PlAwAnSaI
Administrator
Elastic Load Balancing:
Security & Compliance:
- เป็นบริการของ AWS ที่กระจายการรับส่งข้อมูลของ App ขาเข้าโดยอัตโนมัติในทรัพยากรต่างๆ เช่น Amazon EC2 Instance ซึ่งช่วยตรวจสอบให้แน่ใจว่าไม่มีทรัพยากรแม้แต่รายการ/Instance เดียวจะมีการใช้งานมากเกินไป
- Amazon Simple Notification Service (Amazon SNS) เป็นบริการเผยแพร่/สมัครรับข้อมูล ผู้เผยแพร่จะใช้ Amazon SNS Topic เพื่อเผยแพร่ข้อความไปยังผู้สมัครรับข้อมูล
- การติดตั้ง (Deploy), ใช้งาน (Run) และ จัดการ (Manage) App ที่ใช้ Container บน AWS บริการที่เหมาะคือ:
- Amazon Elastic Container Service (ECS) → จัดการคอนเทนเนอร์ง่าย ใช้งานกับ AWS ได้ทันที เหมาะกับคนที่ไม่อยากดูแล Kubernetes เอง หรือ
- Amazon Elastic Kubernetes Service (EKS) → ใช้ Kubernetes แบบ managed service เหมาะถ้าต้องการมาตรฐาน Kubernetes และความยืดหยุ่นสูง
Thai ComPuter Engineer - Thaicpe
หลายคนยังตัดสินใจไม่ถูกระหว่างใช้ CI/CD กับ ECS vs EKS (Auto Mode) โดยเฉพาะในงานที่ต้องการความง่ายและยืดหยุ่นแบบ DevOps-friendly เรามาเทียบให้ชัดๆ กันเลยว่าอะไร "ง่ายกว่า" และอะไร "ดีกว่า"...www.facebook.com
- Region ประกอบด้วย Availability Zone (AZ) อย่างน้อย 3 แห่ง
ตัวอย่างเช่น Region ของไทย คือ ap-southeast-7 ซึ่งจะประกอบด้วย AZ 3 แห่ง ได้แก่ ap-southeast-7a, ap-southeast-7b และ ap-southeast-7c
- เมื่อเลือก Region ควรพิจารณา:
- การปฏิบัติตามข้อกำหนดด้านการกำกับดูแลข้อมูลและข้อกำหนดทางกฎหมาย
- ระยะใกล้เคียงกับลูกค้า
- ค่าบริการ และ
- บริการที่มีอยู่ใน Region
.
- AZ คือ ศูนย์ข้อมูลแห่งเดียวหรือกลุ่มศูนย์ข้อมูลภายใน Region
Cloud Space TH
หลายคนอาจสงสัยว่า AWS Region คืออะไร❓ 1 ประเทศจะมี 1 Region หรือเปล่า ❓ คำตอบคือไม่ใช่เสมอไปครับ เพราะว่าในบางประเทศ เช่น อเมริกา 🇺🇸 ก็มีหลาย Region เช่น N. Virginia, Oregon และ Region อื่น ๆ...
- Amazon CloudFront เป็นบริการส่งมอบเนื้อหา โดยบริการนี้ใช้เครือข่าย Edge Location ในการ Cache เนื้อหาและส่งมอบเนื้อหาให้กับลูกค้าทั่วทุกมุมโลก เมื่อเนื้อหาได้รับการ Cache ก็จะถูกจัดเก็บไว้เป็นสำเนาในเครื่อง เนื้อหานี้อาจเป็น File Video, รูปภาพ, หน้า Web, และอื่นๆ
Thai ComPuter Engineer - Thaicpe
CDN คืออิหยัง? เข้าใจง่ายๆ ใน 5 นาที: https://www.facebook.com/share/p/1DjdxxuerG . https://www.maimem.com/cdn-options-beyond-cloudflare
- ด้วย AWS Outposts สามารถขยายโครงสร้างพื้นฐานและบริการของ AWS ไปยังตำแหน่งที่ตั้งต่างๆ ซึ่งรวมถึงศูนย์ข้อมูลในองค์กร
- Subnet คือส่วนของ VPC ที่สามารถจัดกลุ่มทรัพยากรตามความต้องการด้านความปลอดภัยหรือการดำเนินการได้ อาจเป็นแบบสาธารณะหรือแบบส่วนตัวก็ได้
- Subnet สาธารณะมีทรัพยากรที่ต้องสามารถเข้าถึงได้จากสาธารณะ/Internet เช่น Website ของร้านค้า Online
