1. 總結

• WS的服務和技術繁多，選擇適合自己的方向，而不是什麼都去學
• AWS的學習資源異常豐富，包括視訊、免費文件、線上實驗、社群以及專家課程（收費）
• AWS的考試包括助理級和專家級，並且分別針對架構師、開發與運維人員
• 助理架構師考試主要針對：設計、實施部署、資料安全、故障排除等4個方面進行考核
• AWS的架構師考試重點需要掌握7大“雲設計架構”如：彈性原則、最小授權原則等等，熟悉這些非常有助於答題（就好比當初考車的文科一樣，是有規律可循的）
• 多動手非常有助於通過考試，同時也是熟練掌握的不二法寶
• 助理架構師考試，建議考生擁有6個月AWS實戰經驗
• 專家級架構師考試，建議考生擁有2年的實戰經驗

2. 概述

2.1 AWS的服務列表概覽

2.2 需要確定好自己的定位與方向

包括三個維度： 
- 什麼行業 
– （移動？視訊？網際網路？企業？金融？） 
- 解決什麼問題 
– 大規模分發？大資料？混合網路？ 
- 使用哪些服務 
– 虛擬主機？虛擬網路和安全？hadoop叢集？資料倉庫？

2.3 學習方法是以賽代練（步步實踐，邊學邊用）

1. 首先【觀看自學視訊】
2. 然後聽取【線上課堂】
3. 理論差不多有，開始【動手實驗室】（15個免費實驗）
4. 深入瞭解需要【詳細檢視文件】建議至少先從FAQ閱讀，可以縮短很長時間
5. 利用【免費AWS套餐】注意平時的理解和學習
6. 再進行高階實驗
7. 需要了解各個服務之間的關聯等，【聽取講師指導課程】，就可以高層次的瞭解服務內容
8. 參加認證考試

2.4 AWS導師課程分類和級別

• 人員分類：解決方案師、開發人員、系統操作人員
• 課程分類：入門級、基礎級、高階、專項

3. AWS認證的背景資訊

3.1 認證的型別

• 助理級 
  – 助理架構師 
  – 助理開發人員 
  – 助理系統管理員
• 專家級 
  – 專家架構師 
  – 專家開發運維

認證共有5個，如果要參加專家級認證必須先通過助理級認證，其中“專家開發運維(devops)”的認證則通過任意(開發 or 運維)的助理級認證即可

3.2 獲得認證後的收益？

• 對個人 
  – 可以證明個人在AWS平臺上具備設計、部署和管理高可用、低成本、安全應用的能力 
  – 在工作上或社群中得到尊重和認可 
  – 可以把認證放到簡歷中，linkedin中整合了AWS認證徽章
• 對企業僱主 
  – 具備AWS上服務和工具的使用的認可 
  – 客戶認可，降低AWS專案實施風險 
  – 增加客戶滿意度

3.3 再認證模式

因為AWS的服務在更新，因此每兩年要重新認證（證件的有效期2年），再次參加考試時，題目、時間將會更少，且認證費用更低

3.4 助理架構師認證的知識領域

四大知識域

1 設計：高可用、高效率、可容錯低、可擴充套件的系統 
2 實施和部署：強調部署操作能力 
3 資料安全性：在部署操作時，始終保持資料儲存和傳輸的安全 
4 排除故障：在系統出現問題時，可以快速找到問題並解決問題

知識權重 
- 設計：60%的題目 
- 實施和部署：10%的題目 
- 資料安全：20%的題目 
- 排除故障：10%的題目

PS：考試不會按照上面的次序、考試不會註明考試題目的分類

3.5 認證過程

1. 需要在網上註冊，找到距離家裡比較近的地方考試（考點）
2. 到了現場需要攜帶身份證，證明自己 
   • 並不允許帶手機入場
   • 證件上必須有照片
3. 簽署NDA保證不會洩露考題
4. 考試中心的電腦中考試（80分鐘，55個考題）
5. 考試後馬上知道分數和是否通過（不會看到每道題目是否正確）
6. 通過後的成績、認證證書等將發到email郵箱中

3.6 考試機制

• 助理級別考試的重點是：單一服務和小規模的組合服務的掌握程度
• 所有題目都是選擇題（多選或單選）
• 不懲罰打錯，所以留白沒意義，可以猜一個
• 55道題
• 可以給不確定的題目打標籤，沒提交前都可以回來改答案

