خبير AWS Cloud

---
name: aws-cloud-expert
description: |
  تصميم وتنفيذ معماريات سحابة AWS مع التركيز على إطار العمل Well-Architected، وتحسين التكلفة، والأمان. استخدم عندما:
  1. تصميم أو مراجعة بنية تحتية لـ AWS
  2. ترحيل أعباء العمل إلى AWS أو بين خدمات AWS
  3. تحسين تكاليف AWS (تحديد الحجم المناسب، مثيلات محجوزة، خطط توفير)
  4. تنفيذ أمان AWS، أو الامتثال، أو التعافي من الكوارث
  5. استكشاف مشكلات خدمة AWS أو مشاكل الأداء
---

**المنطقة**: ${region:us-east-1}
**المنطقة الثانوية**: ${secondary_region:us-west-2}
**البيئة**: ${environment:production}
**VPC CIDR**: ${vpc_cidr:10.0.0.0/16}
**نوع المثيل**: ${instance_type:t3.medium}

# إطار عمل قرار بنية AWS

## مصفوفة اختيار الخدمة

| نوع عبء العمل | الخدمة الأساسية | البديل | عامل القرار |
|---------------|-----------------|-------------|-----------------|
| Stateless API | Lambda + API Gateway | ECS Fargate | مدة الطلب >15 دقيقة -> ECS |
| Stateful web app | ECS/EKS | EC2 Auto Scaling | خبرة في الحاويات -> ECS/EKS |
| Batch processing | Step Functions + Lambda | AWS Batch | GPU/طويل الأمد -> Batch |
| Real-time streaming | Kinesis Data Streams | MSK (Kafka) | Kafka موجود -> MSK |
| Static website | S3 + CloudFront | Amplify | Full-stack -> Amplify |
| Relational DB | Aurora | RDS | توفر عالٍ -> Aurora |
| Key-value store | DynamoDB | ElastiCache | زمن انتقال أقل من مللي ثانية -> ElastiCache |
| Data warehouse | Redshift | Athena | استعلامات مخصصة -> Athena |

## شجرة قرار الحوسبة

```
البداية: ما هو نمط عبء العمل الخاص بك؟
|
+-> يعتمد على الأحداث، تنفيذ <15 دقيقة
|   +-> Lambda
|       اعتبارات: الذاكرة ${lambda_memory:512}MB، عمليات التنفيذ المتزامنة، البدء البارد
|
+-> حاويات طويلة الأمد
|   +-> هل تحتاج إلى Kubernetes؟
|       +-> نعم: EKS (مدار) أو K8s مدار ذاتيًا على EC2
|       +-> لا: ECS Fargate (بلا خادم) أو ECS EC2 (تحسين التكلفة)
|
+-> يتطلب GPU/HPC/Custom AMI
|   +-> EC2 مع عائلة مثيلات مناسبة
|       g4dn/p4d (ML)، c6i (حوسبة)، r6i (ذاكرة)، i3en (تخزين)
|
+-> وظائف Batch، قائمة على قائمة الانتظار
    +-> AWS Batch مع مثيلات Spot (توفير يصل إلى 90%)
```

## بنية الشبكات

### نمط تصميم VPC

```
${environment:production} VPC (${vpc_cidr:10.0.0.0/16})
|
+-- الشبكات الفرعية العامة (${public_subnet_cidr:10.0.0.0/24}, 10.0.1.0/24, 10.0.2.0/24)
|   +-- ALB، NAT Gateways، Bastion (إذا لزم الأمر)
|
+-- الشبكات الفرعية الخاصة (${private_subnet_cidr:10.0.10.0/24}, 10.0.11.0/24, 10.0.12.0/24)
|   +-- طبقة التطبيق (ECS, EC2, Lambda VPC)
|
+-- الشبكات الفرعية للبيانات (${data_subnet_cidr:10.0.20.0/24}, 10.0.21.0/24, 10.0.22.0/24)
    +-- RDS، ElastiCache، مخازن بيانات أخرى
```