- Subnet ส่วนตัวมีทรัพยากรที่ควรสามารถเข้าถึงได้ผ่านทางเครือข่ายส่วนตัวเท่านั้น เช่น ฐานข้อมูลที่มีข้อมูลส่วนบุคคลและประวัติการสั่งซื้อของลูกค้า
- AWS Direct Connect สามารถนำไปใช้เพื่อสร้างการเชื่อมต่อแบบ Dedicated ส่วนตัวระหว่างศูนย์ข้อมูลของบริษัทกับ AWS ได้
- รายการควบคุมสิทธิ์เข้าถึง (ACL) สำหรับเครือข่ายดำเนินการกรอง Packet แบบ Stateless โดยจะไม่จดจำข้อมูลใดๆ และจะตรวจสอบ Packet ที่ข้ามขอบเขตของ Subnet ทุกครั้งทั้งขาเข้าและขาออก
บัญชี AWS แต่ละบัญชีจะมี ACL สำหรับเครือข่ายที่เป็นค่าเริ่มต้น เมื่อกำหนดค่า VPC สามารถใช้ ACL สำหรับเครือข่ายที่เป็นค่าเริ่มต้นของบัญชี หรือสร้าง ACL สำหรับเครือข่ายแบบกำหนดเองก็ได้
ตามค่าเริ่มต้นแล้ว ACL สำหรับเครือข่ายที่เป็นค่าเริ่มต้นของบัญชีจะอนุญาตให้มีการรับส่งข้อมูลขาเข้าและขาออกทั้งหมด แต่สามารถปรับเปลี่ยนการตั้งค่านี้ได้โดยเพิ่มกฎของตนเอง
ส่วน ACL สำหรับเครือข่ายแบบกำหนดเองนั้น การรับส่งข้อมูลขาเข้าและขาออกทั้งหมดจะถูกปฏิเสธจนกว่าจะเพิ่มกฎเพื่อระบุว่าการรับส่งข้อมูลใดที่ควรได้รับอนุญาต นอกจากนี้ ACL สำหรับเครือข่ายทั้งหมดยังมีกฎการปฏิเสธโดย Default อีกด้วย กฎนี้มีไว้เพื่อให้แน่ใจว่าหาก Packet ไม่ตรงกับกฎใดในรายการ Packet ดังกล่าวก็จะถูกปฏิเสธ
เหมือน
รายชื่อแขกในงานสัมนา → ACL ที่อนุญาตให้เฉพาะชื่อใน List เข้าไปในงานได้
- Security Group (SG) เป็นแบบ Stateful ซึ่งหมายความว่ากลุ่มเหล่านี้ใช้รูปแบบและ Flow ของการรับส่งข้อมูลก่อนหน้าเมื่อประเมินคำขอใหม่สำหรับ Instance
ตามค่าเริ่มต้นแล้ว SG จะปฏิเสธการรับส่งข้อมูลขาเข้าทั้งหมด แต่สามารถเพิ่มกฎแบบกำหนดเองเพื่อให้เหมาะกับความต้องการด้านการดำเนินการและความปลอดภัย
- Internet gateway ใช้ในการเชื่อมต่อ VPC กับ Internet
- การสืบค้น DNS คือ การแปลงชื่อ Domain เป็นที่อยู่ IP
ตัวอย่างเช่น หากต้องการเข้าชม Website ของ AnyCompany.cz ต้องป้อนชื่อ Domain ลงใน PC และคำขอนี้จะถูกส่งไปยัง Server DNS มันจะขอที่อยู่ IP กับ Website ของ AnyCompany จาก Web Server โดย Web Server จะตอบกลับโดยให้ที่อยู่ IP หมายเลข 193.84.128.201 สำหรับ Website ของ AnyCompany
- Amazon EBS เหมาะสำหรับข้อมูลที่ต้องเก็บรักษา เหมือนแยก Drive ออกจาก Computer Host ของ EC2 Instance
- Class ของพื้นที่เก็บข้อมูล S3 Standard-Infrequent Access(IA) เหมาะอย่างยิ่งสำหรับข้อมูลที่ไม่ได้มีการเข้าถึงบ่อยครั้ง แต่ต้องมีความพร้อมใช้งานสูงเมื่อจำเป็น ทั้ง S3 Standard และ S3 Standard-IA จัดเก็บข้อมูลไว้ใน AZ อย่างน้อย 3 แห่ง S3 Standard-IA มีความพร้อมใช้งานในระดับเดียวกับ S3 Standard แต่มีค่าบริการพื้นที่เก็บข้อมูลต่ำกว่า
Thai ComPuter Engineer - Thaicpe
วันก่อนรู้จัก Compute กันไปแล้ว วันนี้มารู้จัก AWS Storage กันคับ คุณ Sumbul อธิบายไว้ดีมาก: https://medium.com/@sumbul.first/story-of-aws-storage-3d1934c1a336 ....
