AWS SUMMIT In London参会分享

本次AWS在伦敦举办的峰会包括三部分：presentation分七个场次持续半天时间、现场演示和培训持续两天时间、合作伙伴的展览活动。我与@陶方参加了这一次会议，由于内容同时进行，我侧重在参加展览以及部分安全相关的session，陶方关注在aurora和redshift数据库相关的专场。

几个总体印象：

• 合作伙伴参与度非常的高，合作伙伴参与会议的发起
• 合作伙伴中做安全、监控、日志分析占大半以上，很多厂商是从传统厂商转型到云计算平台上来的
• AWS的合作伙伴整体质量还是比较高的
• 演讲内容同一个主题一般会有两个人来讲，第一个是AWS的解决方案架构师，第二个是一家合作厂商的实践分享
• 以数据库、计算和存储、网络和安全这三个方面的主题为主，在游戏、物联网和移动 、初创企业专场有几个主题，另外成本、效率和企业应用上有几个主题
• Deep Dive相关的主题技术上的干货会多一些，此外大都是产品和应用场景的介绍
• 两个印象深刻的概念：security by design、serverless

演讲部分的详细主题，及我们参与部分主题的简要解读如下，另外会议官网上是没有提供slide下载的，我们单独从网上搜索有AWS在历史的SUMMIT中的一些slide，内容上大部分内容类似。

演讲主题

数据库专场

• GETTING STARTED WITH MANAGED DATABASE SERVICES ON AWS
• GETTING STARTED WITH AMAZON DYNAMODB
• GETTING STARTED WITH AMAZON AURORA
• GETTING STARTED WITH AMAZON KINESIS
• GETTING STARTED WITH AMAZON REDSHIFT
• DEEP DIVE ON AMAZON DYNAMODB
• DEEP DIVE ON AMAZON AURORA
• DEEP DIVE ON AMAZON RELATIONAL DATABASE SERVICE
• BUILDING YOUR FIRST BIG DATA APPLICATION ON AWS
• BIG DATA ARCHITECTURAL PATTERNS AND BEST PRACTICES ON AWS

计算和存储专场

• SELF-SERVICE SUPERCOMPUTING: OR WHY THERE’S NO QUEUE IN THE CLOUD
• GETTING STARTED WITH AWS LAMBDA AND THE SERVERLESS CLOUD
• CONTAINERS AND THE EVOLUTION OF COMPUTING
• GETTING STARTED WITH AMAZON EC2 AND COMPUTE SERVICES
• DEEP DIVE ON AMAZON EC2 INSTANCES
• DEEP DIVE ON MICROSERVICES AND AMAZON ECS
• DEEP DIVE ON AMAZON S3

网络和安全专场

• GETTING STARTED WITH AWS SECURITY
• DEEP DIVE ON ELASTIC LOAD BALANCING
• CREATING YOUR VIRTUAL DATA CENTER: VPC FUNDAMENTALS
• PROTECTING YOUR DATA WITH ENCRYPTION ON AWS
• COMPLIANCE IN THE CLOUD USING SECURITY BY DESIGN
• NETWORK SECURITY AND ACCESS CONTROL WITHIN AWS
• SECURING SERVERLESS ARCHITECTURES

游戏开发专场

• INTRO TO GAME DEVELOPMENT & OPERATIONS ON AWS
• DEEP DIVE: AMAZON LUMBERYARD & AMAZON GAMELIFT

物联网和移动专场

• GETTING STARTED WITH AWS IOT
• GETTING STARTED WITH AWS MOBILE SERVICES
• DEEP DIVE: DEVELOPING, DEPLOYING & OPERATING MOBILE APPS WITH AWS
• DEEP DIVE ON AWS IOT

初创企业专场

• HOW TO MIGRATE YOUR STARTUP TO AWS
• HOW TO SCALE TO MILLIONS OF USERS WITH AWS
• UK&I HOT STARTUP SHOWCASE
• MEET AMAZON ECHO (POWERED BY ALEXA) AND ALEXA SKILLS KIT

其他主题

• DEVOPS ON AWS: DEEP DIVE ON CONTINUOUS DELIVERY AND THE AWS DEVELOPER TOOLS
• COST OPTIMIZATION AT SCALE
• SUPPORTING DIVERSITY IN TECHNICAL WORKSPACES
• GETTING STARTED WITH AWS ENTERPRISE APPLICATIONS: WORKSPACES, WORKMAIL, WORKDOCS

合作伙伴展览

合作伙伴展览区共有63家，涵盖日志和监控分析、安全与合规、云端资源管理（可视化会做得很好）、部署工具、性能优化、成本优化、上云服务、硬件基础设施（cpu、宽带等）等等。其中安全和监控相关厂商较多，总体感觉占据一半以上。

重点说一下安全相关的厂商及其大概分类，这些厂商产品是对现有AWS服务很好的补充。

AWS自己提供的安全基础设施如下设施：

• 基础设施安全：VPC、WAF;TLS;VPN
• 威胁预防：防DDOS，Amazon CloudFront 和 Amazon Route 53
• 数据加密：KMS、CloudHSM
• 配置安全：安全评估服务Amazon Inspector；AWS Config；AWS CloudFormation
• 日志记录和监控：AWS CloudTrail；Amazon CloudWatch
• 身份和访问控制：IAM；AWS Directory Service

如下厂商是本次展览当中进行了一些沟通了解的厂商，这些厂商大部分是通过调用AWS提供的API服务实现，少部分是要求部署在用户的基础设施中。AWS的CloudTrail、AWS Config、CloudFormation、CloudWatch是几个厂商常用的服务。

