00-aws-basic-concept

AWS 基本概念與設定流程

AWS 基本概念與設定流程
AWS 提供了強大的雲端基礎設施服務,透過合理的設定,可以構建穩定、安全且可擴展的雲端環境。本篇將指導您完成從基本設定到啟用服務的步驟,並詳述背後的概念與常見問題,適合初學者理解與操作。

1. 使用 AWS Root 帳戶

1.1 確認帳戶與地區

  • 登入 AWS 管理控制台,確保使用的是 Root 帳戶或具有必要權限的 IAM 帳戶。
  • 確認帳戶所選用的地區(Region),這將影響到資源的部署位置與延遲。

注意:初次設置 AWS 資源時,請選擇距離使用者近的地區以減少網路延遲。

2. VPC 與網路配置

2.1 VPC 的設置

  • VPC(Virtual Private Cloud)是 AWS 中的虛擬網路,可讓您在雲中設定與管理網路資源。
  • 常見設置包括:
    • 公有子網(Public Subnet):允許訪問公網(通常需要搭配 IGW)。
    • 私有子網(Private Subnet):限制對外訪問,僅允許內部網路通訊。

2.2 設置 VPC 的步驟

  1. 登入 AWS 控制台,選擇 VPC 服務。
  2. 點選「Create VPC」按鈕,設置名稱與 CIDR block(例如 10.0.0.0/16)。
  3. 建立子網:
    • 公有子網:設置可連接 Internet Gateway(IGW)。
    • 私有子網:設置內部網路資源,無需直接連接 IGW。

2.3 設置 Internet Gateway (IGW)

  • IGW 是一種讓 VPC 內的資源訪問公網的設備。
  • 為 VPC 附加 IGW,使公有子網內的資源能夠訪問外部網路。

2.4 子網和 CIDR 設定的選擇

  • **10.0.0.0/16 vs 10.0.0.0/24**:前者擁有更多的 IP 範圍,適合大規模環境;後者則適合較小範圍的網路設置。
  • 設置 VPN 時需注意避免子網與其他公司網段重疊。

2.5 設置 Security Groups

  • Security Groups 是 AWS 中的虛擬防火牆,可控制入站與出站流量。
    • 入站規則:控制哪些流量可以進入實例(例如允許 SSH, HTTP/HTTPS)。
    • 出站規則:控制哪些流量可以從實例發出。

建議:初次設置時,請遵循最小權限原則,只允許必要的流量進出,並根據業務需求調整規則。

2.6 公司網路與私有網路的設定

  • 建立一個私有子網來存放內部資源,並確保其不直接暴露於公網。
  • 公有子網則可用於暴露需要對外提供服務的資源,如 Web 伺服器。

3. 建立 EC2 實例

3.1 選擇 EC2 Instance Type

  • 根據您的需求選擇適當的實例類型,如 t2.micro(輕量應用)或 m5.large(更強效能)。
  • 選擇實例時,應考慮 CPU、內存與 I/O 性能。

3.2 設置 PEM 檔案

  • 建立新實例時,下載 PEM 檔案以便未來的 SSH 登入。
  • PEM 檔案是用於 EC2 SSH 登入的憑證,請妥善保管。

3.3 配置網路與子網

  • 指定實例應使用的 VPC 與子網(公有或私有)。
  • 確認是否需要公開 IP 地址,取決於實例是否需要對外訪問。

3.4 配置安全群組

  • 設定 EC2 的安全群組規則,確保開啟必要的端口(如 22 端口用於 SSH,80/443 用於 HTTP/HTTPS)。

3.5 啟動服務

  • 啟動實例後,服務通常即為可用狀態。

  • 若需進行網路層檢查,請確認 Security Group 的規則與內部防火牆(例如 iptables)設定是否允許所需流量。

    1
    sudo iptables -L

  • 根據需求進行防火牆規則的開放或限制,確保網路安全與正常訪問。

4. 資料儲存設定

4.1 建立與掛載 EBS Volume

  • EBS(Elastic Block Store)是 AWS 的持久性儲存服務。

    1. 建立新的 EBS Volume,選擇大小與磁碟類型。
    2. 使用 CLI 或 AWS 管理控制台將 Volume 附加至指定的 EC2 實例。
    1
    aws ec2 attach-volume --volume-id <volume-id> --instance-id <instance-id> --device /dev/xvdf
    1. 在實例內部格式化並掛載 Volume:
    1
    2
    3
    sudo mkfs -t xfs /dev/xvdf
    sudo mkdir /data
    sudo mount /dev/xvdf /data

4.2 編輯 /etc/fstab

  • 配置開機自動掛載:

    1
    2
    sudo vim /etc/fstab
    /dev/xvdf  /data  xfs  defaults,nofail  0  2

5. 監控與維護

5.1 自建 Grafana 監控

  • 安裝與配置 Prometheus 作為數據來源,並搭配 Grafana 進行可視化監控。
    1. 安裝 Prometheus 以收集與儲存時間序列數據。
    2. 安裝與配置 Grafana:
      1
      2
      3
      sudo yum install grafana -y
      sudo systemctl start grafana-server
      sudo systemctl enable grafana-server
    3. 在 Grafana 中添加 Prometheus 來源,並設定所需的儀表板以監控資源使用情況。

5.2 常見監控指標

  • CPU 使用率記憶體消耗磁碟 I/O網路流量等。
  • 定期檢查這些指標,確保系統運行穩定,並及時調整資源配置以應對負載變化。

6. 綜合考量與最佳實踐

  • 最小權限原則:只允許必要的網路流量進出。
  • 資源標籤管理:給資源加上標籤,有助於管理與權限分配。
  • 監控與審計:使用自建的 Grafana、Prometheus 監控系統,確保資源使用符合需求,並能夠及時排查問題。

以上為基本的 AWS 操作與設置流程,涵蓋網路配置、實例創建與存儲管理。希望能夠幫助您在實踐中掌握 AWS 的核心概念與運用,進一步深化理解與應用。

aws
#AWS #EC2 #VPC #network
00-aws-basic-concept
https://terryyaowork.github.io/aws/20241029/1064703203/
作者
Terry Yao
發布於
2024年10月29日
許可協議