洪朝欽 c.c.hung
- 精誠資訊/恆逸教育訓練中心-資深講師
- 技術分類:雲端
雲端運算的本質具有「隨需存取」及「依使用量付費」的特點,可說是「要多少有多少,用多少付多少」。像AWS這樣的雲端服務提供者所擁有的運算資源遠遠超過一般企業用戶的千倍甚至萬倍以上,而且據點遍佈世界各地,這樣龐大的規模也使得單位運算成本相對便宜許多。由於運算資源的取得具有高度的彈性,所以敏捷度自不待言,並且能以相對低廉的價格做到極高的可用性、極大的擴充性、極佳的安全性,是絕大部分地端自建環境難以企及的優點,因此有愈來愈多的企業客戶將資訊系統建置在雲端環境。
開始使用雲端服務的門檻其實並不高,即便個人用戶也能輕易測試並負擔得起;然而對於已經擁有地端基礎建設的客戶而言,將現有系統搬遷上雲則完全是另一回事。由於許多技術特性的差異,想要將地端的架構原封不動的搬上雲端,在大多數情況下並不容易做到,況且這也無法發揮雲端服務的最大效益。除此之外,也有許多客戶因為法令或合規性等等的考量,並不會完全放棄地端的環境,而是採取兩邊並行的混合雲策略。然而在雲端地端同時存在的情況下,系統管理的任務就會變得更加複雜。
在IT管理中,作業系統的維護是非常繁瑣但重要的工作,例如已知漏洞的更新、服務的開關、防火牆的設定……等等,尤其在日益嚴峻的資安挑戰下更是如此。這些需要在每一台作業系統裏個別執行的任務,在不同的作業系統裏所用的指令與設定方式都不一樣,而且即便是同一種作業系統,不同版本間可能也會有差異。除此之外,每台機器的網路連線方式、帳號密碼、管理介面等等又各不相同,更增加了管理人員的負擔。如果您選擇AWS做為公有雲,尤其同時擁有地端環境的情況下,AWS Systems Manager會是您不想錯過的好工具。
AWS Systems Manager就如其名,集中管理大量實體或虛擬伺服器上的作業系統正是它的強項,目前支援Windows和Linux這兩大主流作業系統。AWS Systems Manager的運作方式,是透過安裝在作業系統內的代理程式(SSM Agent),讓作業系統主動向AWS Systems Manager註冊,於是管理者就可以在AWS Systems Manager的管理介面看見所有註冊上來的作業系統,並且對這些系統進行各種維運管理的任務,例如安裝更新、軟體派送、修改設定、甚至直接打開命令列模式的管理介面進行更細緻的操作。使用AWS Systems Manager的管理方式,具有以下優點:
- 整合的操作介面:不只在AWS上的虛擬機,只要能安裝代理程式,連位在地端公司內部的實體和虛擬主機都可以一併管理。除了適用於混合雲的環境,如果您有許多分散而彼此不相連的據點,只要能各自連上Internet就可以全部納入AWS Systems Manager的管理之下。
- 簡化網路存取設定:被管理的機器只要能主動透過HTTPS連到AWS Systems Manager的服務端點就可以,本身並不需要直接暴露在Internet上,如此不但安全性更高,而且存取不同網段的機器都是一步直連,不需要透過像堡壘機或跳板機等繁瑣的連線跟認證方式去連接。
- 存取權限一致性:AWS的服務以AWS Identity and Access Management做為一致的存取控制入口,AWS Systems Manager也不例外。因此只要能與AWS IAM服務整合的帳號來源(例如Acrive Directory等),都可以做為認證的Identity Source,以組織的政策及方式集中管理授權。相較於以每個作業系統本機使用者去做認證授權,大大簡化了管理者的負擔。
- 集中的稽核途徑:如果可以透過AWS Systems Manager存取作業系統,建議將所有其他的存取途徑關閉。如此一來所有的使用者都必須透過同樣的路徑存取系統,管理者只需要在一個地方就能掌握所有的存取歷程,安全性更高。
其實AWS Systems Manager除了作業系統的管理功能之外,還整合了AWS上許多其他的監控服務,例如Amazon CloudWatch Dashboard/Alarms、AWS Config、AWS CloudTrail、 AWS Trusted Advisor……等,希望做為在AWS上日常維運的第一站,從這裡就可以很快的掌握目前AWS的運作狀況,或者是否有需要處理的問題,真的是維運人員非常好的幫手!
您可在下列課程中了解更多AWS的系統管理功能喔!
沒有留言:
張貼留言