[转载]【总结】AWS的(助理)架构师认证体系详解

演讲者：黄涛 AWS高级技术讲师
下载地址：MP4完整视频下载

1. 邱洋的总结

• AWS的服务和技术繁多，选择适合自己的方向，而不是什么都去学
• AWS的学习资源异常丰富，包括视频、免费文档、在线实验、社区以及专家课程（收费）
• AWS的考试包括助理级和专家级，并且分别针对架构师、开发与运维人员
• 助理架构师考试主要针对：设计、实施部署、数据安全、故障排除等4个方面进行考核
• AWS的架构师考试重点需要掌握7大“云设计架构”如：弹性原则、最小授权原则等等，熟悉这些非常有助于答题（就好比当初考车的文科一样，是有规律可循的）
• 多动手非常有助于通过考试，同时也是熟练掌握的不二法宝
• 助理架构师考试，建议考生拥有6个月AWS实战经验
• 专家级架构师考试，建议考生拥有2年的实战经验

2. 概述

2.1 AWS的服务列表概览

2.2 需要确定好自己的定位与方向

包括三个维度：
- 什么行业
– （移动？视频？互联网？企业？金融？）
- 解决什么问题
– 大规模分发？大数据？混合网络？
- 使用哪些服务
– 虚拟主机？虚拟网络和安全？hadoop集群？数据仓库？

2.3 学习方法是以赛代练（步步实践，边学边用）

1. 首先【观看自学视频】
2. 然后听取【在线课堂】
3. 理论差不多有，开始【动手实验室】（15个免费实验）
4. 深入了解需要【详细查看文档】建议至少先从FAQ阅读，可以缩短很长时间
5. 利用【免费AWS套餐】注意平时的理解和学习
6. 再进行高级实验
7. 需要了解各个服务之间的关联等，【听取讲师指导课程】，就可以高层次的了解服务内容
8. 参加认证考试

2.4 AWS导师课程分类和级别

• 人员分类：解决方案师、开发人员、系统操作人员
• 课程分类：入门级、基础级、高级、专项

3. AWS认证的背景信息

3.1 认证的类型

• 助理级
  – 助理架构师
  – 助理开发人员
  – 助理系统管理员
• 专家级
  – 专家架构师
  – 专家开发运维

认证共有5个，如果要参加专家级认证必须先通过助理级认证，其中“专家开发运维(devops)”的认证则通过任意(开发 or 运维)的助理级认证即可

3.2 获得认证后的收益？

• 对个人
  – 可以证明个人在AWS平台上具备设计、部署和管理高可用、低成本、安全应用的能力
  – 在工作上或社区中得到尊重和认可
  – 可以把认证放到简历中，linkedin中整合了AWS认证徽章
• 对企业雇主
  – 具备AWS上服务和工具的使用的认可
  – 客户认可，降低AWS项目实施风险
  – 增加客户满意度

3.3 再认证模式

因为AWS的服务在更新，因此每两年要重新认证（证件的有效期2年），再次参加考试时，题目、时间将会更少，且认证费用更低

3.4 助理架构师认证的知识领域

四大知识域

1 设计：高可用、高效率、可容错低、可扩展的系统
2 实施和部署：强调部署操作能力
3 数据安全性：在部署操作时，始终保持数据保存和传输的安全
4 排除故障：在系统出现问题时，可以快速找到问题并解决问题

知识权重
- 设计：60%的题目
- 实施和部署：10%的题目
- 数据安全：20%的题目
- 排除故障：10%的题目

PS：考试不会按照上面的次序、考试不会注明考试题目的分类

3.5 认证过程

1. 需要在网上注册，找到距离家里比较近的地方考试（考点）
2. 到了现场需要携带身份证，证明自己
   
   • 并不允许带手机入场
   • 证件上必须有照片
3. 签署NDA保证不会泄露考题
4. 考试中心的电脑中考试（80分钟，55个考题）
5. 考试后马上知道分数和是否通过（不会看到每道题目是否正确）
6. 通过后的成绩、认证证书等将发到email邮箱中

3.6 考试机制

• 助理级别考试的重点是：单一服务和小规模的组合服务的掌握程度
• 所有题目都是选择题（多选或单选）
• 不惩罚打错，所以留白没意义，可以猜一个
• 55道题
• 可以给不确定的题目打标签，没提交前都可以回来改答案