• 基础设施安全：
  • Alert Logic：完全托管且基于云的安全与合规解决方案套件
  • Imperva：直接保护网站、应用程序及其背后的数据免受攻击，WAF
  • Trend Micro：基于主机的入侵检测和预防、防恶意软件，需要部署agent
• 日志记录和监控：
  • DataDog：应用监控利器，包含对各类常见的开源软件系统的监控指标，监控指标非常全面，对AWS上的资源监控也非常细致和全面，比如RDS；另外可视化效果做的非常不错；metrics可以自定义；天象可以参考。
  • ELK：ElasticSearch＋logstash＋kibana的开源日志分析解决方案，该厂商提供技术支持服务
  • Splunk：日志采集、交互式分析、关联和预警的工具，使用过免费版本，日志大小限制在500MB，对半结构化的日志进行采集处理，可非常容易扩展日志的标准化插件，其检索语法非常强大，实现类似于SQL的功能，可高效率实现多维度分析能力。
  • SumoLogic：SAAS服务，利用动态阈值监控多维度KPI，并通过线性预测分析来预测未来事件。通过关联多个数据源的日志来缩短识别操作的平均时间；减少误报；将成千上万个结果页面减少为少量有意义的模式。
• 配置和漏洞分析：
  • Evident.io、CloudCheckr、Dome9、CloudHeath：帮助检查应用程序部署的安全风险和漏洞，同时提供相关建议以协助修复。
• 访问和控制
  • Okta：通过与用于管理员工的现有基础设施（例如 Active Directory）连接，Okta 可简化并保护对 AWS 用户和访问的内部管理。

一些厂商交流过程中的图片：

参与的主题分享

主题一：GETTING STARTED WITH AWS SECURITY

这个主题的内容主要分享AWS的安全最佳实践，其标准的方法为：

• 理解AWS的安全实践
• 构建强合规的基础设施，满足合规要求如SOC，ISO27001，CSA等等，AWS Trusted Advisor是一个可在安全、性能、成本优化、可用性上给出建议的产品，目前阿里云没有这方面的产品
• 集成IAM，统一的身份认证和授权系统，在阿里云对应的组件是RAM
• 开启监测控制，AWS提供基础设施AWS CloudTrail和AWS CloudWatch，输出所有的操作日志和监控指标，合作伙伴（如 CloudCheckr）在此基础上开发监控服务，具备持续的最佳安全实践检查、日志智能分析监控、安全行为告警和报表等能力。阿里云对应的组件是ActionTrail，CloudWatch类似的功能目前是没有开放出来的。
• 构建网络安全，使用VPC和安全组，这个阿里云完全相同。
• 实现数据保护，使用KMS和云加密机CloudHSM，阿里云目前具备。
• 优化变更管理，使用AWS Config和Config Rules、AWS CloudFormation，其有大量合作伙伴通过该产品API提供配置的检查和脆弱性分析等服务，如Evident.io、CloudCheckr、Dome9、CloudHeath等等，目前阿里云没有类似产品。
• 自动化安全功能，安全能力融入到开发周期中，包括需求、设计、开发、部署、测试等环节。

强调一个观点：业务在快速发展的同时能够始终保证安全，选择安全不代表要放弃便利并引入复杂度。

与用户的安全共担模型如下图：

AWS有非常强大的安全合作伙伴阵营：

主题二：COMPLIANCE IN THE CLOUD USING SECURITY BY DESIGN

一个核心观点：security by design，将安全能力构建于AWS IT管理过程中。

• 自动化安全：自动化部署和用户环境配置
• 持续的监控
• 现代化技术治理

举个例子：

主题三：SERVERLESS ARCHITECTURE

serverless这个概念最近越来越火，尤其是Martin Fowler在6月17日发布《serverless architecture》一文后。本次大会也有多个slide讲这个主题，结合AWS lambda来讲。构建于其良好的基础设施之上，AWS在这个方向已经有所成绩，生态也逐步起来了。

Serverless是最新兴起的架构模式，中文意思是“无服务器”架构。跟很多其它软件类似，对Serverless还没有清晰定义，但是肯定有两个互相有重叠的定义：

1. Serverless最初是用于描述依赖第三方服务（‘云端’）实现对逻辑和状态进行管理的应用。典型的包括“富客户端”（例如单页Web应用、移动应用），他们一般都使用基于云端的数据库（例如Parse、Firebase），认证服务（Auth0、AWS congnito）等。这类服务以前被称为“（Mobile） backend as a Service （https://en.wikipedia.org/wiki/Mobile_backend_as_a_service）”，称为“BaaS”。
2. Serverless也可以指这样的应用，一部分服务逻辑由应用实现，但是跟传统架构不同在于，他们运行于无状态的容器中，可以由事件触发，短暂的，完全被第三方管理。这种思路是‘Functions as a Service / FaaS’，AWS Lambda是目前最佳的FaaS实现之一。

详细定义可以参考Matrin Flower的文章：Serverless architecture。

要实现serverless架构， 需要利用以下技术和方案，

• 实现BaaS中的云代码特性， 开发者可以直接开发在云端业务代码，实现Functions as a Service。
• 实现API网关，对用API代表服务的入口，并对所有服务进行治理。
• 微服务架构技术，用微服务的概念来实施服务的开发。
• 利用docker容器技术部署运行微服务

如下是AWS的API gateway

总结

总体来说，AWS的产品服务体系和合作伙伴生态已经比较成熟，这次峰会也不涉及新产品的发布。所以内容上来说基本上还是老的东西，不过到现场去体验一下，还是可以看到很多细节的。相关的ppt还没有放出来，我们根据关注的主题收集了一些历史峰会的资料。