本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用案例示例
为了更好地理解这些原则在不同场景中的应用,让我们来讨论一些示例使用案例。这些使用案例基于现实世界中教育机构采用云服务的方式。
+ [虚拟计算机实验室](virtual-labs.md)
+ [预测学生成功](student-success.md)
+ [身份联合验证和单点登录](identity-sso.md)
+ [研究计算的云爆发](cloud-bursting.md)
# 虚拟计算机实验室
尽管基于 Web 的学习工具很受欢迎,而笔记本电脑、Chromebook 和平板电脑等用户设备也日益普及,但大多数教育机构仍保留了实体计算机实验室,用于资源密集型或旧版应用程序。这些计算机实验室通常是科学、技术、工程和数学(STEM)、职业和技术教育(CTE)、媒体和艺术、工程以及类似课程的必备设施。学校可以使用基于云的虚拟桌面或应用程序流服务来增强或取代实体计算机实验室,以确保所有学生都可以随时随地在任何设备上访问所需的应用程序。这可提升数字公平性,实现远程学习,确保一致的用户体验,并在降低成本的同时保护远程访问。
在小学和中学(K12)教育中,许多美国学校使用完全托管的桌面和应用程序流媒体服务[亚马逊 WorkSpaces ](https://aws.amazon.com/appstream2/)应用程序来提供虚拟计算机实验室,以提供对Adobe Creative Cloud、Autodesk软件、STEM和CTE课程(例如PLTW)等的访问权限。许多 K12 组织已经通过 SaaS 应用程序 Google Workspace 和 Google Drive 管理学生单点登录和文件存储。这些机构可以通过 SAML 2.0 联盟在 Google Workspace 和 WorkSpaces 应用程序之间设置单点登录。他们还可以在 WorkSpaces 应用和 Google 云端硬盘之间配置原生集成,以便学生可以使用现有存储空间。下图说明了此用例的 WorkSpaces 应用程序部署。
![\[将 Amazon WorkSpaces 应用程序用于虚拟计算机实验室\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/virtual-computer-lab.png)
此架构遵循以下建议:
+ **选择主要战略云提供商。**此架构使用来自一个主要云提供商的云服务。尽管其包含与不在同一提供商上托管的 SaaS 应用程序的集成,但这些集成只需简单的配置即可完成。只有部署和管理主要云提供商的服务时,才需要云专业知识和技能集。
+ **区分 SaaS 应用程序和基础云服务。**Google Workspace 和 Google 云端硬盘与 AppStream 2.0 托管在同一个云提供商上,但这是可以接受的,因为这种部署提供了必要的集成。单点登录可实现集中式身份管理,并通过 SAML 2.0 进行安全配置。要为学生启用永久云存储,只需在 Google 云端硬盘和 WorkSpaces 应用程序中进行简单的配置更改。
+ **为每个云服务提供商制定安全和治理要求。**此架构中使用的服务和集成可帮助满足机构的安全和治理要求。流式传输流量已加密。通过 Google Workspace 进行联合身份验证以实现集中式身份管理。[Amazon Virtual Private Cloud(Amazon VPC)](https://aws.amazon.com/vpc/)等网络服务支持子网、路由和防火墙的配置。您可以使用 DNS 配置、代理、虚拟设备或 Amazon Route 53 Resolver DNS 防火墙等托管服务来筛选内容。您可以使用诸如的服务[AWS Control Tower](https://aws.amazon.com/controltower/)来帮助确保托管 WorkSpaces 应用程序的 AWS 账户遵守标准的组织护栏和控制措施。
+ **尽可能采用云原生托管解决方案。** WorkSpaces 应用程序是一项用于桌面和应用程序流的托管服务。您可以流式传输桌面和应用程序,而无需预调配、扩展或维护服务器。您只需安装应用程序,连接相应的身份、网络和存储解决方案,然后集中管理这些应用程序并将其流式传输给您的用户。这省去了管理自有虚拟桌面流式传输解决方案所需的大量无差异化繁重工作。
# 预测学生成功
美国中西部的一所大学发现,对于新入学的一年级学生来说,一些关键活动能够高度预测其是否能成功完成第一学期的课程以及最终获得学位。该大学希望实施一个系统,监控这些活动的完成情况,并在关键截止日期临近或已过时,鼓励学生完成这些步骤。
SaaS 学习管理系统(LMS)数据是该解决方案的关键输入,但事实证明,使用大学 IT 团队的数据仓库工具难以访问和处理其数据。此外,发送给学生的消息必须通过学校基于云的客户关系管理(CRM)系统发送。为了构建功能性解决方案并评测给学生的提示的有效性,该大学必须通过 CRM 启动消息并从中收集数据。
该大学在单云环境中开发并部署解决方案。该解决方案混合了云原生托管服务、预调配云服务器以及与本地系统和基于云的 SaaS 应用程序的集成。如下图所示,该解决方案将来自学生信息系统(SIS)、LMS 和 CRM 的数据摄取到数据湖中。它使用这些数据来识别有可能错过关键活动的学生,通过 CRM 向其发送消息,并为大学领导层提供控制面板。
![\[预测学生成功的系统\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/student-success.png)
此架构遵循以下建议:
+ **选择主要战略云提供商。**该大学的战略云提供商容纳已部署的全部解决方案。这使得 IT 和业务人员能够专注于提升单一集成云能力集的技能。
+ **区分 SaaS 应用程序和基础云服务。**该大学会区分 SaaS 应用程序与核心云分析服务,并使用与 SaaS 应用程序的集成来收集数据并启动相应的通信。
+ **为每个云服务提供商制定安全和治理要求。**该大学通过实施护栏和控制措施(包括传输中和静态加密)来确保架构的所有组件安全,从而妥善处理学生数据。
+ **在切实可行的情况下,尽可能采用云原生托管解决方案。**云原生托管服务用于数据摄取、存储、数据库以及提取、转换和加载 (ETL) 功能,从而缩短了开发数据处理工作流程的 end-to-end时间。
