本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 範例使用案例
為了更好地了解這些原則在不同案例中的應用,讓我們來討論一些範例使用案例。這些使用案例是根據實際教育機構如何採用雲端服務。
+ [虛擬電腦實驗室](virtual-labs.md)
+ [預測學生成功](student-success.md)
+ [聯合身分和單一登入](identity-sso.md)
+ [用於研究運算的雲端爆量](cloud-bursting.md)
# 虛擬電腦實驗室
儘管 Web 型學習工具的熱門程度以及筆記型電腦、Chromebook 和平板電腦等豐富的使用者裝置,但大多數教育機構仍為資源密集型或舊版應用程式維護實體電腦實驗室。這些電腦實驗室通常是科學、技術、工程和數學 (STEM)、職業和技術教育 (CTE)、媒體和藝術、工程和類似課程的必要項目。學校可以使用雲端虛擬桌面或應用程式串流服務來擴增或取代實體電腦實驗室,以確保所有學生可以隨時從任何位置和任何裝置上存取他們所需的應用程式。這可改善數位公平、啟用遠端學習、確保一致的使用者體驗,並在降低成本的同時保護遠端存取。
在主要和次要 (K12) 教育中,許多美國學校使用全受管桌面和應用程式串流服務 [Amazon WorkSpaces 應用程式](https://aws.amazon.com/appstream2/),提供虛擬電腦實驗室,以提供 Adobe Creative Cloud、Autodesk 軟體、STEM 和 CTE 課程的存取權,例如 Project Lead the Way (PLTW) 等。許多 K12 組織已經透過 SaaS 應用程式 Google Workspace 和 Google Drive 管理學生單一登入和檔案儲存。這些機構可以透過 SAML 2.0 聯合在 Google Workspace 和 WorkSpaces 應用程式之間設定單一登入。他們也可以設定 WorkSpaces 應用程式和 Google Drive 之間的原生整合,讓學生可以使用現有的儲存體。下圖說明此使用案例的 WorkSpaces 應用程式部署。
![\[將 Amazon WorkSpaces 應用程式用於虛擬電腦實驗室\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/virtual-computer-lab.png)
此架構遵循下列建議:
+ **選取主要的策略性雲端供應商。 **此架構使用來自一個主要雲端提供者的雲端服務。雖然它包含與未在相同提供者上託管的 SaaS 應用程式整合,但這些整合是透過簡單的組態來完成。只有從主要雲端供應商部署和管理服務時,才需要雲端專業知識和技能集。
+ **區分 SaaS 應用程式和基礎雲端服務。 **Google Workspace 和 Google Drive 不會託管在與 AppStream 2.0 相同的雲端提供者上,但這是可接受的,因為此部署提供必要的整合。單一登入可啟用集中式身分管理,並透過 SAML 2.0 安全地設定。為學生啟用持久性雲端儲存,需要在 Google Drive 和 WorkSpaces 應用程式中進行簡單的組態變更。
+ **為每個雲端服務供應商建立安全與控管要求。 **此架構中使用的服務和整合有助於滿足機構的安全和管理要求。串流流量已加密。透過 Google Workspace 的聯合允許集中式身分管理。[Amazon Virtual Private Cloud (Amazon VPC)](https://aws.amazon.com/vpc/) 等網路服務支援子網路、路由和防火牆的組態。您可以使用 DNS 組態、代理程式、虛擬設備或 Amazon Route 53 Resolver DNS 防火牆等受管服務來篩選內容。您可以使用 等服務[AWS Control Tower](https://aws.amazon.com/controltower/),協助確保託管 WorkSpaces 應用程式的 AWS 帳戶遵循標準組織防護機制和控制。
+ **盡可能且實際地採用雲端原生的受管解決方案。**WorkSpaces 應用程式是桌面和應用程式串流的受管服務。您可以串流桌面和應用程式,而不必擔心佈建、擴展或維護伺服器。您可以安裝應用程式、連接適當的身分、網路和儲存解決方案,然後將這些應用程式集中管理和串流到您的使用者。這消除了管理您自己的虛擬桌面串流解決方案所需的許多未差異化繁重工作。
