Arsitektur platform - AWS Bimbingan Preskriptif
MulaiMajuUnggul

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Arsitektur platform

Tetapkan dan pertahankan pedoman, prinsip, pola, dan pagar pembatas untuk lingkungan cloud Anda.

Lingkungan cloud yang dirancang dengan baik membantu Anda mempercepat implementasi, mengurangi risiko, dan mendorong adopsi cloud. Kemampuan arsitektur platform menciptakan konsensus dalam organisasi Anda untuk standar perusahaan yang mendorong adopsi cloud. Anda menentukan cetak biru praktik terbaik dan pagar pembatas untuk memfasilitasi otentikasi, keamanan, jaringan, dan pencatatan dan pemantauan. Selain itu, Anda mempertimbangkan dan merencanakan beban kerja yang mungkin perlu Anda pertahankan di tempat karena latensi, pemrosesan data, atau persyaratan residensi data dan mengevaluasi kasus penggunaan cloud hybrid seperti cloud bursting, pencadangan dan pemulihan bencana ke cloud, pemrosesan data terdistribusi, dan komputasi tepi.

Mulai

Tentukan strategi multi-akun

Strategi multi-akun yang baik mempertimbangkan masalah skala dan efisiensi operasional. Ini berarti mengisolasi beban kerja Anda ke dalam pola logis yang paling memenuhi kebutuhan operasional Anda. Kami menyarankan Anda memulai dengan serangkaian akun dasar untuk mengakomodasi layanan terpusat dan terdesentralisasi di perusahaan Anda. Anda dapat memusatkan fungsi keamanan, keuangan, dan operasional untuk mengelola dan mengatur tim dan akun Anda yang terdistribusi dan otonom secara efektif. Anda akan ingin menyelaraskan seluruh organisasi Anda untuk memahami bagaimana platform dan beban kerja Anda akan tersegmentasi dan dikelola. Memahami struktur ini membantu Anda memastikan bahwa prinsip-prinsip keamanan ada untuk otentikasi dan otorisasi sambil menyelaraskan dengan mengembangkan kebijakan penggunaan yang dapat diterima untuk platform.

Tentukan kontrol pencegahan

Rencanakan lingkungan multi-akun yang aman dengan seperangkat kontrol default (pagar pembatas) yang disematkan. Mulailah memahami dan menggunakan mekanisme seperti kebijakan kontrol layanan (SCPs) untuk mengelola penggunaan layanan di seluruh organisasi Anda, termasuk Wilayah AWS yang tersedia untuk konsumsi dalam platform cloud Anda. Kebijakan menyediakan mekanisme terpusat untuk mengendalikan izin maksimum yang tersedia untuk semua akun dan memastikan bahwa mereka mematuhi pedoman kontrol akses organisasi.

Mendefinisikan struktur unit organisasi

Unit organisasi (OUs) berfungsi sebagai cara praktis untuk mengelola dan mengkategorikan akun berdasarkan persyaratan peraturan dan lingkungan siklus hidup pengembangan perangkat lunak (SDLC). Dengan menggunakan OUs, organisasi merampingkan proses penerapan kebijakan dan izin yang sesuai di seluruh infrastruktur cloud mereka. Beban kerja OUs dirancang khusus untuk akun yang mendukung sumber daya infrastruktur aplikasi, dan memastikan bahwa kebijakan yang tepat ditegakkan. Menggunakan OUs dan SCPs membantu meningkatkan keamanan dan kepatuhan infrastruktur cloud organisasi Anda sekaligus memastikan kelancaran pengoperasian aplikasi dan layanan Anda. Ini pada akhirnya mengarah pada proses adopsi cloud yang lebih efisien dan kuat.

Tentukan konektivitas jaringan

Konektivitas jaringan adalah aspek penting dari setiap infrastruktur cloud yang mendukung penciptaan jaringan yang aman, terukur, dan sangat tersedia untuk mendukung aplikasi dan beban kerja. Jaringan yang dirancang dengan baik memberikan kinerja tinggi secara konsisten dan memastikan operasi yang mulus di berbagai lingkungan.

Saat mendesain arsitektur jaringan, pertimbangkan apakah Anda memiliki beban kerja yang ingin Anda pertahankan di tempat karena latensi, pemrosesan data, atau persyaratan residensi data. Dengan mengevaluasi kasus penggunaan cloud hybrid seperti cloud bursting, pencadangan dan pemulihan bencana ke cloud, pemrosesan data terdistribusi, dan komputasi tepi, Anda dapat mengidentifikasi persyaratan utama untuk aspek-aspek berikut:

  • Konektivitas ke dan dari internet. Aspek ini melibatkan penyediaan koneksi yang aman dan andal antara aplikasi atau beban kerja Anda dan internet. Konektivitas ini sangat penting untuk memfasilitasi akses ke sumber daya berbasis web, memungkinkan komunikasi antara pengguna dan aplikasi, dan memastikan bahwa layanan Anda dapat diakses oleh publik bila diperlukan.