3.7 題目示例

1. 單選題

1. 多選題（會告訴你有多少個答案）

1. 彙總檢視答案以及mark（標記）

4 AWS架構的7大設計原則

4.1 鬆耦合

• 鬆耦合是容錯、運維自動擴容的基礎，在設計上應該儘量減少模組間的依賴性，將不會成為未來應用調整、發展的阻礙

鬆耦合模式的情況

• 不要標示（依賴）特定物件，依賴特定物件耦合性將非常高 
  – 使用負載均衡器 
  – 域名解析 
  – 彈性IP 
  – 可以動態找到配合的物件，為鬆耦合帶來方便，為應用將來的擴充套件帶來好處
• 不要依賴其他模組的正確處理或及時的處理 
  – 使用盡量使用非同步的處理，而不是同步的（SQS可以幫到使用者）

4.2 模組出錯後工作不會有問題

• 問問某個模組出了問題，應用會怎麼樣？
• 在設計的時候，在出了問題會有影響的模組，進行處理，建立自動恢復性

4.3 實現彈性

• 在設計上，不要假定模組是正常的、始終不變的 
  – 可以配合AutoScaling、EIP和可用區AZ來滿足
• 允許模組的失敗重啟 
  – 無狀態設計比有狀態設計好 
  – 使用ELB、雲監控去檢測“例項”執行狀態
• 有引導引數的例項（實現自動配置） 
  – 例如：加入user data在啟動的時候，告知它應該做的事情
• 在關閉例項的時候，儲存其配置和個性化 
  – 例如用DynamoDB儲存session資訊
• 彈性後就不會為了超配資源而浪費錢了

4.4 安全是整體的事，需要在每個層面綜合考慮

• 基礎架構層
• 計算/網路架構層
• 資料層
• 應用層

4.5 最小授權原則

• 只付於操作者完成工作的必要許可權
• 所有使用者的操作必須授權
• 三種類型的許可權能操作AWS 
  – 主賬戶 
  – IAM使用者 
  – 授權服務(主要是開發的app）

5 設計：高可用、高效率、可容錯、可擴充套件的系統

本部分的目標是設計出高可用、高效率低成本、可容錯、可擴充套件的系統架構 
- 高可用 
– 瞭解AWS服務自身的高可靠性（例如彈性負載均衡）—-因為ELB是可以多AZ部署的 
– 用好這些服務可以減少可用性的後顧之憂 
- 高效率(低成本) 
– 瞭解自己的容量需求，避免超額分配 
– 利用不同的價格策略，例如：使用預留例項 
– 儘量使用AWS的託管服務（如SNS、SQS） 
- 可容錯 
– 瞭解HA和容錯的區別 
– 如果說HA是結果，那麼容錯則是保障HA的一個重要策略 
– HA強調系統不要出問題，而容錯是在系統出了問題後儘量不要影響業務 
- 可擴充套件性 
– 需要了解AWS哪些服務自身就可以擴充套件，例如SQS、ELB 
– 瞭解自動伸縮組（AS）

運用好 AWS 7大架構設計原則的：鬆耦合、實現彈性

6 實施和部署設計

本部分的在設計的基礎上找到合適的工具來實現

• 對比第一部分“設計”，第一章主要針對用什麼，而第二章則討論怎麼用
• 主要考核AWS雲的核心的服務目錄和核心服務，包括：
• 計算機和網路 
  – EC2、VPC
• 儲存和內容分發 
  – S3、Glacier
• 資料庫相關分類 
  – RDS
• 部署和管理服務 
  – CloudFormation、CloudWatch、IAM
• 應用服務 
  – SQS、SNS

7 資料安全

資料安全的基礎，是AWS責任共擔的安全模型模型，必須要讀懂 
資料安全包括4個層面：基礎設施層、計算/網路層、資料層、應用層 
- 基礎設施層 
1. 基礎硬體安全 
2. 授權訪問、流程等 
- 計算/網路層 
1. 主要靠VPC保障網路（防護、路由、網路隔離、易管理） 
2. 認識安全組和NACLs以及他們的差別

• 安全組比ACL多一點，安全組可以針對其他安全組，ACL只能針對IP
• 安全組只允許統一，ACL可以設定拒絕
• 安全組有狀態！很重要（只要一條入站規則通過，那麼出站也可以自動通過），ACL沒有狀態（必須分別指定出站、入站規則）
• 安全組的工作的物件是網絡卡（例項）、ACL工作的物件是子網

1. 認識4種閘道器，以及他們的差別

   • 共有4種閘道器，支撐流量進出VPC
   • internet gatway：網際網路的訪問
   • virtual private gateway：負責VPN的訪問
   • direct connect：負責企業直連網路的訪問
   • vpc peering：負責VPC的peering的訪問