# 預測學生成功
位於美國的中西部大學發現,入學一年級學生的少數關鍵活動高度預測成功,無論是在學生的第一學期上,還是獲得學位。大學想要實作監控這些活動是否完成的系統,當關鍵截止日期接近或通過時,他們想要鼓勵學生完成這些步驟。
SaaS 學習管理系統 (LMS) 資料是此解決方案的關鍵輸入,但其資料經證明對使用大學 IT 團隊的資料倉儲工具進行存取和處理具有挑戰性。此外,傳送給學生的訊息必須透過學校的雲端客戶關係管理 (CRM) 系統傳送。為了建置功能解決方案並評估學生提示的有效性,大學必須透過 CRM 啟動訊息並從中收集資料。
大學開發解決方案並將其部署到單一雲端環境中。解決方案結合了雲端原生受管服務、佈建的雲端伺服器,以及與內部部署系統和雲端型 SaaS 應用程式的整合。如下圖所示,解決方案將資料從學生資訊系統 (SIS)、LMS 和 CRM 擷取到資料湖。它使用此資料來識別危及缺少關鍵活動的學生、透過 CRM 向學生發出訊息,以及向大學領導層提供儀表板。
![\[預測學生成功的系統\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/student-success.png)
此架構遵循下列建議:
+ **選取主要的策略性雲端供應商。 **該大學的策略雲端供應商存放整個部署的解決方案。這可讓 IT 和業務人員專注於在單一整合的雲端功能集中開發技能。
+ **區分 SaaS 應用程式和基礎雲端服務。 **大學區分 SaaS 應用程式和核心雲端分析服務,並使用與 SaaS 應用程式的整合來收集資料並啟動適當的通訊。
+ **為每個雲端服務供應商建立安全與控管要求。 **大學會強制執行護欄和控制項,包括傳輸中和靜態加密,以確保架構的所有元件都安全,以適當地處理學生資料。
+ **盡可能且實際地採用雲端原生的受管解決方案。 **雲端原生受管服務用於資料擷取、儲存、資料庫和擷取、轉換和載入 (ETL) 功能,可縮短開發end-to-end資料處理工作流程的時間。
# 聯合身分和單一登入
確保核心系統之間的一致身分管理是成功且安全地採用任何技術的關鍵。教育機構越來越採用雲端型身分和單一登入解決方案,例如 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)、Microsoft Entra ID (先前稱為 Azure Active Directory)、Okta、JumpCloud、OneLogin、Ping Identity 和 CyberArk,以簡化身分管理、降低操作負擔,並集中強制執行最佳實務,例如多重驗證和最低權限存取。
其中許多機構仍會為其內部部署環境維護身分管理和目錄服務,例如 Active Directory 和 Shibboleth。這些可以與雲端型解決方案整合,為您的學生、教職員和員工啟用集中式身分管理和單一登入。雲端解決方案提供者應擁有強大且easy-to-integrate身分管理平台,可讓您透過雲端身分提供者將身分聯合到現有的應用程式、SaaS 解決方案和雲端服務。下圖顯示範例架構。
![\[Identity management flow from on-premises systems to AWS 服務 via cloud identity providers.\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/identity-sso.png)
此架構遵循下列建議:
+ **選取主要的策略性雲端供應商。 **此架構使用 AWS 做為主要雲端提供者。透過與內部部署的雲端身分提供者和現有身分管理和目錄服務整合,此架構支援自動佈建和管理主要雲端提供者的服務和其他應用程式和 SaaS 解決方案的存取。這可確保在將更多應用程式和服務新增至機構的技術產品組合時,以一致、易於管理的方式滿足安全和控管要求。
+ **區分 SaaS 應用程式和基礎雲端服務。 **此架構整合了多種類型的雲端型、SaaS 和內部部署身分系統,以提供對 AWS 雲端 服務和其他應用程式的存取。許多雲端型身分提供者和單一登入解決方案也是 SaaS 應用程式,他們可以使用原生整合和標準通訊協定,例如 SAML 來跨環境運作。
