全部产品
云市场

监控&管理

更新时间:2019-03-05 17:43:54

Alibaba Cloud for AWS Professionals

目录

1. 监控服务

Alibaba CloudMonitor是一款针对阿里云资源和物联网应用进行监控的服务。可用于收集获取阿里云资源的监控指标或用户自定义的监控指标,探测服务可用性,以及针对指标设置警报。使您全面了解阿里云上的资源使用情况、业务的运行状况和健康度,并及时收到异常报警做出反应,保证应用程序顺畅运行。

Amazon CloudWatch 是一项针对 AWS 云资源和在 AWS 上运行的应用程序进行监控的服务。您可以使用 Amazon CloudWatch 收集和跟踪各项指标、收集和监控日志文件、设置警报等。您可通过使用 Amazon CloudWatch 全面地了解资源使用率、应用程序性能和运行状况。使用这些分析结果,您可以及时做出反应,保证应用程序顺畅运行。

1.1 主要功能对比

Service Type Alibaba CloudMonitor AWS CloudWatch
主机监控 支持 支持
报警方式 旺旺,邮件,MNS,短信+钉钉(国内) SNS,邮件
应用分组 支持 不支持
数字化运营 Dashboard,资源利用月报 控制面板
站点监控 支持 不支持
云服务监控 支持 支持
自定义监控 支持 支持
日志监控 支持(国际站暂时不支持) 支持
概览页面 所有云资源统计概览,报警概览,事件概览,资源数和水位 报警概览,服务运行状况
AIP SDK 支持 支持

1.2 主机监控和云服务监控

Alibaba CloudMonitor

  • 混合云:支持阿里云主机一键安装,可授权自动安装,支持非阿里云主机,且支持所有主流操作系统。
  • 具备丰富的指标:如:cpu/mem,load/disk/net/device 30+f指标,其他更多指标丰富中,如:rdma gpu 虚拟多网卡。
  • 进程级:top5进程资源消耗情况。
  • 秒级监控:每秒采集, 15s聚合,平均资源消耗和业务需求。
  • 支持接入到云监控的所有云产品监控

AWS CloudWatch

  • Amazon EC2 实例基本监控:包括 CPU 使用率、数据传输和磁盘使用活动等。
  • 7个预选指标(频率为 5 分钟)和 3 个状态检查指标(频率为 1 分钟)
  • 支持其他AWS云产品监控,包括计算,网络,存储,数据库等

1.3 报警服务

Alibaba CloudMonitor

  • 一键报警功能:针对主流产品,可以开启一键报警,实现对该产品的所有实例报警覆盖。
  • 报警模板:报警模板与应用分组,可以快速完成大数据IT基础设施监控。
  • 支持产品报警添加在一起,提升用户配置报警效率。
  • 报警方式:报警信息支持MNS订阅,邮件,旺旺 ,多渠道报警方式。

AWS CloudWatch

  • 高质量报警:则可以指定10秒或30秒时间段的高精密报警,也可以设置60秒任意倍数时间段的定期报警
  • 评估警报:警报阈值设置为 3 个值,警报配置为在最近的三个连续时间段中的所有三个数据点均超过阈值时触发。
  • 报警方式:Amazon SNS 主题的通知报警。

1.4 应用分组

Alibaba CloudMonitor

  • 支持跨产品,跨地域的资源分组,
  • 支持分组级别的聚合计算以及报警聚合,
  • 支持自定义加快,时间日志,都可以按分组归属,
  • 支持分组级别的授权,子账号,主子账号,跨账号等

1.5 数字化运营

Alibaba CloudMonitor

  • dashboard: 跨产品,跨地域的指标显示,支持日志监控,自定义监控等指标
  • 运维周报,资源利用率月报(企业版支持)。

AWS CloudWatch

  • Amazon CloudWatch 控制面板:使用控制台面板,以便在一处集中监控各个 AWS 资源。
  • 监控多个区域内的资源。

1.6 站点监控

Alibaba CloudMonitor

  • 提供遍布阿里云计费的IDC探针,提供30w+的astmile的用户侧探针,提供1分钟的探测能力
  • 用户侧访问模拟,发现网站真实情况,
  • 检查站点状态,包括:http,ping、tcp、udp、dns、pop、smtp、ftp 和响应时间
  • 网络故障发现

1.7 自定义监控

Alibaba CloudMonitor

  • 借助自定义监控,可以快速实现本地redis mysql等监控指标集成到云监控
  • 自定义监控是提供给用户自由定义监控项以及报警规则的一项功能,通过此功能,用户可以挣到自己关心的业务指标进行监控,将采集到的监控数据上报至云监控,用云监控进行数据的处理,并根据结果进行报警。

AWS CloudWatch

  • 发布自定义指标:可使用 AWS CLI 或 API 将自己的指标发送到 CloudWatch。
  • 用户提交自己英语程序所生成的自定义指标,借助AWS CloudWatch对齐监控,可以通过简单的API请求想AWS CloudWatch提交这些指标。用户可以设置对应报警阈值和指标。