   • 資料層

2. 資料傳輸安全 
   – 進入和出AWS的安全 
   – AWS內部傳輸安全

   • 通過https訪問API
   • 鏈路的安全 
     – 通過SSL訪問web 
     – 通過IP加密訪問VPN 
     – 使用直連 
     – 使用OFFLINE的匯入匯出

3. 資料的持久化儲存 
   – 使用EBS 
   – 使用S3訪問

   • 訪問 
     – 使用IAM策略 
     – 使用bucket策略 
     – 訪問控制列表
   • 臨時授權 
     – 使用簽名的URL
   • 加密 
     – 伺服器端加密 
     – 客戶端加密

   • 應用層 
     1. 主要強調的是共擔風險模型
     2. 多種型別的認證鑑權
     3. 給使用者在應用層的保障建議 
        – 選擇一種認證鑑權機制（而不要不鑑權） 
        – 用安全的密碼和強安全策略 
        – 保護你的OS（如開啟防火牆） 
        – 用強壯的角色來控制權限（RBAC）
     4. 判斷AWS和使用者分擔的安全中的標誌是，哪些是AWS可以控制的，那些不能，能的就是AWS負責，否則就是使用者（舉個例子：安全組的功能由AWS負責—是否生效，但是如何使用是使用者負責—自己開放所有埠跟AWS無關）

8 故障排除

問題經常包括的型別： 
- EC2例項的連線性問題 
- 恢復EC2例項或EBS捲上的資料 
- 服務使用限制問題

8.1 EC2例項的連線性問題

• 經常會有多個原因造成無法連線
• 外部VPC到內部VPC的例項 
  – 閘道器（IGW–internet閘道器、VPG–虛擬私有閘道器）的新增問題 
  – 公司網路到VPC的路由規則設定問題 
  – VPC各個子網間的路由表問題 
  – 彈性IP和公有IP的問題 
  – NACLs（網路訪問規則） 
  – 安全組 
  – OS層面的防火牆

8.2 恢復EC2例項或EBS捲上的資料

• 注意EBS或EC2沒有任何強繫結關係 
  – EBS是可以從舊例項上分離的 
  – 如有必要儘快做
• 將EBS卷掛載到新的、健康的例項上
• 執行流程可以針對恢復沒有工作的啟動卷（boot volume） 
  – 將root卷分離出來 
  – 像資料一樣掛載到其他例項 
  – 修復檔案 
  – 重新掛載到原來的例項中重新啟動

8.3 服務使用限制問題

• AWS有很多軟性限制 
  – 例如AWS初始化的時候，每個型別的EBS例項最多啟動20個
• 還有一些硬性限制例如 
  – 每個賬號最多擁有100個S3的bucket 
  – ……
• 別的服務限制了當前服務 
  – 例如無法啟動新EC2例項，原因可能是EBS卷達到上限 
  – Trusted Advisor這個工具可以根據服務水平的不同給出你一些限制的參考（從免費試用，到商業試用，和企業試用的建議）
• 常見的軟性限制 

• 公共的限制 
  – 每個使用者最多建立20個例項，或更少的例項型別 
  – 每個區域最多5個彈性ip 
  – 每個vpc最多100個安全組 
  – 最多20個負載均衡 
  – 最多20個自動伸縮組 
  – 5000個EBS卷、10000個快照，4w的IOPS和總共20TB的磁碟 
  – …更多則需要申請了 
• 你不需要記住限制 
  – 知道限制，並保持數值敏感度就好 
  – 日後遇到問題時可以排除掉軟限制的相關的問題

9. 總結

9.1 認證的主要目標是：

• 確認架構師能否蒐集需求，並且使用最佳實踐，在AWS中構建出這個系統
• 是否能為應用的整個生命週期給出指導意見

9.2 希望架構師(助理或專家級)考試前的準備：

• 深度掌握至少1門高級別語言（c，c++，java等）
• 掌握AWS的三份白皮書 
  – aws概覽 
  – aws安全流程 
  – aws風險和應對 
  – 雲中的儲存選項 
  – aws的架構最佳實踐
• 按照客戶需求，使用AWS元件來部署混合系統的經驗
• 使用AWS架構中心網站了解更多資訊

9.3 經驗方面的建議

• 助理架構師 
  – 至少6個月的實際操作經驗、在AWS中管理生產系統的經驗 
  – 學習過AWS的基本課程
• 專家架構師 
  – 至少2年的實際操作經驗、在AWS中管理多種不同種類的複雜生產系統的經驗（多種服務、動態伸縮、高可用、重構或容錯） 
  – 在AWS中執行構建的能力，架構的高階概念能力

9.4 相關資源

• 認證學習的資源地址

- 可以自己練習，模擬考試需要付費的

• 接下來就去網上報名參加考試