  • Konektivitas di seluruh lingkungan cloud Anda. Area ini berfokus pada membangun koneksi yang kuat di antara berbagai komponen dan layanan dalam infrastruktur cloud Anda. Ini memastikan bahwa data dan sumber daya mudah dibagikan dan diakses di berbagai layanan cloud, mempromosikan kolaborasi yang efisien dan operasi yang lebih lancar. Pertimbangan utama di sini adalah penggunaan virtual private cloud (VPCs). Untuk menjaga hal-hal sederhana, pertimbangkan untuk membuat standar tentang cara VPCs dibuat dan dilacak. Pertimbangkan untuk membuat standar ini secara terprogram, dan rencanakan untuk menggunakan solusi manajemen alamat IP (IPAM). Alokasikan ruang IP yang cukup untuk memungkinkan pertumbuhan, dan rancang struktur subnet untuk pemecahan masalah yang mudah saat menggunakan beberapa Availability Zone. Pastikan untuk mengikuti praktik terbaik keamanan VPCs saat Anda merancang dan menerapkan konektivitas jaringan. 

  • Konektivitas antara jaringan lokal dan lingkungan cloud Anda. Aspek ini berkaitan dengan integrasi infrastruktur lokal dengan lingkungan berbasis cloud. Dengan menciptakan koneksi yang aman dan andal antara keduanya, organisasi mendapat manfaat dari keunggulan arsitektur hybrid. Misalnya, Anda dapat menggunakan sumber daya lokal dan layanan cloud secara bersamaan untuk meningkatkan kinerja, skalabilitas, dan pengoptimalan biaya.

Dengan menangani tiga bidang utama konektivitas jaringan ini, Anda dapat membangun infrastruktur cloud yang kuat yang mendukung aplikasi dan beban kerja Anda secara efektif, sehingga Anda dapat memanfaatkan manfaat adopsi cloud. Perhatikan persyaratan jaringan, dan buat desain sederhana yang memungkinkan Anda menskalakan sesuai dengan strategi multi-akun Anda. 

Tentukan strategi DNS

Strategi DNS yang terencana dengan baik membantu Anda menghindari komplikasi saat lingkungan cloud Anda tumbuh. Jika Anda mempertahankan kemampuan DNS lokal, kami sarankan Anda merancang arsitektur DNS hybrid yang menggunakan infrastruktur DNS lokal bersama dengan DNS cloud untuk persyaratan DNS berbasis cloud apa pun. Integrasikan resolusi DNS dengan lingkungan DNS lokal dengan menggunakan titik akhir resolver dan aturan penerusan. Gunakan zona yang dihosting pribadi untuk menyimpan informasi tentang bagaimana Anda ingin DNS cloud merespons kueri untuk domain dan subdomainnya dalam satu atau beberapa jaringan.

Tentukan standar penandaan

Menandai sumber daya adalah praktik penting untuk mengelola biaya secara efektif dan mengidentifikasi kepemilikan sumber daya. Pertimbangkan bagaimana organisasi Anda akan lebih lanjut memungkinkan konsumsi di cloud, termasuk penggunaan layanan tertentu dalam platform. Tentukan strategi penandaan yang melacak sumber daya mana yang digunakan oleh tim mana. Ambil masukan dari perspektif Operasi AWS CAF dan gunakan tag untuk mengotomatiskan tugas untuk infrastruktur yang Anda gunakan. 

Selain itu, dengan menandai sumber daya dengan metadata yang relevan, Anda dapat mengelompokkan dan melacak pengeluaran Anda berdasarkan persyaratan organisasi yang ditentukan dalam kemampuan Cloud Financial Management (CFM) dalam perspektif Tata Kelola CAF.AWS Identifikasi mekanisme pelaporan yang mendukung praktik akuntansi dan keuangan Anda, termasuk tindakan yang harus diambil ketika kebijakan keuangan dilanggar.

Tentukan strategi observabilitas

Menetapkan strategi observabilitas adalah langkah penting untuk mengoptimalkan dan mengamankan arsitektur cloud Anda. Strategi ini berkisar pada transformasi metrik dan log yang dihasilkan oleh layanan cloud Anda menjadi wawasan yang dapat ditindaklanjuti untuk pengambilan keputusan strategis. Prioritaskan pemantauan indikator kinerja utama dan siapkan peringatan untuk mengatasi masalah potensial terlebih dahulu. Untuk mencegah proliferasi alat, mengoptimalkan biaya, dan fokus pada apa yang paling penting bagi organisasi Anda, gabungkan strategi pengamatan ini di platform dan aplikasi Anda. Untuk panduan lebih lanjut, lihat presentasi kami tentang Mengembangkan strategi observabilitas (AWS re:Invent 2022).

