Chaos engineering 混沌工程亂中有序
2022-04-06
2017年5月27號英國航空因 IT 出現問題導致旗下航班2天無法恢復正常飛行,後續統計此事件總共影響了75,000名乘客,並且對公司造成了至少8000萬英鎊的損失。根據調查,此事件起源於該公司位於英國的資料中心因供電異常及其不良的 Data Recovery(DR) 設計,導致系統遲遲無法順利恢復。2021年10月4號 Facebook 因員工對其 DNS 進行設定時的疏忽,導致旗下的 Facebook/WhatsApp 持續封鎖了5個小時,此事件不只影響了用戶,同時臉書內部許多系統的驗證機制的主機也都因 DNS 無法解析導致無法使用,其結果就是員工被鎖在公司系統外,甚至連門禁都無法通過,總共花費5個小時才順利讓系統部分恢復。設備異常並非什麼新鮮事,然而當異常發生時,企業能否順利持續運行,或是將面臨巨額損失,兩者的區別往往只有一線之隔。 “Everything fails all the time” Werner Vogels, AWS CTO 優劣的 IT 設計差別就在於當異常發生時,系統是否能夠以最小的影響持續運行,也就是我們通稱的 Disaster Recovery (DR) 。混沌工程就是能幫助企業達成此目標的最佳利器。混沌工程是針對測試及生產環境的資源製造具有破壞性的事件,例如強制關閉 server、提高網路延遲等動作,並藉此觀察整體系統的反應是否如設計者的預期。透過有規劃並可控的人為破壞行為得以驗證 DR plan 是否如設想的一樣,能有效的對事件做出妥善的對應,而在驗證後也可以從獲得的實際數據來改良現有的 DR plan。透過將資源部署在雲端上,使用者可以輕易透過遠端連線來針對資源進行混沌工程所使用的破壞性動作。透過完善的自動化部署,企業甚至能達到將混沌工程自動化後,不定時對特定資源群裡的不特定資源進行破壞並產出整體系統所受影響程度的事件報告。 混沌測試步驟 首先測試者必須先理解並定義系統穩定時,各種資源相對應的指標和狀態,例如:正常運行下的 CPU 使用率、網路延遲等。在測試者有了基準點後,便可以開始探索哪些部份可能會出現「異常」狀況及其相對應的假設,例如當資料庫異常時,是否有備用方案或自動 FAILOVER 的機制存在;FAILOVER 時,系統會受到什麼影響。建立好假設後,測試者便能將上階段之理論進行實際演練 (先從小地方開始慢慢擴大影響範圍),並觀察實際情形是否跟理論有出入,並以此為基準修正或重新設計 DR plan。 為什麼企業需要混沌工程 就如同日常生活中存在的消防演習一樣,混沌工程的用意在於透過可控的演練方式來使企業獲得對抗危機的肌肉記憶,並能更加有效率地針對事件作出適當的回應。混沌工程帶給企業的優勢在於能讓企業對於自身的整體營運系統有更加深刻的理解,透過控制由小至大的破壞範圍,能使各種未知的弊端逐漸被發現,而後相關人員才能針對問題做出具體的修正方法讓日常營運和危機處理都能非常平順。 破除企業迷思 我的企業已經夠”亂”了,根本就不需要混沌工程。事實上恰恰相反,前者反而是最需要透過混沌工程來找出自身問題所在並修復的,企業之所以會亂,正是因為太多問題而不知從何下手。透過混沌工程抽絲剝繭班的發現問題並解決流程,能讓企業從混亂的狀態趨於穩定。 AWS Fault Injection Simulator (FIS) 是一套統整過的 Chaos Engineering 工具,供使用者在雲端上進行混沌工程操作。FIS 為 AWS 的管理工具,不須額外安裝就可有系統地對不同資源進行破壞操作,並且包含了可以輕鬆 ROLL BACK 的功能,能隨時中斷測驗。