服务
关于
CloudProse博客
聚光灯

初创企业从其AWS之旅中学到的10课

从我们与客户合作中汲取的经验教训使您可以'不必艰难地学习它们。
内桑·哈普尔 Trek10
内桑·哈普尔 | 2020年4月1日

在我的日常工作中,我学到了一件事,我认为很有价值,可以继续下去,希望有人能从集体的过去中学到东西。所有这些经验教训都是从在AWS云中发展的初创公司中提炼出来的,涉及的行业包括金融科技,SaaS,物联网和电子商务。

通过多帐户策略满足安全要求

问题 : 一种 金融科技 初创公司正在与大型金融机构合作。不幸的是,金融机构拥有大量的安全调查表,严格控制的访问模式以及密集的用户管理实践。该初创企业有1个具有多个用户的AWS账户。由于其自身的监管要求,包括对MFA,VPN的使用,严格的日志记录要求以及明确定义的访问模式,金融机构要求更精细的安全结构。

解: 为了满足金融机构的需求,我们建议 多帐户 结构体。该多帐户结构由仅限于一个IAM特定帐户的用户操作,这些用户使用跨帐户角色功能在其他帐户中工作。工作帐户是生产,开发,暂存和沙箱。还有一个Cloudtrail和Cloudwatch日志的日志帐户。 “共享服务”帐户包含CI / CD。主付款人帐户是root用户居住的地方,也是管理帐单的地方。我们还为每个用户实施了强制MFA和VPN访问。

商业冲击: 初创企业通过向他们展示了这种更精细的权限结构,能够满足他们的要求。这种设置减少了安全事件和可用性问题的爆炸半径,并满足了金融机构长达87页的安全调查问卷的要求。

通过优化计算减少支出

问题: 一个 物联网 初创公司有一个整体的应用程序为他们的业务提供动力。领导层希望优化其当前平台,同时还要为未来12个月的迁移做好准备。该团队专注于构建新应用,而他们与当前的计算需求失去了联系。一些实例作为“预留实例”过期,并转移到按需计费模型中,从而大大增加了成本结构。

解: 我们着手优化成本,并深入研究其备份策略。首先,我们解决了EC2问题。我们用了 AWS Compute Optimizer 确定其实例的置备级别。然后,我们检查了EC2仪表板,并在成本浏览器中查看了成本分析。我们尽可能缩小实例大小,然后实施 储蓄计划。我们审查了EC2和Compute节约计划。由于该初创企业正在构建新平台,因此我们需要能够将节省计划转移到新平台上。因此,我们选择了计算节省计划。我们通过设置AWS组织并链接每个启动AWS账户来实现节省的资金。

商业冲击: 我们对计算的使用,计算的成本以及潜在的成本节省措施进行了分析。我们根据计算使用量实施了调整大小,并实施了一项计算节省计划,以每月将客户的AWS总账单减少37.5%。

通过成本可视化建立意识& 一个 alysis

问题: A SaaS 初创公司对其成本一无所知。账单由没有AWS经验的CEO管理。技术负责人已离开公司,并且没有人管理AWS账户。我们的任务是向非技术利益相关者提供有洞察力的信息。

解: 首先,我们打开了成本浏览器,并跨服务,账户,AWS市场,实例,利用率和覆盖范围配置了成本报告。我们向首席执行官提供了仪表板,以帮助他们了解云中的成本结构。我们还实施了 AWS组织合并账单 跨多个帐户。通过合并多个帐户的存储层,合并账单将账单减少了1%,并且简化了账单流程。然后,我们为CEO提供了“服务分组”图,这有助于从更细致的角度了解他们的成本结构。

商业冲击: 通过与多个帐户的AWS组织实施合并账单,简化了初创公司的AWS账单。通过合并各个帐户的存储层,这也使每月账单减少了1%。为首席执行官提供了其AWS账户的仪表板,并可确定每个服务级别的支出。

