AWS 基本概念與設定流程
第一次碰 AWS,面對幾百個服務不知道從哪開始?這篇幫你把最核心的幾個元件搞懂,適合剛拿到帳號、還在發呆的你。
先講結論
AWS 入門你只需要搞懂四件事:VPC(網路)、EC2(機器)、Security Group(防火牆)、EBS(硬碟)。其他幾百個服務?等你真的需要的時候再學就好,不要被 AWS 的服務清單嚇到。
Root 帳戶:你的超級管理員
登入 AWS 的第一步,你會用 Root 帳戶。這個帳戶擁有所有權限,就像 Linux 的 root 一樣——什麼都能做,也什麼都能搞砸。
有兩件事馬上做:
- 開 MFA(多重驗證),不然你的帳號被盜就是一場災難
- 選對 Region——離你的使用者越近越好。在台灣的話選
ap-northeast-1(東京)延遲最低
我一開始沒注意 Region,在 us-east-1 開了一堆東西,後來才發現延遲高到不行。搬家超痛苦,別重蹈覆轍。
VPC:你在 AWS 上的私有網路
VPC 就是你在 AWS 上圈出來的一塊網路空間。你可以把它想像成一棟辦公大樓——大樓是你的,裡面怎麼隔間你決定。
兩種子網你一定會用到:
- Public Subnet:有大門通往外面(搭配 Internet Gateway),放 Web Server 之類需要對外的東西
- Private Subnet:沒有對外出口,放資料庫、內部 API 這些不該被外面碰到的東西
設置 VPC 的時候,CIDR block 建議用 10.0.0.0/16,這樣有 65,536 個 IP 可以用。用 /24 的話只有 256 個,後面要擴充會很卡。
Internet Gateway(IGW)
IGW 就是那個大門。你的 Public Subnet 要能上網,就得把 IGW 掛到 VPC 上,然後在 Route Table 設定 0.0.0.0/0 → IGW。
Security Group:虛擬防火牆
Security Group 控制誰能進、誰能出。記住一個原則:最小權限。
只開你需要的 port——SSH 開 22、HTTP 開 80、HTTPS 開 443。別偷懶全開 0.0.0.0/0,等你收到 AWS 的帳單通知說有人在你的機器上挖礦,就知道痛了。
EC2:你的雲端機器
EC2 就是虛擬機。幾個重點:
Instance Type 怎麼選? 如果只是測試,t2.micro(免費方案)就夠了。正式環境再根據 CPU、記憶體需求往上開。
PEM 檔案要保管好。 建立 EC2 的時候會讓你下載一個 .pem 檔,這是你 SSH 登入的鑰匙。弄丟了就只能重建 instance,沒有第二次機會。
啟動之後先檢查防火牆:
sudo iptables -L如果 Security Group 開了但還是連不上,八成是 OS 層的防火牆沒開。這個坑我踩過,查了半天以為是 AWS 的問題,結果是 iptables 擋住的。
EBS:你的雲端硬碟
EC2 本身的儲存在你 stop instance 之後可能會消失(看 instance type),所以重要資料一定要掛 EBS Volume。
# 掛載新的 EBS Volume
aws ec2 attach-volume --volume-id <volume-id> --instance-id <instance-id> --device /dev/xvdf
# 格式化 + 掛載
sudo mkfs -t xfs /dev/xvdf
sudo mkdir /data
sudo mount /dev/xvdf /data一定要設定開機自動掛載,不然每次重開機都要手動 mount,遲早會忘:
# /etc/fstab 加這行
/dev/xvdf /data xfs defaults,nofail 0 2nofail 很重要——萬一 volume 沒掛上,加了這個參數機器還是能正常開機,不加的話整台會卡在那邊。
監控:別等出事才看
自建 Grafana + Prometheus 是我覺得 CP 值最高的監控方案:
sudo yum install grafana -y
sudo systemctl start grafana-server
sudo systemctl enable grafana-server裝好之後把 Prometheus 當 data source 加進去,盯著 CPU、記憶體、磁碟 I/O、網路流量這四個指標就好。其他花俏的 dashboard 可以之後再加,先把基本的顧好。
AWS 的服務多到像自助餐,但你不需要每道菜都吃——先把主食搞定,配菜慢慢來。