FIS 並不是單純的模擬,而是會針對雲端上的各種資源實際執行破壞指令來造成實質上的破壞。透過實踐的方式,供使用者驗證當事件發生在生產環境時,將可能造成的衝擊,而不再只是紙上談兵。 結論 系統的穩定性於現在網路普及和使用者集中力降低的時代是不可或缺的。對於企業來說,數十分鐘的系統異常都可能造成巨額的損失。銓鍇國際 CKmates 擁有數十年的雲端產業經驗,並對各類型雲端服務都能熟練掌握、提供客戶最恰當的解決方案。不論企業是採取混合雲或是原生雲端的營運模式,銓鍇國際 CKmates 都能協助企業進行混沌工程設計,同時提供完善的資源監控服務,協助企業審視自身的營運模式,以達成一套可靠穩固、將事件的影響降到最低的 IT 架構。
淺談雲端託管服務對企業的影響
2022-04-06
雲端服務和應用的出現,顛覆了傳統地端 IT 架構的設計和資源的運用。尤其這兩年新冠肺炎疫情在全球肆虐,愈來愈多企業選擇啟用雲端服務,將公司營運部分或是全部遷移上雲,並且加速數位轉型的腳步,迎來一個「數位優先」的世界。 然而,企業從評估、規劃、遷移,到維運、優化,內部不一定配有相關技術的人才,也不知道從何開始轉型上雲的旅程。因此,需要雲端專業人員提供整體的雲端託管服務 (MSP, Managed Service Provider),協助企業藉由雲端服務和應用來降低硬體設備和人力成本、提升企業營運和業務目標。 雲端託管服務(MSP)及市場增長 當您的企業啟用雲端服務,並且把企業營運部署至雲端後,該如何持續監控、管理維護和改善解決業務運營,確保所有的業務流程能夠在雲端進行地順暢,同時資訊安全能夠得到保障、降低停機時間的風險? 雲端託管服務便是協助企業遷移上雲後,提供全天候24小時的主動監控、安全告警通知,以及依照標準作業流程 (SOP) 執行異常排除。 根據全球市場調查機構 MarketsandMarkets 指出,在2026前,雲端託管服務的市值將會達到3548億美元的驚人數字,市場增長高達56%。由此可見愈來愈多企業在數位轉型的同時,會將雲端的應用服務委由專業技術人員維運託管,確保整體雲端系統架構的品質。 圖:MarketsandMarkets指出,在2026前,全球MSP的市值將高達3548億美元,市場成長56%。 雲端託管服務對企業的效益 企業在未將業務營運部署至雲端前,時常需要根據 IT 需求而擴建機房、添購硬體設備。然而,在這不斷地猜測、預估 IT 需求和容量的過程中,長久下來,無形之中造成企業成本浪費。若是企業遷移上雲、將業務營運部署至雲端,不僅可免去添購硬體設備的成本和不斷地預估容量需求,還能讓 IT 人員專注於更核心、更具商業價值的工作任務。 踏上數位轉型的旅程之後,企業若將雲端應用託管於專業的技術團隊,即可節約維運管理之人力成本。就資訊安全層面來說,雲端託管專業團隊能提供全天候24小時的主動安全監測,一發現異常能立即發出示警通知、執行異常排除程序,確保企業的雲端應用不易因資料外洩、病毒攻擊、DDoS 攻擊等造成損失或服務的停機時間,影響業務營運。 上雲之後,企業也能輕易地將業務擴展至全球,此時更需要一群專業的雲端技術人員協助管理企業日漸增長的雲端服務應用。而專業的雲端技術團隊能根據 Well-Architected 架構去優化維運管理,在營運、安全性、可靠性、效能效率,以及成本最佳化等層面進行全方位的提升,持續優化企業的雲端環境。 CKmates 有十年以上的雲端豐富經驗,具備 AWS Migration Competency、Well-Architected 等多項雲端遷移專業認證,並且擁有一群專業的 NOC 團隊執行全天候不間斷的主動監控。身為企業的雲端數位長,銓鍇國際 CKmates 在雲端託管服務(MSP)的豐富經驗值得信賴!
