- vừa được xem lúc

Banking Infrastructure on Cloud

0 0 11

Người đăng: Quân Huỳnh

Theo Viblo Asia

Loạt bài viết ngắn chia sẻ về kiến trúc hạ tầng của hệ thống ngân hàng trên Cloud (AWS). Đây chỉ là những kiến thức mình học được thông qua sản phẩm ngân hàng số của bên mình.

  1. AWS Account Management
  2. Provisioning Infrastructure for Multi AWS Accounts
  3. Networking for Multi AWS Accounts
  4. CI/CD for Multi AWS Accounts
  5. WAF → Cloudfront → Loadbalancer → API Gateway → Loadbalancer
  6. EKS
  7. Core Banking on Cloud
  8. Security Consider

Mình thì cũng chả phải dân chuyên gì trong ngành này, chỉ là thấy hay nên chia sẻ những gì mình học được trong quá trình tiếp nhận hệ thống, bảo trì, nâng cấp và phát triển thêm tính năng với sự giúp đỡ của những đồng đội rất giỏi và tài năng, cộng với những anh síp cực tốt.

https://devopsvn.tech/banking-infrastructure-on-cloud

AWS Account Management

Để triển khai hạ tầng ngân hàng trên AWS thì công việc đầu tiên ta cần làm đó quyết định cách tổ chức và quản lý tài khoản AWS. Ta sử dụng một tài khoản hay nhiều tài khoản AWS? Nếu nhiều tài khoản thì tạo tài khoản theo tiêu chí gì? Làm thế nào để quản lý nhiều tài khoản?

DevOps VN

Tạo một hay nhiều tài khoản

Theo gợi ý của AWS thì đối với các doanh nghiệp có quy mô lớn thì ta nên triển khai hệ thống theo kiểu Landing Zone với nhiều tài khoản AWS khác nhau. Mục đích của việc tạo nhiều tài khoản là để tránh bị giới hạn AWS Service Quotas, tránh bị ảnh hưởng toàn bộ nếu có một tài khoản nào đó bị hack và dễ dàng quản lý AWS Billing. Với hệ thống banking thì ta nên chọn triển khai hạ tầng trên nhiều tài khoản AWS.

Tạo tài khoản theo tiêu chí gì

Tiêu chí phổ biến để tạo tài khoản là dựa theo môi trường và những thành phần phổ biến trong một hệ thống phần mền.

Ví dụ khi phát triển sản phẩm thì ta có môi trường là DEV, UAT, STAGING, PROD. Đối với các môi trường như DEV, UAT, STAGING có thể gôm lại thành môi trường nonprod. Còn những thành phần phổ biến trong một hệ thống thì bao gồm Networking, Workload, Operation (CI/CD), Monitoring, Logging, Data System.

image.png

Vậy ta có thể tạo các tài khoản với tên như sau (nonprod dùng cho các môi trường không phải production):

  • networking-nonprod
  • workload-nonprod
  • operation-nonprod
  • observability-nonprod
  • data-nonprod
  • networking-prod
  • workload-prod
  • operation-prod
  • observability-prod
  • data-prod

Networking dùng để quản lý network ra vào, tất cả các request đi vào và ra đều phải đi qua networking account trước rồi mới đi tiếp. Mục đích là để ta truy vết được toàn bộ request đi vào ra hệ thống.

Workload account dùng để triển khai ứng dụng, database, cache.

Operation account dùng để thực thi các tác vụ liên quan tới CI/CD, tạo hạ tầng cho các tài khoản khác.

Observability account dùng để triển khai hệ thống monitoring, logging và tracing.

Data account dùng để thực thi các tác vụ về dữ liệu như thu thập, xử lý dữ liệu và hiển thị dữ liệu đẹp cho người dùng nội bộ.

Quản lý nhiều tài khoản

Khi tạo nhiều tài khoản như trên thì ta quản lý như thế nào về mặt AWS Billing và truy cập. Ta cần một một tài khoản nữa với mục đích là để quản lý toàn bộ tài khoản trên, có thể đặt tên tài khoản này là root. Để tài khoản root có thể quản lý được các tài khoản trên thì ta cần sử dụng AWS Organizations kết hợp với AWS Control Tower.

DevOps VN

Vấn đề tiếp theo là về việc truy cập các tài khoản khác nhau. Khi ta có nhiều tài khoản AWS như trên thì khi truy cập ta cần làm thế nào để tiện nhất? Ta không thể dùng Console thông thường rồi login và logut để truy cập từng tài khoản được. Bên cạnh đó còn vấn đề về IAM User và Premission, nếu có một bạn cần truy cập nhiều tài khoản thì không lẻ ta phải vào từng tài khoản để tạo IAM User cho bạn? Để dễ dàng truy cập các tài khoản trong Control Tower thì AWS hỗ trợ dịch vụ IAM Identity Center. Ta chỉ cần tạo quyền và user ở một nơi và họ có thể truy cập được các tài khoản khác nhau thông qua IAM Identity Center, hình minh họa.

DevOps VN

Bài tiếp theo mình sẽ nói về cách sử dụng Operation Account để tạo hạ tầng cho các tài khoản khác.

Điểm hẹn ngân hàng số Vikki by HDBank

Bình luận

Bài viết tương tự

- vừa được xem lúc

PDF Export, cẩn thận với những input có thể truyền vào

Giới thiệu. Dạo gần đây mình tình cờ gặp rất nhiều lỗi XSS, tuy nhiên trang đó lại có sử dụng dữ liệu người dùng input vào để export ra PDF.

0 0 66

- vừa được xem lúc

Giới thiệu về AWS Batch

Khi sử dụng hệ thống cloud service, điều chúng ta thường phải quan tâm đến không chỉ là hiệu suất hoạt động (performance) mà còn phải chú ý đến cả chi phí bỏ ra để duy trì hoạt động của hệ thống. Chắn hẳn là hệ thống lớn hay nhỏ nào cũng đã từng phải dùng đến những instance chuyên để chạy batch thực

0 0 143

- vừa được xem lúc

Tìm hiểu về AWS KMS

1. AWS KMS là gì. Ở KMS bạn có thể lựa chọn tạo symetric key (khóa đối xứng) hoặc asymetric key (khóa bất đối xứng) để làm CMK (Customer Master Key). Sau khi tạo key thì có thể thiết đặt key policy để control quyền access và sử dụng key.

0 0 66

- vừa được xem lúc

AWS VPC cho người mới bắt đầu

Tuần này, tôi trình bày lại những gì tôi đã học được về Virtual Private Cloud (VPC) của Amazon. Nếu bạn muốn xem những gì tôi đã học được về AWS, hãy xem Tổng quan về DynamoDB và Tổng quan về S3. VPC là gì. Những điều cần lưu ý:.

0 0 84

- vừa được xem lúc

AWS Essentials (Phần 6): Guildline SNS Basic trên AWS

Tiếp tục với chuỗi bài viết về Basic AWS Setting, chúng ta tiếp tục tìm hiểu tiếp tới SNS (Simple Notification Service). Đây là một service của AWS cho phép người dùng setting thực hiện gửi email, text message hay push notification tự động tới mobile device dựa trên event người dùng setting phía AWS

0 0 145

- vừa được xem lúc

Sử dụng Amazon CloudFront Content Delivery Network với Private S3 Bucket — Signing URLs

Trong nhiều trường hợp, thì việc sử dụng CDN là bắt buộc. Mình đã trải nghiệm với một số CDN nhưng cuối cùng mình lựa chọn sử dụng AWS CloudFront.

0 0 117