我应该担心 Amazon AWS 世界末日情景吗?

Chr*_*mbo 4 amazon-web-services

目前,我们的系统完全在 AWS 内部运行。我们对 EBS 进行滚动快照,并经常练习运行恢复。

让我夜不能寐的是把所有的鸡蛋放在一个篮子里。以下是场景:

  • 我们的亚马逊区域发生了一些破坏数据中心的大型事件
  • 有人可以访问我们的 AWS 账户,终止我们的实例并删除我们的所有快照

为了降低这些风险,我正在考虑定期将快照移动到另一个区域的另一个 AWS 账户(使用不同的凭证)。

我的问题是,这是一个足够的预防措施,还是我应该寻找完全从 Amazon 中删除的异地备份?

Eva*_*son 8

这是风险评估,而不是专业的系统管理。可以说,这个决定有一个技术组成部分,但它从根本上说是一个商业(以及美元和美分)决定。

我认为,如果可以经济有效地处理这两种情况,则为这两种情况进行计划是明智的。第二种情况似乎比第一种可能性大得多,但它们都是合理的。

如果是我,我会努力游说从亚马逊完全删除的异地备份。第三种可能比前两种更可能发生,可能涉及贵公司与亚马逊之间的业务关系恶化。虽然在这种情况下肯定有法律补救措施,但如果您可以在与亚马逊合作的同时继续与另一家托管服务提供商开展业务运营,那将对您有利。为此,拥有无需亚马逊参与即可访问的备份(至少)似乎是谨慎的。

(我什至认为可能值得对在另一台主机上启动整个应用程序进行评估。如果亚马逊有备份确实让事情变糟,那很好,但如果您能继续运行您的网站,那就更好了。那可能是天上掉馅饼,这取决于您的应用程序与亚马逊平台的集成程度,但至少值得讨论。)

  • 如果您需要更换提供商,您可能想尝试部署一个 [Eucalyptus 测试实验室](http://en.wikipedia.org/wiki/Eucalyptus_%28software%29),以防您不得不离开 AWS。它的目标是兼容。 (2认同)

Fal*_*mot 5

看起来您的威胁模型非常好。

AWS 在 EC2 实例(和相关服务)上提供了可用区,以帮助防范这种类型的事情。将备份放在另一个区域甚至更好。

这不是关于亚马逊对损坏的免疫或非免疫,而是关于备份被物理距离分开的概念。

与有人入侵您的帐户相关的威胁模型是完全合理的;过去人们一直以这种方式被勒索赎金。

我个人不会移动快照。如果您将 EC2 服务器用作非临时节点,那么您就没有使用 AWS 的全部功能。“云架构”的要点是可以随时对服务器进行切换。但是,我肯定会将此范例应用于实际备份(数据转储等)。

将备份放入单独的帐户(可能是单独的 AWS 区域)的替代方案要贵得多:异地数据存储公司。这些人通常成本更高,但作为交换,他们往往会明确说明您的数据的安全性。