### قواعد مجموعة الأمان

| الطبقة | وارد من | المنافذ |
|------|--------------|-------|
| ALB | 0.0.0.0/0 | 443 |
| التطبيق | ALB SG | ${app_port:8080} |
| البيانات | App SG | ${db_port:5432} |

### نقاط نهاية VPC (تحسين التكلفة)

قم دائمًا بإنشاء نقاط نهاية للخدمات ذات حركة المرور العالية:
- S3 Gateway Endpoint (مجاني)
- DynamoDB Gateway Endpoint (مجاني)
- Interface Endpoints: ECR, Secrets Manager, SSM, CloudWatch Logs

## قائمة مراجعة تحسين التكلفة

### الإجراءات الفورية (الأسبوع الأول)
- [ ] تمكين Cost Explorer وإعداد الميزانيات مع التنبيهات
- [ ] مراجعة وإنهاء الموارد غير المستخدمة (تقرير موارد Cost Explorer الخاملة)
- [ ] تحديد الحجم المناسب لمثيلات EC2 (توصيات AWS Compute Optimizer)
- [ ] حذف وحدات تخزين EBS غير المرفقة واللقطات القديمة
- [ ] مراجعة رسوم معالجة بيانات NAT Gateway

### مرجع سريع لتقدير التكلفة

| المورد | تقدير التكلفة الشهرية |
|----------|----------------------|
| ${instance_type:t3.medium} (عند الطلب) | ~$30 |
| ${instance_type:t3.medium} (مثيل محجوز لمدة سنة) | ~$18 |
| Lambda (مليون استدعاء، 1 ثانية، ${lambda_memory:512}MB) | ~$8 |
| RDS db.${instance_type:t3.medium} (متعدد المناطق) | ~$100 |
| Aurora Serverless v2 (${aurora_acu:8} ACU متوسط) | ~$350 |
| NAT Gateway + 100GB بيانات | ~$50 |
| S3 (1TB قياسي) | ~$23 |
| CloudFront (1TB نقل) | ~$85 |

## تنفيذ الأمان

### أفضل ممارسات IAM

```
المبدأ: أقل امتياز مع رفض صريح

1. استخدم أدوار IAM (وليس المستخدمين) للتطبيقات
2. طلب MFA لجميع المستخدمين البشريين
3. استخدم حدود الأذونات للمسؤول المفوض
4. تنفيذ SCPs على مستوى المنظمة
5. مراجعات وصول منتظمة باستخدام IAM Access Analyzer
```

### نمط سياسة IAM مثال

```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3BucketAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject", "s3:PutObject"],
      "Resource": "arn:aws:s3:::${bucket_name:my-bucket}/*",
      "Condition": {
        "StringEquals": {"aws:PrincipalTag/Environment": "${environment:production}"}
      }
    }
  ]
}
```

### قائمة مراجعة الأمان

- [ ] تمكين CloudTrail في جميع المناطق مع التحقق من ملف السجل
- [ ] تكوين قواعد AWS Config لمراقبة الامتثال
- [ ] تمكين GuardDuty للكشف عن التهديدات
- [ ] استخدام Secrets Manager أو Parameter Store للأسرار (وليس متغيرات البيئة)
- [ ] تمكين التشفير في وضع السكون لجميع مخازن البيانات
- [ ] فرض TLS 1.2+ لجميع الاتصالات
- [ ] تنفيذ VPC Flow Logs لمراقبة الشبكة
- [ ] استخدام Security Hub لعرض أمان مركزي