Maju

Tentukan kontrol proaktif dan detektif

Untuk maju, organisasi Anda harus mengidentifikasi kebutuhan akan kontrol proaktif dan detektif (pagar pembatas) dalam lingkungan. Buat kebijakan yang menentukan pagar pembatas atau batasan yang dimiliki peran dan pengguna di akun yang terletak di dalam unit organisasi (OU). Tinjau pagar pembatas detektif default untuk platform, dan pilih pagar pembatas mana yang akan diterapkan. Buat kontrol preventif dan detektif tambahan sesuai kebutuhan, dan kelompokkan mereka OUs untuk menyelaraskannya dengan strategi multi-akun Anda. Pertimbangkan alat dan mekanisme organisasi mana yang Anda perlukan untuk memeriksa sumber daya yang tidak sesuai yang diidentifikasi oleh kontrol detektif.

Tentukan standar untuk orientasi layanan

Buat standar untuk penggunaan platform yang dapat diterima dan pola yang terkait dengan konsumsi layanan dan bagaimana hal itu akan diatur. Pertimbangkan layanan awal mana yang diizinkan untuk digunakan. Buat dokumen yang menguraikan standar ini dan mempublikasikannya kepada pengguna dan operator platform. Pastikan bahwa standar-standar ini beradaptasi dari waktu ke waktu untuk memenuhi perubahan tujuan organisasi dan kemampuan komputasi awan yang berkembang.

Tentukan pola dan prinsip

Pertimbangkan pola arsitektur mana yang akan diizinkan dalam organisasi Anda dengan menggunakan input dari pemilik aplikasi, dan mulailah menentukan cetak biru untuk standardisasi. Standardisasi memungkinkan tata kelola yang lebih besar dan beban administrasi yang lebih rendah saat Anda menskalakan di cloud. Tentukan pola yang akan menggunakan infrastruktur sebagai kode (IAc) dan rencanakan model penyebaran yang disederhanakan dengan menggunakan katalog layanan yang terintegrasi ke dalam proses kontrol perubahan dan sistem manajemen layanan TI (ITSM) Anda. Tentukan bagaimana cetak biru ini akan digunakan dan keadaan untuk mengizinkan pengecualian. Rencanakan pengecualian tersebut dan tata kelola mereka, dengan pertimbangan untuk otentikasi, pemantauan keamanan, dan pagar pembatas. 

Unggul

Tentukan pola remediasi

Pertimbangkan cara membuat anotasi dan memprioritaskan temuan pagar pembatas detektif Anda sehingga mereka dapat diperbaiki sesuai dengan kerangka kerja keamanan dan kepatuhan Anda. Rencanakan untuk menggunakan otomatisasi untuk mendeteksi out-of-policy penyediaan sumber daya, termasuk yang melanggar kebijakan anggaran dan penandaan. Identifikasi kemampuan yang diperlukan untuk menetapkan dan mengukur tujuan tingkat layanan sambil memperbarui runbook dan buku pedoman Anda. Tetapkan tinjauan berkala dari praktik ini dan mekanisme umpan balik untuk menangkap data yang terkait dengan evolusi platform. Tentukan mekanisme untuk membuat dan memperbarui runbook dan buku pedoman yang sesuai. 

Komunikasikan dan perbaiki kebijakan

Buat sistem manajemen konten terpusat untuk semua dokumentasi dan distribusikan ke pengguna dan operator platform. Buat mekanisme untuk menangkap umpan balik untuk pertimbangan masa depan tentang perubahan kebijakan.

Memahami kemampuan manajemen keuangan

Organizations berkembang ketika mereka mempertahankan pemahaman yang transparan dan komprehensif tentang anggaran mereka. Ini memberdayakan mereka untuk membuat keputusan yang terinformasi dengan baik, mengalokasikan sumber daya secara efisien, dan mencapai tujuan strategis mereka. Pandangan yang jelas tentang anggaran membantu organisasi unggul dengan memfasilitasi pengambilan keputusan yang terinformasi, alokasi sumber daya yang efektif, pengendalian biaya, pengukuran kinerja, dan pemeliharaan akuntabilitas dan kepatuhan. Ini pada akhirnya menghasilkan organisasi yang lebih efisien, stabil secara finansial, dan makmur. Ketika Anda memiliki strategi penandaan yang sukses, Anda dapat menggunakan filter biaya AWS Budgetsuntuk memfilter biaya berdasarkan tag sumber daya. Ini membantu Anda membuat anggaran yang disesuaikan dengan proyek, departemen, lingkungan, atau kriteria tertentu, yang selanjutnya meningkatkan kemampuan manajemen keuangan. Anda dapat mengaitkan tag alokasi AWS biaya dan Cost Categories dengan tag untuk mendorong wawasan keuangan dan transparansi saat melaporkan biaya.