productionapp-210711存储桶。应用程序只能使用临时安全凭证读取和写入productionapp存储桶，无法访问生产账户的任何其他资源项目2使用角色3.使用角色的典型场景二：使用IAM角色向在Am