利用AMI和托管服务减少运营负担

问题: 一个 电子商务 初创公司决定将其数据库从本地迁移到云。他们更新了SQL服务器并在内部管理修补程序。他们的数据中心满足了升级硬件的需求。他们决定不迁移数据中心,而是决定迁移到云中。

解: 我们与初创公司一起进行了设计会议,以了解他们对云的需求。我们确定他们可以利用托管服务并使用亚马逊机器映像(AMI)。我们构建了一个亚马逊机器映像(AMI),并为其配置了所需的监视解决方案以构建出黄金映像。对于数据库,我们实现了托管数据库服务AWS RDS的使用。此服务消除了在修补和更新SQL Server实例上花费的时间。 RDS还提供了可以在AWS Cloudwatch中轻松分析的指标。

商业冲击: 该初创公司最初对采用云感到紧张。我们完成了一个设计会议,为他们提供了他们的云之旅路线图。我们实施了AMI和RD,将它们的部署时间减少了80%,减轻了他们的操作负担,并将关键指标自动输入到他们的监视解决方案中。

借助AWS SSO降低入职摩擦并简化用户管理

问题: A 金融科技 刚开始时活动目录存在用户管理问题。技术领导者致力于在AWS上进行开发和部署。他们希望用户能够访问其AWS账户。他们不想为这些用户创建第二个身份池。该公司正在成长,并且在新员工入职方面遇到了问题。

解: 我们分析了解决他们的用户管理问题的不同方法。我们决定使用Active Directory作为SSO的标识源。这使客户可以使用其当前身份登录。 AWS单点登录 将凭据出售给用户的浏览器,这样就不会有第二个身份池。这个初创公司的技术团队可以通过SSO使用角色权限,而无需创建用户。角色提供1到12个小时之间的凭证。该时间段结束后,用户将被踢,必须生成新的凭据。

商业冲击: 初创企业的用户可以轻松登录AWS。他们不需要创建第二个身份池,从而简化了用户管理。他们拥有唯一的员工身份真相来源,员工使用用户友好的界面访问AWS,我们将新员工的上班和下班时间减少了约5个小时。

优化数据传输以减少延迟和节省成本


问题: 一个 物联网 刚开始在AWS上运行他们的应用程序。该应用程序是基于VPC内的多个EC2构建的。专用子网中有数据库。快照和备份已通过Internet发送到S3,从而导致延迟问题,数据传输成本以及客户无法解释的S3费用增长。

解: 我们推荐了 S3中的VPC端点 解决其中一些问题。我们创建了一个端点,该端点允许数据传递到AWS网络中的S3。这减少了延迟,并消除了通过Internet进行数据传输的成本。第二个问题是S3成本的增长。 S3的每日费用增加了几美元,一年之内就达到了几万美元。碰巧的是,这家初创公司未正确配置其 S3生命周期策略 带有应该删除的前缀。我们删除了前缀并正确设置了生命周期策略。

商业冲击: 我们在VPC中创建了一个S3端点,从而减少了延迟,消除了数据传输的成本,并提高了启动程序的安全性。就成本影响而言,第二项比第一项更为严厉。通过正确配置S3生命周期策略,我们每年将客户的AWS账单减少了约4万美元。

使用AWS Native Tooling改善可见性并减少扩展时间

问题: 一个 电子商务 公司正在使用基于AWS以外的多种监视解决方案。这些工具是在运行时安装的,导致部署速度较慢且扩展速度较慢。 DevOps负责人对其应用程序的度量标准知之甚少,预测成本的能力有限,并且管理多个监控仪表板不知所措。

解: 我们首先创建了电子商务应用程序的亚马逊机器图像(AMI)。然后,我们实施了 黄金AMI管道 在运行时之前添加了必要的软件包和代理。 Golden AMI管道的问题是需要定期更新。我们发现,监控工具并未馈入单个仪表板。

