24个 AWS 架构蓝图,用于构建可扩展的云系统
I’m sorry, but I can’t access external links. If you provide the text you’d like translated, I’ll be happy to translate it into Simplified Chinese while preserving the formatting and markdown.
跳过多年试错——直接复制有效模式
这正是改变一切的关键。
想象一下:你正盯着空白的 AWS 控制台,手握咖啡,截止日期迫在眉睫。可能性无限,但困惑同样多。Serverless?容器?多账户?零信任?
我们都经历过这种情况。
📦 仓库
此 [repository post] 包含 24 套实战 AWS 架构——不是理论,也不是博客文章,而是配有 Terraform 代码的真实生产就绪模式。
关键点: 这些并非随意的架构。它们 对应特定行业。
| 行业 | 可用蓝图 |
|---|---|
| 金融服务 | ✅ |
| 医疗健康 | ✅ |
| 制造业 | ✅ |
| 零售业 | ✅ |
| 公共部门 | ✅ |
| 媒体与娱乐 | ✅ |
| 运输与物流 | ✅ |
| 教育 | ✅ |
| 科技与 SaaS | ✅ |
| 电信 | ✅ |
快速提问: 您所在的行业是?
架构 #01 – 无服务器
[Users] → [Route 53] → [CloudFront] → [API Gateway]
↓
[Lambda Functions]
↓
+-------------------------+-------------------------+
| | |
[DynamoDB] [EventBridge] …- 无需管理服务器。
- 按实际使用量付费。
- 自动弹性伸缩。
取舍 – 冷启动、执行时间限制、供应商锁定。
问题: 您在生产环境中是否遇到过冷启动?您是如何处理的?
运行容器 – 三种选项
| 选项 | 描述 | 适用场景 | 不适用场景 |
|---|---|---|---|
| ECS Fargate | 无服务器容器,无需管理 EC2 | 业务流量不可预测的启动阶段 | 需要深度操作系统控制的企业 |
| EKS Microservices | 完整的 Kubernetes,最大控制权 | 复杂的微服务体系 | 缺乏 K8s 专业知识的小团队 |
| EC2 Auto Scaling | 传统、可预测、稳态 | 基线负载固定的工作负载 | 需要快速扩展、流量突发的情况 |
练习: 将每个选项对应到它最适合的场景,然后再对应到它会导致灾难的场景。
Architecture #11 – 零信任
[User/Device]
↓
[Identity Provider] → Auth & Context Check
↓
[Verified Session]
↓
[Service A] --(mTLS)--> [Service B]Old way: “Build a castle with a moat – if you’re inside, you’re trusted.” → “旧方式:‘建造一座有护城河的城堡——只要在里面,就被信任。’”
New way: “Never trust, always verify – every request, every time.” → “新方式:‘永不信任,始终验证——每一次请求,每一次都如此。’”
Question: When was the last time you audited who has access to what in your AWS accounts? → 问题: 您上一次审计 AWS 账户中谁拥有何种访问权限是什么时候?
架构 #07 – 多账户结构
[AWS Organizations (Root)]
↓
+-------+-------+-------+
| | | |
[Security][Shared][Workload A][Workload B]为什么重要
- 降低冲击范围 – 单个受损账户不会影响全部。
- 账单清晰分离。
- 每个团队拥有不同的安全边界。
暂停: 贵组织有多少个 AWS 账户?如果只有一个,您可能需要重新考虑。
数据库选择 – 选好你的毒药
| 架构 | 适用场景 | 权衡 |
|---|---|---|
| RDS | 传统应用 | 仅支持垂直扩展 |
| Aurora Serverless | 可变工作负载 | 规模化时成本更高 |
| DynamoDB | 大规模 | 查询灵活性受限 |
实话实说: 团队常常选错数据库,随后花费数月时间进行迁移。
你犯过或见过的最大数据库错误是什么?
行业特定映射
每个架构配对有:
- 关键用例
- 推荐架构
- 合规要求
示例:金融服务
- PCI‑DSS、SOX、GDPR 合规
- 实时交易处理
- 欺诈检测
- 多区域主动/主动部署,实现全球可用性
示例:医疗保健
- HIPAA、HITECH 合规
- 患者数据保护
- 零信任架构
- 为患者安全提供灾难恢复
思考一下: 哪些合规噩梦让你夜不能寐? 本仓库提供相应的模式来解决这些问题。
Terraform 代码布局
terraform/
├── 01-serverless-architecture/
│ ├── main.tf
│ ├── variables.tf
│ ├── outputs.tf
│ └── app/
│ └── main.py
├── 02-ecs-fargate-architecture/
├── 03-eks-microservices-architecture/
└── … (24 total)尝试以下操作: 选择一种架构,部署它,修改它,破坏它,并从中学习经验。
架构复杂度矩阵
| 架构 | 复杂度 (⭐) | 何时使用 |
|---|---|---|
| Static Website | ⭐ | 营销站点、文档 |
| Serverless | ⭐⭐ | API、事件驱动工作负载 |
| ECS Fargate | ⭐⭐⭐ | 微服务 |
| EKS | ⭐⭐⭐⭐ | 复杂的 K8s 工作负载 |
| Multi‑region Active/Active | ⭐⭐⭐⭐⭐ | 关键任务的全球应用 |
问题: 你是在过度设计还是设计不足?请诚实回答。
Architecture #24 – 灾难恢复
- 大多数公司直到为时已晚才考虑 DR。
The repository provides:
- 备份策略
- 多区域故障转移
- RTO/RPO 考量
- 测试流程
Pause: 如果你的主区域现在宕机,需要多长时间才能恢复?你知道吗?
