本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
規劃您的部署
本節包含成本、安全性、支援區域和配額的相關資訊,可協助您規劃 Research and Engineering Studio 的部署 AWS。
成本
上的研究和工程 Studio AWS 可免費使用,您只需為 AWS 執行應用程式所需的資源付費。如需詳細資訊,請參閱AWS 此產品中的 服務。
注意
您需負責支付執行此產品時所使用的 AWS 服務成本。
我們建議您建立預算表AWS Cost Explorer
安全
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了符合最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。共同責任模型
-
雲端的安全性 – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在AWS 合規計劃
合規中,第三方稽核人員會定期測試和驗證我們安全的有效性。 若要了解適用於 上的研究和工程 Studio 的合規計劃 AWS,請參閱AWS 合規計劃的 服務範圍 。 -
雲端的安全性 – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
若要了解如何將共同責任模型套用到 Research and Engineering Studio 所使用的 AWS 服務,請參閱 此產品中 服務的安全考量。如需 AWS 安全性的詳細資訊,請參閱AWS 雲端 安全性
IAM 角色
AWS Identity and Access Management (IAM) 角色可讓客戶將精細存取政策和許可指派給 上的服務和使用者 AWS 雲端。此產品會建立 IAM 角色,授予產品的 AWS Lambda 函數和 Amazon EC2 執行個體建立區域資源的存取權。
RES 支援 IAM 中的身分型政策。部署時,RES 會建立政策來定義管理員許可和存取權。實作產品的管理員會在與 RES 整合的現有客戶 Active Directory 中建立和管理最終使用者和專案領導者。如需詳細資訊,請參閱AWS 《 Identity and Access Management 使用者指南》中的建立 IAM 政策。
您組織的管理員可以使用 Active Directory 管理使用者存取。當最終使用者存取 RES 使用者介面時,RES 會向 Amazon Cognito 進行身分驗證。
安全群組
此產品中建立的安全群組旨在控制和隔離 Lambda 函數、EC2 執行個體、檔案系統 CSR 執行個體和遠端 VPN 端點之間的網路流量。我們建議您檢閱安全群組,並在部署產品後視需要進一步限制存取。
資料加密
根據預設,在 AWS (RES) 上的 Research and Engineering Studio 會使用 RES 擁有的金鑰加密靜態和傳輸中的客戶資料。部署 RES 時,您可以指定 AWS KMS key。RES 使用您的登入資料來授予金鑰存取權。如果您提供客戶擁有和管理的 AWS KMS key,則會使用該金鑰加密靜態客戶資料。
RES 使用 SSL/TLS 加密傳輸中的客戶資料。我們需要 TLS 1.2,但建議使用 TLS 1.3。
此產品中 服務的安全考量
如需 Research and Engineering Studio 所使用服務之安全性考量的詳細資訊,請遵循下表中的連結:
| AWS 服務安全資訊 | 服務類型 | 服務在 RES 中的使用方式 |
|---|---|---|
| Amazon Elastic Compute Cloud | 核心 | 提供基礎運算服務,使用其所選的作業系統和軟體堆疊來建立虛擬桌面。 |
| Elastic Load Balancing | 核心 | 堡壘、叢集管理員和 VDI 主機會在負載平衡器後方的 Auto Scaling 群組中建立。ELB 會平衡來自 Web 入口網站跨 RES 主機的流量。 |
| Amazon Virtual Private Cloud | 核心 | 所有核心產品元件都會在您的 VPC 中建立。 |
| Amazon Cognito | 核心 | 管理使用者身分和身分驗證。Active Directory 使用者會映射至 Amazon Cognito 使用者和群組,以驗證存取層級。 |
| Amazon Elastic File System | 核心 | 提供/home檔案瀏覽器和 VDI 主機的檔案系統,以及共用的外部檔案系統。 |
| Amazon DynamoDB | 核心 | 存放組態資料,例如使用者、群組、專案、檔案系統和元件設定。 |
| AWS Systems Manager | 核心 | 存放執行 VDI 工作階段管理命令的文件。 |
| AWS Lambda | 核心 | 支援產品功能,例如更新 DynamoDB 資料表中的設定、啟動 Active Directory 同步工作流程,以及更新字首清單。 |