.jpg)
Amazon Lookout for Equipment 工廠設備預測性維護服務
2022-04-06
工業 4.0 正快速擴展,傳統製造業、工業正面臨著轉型的危機,致力於朝向智慧型工廠發展,提高自動化程度,透過數據獲得洞見更提高營運效率。 工業及製造業工廠有多種設備在運行,良好的設備效能提供產線運作的穩定性,而設備的維護即是關鍵指標。企業工廠擁有各式各樣的設備並配備先進的感測器,監控感測器的數據對於維護相當重要。然而,造成設備異常的狀況非常多元,甚至牽扯複雜的關聯性,要能夠在這大量且複雜的數據中察覺異常狀況,更是耗時耗人力的事。 如何將收集到的數據進行分析,轉變成企業所需的有效資訊來做出決策,這需要擁有數據分析能力的專業人員。若要達到減少人力監控,由機器自動偵測異常狀態並提前示警,達到預防性維護的目的,這需要交由機器學習的專家來訓練模型,過程也相當繁瑣廢時。 為此,AWS 提供了一項新服務 Lookout for Equipment,幫助客戶對設備狀態做維護,使用 AWS 開發的機器學習模型持續攝取來自感測器傳來的數據,自動辨識是否有潛在的故障發生可能性,在機器故障前採取行動,避免停機時間導致更多的損失。 這代表企業無需配有機器學習領域或有相關經驗的技術人員,只要將設備的歷史數據上傳,且最少只需要提供 180 天的歷史數據,Lookout for Equipment 便能開始訓練模型,學習設備正常狀況下的運作模式,而一個模型最多可包含 300 個感測器。 以下步驟輕鬆讓 Lookout for Equipment 訓練模型,並攝取感測器的資料 1.將設備的歷史數據(包含時間戳、感測器數據)的 CSV 檔上傳至 S3 儲存桶儲存 2.在 Lookout for Equipment 為訓練模型所需的數據創建資料集並匯入歷史數據 3.提供標籤資料作為判斷異常行為的學習歷史數據中,發生異常事件的時間範圍(包含兩個時間戳) 4.使用 Lookout for Equipment 訓練模型僅需提供最少 180 天數據亦可以選擇部分資料作為評估模型性能的數據 5.模型訓練完後可以檢視模型的性能、檢視模型是否能正確判斷,並顯示模型平均可以在設備故障前多久就預測出有異常 (上圖紅色範圍為模型偵測到的異常事件,灰色範圍為標籤異常的時間範圍) 檢視模型評估時,偵測到異常事件中導致故障最高權重的感測器 6.開始安排對即時資料做偵測在 Lookout for Equipment 可以看到是否成功偵測到即時感測器數據,偵測結果自動儲存於S3 儲存桶 可以串接 AWS SNS 示警服務,當偵測到異常事件時,即時發出告警 並可串接 AWS QuickSight 視覺化服務,以儀表板呈現偵測結果,快速找出異常事件 Amazon Lookout for Equipment 對數據使用機器學習來預測機器故障或性能欠佳的早期預警信號,使客戶能夠從現有傳感器中獲得更多價值,並幫助他們即時做出決策,從而顯著提高運營效率。 身為企業的雲端數位長,銓鍇國際 CKmates 始終在產業數位轉型的路上,與您並肩前行。憑藉我們在各產業的豐富經驗和專業技術,協助客戶更順暢地踏上數位轉型之路,成功降低成本、提升整體營運目標。
AWS 平台與 Grafana 結合
2022-04-06
全託管服務 AWS Managed Grafana 正式上線,Grafana 是許多企業選擇的開源視覺化平台,能夠了解存放在不同區域的指標,作為分析、視覺化,以及設定指標閾值的提醒應用。 AWS Managed Grafana 的使用者可以存取第三方企業的資料來源,包含 Datadog、Dynatrace、Gitlab、Oracle Database、SAP HANA、Wavefront 推出的 VMware Tanzu Observability,以及 Snowflake 等。透過單一介面來操作不同的資料來源,分析並展示在同一個 dashboard 中,方便判讀手邊的資源指標,也能快速設定資源的閾值來提醒使用者資源使用是否在預期範圍。 AWS Managed Grafana 支援 AWS Single Sign-On 登入方式以及安全聲明標記語言 (SAML) 2.0 的登入方式,在建立工作工作空間 (WorkSpaces) 時,可以給予企業目錄中的使用者賦予存取權限 (Admin、Editor、Viewer),也可以賦予特定儀表板 (Dashboard) 和資料來源 (Datasourse) 的使用權限。 