架构 #17 – Kinesis 流
[Data Sources] → [Kinesis Streams] → [Processing] → [Storage/Analytics]实时数据已成为新常态: clickstreams, IoT telemetry, log aggregation, financial transactions.
问题: 因为没有流式架构,你错失了哪些实时数据?
要点
- 选择符合行业、合规性和工作负载的架构。
- 部署 Terraform 代码,进行实验并迭代。
- 持续审计安全性、成本和性能。
准备好停止猜测,开始构建了吗? 🚀
Architecture #20 – 机器学习
It’s not just about models. It’s about the infrastructure to:
- 在规模上训练模型
- 以低延迟提供预测
- 监控模型性能
- 持续重新训练
思考一下: 您的机器学习模型的好坏取决于运行它的基础设施。
Architecture #18 – 事件驱动
这就是现代系统的通信方式:
[Service A] → [EventBridge] → [Service B]
→ [Service C]
→ [Service D]- 松耦合
- 异步处理
- 自然可扩展性
问题: 您正在维护多少紧耦合的集成,而这些本应是事件驱动的?
架构 #19 – IoT
智能家居 • 工业遥测 • 车队管理 • 随处可见的联网设备
该模式保持一致:
[Devices] → [IoT Core] → [Kinesis] → [Processing] → [Storage / ML]思考一下: 如果你拥有一个可靠的 IoT 基础设施模式可以随时部署,你能构建什么?
Architecture #21 – Data Lake
所有数据。一个地方。可查询。
- 原始数据在此落地
- 进行转换
- 成为可分析的
- 为 ML 模型提供数据
Question: 您的数据科学家花多少时间仅仅是获取数据?
Architecture #09 – Transit Gateway
如果你拥有 超过 10 个 VPC,就需要它。
[VPC A] [VPC B]
\ /
\ /
[Transit Gateway]
/ \
/ \
[VPC C] [VPN / DX]- 旧方式: VPC‑peering mesh( n² 复杂度)
- 新方式: Hub‑and‑spoke( 线性 复杂度)
停下来思考: 你有多少个 VPC?它们是如何连接的?
架构 #10 – Direct Connect
当互联网连接不足时:
- 一致的性能
- 规模化时降低带宽成本
- 私密、安全的连接
问题: 您是否在为本应通过 Direct Connect 的互联网数据传输付费?
负载均衡器 – 三种类型,三种用途
| 负载均衡器 | 层 | 最佳适用 |
|---|---|---|
| ALB | 7(HTTP/S) | Web 应用,API 路由 |
| NLB | 4(TCP/UDP) | 游戏、物联网、高性能工作负载 |
| GWLB | 3(网络) | 防火墙、设备 |
问题: 您是否为工作负载使用了合适的负载均衡器?
架构 #12 – 身份
集中身份验证 • 单点登录 • 最小权限
[User] → [IAM Identity Center] → [Account A / Account B / Account C]实话实说: 身份是新的边界。如果这点做错,其他一切都无关紧要。
Architecture #22 – CloudTrail + Security Hub
- 合规性监控
- 威胁检测
- 审计日志
每个受监管的行业都需要这些。
Question: 您上次审查 CloudTrail 日志是什么时候?
关键要点
- 从简单开始: VPC + 身份优先。
- 安全不是可选项: 从第 1 天起零信任。
- 合规更容易 当你为之设计时。
- 多账户 不仅仅是企业专属。
- 灾难恢复 是不可谈判的。
- 无服务器 并不总是答案。
- 容器 并不总是答案。
- 没有完美的架构——只有权衡。
你的挑战
- 从此仓库中挑选一个你从未使用过的架构。部署它。破坏它。学习它。
- 将你当前的基础设施映射到这里的模式。你缺少了什么?你在哪些方面过度设计?
- 分享你的经验。哪个架构与你产生共鸣?哪个让你感到困惑?你学到了什么?
关键要点
此仓库不仅仅是文档——它是通往通常需要多年才能获得的智慧的捷径。
- 24 种架构
- 10 个行业
- 完整的 Terraform 代码
模式已经存在,代码也已经就绪,唯一缺失的就是 你。
你将构建什么?
如果你觉得这有价值,
- 稍后保存
- 与团队分享
- 真正使用其中一种架构
阅读云架构很容易,真正动手构建才是学习的关键。
[Blog Post of Repository]
☕ 送咖啡
❌ 不喜欢我的作品? 在评论区留下反馈。
本文在 AI 的一点帮助下完成。