上週五到了AWS Taiwan 位於微風南山的辦公室參加了Well-Architected workshop,這個workshop 主要是在介紹Well-Architected中的Security,首先主講的Bob為我們講解了Well-Architeted中Security比較overall的knowledge,這部分我在前東家(四大電信之一)工作三年的經驗裡,決大部分都有接觸到也有相關的知識。
第二部分則是帶我們這些與會者一題一題講解有關於AWS Well-Architected Tool Security中的一些介紹與實例上的應用,像是如何保護好aws root acount,必須要2FA認證然後盡量不要使用root account做事,應使用IAM來做日常使用,可以創造group然後遵循最小權限設定去做權限上的開通,我們公司是使用IAM以及group在進行帳號權限管理,但還沒有去做最小權限上的整理,這是之後可以做的改進;還有每個IAM需要ssh到EC2時需有自己的pem再產生公鑰,在用公鑰在EC2上新增使用者,不能夠將管理者的pem給別人用,這邊從Bob身上學到一招,當今天機器一多時(公司EC2有15+),如果今天要增加新員工可以連線到各EC2,光逐台新增就不知道要花多少時間,Bob推薦一個方法我覺得日後一定要實作來節省設定時間,使用Ansible+公鑰上到git,這樣就可以自動將新員工新增到每一台EC2上。
在活動的尾聲,有人向Bob詢問有關於cost的問題,我覺得Bob提出來的四個cost的面相講得很好,所謂的cost可以分為四類:
- Billing Cost
- Implement Cost
- Operation Cost
- Goodwill Cost
Billing Cost 顧名思義就是你在AWS用了什麼樣的服務、用了多久所產生的帳單。
Implement Cost指的是如果你不用AWS的服務而要使用類似的open source所要implement所要投入的時間人力cost。
Operation Cost是指如果你使用了open source或是其他的服務而所要維運的成本,假設你為了維運該服務而降低自己開發的時間或是要另外聘請Operation的人的cost。
Goodwill Cost最後一個則是當有緊急突發事件發生時,所導致的商譽損失,其通常為不可估量。
Bob 想表達的意思是不要只看Billing Cost,而是綜觀的下去看這四種cost,找到可以妥協的平衡點。
這邊我滿認同這個想法的,我們公司成員少每個人都負擔了很多的事務,像我是後端工程師,基本上除了基礎的API R&D外還要負責將整個服務架構給建構上線,如果每一次新的客戶都要增加新的環境然後重新設定等等的繁瑣事務會降低自己的開發時間以及專注度,善用AWS工具會讓自己省去很多功夫。
我寫了前後端的dockerfile,在使用腳本和Gitlab CI/CD將前後端專案build 成docker images 並push 至AWS ECR上,在EC2中設定好docker 以及docker-compose YAML,就可以快速將環境給建制起來;設定Security Group > target group > ALB > ACM > Route53,一個具有https domain 的服務就完成了,之後只要copy 這個EC2的image,建立新的EC2更改設定後就可以快速的擴展不同的環境,為自己省下很多的時間成本和維運成本,這是我這次workshop中最有共鳴的一段。
