AWS - CDK CDK Cloud Development Kit是 AWS 的「以程式碼建構基礎架構(IaC)」框架。用 Python、TypeScript、Java、C# 等語言寫程式,CDK 會自動轉換成 CloudFormation Template,再由 CloudFormation 幫你部署。 為什麼要用 CDK 傳統 IaC 問題 CDK 解法 CloudFormation YAML 很冗長 用程式語法組裝資源(OOP + 重用) 環境變數、邏輯不好寫 可以用條件式、迴圈、函式 想封裝可重用架構 CDK Construct...

AWS - CloudFormation Top-Level Resource Attribute CloudFormation Top-Level Resource AttributeTop-Level Resource Attribute 是用來控制對應資源的條件所需要觸發的事項關鍵字 Condition 作用: 根據 CloudFormation 範本中預先定義的邏輯條件(在 Conditions 區塊定義),決定是否建立該資源。 使用時機: 實現範本的可重用性。例如,您可以使用一個條件來決定是否建立一個生產環境特有的資源(如 WAF...

AWS - CloudFront 使用自訂 Domain CloudFront 域名基本概念當你用 CloudFront 建立好 Distribution 的時候,他會生成一個預設的網域格式像是這樣 d111111abcdef8.cloudfront.net。但這樣很沒有識別度,你可以用自己的 Domain 來取代他 這樣就有 品牌化、易記憶、專業形象的特點 配置步驟 申請 SSL/TLS Certification必須在 us-east-1 區域申請 使用 AWS Certificata Manager(ACM) 登入 Console 切換到 us-east-1 進入...

AWS - CloudFront Signed URLs & Signed Cookies CloudFront 限定時間內存取受保護的內容CloudFront 安全機制的核心概念之一『Signed URLs/Cookies』,這兩個都能控制誰能在限定時間內存取受保護的 CloudFront 內容(如 S3 私有檔案) 類型 基本定義 Signed URL 在單一物件上加上授權簽章,允許短期訪問 Signed Cookie 用瀏覽器 Cookie 儲存授權簽章,允許同一用戶連續存取多個保護檔案 背景 CloudFront + Private...

AWS - CloudWAN CloudWAN 企業級廣域網路管理控制平面Cloud WAN = 在全球整合多 Region、多 VPC、多資料中心的 WAN 控制平面自動化 Route Control、Segment Isolation、Security Policy、Observability 為什麼需要 Cloud WAN?傳統企業 WAN 痛點: 多國分公司 + 多 Region VPC 需要整合 VPN、Direct Connect、SD-WAN Transit Gateway Mesh 複雜性上升 缺乏 中央治理、觀測與流量隔離政策 Cloud WAN...

AWS - CloudWatch Agent CollectD and StatsD CloudWatch AgentAWS CloudWatch Agent 本身是一個統一的代理程式,用於從 EC2 Instance 以及內部部署 Server 收集系統級的 Metric 與 Log 收集方式: 從 OS Kernel 與標準來源收集指標(CPU Usage, Memory, Disk I/O, Netflow)。也可以收集 log 將其傳送到 CloudWatch Logs 使用時機: 收集 infra 資料 優點: AWS 原生支援,可以簡單的透過 SSM...

AWS - CloudTrail Lake/CloudTrail Insight CloudTrail Lake - 進階稽核查詢工具CloudTrail Lake 可以用 SQL 查詢 API 行為紀錄的 CloudTrail 資料湖 CloudTrail Lake 解決的問題傳統 CloudTrail(S3 Logs)問題 查詢慢 要自己用 Athena 建表 跨帳號、跨區超麻煩 CloudTrail Lake 內建資料表 即時查詢 原生跨帳號、跨區 不用自己建 Athena 常考情境 公司要查「誰刪了一個 S3 Bucket」,要能即時查詢,不用建...

AWS - CloudWatch Combining Alarms CloudWatch Combining Alarms使用 CloudWatch 你可以將多個 Alarms 合併成一個 Composite Alarms,用來針對整個 Application 或 Resource Group 建立摘要性的匯總運作狀態指標。負荷警示可監控其他警示的狀態來判斷其狀態。你可以用 Boolean 邏輯定義規則,用來合併受監控警示的狀態 使用 Composite Alarms有兩個選項 設定想要在 Composite Alarms Layer 執行的動作,建立不含處理動作的基礎監控警示 在...

AWS - 動態資源加速 CloudFront & Global Accelerator 前言很多人以為 CloudFront CDN 支援加入靜態資源(媒體,JS,CSS),其實 CloudFront 也可以加速動態資源,那 Global Accelerator 的差異是什麼呢> CloudFront 也能加速動態資源? CloudFront 本質上是 全球 CDN + 邊緣節點網路 雖然 靜態資源 可以直接在邊緣節點快取,但 動態資源(API、個人化內容、即時資料) 雖然不能快取,但可以透過 CloudFront 的邊緣網路(Edge Network)...

AWS - CloudWatch Subscription Filters/Alarms/ServiceLens/Synthetics/Metric Stream Subscription Filters用途: 即時把 Logs 串流到其他服務做後續處理 可串接對象 Lambda 即時告警、自動修復 Kinesis Data Streams 即時分析 Kinesis Firehose 落地到 S3 / OpenSearch 關鍵字 Real-time log processing Near...