2 访问控制

阿里云访问控制(Resource Access Management)服务是一个集中管理云上身份及访问权限的管理服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。

AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。

2.1 主要功能对比

Service Type Alibaba RAM AWS IAM
用户管理 支持 支持
策略管理 支持 支持
群组管理 支持 支持
角色管理 支持 支持
集中管理 支持 支持
灵活性 集成阿里云服务,同时支持外部账号管理,多维度授权 无缝集成到AWS服务,外部web身份验证提供商合作
可用性 多节点冗余部署 具备最终一致性
安全性 令牌服务,访问密钥 安全证书管理,MFA令牌
操作审计 支持 支持
API/SDK/CLI 支持 支持
费用 Free Free

2.2 身份管理

2.2.1 用户

用户是Alibaba RAM的一种身份,对应某一个操作实体,如操作员或者应用程序。如果有新的用户或应用程序访问您的云资源,您需要创建 RAM 用户并授权其访问相关资源。

AWS IAM可以在 IAM 中创建用户、为他们分配单独的安全凭证 (例如访问密钥、密码和多重身份验证设备) 或者要求提供临时安全凭证,以便为用户提供 AWS 服务和资源的访问权限。

2.2.2 组

对云账号下有多个 RAM 用户的情况,为更好的管理用户及其权限,建议您使用群组(Group)。为职责相同的 RAM 用户通过创建群组进行分类,并在授权时选择为用户组授权。这样做的好处是:

  • 在具体用户职责发生变化时,只需将其移动到相应职责的群组下,不会对其他用户产生影响。
  • 当群组的权限发生变化时,只需修改群组的授权策略,即可应用到所有用户身上。

AWS IAM 组是一个IAM 用户集体。将组成员作为一个简单列表来进行管理:

  • 组可通过访问控制策略向获取权限。这样能更加轻松地管理一批用户的权限,而不必分别管理单个用户权限。
  • 组没有安全证书且不能直接获取 Web 服务;组仅仅是为了更轻松地管理用户权限。

2.2.3 角色

Alibaba RAM与用户一样,都是 RAM 中使用的身份。与 RAM 用户相比,RAM 角色是一种虚拟用户,它没有确定的身份认证密钥,且需要被一个受信的实体用户扮演才能正常使用。

  • RAM 角色作为虚拟用户,它有确定的身份,可以被赋予一组授权策略(Policy),但它没有确定的身份认证密钥(登录密码或 AccessKey)。
  • 相比于 RAM 用户,在使用方法上 RAM 角色需要被一个授信的实体用户扮演,扮演成功后实体用户将获得 RAM 角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。

AWS IAM的角色是 IAM 实体,它可以为提交 AWS 服务请求定义一组权限。IAM 角色与特定的用户或组无关。相反,可信实体可以担任角色,例如 IAM 用户、应用程序或 EC2 等 AWS 服务。

  • IAM 角色没有任何证书,不能直接提出 AWS 服务请求。IAM 角色必须由获得授权的实体担任,如 IAM 用户、应用程序或 EC2 等 AWS 服务。
  • IAM 角色使您能够通过已定义的权限来委派可信任实体的访问权限,而无需共享长期访问密钥。您可以使用 IAM 角色来委派对您账户内管理的 IAM 用户、其他 AWS 账户下的 IAM 用户以及 EC2 等 AWS 服务的访问权限。

2.3 授权管理

Alibaba RAM使用权限来描述内部身份(如用户、用户组、角色)对具体资源的访问能力。权限指在某种条件下 允许 (Allow) 或 拒绝 (Deny) 对某些资源执行某些操作。

AWS IAM的访问管理部分帮助定义用户或其他实体可在账户内执行的操作,通常称为授权。权限是通过策略授予的。策略是 AWS 中的一个实体;在附加到身份或资源时,策略定义了它们的权限。在委托人 (如用户) 发出请求时,AWS 将评估这些策略。

2.3.1 权限

Alibaba RAM权限包括:

  • 主账户(资源 Owner)控制所有权限
  • RAM 用户(操作员)默认无任何权限
  • 资源创建者(RAM 用户)不会自动拥有对所创建资源的任何权限

AWS IMA将访问控制策略挂载到用户、组和角色,以便分配对 AWS 资源的权限。默认情况下,IAM 用户、组和角色没有权限;拥有充分权限的用户必须使用策略授予所需的权限。

2.3.2 授权策略

RAM 支持以下两种授权策略:

  • 系统访问策略:由阿里云创建和管理的一组常用的权限集,比如对 ECS 的只读权限、对 ECS 的完全权限等;用户只能使用而不能修改。
  • 自定义访问策略:由用户自己创建和管理的权限集,是对系统访问策略的扩展和补充。

AWS IAM基于身份和资源的策略:

  • 1) 基于身份的策略是权限策略,可附加到委托人或身份 (如 IAM 用户、角色或组)。基于身份的策略控制身份可以在何种条件下对哪些资源执行哪些操作。
  • 2) 基于资源的策略是附加到资源 (如 Amazon S3 存储桶) 的 JSON 策略文档。这些策略控制指定的委托人可在何种条件下对该资源执行哪些操作。

2.3.3 访问控制授权

给 RAM 用户授权,指给用户、用户组或角色绑定一个或多个授权策略。

  • 绑定的授权策略可以是系统授权策略也可以是自定义授权策略。
  • 如果绑定的授权策略被更新,更新后的授权策略自动生效,无需重新绑定授权策略。

同样给IAM授权,指给用户,用户组,角色进行进行授权策略。

  • 用户和策略
  • 组合策略
  • 联合身份用户和角色

2.4 费用

Alibaba CLoud RAM 不收取服务费用,只需满足开通条件,并进行开通,即可使用该服务。

AWS IAM 是 AWS 账户提供的一项功能,无需支付额外费用。

3 操作审计

Alibaba ActionTrail操作审计会记录您的云账户资源操作,提供操作记录查询,并可以将记录文件保存到您指定的OSS存储空间。利用 ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更追踪以及合规性审计。

AWS CloudTrail 是一项服务,支持对您 AWS 账户进行监管、合规性检查、操作审核和风险审核。借助 CloudTrail,您可以记录日志、持续监控并保留与整个 AWS 基础设施中的操作相关的账户活动。

3.1 主要功能对比

Service Type Alibaba ActionTrail AWS CloudTrail
API/SKD API,SDK API,SDK
数据存储 OSS S3
历史事件查询 默认30天,可设置延迟查询记录范围 90天
操作日志记录 支持 支持
索筛选条件支持 操作时段、用户名、资源类型、资源名称、操作名称等维度 事件名称、用户名称、资源名称、事件源、事件 ID 和资源类型
服务支持 大多数云产品服务 大多数 AWS 产品服务
合规审计 支持 支持
安全分析 支持 支持
故障排除 支持 支持

3.2 API&SDK支持

Alibaba Cloud 用户可以使用管理控制台或API为您的账户创建ActionTrail,给ActionTrail指定事件记录的OSS存储空间,或者当用户使用SDK发起操作调用之后,ActionTrail会在十分钟内传送操作记录到用户指定的OSS Bucket。

AWS CloudTrail 可通过记录 AWS 管理控制台操作和 API 调用来提高用户和资源活动的可见性。CloudTrail 会在 API 调用后 15 分钟内传送事件。

3.3 数据安全

ActionTrail 将事件记录保存在您指定的OSS存储空间中,您可以使用OSS数据加密以及权限管理功能来确保事件记录的数据安全。

默认情况下,CloudTrail 会通过 S3 服务器端加密 (SSE) 对 CloudTrail 日志文件进行加密,并将其放在您的 S3 存储段中。您可以通过应用 IAM 或 S3 存储段策略,控制对日志文件的。

3.4 日志查询

ActionTrail默认支持查询30天的操作记录。如果您需要延长可查询记录的范围,需要开通 OSS 并指定一个 bucket,使用StartLogging 命令将记录保存到 bucket 中。

AWS CloudTrail 仅显示您正在查看的当前地区在过去 90 天的 CloudTrail 事件历史记录结果,您可以访问 CloudTrail 控制台或使用 CloudTrail API/CLI 查看过去信息。

3.5 安全分析和故障排除

当您的云账号或资源存在安全问题时,ActionTrail所记录的日志将能帮助您分析原因。比如,ActionTrail会记录您的所有账号登录操作,何时、从哪个IP、是否使用多因素认证登录,这些都有详细记录,通过这些记录您可以判断您的账号是否存在安全问题。

当您的资源出现异常变更时,ActionTrail所记录的操作日志将能帮助您找到原因。支持捕捉特定时间段的阿里云账号中发生的修改和查询操作,借此来分析和解决可能出现的故障和问题。

借助 AWS CloudTrail,您可以通过捕捉特定时段内您的 AWS 账户中所发生更改的全面历史记录,发现并解决安全性和操作性问题。通过将 AWS CloudTrail 事件导入您的日志管理和分析解决方案中,您可以执行安全性分析并检测用户行为模式。

可以利用由 AWS CloudTrail 生成的 AWS API 调用历史记录,对操作性问题进行故障排除。例如,您可以快速识别最近对您环境中的资源进行的更改,包括对 AWS 资源的创建,修改和删除。

3.6 成本

使用ActionTrail不需要用户付费,但用户需要为ActionTrail所使用的OSS存储付费。

AWS CloudTrail,您可以免费查看和下载过去 90 天的账户活动来创建、修改和删除支持的服务执行的操作。同时置 CloudTrail 跟踪后,Amazon S3 将按使用量收费。