- สถานการณ์ที่ควรใช้ Amazon Relational Database Service (Amazon RDS):
- การใช้ SQL เพื่อจัดระเบียบข้อมูล
- การจัดเก็บข้อมูลในฐานข้อมูล Amazon Aurora
Security & Compliance:
- ประโยชน์ของการใช้ AWS Cloud:
- ตอบสนองต่อมาตรฐานสูงสุดด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูล
- จัดการ Key เข้ารหัส (Encryption Key) พร้อมตัวเลือกที่หลากหลาย
- Scale ด้วยการมองเห็นที่มากขึ้น
- ทำงานอัตโนมัติเพื่อเพิ่มความปลอดภัยและลดความเสี่ยง
- ใช้การควบคุมและการติดตามในระดับละเอียด เช่น
- ให้ User A อ่าน File จาก S3 Bucket ได้อย่างเดียว แต่ไม่สามารถลบ File ได้
- ใช้ IAM Roles หรือ Policy แยกตาม App/Team เพื่อให้สิทธิ์เฉพาะที่จำเป็น (Least Privilege)
- CloudWatch ติดตามการทำงานของ EC2, Lambda, RDS ฯลฯ พร้อมการตั้ง Alarm ถ้ามีค่าผิดปกติ
- CloudTrail ติดตามว่าใครทำอะไรกับทรัพยากรใน AWS (Audit Log) เช่น ใครลบ EC2 Instance, ใครแก้ IAM Policy
- AWS Config ตรวจสอบการตั้งค่า (Configuration) ของทรัพยากร และแจ้งเตือนถ้ามีการเปลี่ยนแปลงที่ไม่ตรงตามมาตรฐาน
- ช่วยลดความจำเป็นในการทำงานด้วยตนเอง
- ไม่จำเป็นต้องซื้อ Hardware ภายในองค์กร (On-premises) อีกต่อไป
- ไม่ต้องจ่ายค่าบริการล่วงหน้าสำหรับ AWS แต่จะจ่ายตามการใช้งานจริง
.
- AWS มอบการควบคุมในระดับที่ละเอียด เพราะการควบคุมแบบเดียวไม่สามารถตอบโจทย์ลูกค้าทุกคนได้
เมื่อลูกค้าเลือก AWS Region สำหรับจัดเก็บข้อมูล ข้อมูลจะไม่ถูกทำสำเนาหรือย้ายไปที่อื่น เว้นแต่ลูกค้าเป็นผู้เลือกเอง
AWS ยังมอบเครื่องมือในการควบคุม การมองเห็น และบริการที่เป็นมิตรต่อการตรวจสอบ (Audit-friendly) เพื่อช่วยให้ลูกค้าสามารถปฏิบัติตามกฎหมายและข้อบังคับด้านความเป็นส่วนตัวของข้อมูลในแต่ละประเทศได้ โดยครอบคลุมตั้งแต่การควบคุมว่าใครสามารถเข้าถึงข้อมูลได้ ไปจนถึงการจัดการข้อมูลตลอด Lifecycle รวมถึงขั้นตอนการลบข้อมูลเมื่อหมดความจำเป็น
- ลูกค้าเป็นผู้รับผิดชอบด้านความปลอดภัย ภายใน AWS Cloud ซึ่งรวมถึงการรักษาความปลอดภัยของเนื้อหา, ระบบ, และเครือข่ายของตนเอง เช่นเดียวกับที่ต้องทำกับ App ใน Data Center แบบ On-premises ลูกค้าจะยังคงต้องรับผิดชอบในการปกป้อง ความลับ (Confidentiality), ความถูกต้องครบถ้วน (Integrity) และ ความพร้อมใช้งาน (Availability) ของข้อมูลของตน
- AWS ดูแล ความปลอดภัยของCloud
- รักษาความปลอดภัยของศูนย์ข้อมูลทางกายภาพ (Physical)
- ปกป้องโครงสร้างพื้นฐานระดับโลกที่ใช้ในการให้บริการทั้งหมดบน AWS Cloud โครงสร้างพื้นฐานนี้ครอบคลุมทั้ง Hardware, Software, ระบบเครือข่าย และสถานที่อย่างศูนย์ข้อมูล ที่ใช้ในการ Run บริการของ AWS
- ปกป้องบริการของ AWS เอง เช่น การประมวลผล (Compute), การจัดเก็บข้อมูล (Storage), เครือข่าย (Networking), และฐานข้อมูล
.
- ผู้ดูแลระบบ Cloud (Cloud Administrator) ต้องคำนึงถึงการจัดการสิทธิ์ผู้ใช้งานและการ Share ทรัพยากรในแต่ละวัน ส่วน AWS มีหน้าที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานระดับโลก ติดตั้งและ Update Patch Hardware Compute รวมถึงดูแลการตั้งค่าของอุปกรณ์โครงสร้างพื้นฐานของ AWS
Last edited:
ระบบควบคุมว่า "ใคร" เข้าถึง "อะไร" ใน AWS ได้บ้าง และทำอะไรได้บ้าง เช่น ดู, แก้ไข, ลบ