使用 AWS SSO 的登入方式更可以管理 AWS 組織 (organization) 中的使用者 (OU),沒有 AWS SSO 權限的 User 身分要管理使用者的話可以選擇以 SAML 方式管理 Grafana 平台。 除了參考 AWS文件方式設定,這邊提供第三步驟(圖一)進一步的設定說明。以及後續初步操作的認識。 使用情境: 使用 SAML2.0 的登入方式並透過 AzureAD 來驗證身分,並登入 AWS Managed Grafana 的 Workspaces。 Step 3 : Map assertion attributes 此處的屬性設定必須跟您使用的第三方身分驗證平台的設定一致,才會擁有 Admin 的操作權限。若設定沒有成功,登入時只會是一個 Viewer 的身分而無法執行任何操作。 (圖1) 在第三方身分驗證平台上找到 Grafana ,並依照官方文件步驟來設定 (圖2) 來到 Setup single sign-on 的設定,點擊 attributes & claims 的 Edit,此處設定會影響(圖1)所說的結果 (圖3) 在 additional claims 另外新增一格屬性讓 SAML 的驗證方式能透過此處設定找到(圖1) Step 3 的 Assertion attribute role 跟其對應的 Admin role values (圖5) 。 (圖4) 來到 user 基本資料的 Profile 就能找到剛剛設定 Assertion attribute role 其對應的 Admin role values (圖5) 儲存(圖1)的設定之後,就能透過 workspaces 這邊的 URL 登入 AWS Managed Grafana 。 (圖6) AWS Managed Grafana 登入頁面 (圖7) 使用第三方身分驗證平台的帳號來登入 AWS Managed Grafana (圖8) 登入成功頁面,恭喜您進入 AWS Managed Grafana,並能開始使用它的視覺化功能。 (圖9) 以下展示使用 CloudWatch 的指標所呈現出的儀表板 點擊齒輪 (Configuration) 選擇要視覺化的資料源 (Data sources) (圖10) 選擇 AWS CloudWatch (圖11) 可以選擇預設在哪個區域 (Region)、選擇本身的資料源或其他 Account 帳號的資料源來做連結分析 (圖12) 也可以直接選擇 AWS 已經預設好的五樣服務指標來匯入。參考 (圖14) (圖13) 已經預設好的儀表板,可以移動鼠標來看某一時間點的指標細節。 (圖14) 除此之外,AWS Managed Grafana 提供的多項資料源 (Data Sources) 也能在此做選擇 (圖15) 如果想要建立自己的儀表板,可以點"+" Create一個 Panel (圖16) 選擇您初步設定過的資料源 (Data Sources),此處選擇 CloudWatch。 (圖17) 選擇想參考的服務及指標,並在右方調整儀表板命名以及其他想要呈現的細節。 同一個畫面中也能設定 Alert 來達成提醒閾值的功能。 (圖18) 完成後可以儲存成一個資料夾,或是另外建立資料夾來存放不同資源的視覺化資料。 (圖19) 身為企業的雲端數位長,銓鍇國際始終與企業並肩同行。在數據應用和分析愈趨重要的時代,銓鍇能提供企業最適切的雲端解決方案,將各種數據串接、並且將其視覺化,協助企業能即時回應市場變化和需求,做出適當的商業決策。銓鍇國際是您最佳的雲端數位長,協助您專注於創造更好的商業價值。
State Manager自動開關機好管家
2022-04-06
企業上雲,大大降低企業設備、人力、維運成本,並將成本轉換為雲端服務的運作時間。但若設備在閒置的情況下未關機或刪除,依然會增加許多額外成本,對公司造成營運負擔。 EC2 和 RDS 為最常見的兩種雲端運算服務,企業上雲都與之有關。因此,如何適當地管理它們就顯得格外重要。 自動開關機之功能可解決上述設備管理的問題: ◆ 自動關機功能-避免忘記關機或刪除設備而增加不必要的成本。 ◆ 自動開機功能-免去手動開機時,需等待設備暖機的時間,讓執行更有效率。 AWS 擁有多種自動開關機的方法,此文章擇其一:Systems Manager 服務內的 State Manager 能省去複雜操作流程,將設定開關機時間的介面圖形化,操作簡單、易上手,更無須擔心費用問題。State Manager 為免費服務,不會增加額外的使用成本。 利用 State Manager 自動開關機 1.