3.7 题目示例

1. 单选题

1. 多选题（会告诉你有多少个答案）

1. 汇总查看答案以及mark（标记）

4 AWS架构的7大设计原则

4.1 松耦合

• 松耦合是容错、运维自动扩容的基础，在设计上应该尽量减少模块间的依赖性，将不会成为未来应用调整、发展的阻碍

松耦合模式的情况

• 不要标示（依赖）特定对象，依赖特定对象耦合性将非常高
  – 使用负载均衡器
  – 域名解析
  – 弹性IP
  – 可以动态找到配合的对象，为松耦合带来方便，为应用将来的扩展带来好处
• 不要依赖其他模块的正确处理或及时的处理
  – 使用尽量使用异步的处理，而不是同步的（SQS可以帮到用户）

4.2 模块出错后工作不会有问题

• 问问某个模块出了问题，应用会怎么样？
• 在设计的时候，在出了问题会有影响的模块，进行处理，建立自动恢复性

4.3 实现弹性

• 在设计上，不要假定模块是正常的、始终不变的
  – 可以配合AutoScaling、EIP和可用区AZ来满足
• 允许模块的失败重启
  – 无状态设计比有状态设计好
  – 使用ELB、云监控去检测“实例”运行状态
• 有引导参数的实例（实现自动配置）
  – 例如：加入user data在启动的时候，告知它应该做的事情
• 在关闭实例的时候，保存其配置和个性化
  – 例如用DynamoDB保存session信息
• 弹性后就不会为了超配资源而浪费钱了

4.4 安全是整体的事，需要在每个层面综合考虑

• 基础架构层
• 计算/网络架构层
• 数据层
• 应用层

4.5 最小授权原则

• 只付于操作者完成工作的必要权限
• 所有用户的操作必须授权
• 三种类型的权限能操作AWS
  – 主账户
  – IAM用户
  – 授权服务(主要是开发的app）

5 设计：高可用、高效率、可容错、可扩展的系统

本部分的目标是设计出高可用、高效率低成本、可容错、可扩展的系统架构
- 高可用
– 了解AWS服务自身的高可靠性（例如弹性负载均衡）—-因为ELB是可以多AZ部署的
– 用好这些服务可以减少可用性的后顾之忧
- 高效率(低成本)
– 了解自己的容量需求，避免超额分配
– 利用不同的价格策略，例如：使用预留实例
– 尽量使用AWS的托管服务（如SNS、SQS）
- 可容错
– 了解HA和容错的区别
– 如果说HA是结果，那么容错则是保障HA的一个重要策略
– HA强调系统不要出问题，而容错是在系统出了问题后尽量不要影响业务
- 可扩展性
– 需要了解AWS哪些服务自身就可以扩展，例如SQS、ELB
– 了解自动伸缩组（AS）

运用好 AWS 7大架构设计原则的：松耦合、实现弹性

6 实施和部署设计

本部分的在设计的基础上找到合适的工具来实现

• 对比第一部分“设计”，第一章主要针对用什么，而第二章则讨论怎么用
• 主要考核AWS云的核心的服务目录和核心服务，包括：
• 计算机和网络
  – EC2、VPC
• 存储和内容分发
  – S3、Glacier
• 数据库相关分类
  – RDS
• 部署和管理服务
  – CloudFormation、CloudWatch、IAM
• 应用服务
  – SQS、SNS

7 数据安全

数据安全的基础，是AWS责任共担的安全模型模型，必须要读懂
数据安全包括4个层面：基础设施层、计算/网络层、数据层、应用层
- 基础设施层
1. 基础硬件安全
2. 授权访问、流程等
- 计算/网络层
1. 主要靠VPC保障网络（防护、路由、网络隔离、易管理）
2. 认识安全组和NACLs以及他们的差别

• 安全组比ACL多一点，安全组可以针对其他安全组，ACL只能针对IP
• 安全组只允许统一，ACL可以设置拒绝
• 安全组有状态！很重要（只要一条入站规则通过，那么出站也可以自动通过），ACL没有状态（必须分别指定出站、入站规则）
• 安全组的工作的对象是网卡（实例）、ACL工作的对象是子网

1. 认识4种网关，以及他们的差别

   • 共有4种网关，支撑流量进出VPC
   • internet gatway：互联网的访问
   • virtual private gateway：负责VPN的访问
   • direct connect：负责企业直连网络的访问
   • vpc peering：负责VPC的peering的访问