## أنماط التوفر العالي

### بنية Multi-AZ (هدف ${availability_target:99.99%})

```
المنطقة: ${region:us-east-1}
|
+-- AZ-a                    +-- AZ-b                    +-- AZ-c
    |                           |                           |
    ALB (نشط)                ALB (نشط)                ALB (نشط)
    |                           |                           |
    مهام ECS (${replicas_per_az:2})  مهام ECS (${replicas_per_az:2})  مهام ECS (${replicas_per_az:2})
    |                           |                           |
    كاتب Aurora               قارئ Aurora               قارئ Aurora
```

### بنية Multi-Region (هدف 99.999%)

```
الأساسي: ${region:us-east-1}              الثانوي: ${secondary_region:us-west-2}
|                               |
Route 53 (توجيه تجاوز الفشل)     Route 53 (فحوصات الصحة)
|                               |
CloudFront                      CloudFront
|                               |
Full stack                      Full stack (سلبي أو نشط)
|                               |
قاعدة بيانات Aurora Global -------> نسخة متماثلة للقراءة من Aurora
     (نسخ غير متزامن)
```

### مصفوفة قرار RTO/RPO

| الطبقة | هدف RTO | هدف RPO | الاستراتيجية |
|------|------------|------------|----------|
| الطبقة 1 (حرجة) | <${rto:15 min} | <${rpo:1 min} | متعدد المناطق نشط-نشط |
| الطبقة 2 (مهمة) | <1 ساعة | <15 دقيقة | متعدد المناطق نشط-سلبي |
| الطبقة 3 (قياسية) | <4 ساعات | <1 ساعة | Multi-AZ مع نسخ احتياطي عبر المناطق |
| الطبقة 4 (غير حرجة) | <24 ساعة | <24 ساعة | منطقة واحدة، نسخ احتياطي/استعادة |

## المراقبة والملاحظة

### تنفيذ CloudWatch

| نوع المقياس | الخدمة | المقاييس الرئيسية |
|-------------|---------|-------------|
| الحوسبة | EC2/ECS | CPUUtilization, MemoryUtilization, NetworkIn/Out |
| قاعدة البيانات | RDS/Aurora | DatabaseConnections, ReadLatency, WriteLatency |
| بلا خادم | Lambda | Duration, Errors, Throttles, ConcurrentExecutions |
| API | API Gateway | 4XXError, 5XXError, Latency, Count |
| التخزين | S3 | BucketSizeBytes, NumberOfObjects, 4xxErrors |

### عتبات التنبيه

| المورد | تحذير | حرج | الإجراء |
|----------|---------|----------|--------|
| EC2 CPU | >${cpu_warning:70%} 5 دقائق | >${cpu_critical:90%} 5 دقائق | توسيع النطاق، التحقيق |
| RDS CPU | >${rds_cpu_warning:80%} 5 دقائق | >${rds_cpu_critical:95%} 5 دقائق | توسيع النطاق، تحسين الاستعلام |
| أخطاء Lambda | >1% | >5% | التحقيق، التراجع |
| ALB 5xx | >0.1% | >1% | التحقيق في الواجهة الخلفية |
| DynamoDB throttle | أي | مستمر | زيادة السعة |

## قائمة مراجعة التحقق

### قبل إطلاق الإنتاج

- [ ] اكتمال مراجعة Well-Architected (جميع الركائز الست)
- [ ] اكتمال اختبار التحميل مع الذروة المتوقعة + 50% هامش
- [ ] اختبار التعافي من الكوارث مع RTO/RPO موثق
- [ ] اجتياز تقييم الأمان (اختبار الاختراق إذا لزم الأمر)
- [ ] التحقق من ضوابط الامتثال (إذا كانت قابلة للتطبيق)
- [ ] تكوين لوحات معلومات المراقبة والتنبيهات
- [ ] توثيق كتيبات التشغيل للعمليات الشائعة
- [ ] التحقق من توقعات التكلفة وتحديد الميزانيات
- [ ] تنفيذ استراتيجية الوسم لجميع الموارد
- [ ] اختبار إجراءات النسخ الاحتياطي والاستعادة
</TRANSLATE>