架構圖 藉由 Systems Manager 服務內的 State Manager 功能,設定自動開關機排程。 2.前置作業 Step 1:在設定自動排程前,需配置 IAM Role 於 SSM,Policy 包含 Step 2:為 IAM Role 取名稱(Ex: Tech3-Role-SSMAutoStartStopEC2)。 Step 3:上述 Policy 僅提供 Systems Manager 管理 EC2 的權限,若要管理 RDS,必須新增 inline policy: 3.配置 State Manager 自動排程 進入 State Manager 介面,創建開機自動排程以及關機自動排程,共兩個排程: Step 1:Document 項目,依照提示並輸入關鍵字,選擇所需要的 Document。以創建自動開機排程為例,選擇 AWS-StartEC2Instance。若是創建自動關機排程,則選擇 AWS-StopEC2Instance。 Step 2:Execution 項目,選擇 Rate control,設定執行排程的時間。 Step 3:Targets 項目,以 Tag 方式抓取需要自動開關機的 EC2,圖例上新增一個 key 為 AutoStartStop、value 為 Yes 的Tag,若 EC2 或 RDS 實例有此 Tag,將會執行此自動開關機排程。 Step 4:Input parameters 項目,AutomationAssumeRole 欄位,選擇上述已創建好,並分配給 SSM 的 IAM Role。 Step 5:Specify schedule 項目,設定開機時程。如上圖所示,設定的時間為 UTC 標準時間,若是在台灣 (UTC+8) 設定自動開機排程,想要每天9:00自動開機,必須將時間設定為1:00。 Step 6:Rate control 項目,Concurrency 欄位設定執行排程時,可同時執行開機或關機的數量或是百分比。Error threshold 欄位設定錯誤數量或是百分比,若錯誤達到設定值,則停止執行。 Step 7:創建完成兩個自動排程。 Step 8:此範例是以 Tag 方式抓取自動開關機的 EC2,所以 EC2 必須設定 Tag。 接下來到 EC2 介面,為需要開關機的 EC2 新增 Tag,完成自動排程所有設定。 4.驗證結果 原本有四台開機的 EC2 到 State Manager 介面,點擊 Apply association now,直接執行自動關機排程,進行測試。 再回到 EC2 介面,可看到成功將四台 EC2 關機。 只需一些步驟,即可設定自動開關機排程,不過,設定上有兩個限制: ◆ State Manager 為地區性 (Regional),不是全球性 (Global) ◆ Specify Schedule 項目,目前只能以小時、日、週為週期設定自動開關機 結語 AWS State Manager 服務能幫助使用者快速建置自動排程。EC2 和 RDS 雖為隨付即用的雲端服務,但若未將閒置的服務關機或刪除,還是會持續計算費用,造成企業成本負擔。運用此服務的自動開關機排程,可節省人力成本,同時避免不必要的成本開銷。 AWS 提供多元雲端服務,協助客戶省去後端維運的繁文縟節,全神貫注在開發及業務,為公司帶來效益最佳化。 CKmates,您的雲端數位長,深耕雲端產業多年,富有厚實的雲端技術,能運用雲端服務,針對客戶痛點提供適切的解決方案,是各個產業最值得信賴的雲端數位長。
.jpg)
Amazon GuardDuty 安全監控資安服務
2021-11-05
自疫情爆發以來,在疫情的影響下,提前布局產業數位轉型、上雲已成為各家企業相繼關注的焦點,在眾多雲端服務當中,Amazon Web Services ( AWS ) 仍然是各家企業的首選,隨著企業主使用愈來愈多 AWS 雲端服務,建立複雜的雲端架構來達到各家企業的業務目標,資訊安全的相關建構變得愈發重要。 AWS 致力於維護資訊安全,提供多元的資安服務供企業選擇。但資安要做到層層把關,密不透風的保護是相當不容易的事情,如果能夠偵測威脅來自哪裡、針對偵測到的威脅做妥善處理,對症下藥的持續監控方式是比較實際的做法。 在 AWS 眾多服務中,有一項資安服務能夠持續安全監控企業的雲端環境,偵測雲端環境中未經授權危害資安的威脅,此項服務名為 Amazon GuardDuty。 