   • 数据层

2. 数据传输安全
   – 进入和出AWS的安全
   – AWS内部传输安全

   • 通过https访问API
   • 链路的安全
     – 通过SSL访问web
     – 通过IP加密访问VPN
     – 使用直连
     – 使用OFFLINE的导入导出

3. 数据的持久化保存
   – 使用EBS
   – 使用S3访问

   • 访问
     – 使用IAM策略
     – 使用bucket策略
     – 访问控制列表
   • 临时授权
     – 使用签名的URL
   • 加密
     – 服务器端加密
     – 客户端加密

   • 应用层
     
     1. 主要强调的是共担风险模型
     2. 多种类型的认证鉴权
     3. 给用户在应用层的保障建议
        – 选择一种认证鉴权机制（而不要不鉴权）
        – 用安全的密码和强安全策略
        – 保护你的OS（如打开防火墙）
        – 用强壮的角色来控制权限（RBAC）
     4. 判断AWS和用户分担的安全中的标志是，哪些是AWS可以控制的，那些不能，能的就是AWS负责，否则就是用户（举个例子：安全组的功能由AWS负责—是否生效，但是如何使用是用户负责—自己开放所有端口跟AWS无关）

8 故障排除

问题经常包括的类型：
- EC2实例的连接性问题
- 恢复EC2实例或EBS卷上的数据
- 服务使用限制问题

8.1 EC2实例的连接性问题

• 经常会有多个原因造成无法连接
• 外部VPC到内部VPC的实例
  – 网关（IGW–internet网关、VPG–虚拟私有网关）的添加问题
  – 公司网络到VPC的路由规则设置问题
  – VPC各个子网间的路由表问题
  – 弹性IP和公有IP的问题
  – NACLs（网络访问规则）
  – 安全组
  – OS层面的防火墙

8.2 恢复EC2实例或EBS卷上的数据

• 注意EBS或EC2没有任何强绑定关系
  – EBS是可以从旧实例上分离的
  – 如有必要尽快做
• 将EBS卷挂载到新的、健康的实例上
• 执行流程可以针对恢复没有工作的启动卷（boot volume）
  – 将root卷分离出来
  – 像数据一样挂载到其他实例
  – 修复文件
  – 重新挂载到原来的实例中重新启动

8.3 服务使用限制问题

• 
  
• AWS有很多软性限制
  – 例如AWS初始化的时候，每个类型的EBS实例最多启动20个
• 还有一些硬性限制例如
  – 每个账号最多拥有100个S3的bucket
  – ……
• 别的服务限制了当前服务
  – 例如无法启动新EC2实例，原因可能是EBS卷达到上限
  – Trusted Advisor这个工具可以根据服务水平的不同给出你一些限制的参考（从免费试用，到商业试用，和企业试用的建议）
• 常见的软性限制
  

• 公共的限制
  – 每个用户最多创建20个实例，或更少的实例类型
  – 每个区域最多5个弹性ip
  – 每个vpc最多100个安全组
  – 最多20个负载均衡
  – 最多20个自动伸缩组
  – 5000个EBS卷、10000个快照，4w的IOPS和总共20TB的磁盘
  – …更多则需要申请了
  
• 你不需要记住限制
  – 知道限制，并保持数值敏感度就好
  – 日后遇到问题时可以排除掉软限制的相关的问题

9. 总结

9.1 认证的主要目标是：

• 确认架构师能否搜集需求，并且使用最佳实践，在AWS中构建出这个系统
• 是否能为应用的整个生命周期给出指导意见

9.2 希望架构师(助理或专家级)考试前的准备：

• 深度掌握至少1门高级别语言（c，c++，java等）
• 掌握AWS的三份白皮书
  – aws概览
  – aws安全流程
  – aws风险和应对
  – 云中的存储选项
  – aws的架构最佳实践
• 按照客户需求，使用AWS组件来部署混合系统的经验
• 使用AWS架构中心网站了解更多信息

9.3 经验方面的建议

• 助理架构师
  – 至少6个月的实际操作经验、在AWS中管理生产系统的经验
  – 学习过AWS的基本课程
• 专家架构师
  – 至少2年的实际操作经验、在AWS中管理多种不同种类的复杂生产系统的经验（多种服务、动态伸缩、高可用、重构或容错）
  – 在AWS中执行构建的能力，架构的高级概念能力

9.4 相关资源

• 认证学习的资源地址

- 可以自己练习，模拟考试需要付费的

• 接下来就去网上报名参加考试