| Amazon CloudWatch | 支援 | 提供所有 Amazon EC2 主機和 Lambda 函數的指標和活動日誌。 |
| Amazon Simple Storage Service | 支援 | 存放用於主機引導和組態的應用程式二進位檔。 |
| AWS Key Management Service | 支援 | 用於搭配 Amazon SQS 佇列、DynamoDB 資料表和 Amazon SNS 主題進行靜態加密。 |
| AWS Secrets Manager | 支援 | 將服務帳戶登入資料儲存在 Active Directory 中,以及 VDIs 的自我簽署憑證中。 |
| AWS CloudFormation | 支援 | 提供產品的部署機制。 |
| AWS Identity and Access Management | 支援 | 限制主機的存取層級。 |
| Amazon Route 53 | 支援 | 建立私有託管區域以解析內部負載平衡器和堡壘主機網域名稱。 |
| Amazon Simple Queue Service | 支援 | 建立任務佇列以支援非同步執行。 |
| Amazon Simple Notification Service | 支援 | 支援 VDI 元件之間的發佈訂閱者模型,例如控制器和主機。 |
| AWS Fargate | 支援 | 使用 Fargate 任務安裝、更新和刪除環境。 |
| Amazon FSx 檔案閘道 | 選用 | 提供外部共用檔案系統。 |
| Amazon FSx for NetApp ONTAP | 選用 | 提供外部共用檔案系統。 |
| AWS Certificate Manager | 選用 | 為您的自訂網域產生信任的憑證。 |
| AWS Backup | 選用 | 為 Amazon EC2 主機、檔案系統和 DynamoDB 提供備份功能。 |
配額
服務配額 (也稱為限制) 是 AWS 帳戶的服務資源或操作的最大數量。
此產品中 AWS 服務的配額
請確定您對此產品中實作的每個服務都有足夠的配額。如需更多相關資訊,請參閱 AWS Service Quotas。
對於此產品,我們建議提高下列服務的配額:
-
Amazon Virtual Private Cloud
-
Amazon EC2
若要請求增加配額,請參閱 Service Quotas 使用者指南中的請求提高配額。如果 Service Quotas 中尚未提供配額,請使用增加服務配額表單
AWS CloudFormation 配額
在此產品中啟動堆疊時,您應該注意 AWS 帳戶 您的 AWS CloudFormation 配額。透過了解這些配額,您可以避免限制會阻止您成功部署此產品的錯誤。如需詳細資訊,請參閱《 AWS CloudFormation 使用者指南》中的 AWS CloudFormation 配額。
規劃彈性
產品會部署具有 Amazon EC2 執行個體最小數量和大小的預設基礎設施,以操作系統。為了改善大規模生產環境中的彈性,建議您增加基礎設施 Auto Scaling 群組 (ASG) 內的預設最小容量設定。將值從一個執行個體增加到兩個執行個體可提供多個可用區域 (AZ) 的優點,並縮短在發生意外資料遺失時還原系統功能的時間。
ASG 設定可在 Amazon EC2 主控台中自訂,網址為 https://https://console.aws.amazon.com/ec2/-asg。您可以將最小值和所需值變更為適合您生產環境的數量。選取您要修改的群組,然後選擇動作,然後選取編輯。如需 ASGs的詳細資訊,請參閱《Amazon EC2 Auto Scaling 使用者指南》中的擴展 Auto Scaling 群組的大小。 Amazon EC2 Auto Scaling
支援的 AWS 區域
此產品使用目前尚未在所有 中提供的服務 AWS 區域。您必須在可使用 AWS 區域 所有服務的 中啟動此產品。如需 AWS 各區域服務的最新可用性,請參閱 AWS 區域 al Services List
以下 AWS 支援 上的研究和工程 Studio AWS 區域:
| 區域名稱 | 區域 | 舊版本 | 最新版本 (2024.10) |
|---|---|---|---|
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 | 是 |
| 歐洲 (米蘭) | eu-south-1 | 是 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 | 是 |
| Europe (Stockholm) | eu-north-1 | 否 | 是 |
| 以色列 (特拉維夫) | il-central-1 | 是 | 是 |
| AWS GovCloud (美國西部) | us-gov-west-1 | 是 | 是 |