GuardDuty 可分析和處理多個 AWS 資料來源(VPC Flow Logs、AWS CloudTrail Management Events、CloudTrail S3 Data Events 和 DNS Logs)中的多重事件,無需部署或維護軟、硬體即可使用。GuardDuty 利用威脅情報源(例如:惡意 IP 的列表)和機器學習以識別 AWS 環境中未經授權危害資安的活動。 GuardDuty 本身會自動創建一個基於時間日期的文件夾架構,並藉由 Lambda 重新組織排列文件夾架構。此排列方式是 GuardDuty 針對偵測監控而組織的排列結果 (Finding Type)。重新組織後,將視圖傳送至 QuickSight,使用者能更輕鬆的將想關注的監控結果視覺化。 企業只要在選定的區域開啟 GuardDuty,就可將 GuardDuty 監控結果提取至 Amazon Simple Storage Service (Amazon S3) 中,使用 Lambda 重組 S3文件夾結構,並透過 Glue 和 Athena 將嵌套的 JSON 結構轉換並產出相對應的列表與資料,最後透過 QuickSight 分析並將結果視覺化,同時可下載分析結果。此架構流程提供易執行且高效率的解決方案,可用於分析 GuardDuty 的監控結果,廣泛地展示處理和視覺化多元類型複雜的 JSON 日誌。 (GuardDuty Finding Type 內容樣貌) (視覺化範例) 當企業長期使用 AWS 的雲端服務,資訊安全的維護變得愈來愈重要,藉由使用 GuardDuty 加強 AWS 的雲端服務資安層級,建立一項持續安全監控的服務以識別雲端環境中未經授權的危害資安的惡意活動,並透過分析好的內容判斷和識別潛在的資安威脅,進而達到對症下藥的資訊安全防護措施。 身為企業的雲端數位長,CKmates 的使命是與企業並肩前行,企業只要專注於創造商業價值,將雲端服務託管於CKmates,以實現系統整合性和資安防護同時並進,企業得以持續成長、穩固前行。 白皮書下載:AWS GuardDuty 雲端環境持續安全監控服務
為什麼企業需要雲端託管服務 (Cloud Managed Service) ?
2021-10-07
今年在疫情的推波助瀾下,加速數位轉型儼然成為企業在 IT 投資上的優先,在眾家業者當中,Amazon Web Services ( AWS ) 依舊穩坐雲端市場的領先地位,隨著 AWS 的採用率不斷提高,世界各地的企業都在重新定義他們的數位轉型之路。 在數位轉型的路上,全球企業啟動以雲為中心的數位基礎架構,採用以雲為中心的策略改變了企業內部文化與 IT。起初企業擔心內部是否將受到不可預測的影響,但透過新世代雲端託管服務 (Managed Service Provider, MSP),企業在服務上雲後,透過專業顧問服務進行即時監控、優化整體成本支出,企業、員工更了解雲的價值,使其專注於業務重大發展、解決疑慮。 圖:Apps Associates 針對 MSP 對 IT 決策者的調查結果。 根據 App Associates 針對300位以上的 IT 決策者進行調查,發現超過86%的 IT 決策者表示期待 MSP 對企業 IT 環境有更佳保護及期待透過 MSP 服務讓企業與 IT 人員更專注於重大發展,非基礎設施。 MSP 服務解決您面臨的挑戰 對於許多客戶來說,尤其是醫療保健、金融服務、生命科學和政府部門而言,AWS 上的作業和應用程序的安全性和合規性是其最關注的事情,這些行業都有自己的安全協議和政策,隨著時間的推移而變化,安全及自動化是 MSP 實踐中關鍵的項目,根據客戶需求量身建置 AWS 架構並遵照 Well-Architected 設計,以符合 AWS 安全最佳實踐。 MSP 服務應有明確的維護、安全、監控、報告的 SLA 約定,該 SLA 反應出企業對 MSP 的期望,回應時間、性能和安全規範也應包含在服務協議中。 在節省成本的同時實現數位轉型 MSP 夥伴所提供的服務不僅僅是維護企業的系統或服務穩定運行,更應有 24/7/365 持續地網路監控、故障排除與主動管理,為企業把關系統告警,以確保業務連續性。MSP 亦定期提供任何優化性能、架構、安全或節省成本的建議。企業通常考慮採用 Amazon EC2 預留實例 (RI) 或 Savings Plans 來節省雲端成本,同時提供客戶資源使用建議,消除不必要的成本或所需資源。 企業需要一個 MSP 合作夥伴,為 IT 管理導航、指路,透過持續地網路監控、故障排除與主動管理,提供企業穩定的營運系統。CKmates 擁有24/7/365的 NoC 團隊、技術團隊更是擁有100+以上的 AWS 專業級/專家級認證,為許多客戶提供MSP 服務。 CKmates 的使命始終是與企業並肩而行,成為企業的雲端數位長,企業只要專注創造商業價值,將雲端託管予 CKmates,以實現系統高可用及資安合規,企業得穩固前行。