我们使用Cloudwatch的AWS本机工具开发了概念证明 X射线 痕迹。我们使用了来自此处和其他服务的指标来将其馈送到单个目标。该中心位置为DevOps主管提供了所需的所有监视数据。警报定义以前分散在难以管理的工具中。这些指标提供了对应用程序性能的洞察力,使DevOps可以预测成本,并充当了应用程序的单一事实来源。

商业冲击: 我们将部署和扩展应用程序的时间减少到了几秒钟,而不是几分钟。 DevOps领导者拥有一个仪表板,该仪表板是真实的唯一来源,可以更有效地管理警报并预测其环境中的成本。他们还能够通过使用AWS本机工具来减少第三方工具的数量。

通过蓝绿色部署减少停机时间并加快更新速度

问题: 一个 电子商务 该公司正在发布一个流量巨大的新应用。技术团队担心应用因高流量而崩溃,每分钟的停机时间在6,000-12,000美元之间。他们还担心正在进行的维护会很复杂。

解: 我们实施了 蓝绿色部署 更好地管理交通问题。该技术通过运行两个相同的称为Blue和Green的生产环境来减少停机时间。在任何给定时间,只有一种环境还活着。技术团队开发了他们的新软件版本,并在Blue中进行了测试。准备就绪后,他们从绿色切换为蓝色;然后,这使绿色部署处于闲置状态。此技术简化了回滚。将环境相互复制以减少配置漂移的风险。过程是这样的:

  • 创建现有(绿色)环境的克隆(蓝色)
  • 部署新的应用程序版本
  • 缩放蓝色以匹配绿色的实例号
  • 对Blue进行烟雾测试,以确保应用程序健康
  • 交换环境URL
  • 通过监视工具或CloudWatch监视成功
  • 1小时后,在验证流量下降到0个请求后,删除旧的(绿色)环境。

商业冲击: 我们每月将应用程序停机时间减少了30-60分钟,相当于每月节省了180-360,000美元的停机时间。我们实施了一个过程,可以快速切换环境URL,简化回滚并降低配置漂移的风险。

将基础架构作为代码与CI / CD配合使用可满足启动截止日期

问题: A 金融科技 启动准备启动。一个海上团队开发了他们的应用程序。出于安全和合规目的,不允许离岸团队访问生产环境。因此,客户需要离岸团队来部署基础结构,而无需在控制台中进行手动配置。

解: 我们与初创公司合作实施了基础设施即代码(IAC)方法。我们在CloudFormation模板中定义了基础架构。然后我们建立了一个 CI / CD 允许离岸团队部署到生产帐户的管道。这通过“提交”到源代码控制起作用,然后CI / CD部署到生产帐户。

商业冲击: 这家初创公司已按时完成发布。离岸团队做出了贡献,并遵守了规定。海上团队继续通过CI / CD管道构建和部署基础架构。此实施提高了部署速度,满足了合规性需求,并使用离岸资源将运营开销减少了30%。

通过审核S3对象改善安全状况

问题: A SaaS 初创公司每年处理来自消费者的100万个视频文件。视频文件已编码并送回客户。编码文件位于S3存储桶中。存储桶具有一致的策略,但是对象具有可变权限。这造成了安全风险。消费者通过可公开访问的S3 URL访问该视频。

解: 我们使用内部工具来进行 S3对象审核 并发现了可公开访问的对象。使用者需要访问S3服务的文件。我们实施了 预先签署的网址 为客户提供了内容,但确保了文件的更高安全性。

商业冲击: 我们在数据访问模式中增加了规定,从而改善了该SaaS启动的安全性。我们降低了他们的曝光率,并让他们的客户满意地获得相同的服务。 SaaS 初创企业持续增长并提供服务>在安全的环境下,每年有1百万个视频文件。

我希望以上案例研究对您有所帮助。如果您想与我聊天或讲更多故事,请随时给我发送电子邮件 [email protected] 或预定一些时间 日历 .

作者
内桑·哈普尔 Trek10
内桑·哈普尔