+ **為每個雲端服務供應商建立安全與控管要求。 **此架構遵循許多安全架構發行的身分和存取管理指引,包括國家標準技術研究所 (NIST) 網路安全架構 (CSF)、NIST 800-171 和 NIST 800-53。與 [AWS Organizations](https://aws.amazon.com/organizations/)、 [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) 和其他[AWS 安全、身分和合規服務的](https://aws.amazon.com/products/security/)整合,有助於根據群組許可提供安全、精細的存取控制。
+ **盡可能且實際地採用雲端原生受管服務。 **此架構使用雲端型受管服務進行身分管理和單一登入。這可減少基礎設施管理所花費的時間和能源,並讓您更輕鬆地維護這些關鍵系統。
+ **當現有的現場部署投資鼓勵持續使用時,實作混合架構。 **此架構在託管 Active Directory、Lightweight Directory Access Control (LDAP) 和 Shibboleth 工作負載的基礎設施中整合現有的內部部署投資,並提供最終將核心身分服務移至雲端基礎設施的路徑。此外,如果您的現場部署工作負載需要以憑證為基礎的 AWS 資源存取權,您可以使用 [AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)。
# 用於研究運算的雲端爆量
美國 R1 (Doctoral Universities – Very High Research Activity) 研究機構的研究運算群組已使用 Slurm 排程器執行內部部署高效能運算 (HPC) 叢集多年。除了數週的排程維護之外,叢集以 80-95% 的使用率執行,其中大部分佇列已滿。
機構中越來越多的研究活動帶來了容量和能力挑戰。一些高度關注的研究人員一直對某些佇列執行長時間執行的模擬,這增加了其他使用者的等待時間。新聘用的教職員需要執行大量天氣模擬,以建置用於天氣預測的新型人工智慧和機器學習 (AI/ML) 模型,但他們需要比現有更多的容量。研究運算群組也收到更多請求,要求最新的圖形處理單元 (GPUs) 來訓練機器學習模型。即使有了新 GPUs 的資金,團隊仍需要等待數個月,才能獲得資料中心中擴展機架空間的核准。
許多研究人員都不願意刪除舊資料,因此本機儲存容量也是一項挑戰。需要更具可擴展性的長期儲存選項,才能釋放現場部署中寶貴的高效能儲存。
雲端透過混合運算和儲存解決方案解決這些挑戰,可讓您在內部部署容量不足時將研究運算*爆增*到雲端。下列架構圖說明一些運算和儲存爆量方法,使用 [AWS ParallelCluster](https://aws.amazon.com/hpc/parallelcluster/)和 等工具[AWS Storage Gateway](https://aws.amazon.com/storagegateway/)。
![\[用於研究運算的雲端爆量架構\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/cloud-bursting.png)
此架構遵循下列建議:
+ **選取主要的策略性雲端供應商。 **此架構使用一個主要雲端提供者,以避免受到最不常見的分母方法限制。透過這種方式,機構可以利用主要雲端供應商提供的創新和原生運算和儲存服務。研究運算團隊可以專注於最佳化主要雲端供應商所提供環境中的工作負載,而不是如何在不同的雲端環境中工作。
+ **為每個雲端服務供應商建立安全與控管要求。 **此架構中使用的每個服務和工具都可以設定為符合研究運算團隊的安全和管理要求,包括私有連線、傳輸中和靜態資料加密、活動記錄等。
+ **盡可能且實際地採用雲端原生受管服務。 **此架構可讓您使用受管儲存和運算服務,以及簡化叢集管理的工具。如此一來,研究運算團隊就不必擔心自行管理叢集或基礎基礎設施,這可能很複雜且耗時。
+ **當現有的現場部署投資鼓勵持續使用時,實作混合架構。 **此架構可讓機構繼續使用其內部部署資源,並利用雲端來增加容量並隨需擴展運算能力。透過雲端,機構可以調整運算類型的適當大小,以最大限度地提高價格效能,並存取最新的技術來促進創新,而無需對其他現場部署硬體進行大量預付投資。