.jpg)
【雲端遷移專欄 VI】剖析AWS原生遷移工具 MGN & SMS & VM Import/Export
2021-09-02
如何更快速達成您的業務目標,數位轉型、敏捷、創新是所有產業都不陌生的話題。然而,管理複雜的應用程式和工作產品組合,並非易事,故快速行動和實現價值的能力是關鍵的成功因素。而透過 AWS 雲端服務,不僅提升技術與組織效能,更能讓企業運用最新數位服務,提升效益。 在用戶決定遷移至 AWS 雲端後,如何安全並輕鬆地將工作負載遷移到 AWS,並減少遷移停機時間,是企業最關心的問題。AWS 提供 3 種免費託管遷移工具 : AWS Application Migration Service (MGN)、AWS Server Migration Service (SMS) 和 VM Import/Export。 MGN 和 SMS 是 AWS 託管服務,因此可以完全從 AWS 控制台內集中操作,而無需使用外部帳戶或其他帳戶。 VM Import/Export 是 AWS 的指令型工具, 熟悉的專業人士可極度利用其強大功能。 基於以上三種 AWS 遷移工具 , 客戶往往難以選擇哪種服務最適合他們的遷移情境。因此本篇將著重於解析這三種服務的差異性,協助您做選擇,實現快速且安全的遷移至雲端。 ■ 要遷移什麼類型的基礎設施? 2021 年 5 月 18 日 AWS 正式宣布推出 AWS Application Migration Service (MGN),遷移前企業應先考慮原基礎架構, MGN 是基於併購 CloudEndure 的整合服務,只要計劃遷移的目標可在 AWS EC2 支援的 x86 操作系統上運行即可使用 MGN。這包括實體伺服器、P2V、VMware、Hyper-V 和其他雲提供商等。 (圖1-AWS MGN (CloudEndure) 遷移,是一種 Agent 代理遷移服務, 可將本地硬體、虛擬的伺服器遷移至 AWS 執行) AWS Server Migration Service (SMS) 支援從 VMware、Hyper-V 或 Microsoft Azure 遷移 VM 虛擬機。 AWS SMS 目前不支援實體基礎設施或除了 Microsoft Azure 之外的其他公有雲。 (圖2-AWS SMS 遷移,是一種 Agentless 使用 Connector 的遷移服務,可將虛擬伺服器遷移至 AWS 執行) 如果您要遷移的資料量龐大或傳輸頻寬不能符合轉換到雲端的時程期限,則可考慮使用 VM Import,先將 VM 拷貝至移動硬碟,再另尋高速傳輸上傳使用 VM Import 至 S3。 (圖3-AWS VM Import/Export) ■ 需要 Agent 代理還是 Agentless 無代理解決方案? AWS MGN 遷移要求您在每台來源 Server 或虛擬機上單獨安裝 Agent。Agent 僅將任何 Block 的更新,寫入並同步到Replication Server。Agent 需要使用 MGN 用戶控制台在 TCP 端口 443 與 TCP 端口 1500 進行出口訪問。 (圖4-AWS MGN Agent installation on each server) AWS SMS 使用 SMS Agentless Connector 不同於 MGN Agent,這是一個預配置的 FreeBSD 虛擬機,在遷移開始之前, 將其安裝在來源中的虛擬化環境管理程序上 (如 vSphere vCenter, HyperV console)。SMS Connector 負責 Snapshot,將它們發送到 AWS SMS,並將它們轉換為 Amazon 系統映像 (AMI)。 (圖5-AWS SMS Connector installed on vCenter) 在某些情況下,如果您無法滿足某些 MGN Agent 要求, 則 AWS SMS 更適合。 例如: ● 可能無法在源計算機上擁有管理員訪問權限來安裝 Agent 代理 ● 可能只是更喜歡較少操作設定的 Agentless 解決方案 ● 企業資安風險考量 ■ 多久需要複製一次源環境? ● AWS MGN 利用持續的 Block level 複寫,是以分鐘為單位的複製排程。 ● AWS SMS 利用增量、基於 Snapshot 的複寫,是以小時為單位的複製排程。 ● 由於 AWS SMS 使用基於 Snapshot 的複製,後續 Snapshot 是增量拍攝的,與 MGN 不同,不需要暫存區來接收複製數據。AWS SMS 與 AWS MGN 都能夠恢復失敗的複製作業。 ■ 加密 AWS MGN 支持靜態和傳輸中的加密。對傳輸中的加密,MGN 使用 AES-256 加密來源環境中的代理和複製服務器之間的複製流量。流量使用 TCP 端口 1500 傳遞。靜態加密,MGN 提供在暫存區存儲加密卷的選項,您可以選擇默認加密密鑰或自定義 KMS CMK 密鑰。 (圖6-MGN (CloudEndure) volume 加密) AWS SMS 在區域中創建一個 Amazon S3 存儲桶,啟用 Server endpoint 加密和 Storage bucket policy 以在 7 天後刪除存儲桶中的任何項目。配置複製作業時,您可以選擇啟用 AMI 默認 CMK 加密。TLS 1.2 在傳輸過程中對複製的 Server volume 進行加密。 ■ 準備您的環境 建議您在準備環境時採用下列最佳做法,讓遷移後的啟動作業順暢。 ◆ 帳戶設定:確保只有執行移轉的人員可以控制移轉,包括執行、監視及維護移轉 ◆ 停用電子郵件通知:停用所有移轉通知電子郵件,避免收到有關移轉、失敗、進度等測試電子郵件 ◆ 主機環境預備:關閉 Firewal,相依關係設定等 ■ 需要什麼設定來啟動目標環境? 在許多情況下,客戶運行 Discovery 發現工具(如 Migration Evaluator 又稱 TSO Logic)來收集有關本地數據中心的信息,如服務器利用率、依賴關係或總擁有成本 (TCO) 估計,並推薦 Amazon EC2 實例類型和配置。AWS MGN 和 AWS SMS 都以不同的方式包含這些功能。 AWS MGN 使用 Blueprint 藍圖設置用於創建目標機器。使用 Blueprint,您可以自定義 EC2 屬性,例如:機器類型、啟動類型、子網、安全組、私有或公共 IP、磁盤類型等。 AWS MGN 也支持使用 BluePrint 大量設置程序腳本,然後使用該配置啟動目標機器。 (圖7-MGN Launch 設定) AWS SMS 支持類似的功能,遷移是通過將單個 Server 複製為 Amazon 系統映像 (AMI) 來完成的,並生成 CloudFormation 模板以協調方式啟動它們。SMS 為應用程序設置生成一個 CloudFormation 模板,您可以下載、編輯和用於以後啟動。 (圖8-SMS Replication Dashboard) 如果您需要導入 Discovery 工具來設置啟動目標機器,那麼 MGN 是正確的工具。如果您需要生成遷移環境是可重用 CloudFormation 模板,那麼 SMS 是正確的工具。 ■ 災難恢復 (DR) 雖然 AWS MGN 不是為 DR 災難恢復目的而設計的,但當決定遷移整個工作負載,可採用 MGN 進行 Disaster Recovery,MGN DR 亦支持 AWS 內的區域到區域災難恢復。 如使用 MGN DR, 則按每台源服務器以小時計費,收費與配置的存儲容量無關。每部伺服器每小時 0.028 USD,或預估的每部伺服器每月 20 USD。 銓鍇國際 CKmates 協助知名企業成功搬遷至 AWS 後疫情時代來臨,數位轉型成為企業面對多變環境的強力後盾,靠雲端加速轉型邁向全球佈局。銓鍇國際 CKmates 擁有多年實體機房維運與 AWS 雲端經驗,不僅成功為多家上市櫃公司完成雲端遷移、架構規劃、優化等服務,更始終致力於針對各產業之痛點提供最適切之解決方案。更於今年獲得 AWS Migration Competency 遷移能力認證,透過遷移上雲,使企業能夠更敏捷彈性的因應未來挑戰,而 CKmates 也將與企業並肩而行,成為企業的雲端數位長。 雲端遷移系列專欄 Why migrate to the AWS Cloud? 想要雲端遷移?資深雲端架構師親自傳授遷移心法 影響雲端遷移成功的關鍵因子:「評估策略」與「完善計畫」 善用 AWS 原生遷移工具 使雲端遷移事半功倍 使用 AWS Database Migration Service 快速協助異質資料庫遷移 剖析 AWS 原生遷移工具 MGN & SMS & VM Import/Export
You can learn more details here