# 身份联合验证和单点登录
确保核心系统之间一致的身份管理是成功且安全地采用任何技术的关键。教育机构越来越多地采用基于云的身份和单点登录解决方案,例如 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)Microsoft Entra ID(前身为Azure Active Directory) JumpCloud、Okta OneLogin、、、、Ping Identity,以及 CyberArk 为了简化身份管理、减轻运营负担和集中实施最佳实践,例如多因素身份验证和最低权限访问。
其中许多机构仍在为其本地环境维护 Active Directory 和 Shibboleth 等身份管理和目录服务。其可以与基于云的解决方案集成,为您的学生和教职员工提供集中式身份管理和单点登录。云解决方案提供商应拥有强大的 easy-to-integrate身份管理平台,允许您通过云身份提供商将身份与现有应用程序、SaaS 解决方案和云服务联合起来。下图展示一个示例架构。
![\[Identity management flow from on-premises systems to AWS 服务 via cloud identity providers.\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/identity-sso.png)
此架构遵循以下建议:
+ **选择主要战略云提供商。**此架构 AWS 用作主要的云提供商。通过与云身份提供者以及本地现有身份管理和目录服务集成,此架构支持自动预调配和管理对主要云提供商服务以及其他应用程序和 SaaS 解决方案的访问权限。随着越来越多的应用程序和服务添加到该机构的技术产品组合,这可确保以一致、易于管理的方式满足安全和治理要求。
+ **区分 SaaS 应用程序和基础云服务。**该架构集成了多种类型的基于云的、SaaS 和本地身份系统,以提供对 AWS 云 服务和其他应用程序的访问。许多基于云的身份提供者和单点登录解决方案也是 SaaS 应用程序,它们可以使用原生集成和 SAML 等标准协议来跨环境工作。
+ **为每个云服务提供商制定安全和治理要求。**此架构符合众多安全框架发布的身份和访问管理指引,包括美国国家标准与技术研究所(NIST)网络安全框架(CSF)、NIST 800-171 和 NIST 800-53。与 [AWS Organizations](https://aws.amazon.com/organizations/)、[AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) 以及其他 [AWS 安全、身份与合规服务](https://aws.amazon.com/products/security/)的集成可帮助根据组权限提供安全、精细的访问控制。
+ **在切实可行的情况下,尽可能采用云原生托管服务。**此架构使用基于云的托管服务进行身份管理和单点登录。这可减少在基础设施管理上花费的时间和精力,使维护这些关键系统变得更加容易。
+ **在现有本地投资激励继续使用时,实施混合架构。**此架构集成了用于托管 Active Directory、轻型目录访问控制(LDAP)和 Shibboleth 工作负载的基础设施现有的本地投资,并提供了最终将核心身份服务迁移到基于云的基础设施的路径。[此外,如果您的本地工作负载需要基于证书的 AWS 资源访问权限,则可以使用AWS Identity and Access Management Roles Anywhere。](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
# 研究计算的云爆发
美国一所 R1 级(博士类大学:研究活动非常高)研究机构的研究计算团队多年来一直使用 Slurm 调度器运行本地高性能计算(HPC)集群。除了几周的计划维护外,集群的利用率为 80-95%,且大部分队列均为满载。
该机构的研究活动不断增长,这给容量和能力都带来了挑战。一些备受瞩目的研究人员总是在某些队列中执行长时间模拟,这增加了其他用户的等待时间。新聘用的教师需要进行大量的天气模拟,以构建一种新颖的人工智能和机器学习(AI/ML)模型进行天气预报,但其所需容量超出了可用容量。研究计算小组还收到了更多关于提供用于训练机器学习模型的最新图形处理单元 (GPUs) 的请求。即使有了购买新机架的资金 GPUs,该团队也需要等待几个月才能获得扩大数据中心机架空间的批准。
许多研究人员不愿删除旧数据,因此本地存储容量也面临挑战。我们需要一种更具可扩展性的长期存储方案,以腾出宝贵的本地高性能存储。
云通过混合计算和存储解决方案来应对这些挑战,当本地容量不足时,您可以将研究计算*爆发*到云。以下架构图展示使用 [AWS ParallelCluster](https://aws.amazon.com/hpc/parallelcluster/) 和 [AWS Storage Gateway](https://aws.amazon.com/storagegateway/) 等工具的几种计算和存储爆发方法。
![\[研究计算的云爆发架构\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/cloud-bursting.png)
此架构遵循以下建议:
+ **选择主要战略云提供商。**此架构使用一个主要云提供商,以避免受到最小共同点方法的限制。这样,该机构就可以利用主要云提供商提供的创新以及原生计算和存储服务。研究计算团队可以专注于优化主要云提供商所提供环境中的工作负载,而不是如何在不同的云环境中工作。
+ **为每个云服务提供商制定安全和治理要求。**此架构中使用的每种服务和工具均可进行配置,以满足研究计算团队的安全和治理要求,包括私有连接、传输中和静态数据加密、活动日志记录等。
+ **在切实可行的情况下,尽可能采用云原生托管服务。**此架构能够使用托管存储和计算服务以及工具来简化集群管理。这样,研究计算团队无需自行管理集群或底层基础设施,这些工作往往复杂且耗时。
+ **在现有本地投资激励继续使用时,实施混合架构。**此架构使机构能够继续使用其本地资源,并利用云来增加容量和按需扩展计算能力。借助云,机构可以调整计算类型的适合大小,以实现最大性价比;并使用最新技术来促进创新,而无需对额外的本地硬件进行大量前期投资。