1. AWS EC2核心概念解析
作为AWS最基础也最核心的服务之一,Elastic Compute Cloud(EC2)是每个SAA-C03考生必须深入掌握的内容。EC2的本质是提供可调整计算容量的云服务器,但它的功能远不止简单的虚拟机托管。在实际架构设计中,EC2的选型直接影响着系统性能、成本效益和运维复杂度。
EC2实例由五大核心要素构成:AMI(Amazon Machine Image)决定了操作系统和预装软件,实例类型定义了vCPU、内存等硬件配置,存储选项包括EBS和实例存储两种方案,安全组充当虚拟防火墙,而密钥对则用于SSH登录认证。这五个要素的组合方式,直接决定了实例的运行环境和应用场景。
重要提示:考试中经常出现混淆EBS和实例存储的题目。记住关键区别 - EBS是持久化存储,实例存储仅在实例生命周期内存在。当实例终止时,实例存储上的数据会永久丢失。
2. 实例类型深度解读
AWS提供了超过400种实例类型,按照用途可分为通用型、计算优化型、内存优化型等几大类。考试中需要特别关注以下系列:
- T系列(突发性能实例):适合间歇性流量场景,通过CPU积分机制实现成本优化。关键要理解基准性能、获得模式(standard/unlimited)的区别。
- M系列(通用型):平衡计算、内存和网络资源,是大多数工作负载的默认选择。
- C系列(计算优化型):高CPU占比,适合批处理、游戏服务器等场景。
- R系列(内存优化型):大内存配置,典型用例包括内存数据库和实时分析。
实例命名规则也值得注意。例如m5.2xlarge中:"m"代表系列,"5"代表代次,"2xlarge"表示规格。新一代实例通常提供更好的性价比和功能支持。
3. 存储选项对比分析
3.1 EBS卷类型选择
EBS提供了多种卷类型,主要区别在于性能特征和价格:
| 卷类型 | 最大IOPS | 最大吞吐量 | 典型延迟 | 适用场景 |
|---|---|---|---|---|
| gp3 | 16,000 | 1,000 MB/s | 1-2 ms | 大多数生产工作负载 |
| io2 Block Express | 256,000 | 4,000 MB/s | 亚毫秒 | 关键业务低延迟应用 |
| st1 | 500 | 500 MB/s | 4-8 ms | 大数据、数据仓库 |
| sc1 | 250 | 250 MB/s | 4-8 ms | 冷数据、不频繁访问 |
gp3是当前默认推荐,相比gp2可以独立配置IOPS和吞吐量。考试中常出现需要根据工作负载特征选择最优卷类型的场景。
3.2 实例存储适用场景
虽然EBS已成为主流选择,但实例存储在以下场景仍有优势:
- 需要极高I/O性能的临时数据处理
- 缓存层或临时文件系统
- 完全在内存中运行的应用(此时实例存储可作swap)
4. 高级功能与最佳实践
4.1 弹性IP与网络配置
弹性IP(EIP)是专为动态云计算设计的静态IPv4地址。关键知识点包括:
- 每个账户默认限制5个EIP(可申请提高)
- 停止实例时EIP仍会保留(与自动分配的公有IP不同)
- 未关联的EIP会产生小时费用
- 可通过NAT网关实现私有子网出站访问
4.2 实例元数据服务
EC2实例可以通过特殊的URL访问自身的元数据:
bash复制curl http://169.254.169.254/latest/meta-data/
这个服务在自动化配置、获取实例信息等方面非常有用。考试中可能考察如何安全地使用元数据服务(如启用IMDSv2以避免SSRF攻击)。
4.3 启动模板与自动扩展
启动模板(Launch Template)定义了创建EC2实例所需的所有参数,是Auto Scaling组的基础。相比旧的启动配置(Launch Configuration),启动模板支持版本控制、更多参数配置等高级功能。
Auto Scaling的核心概念:
- 扩展策略(目标跟踪、简单/步进扩展)
- 冷却时间(避免过于频繁的扩展操作)
- 生命周期钩子(在实例进入服务前执行自定义操作)
5. 成本优化策略
5.1 预留实例与Savings Plans
预留实例(RI)提供大幅折扣(最高75%),适合稳定状态工作负载。关键选择维度:
- 期限(1年/3年)
- 付款选项(全预付/部分预付/无预付)
- 范围(区域性或特定可用区)
Savings Plans是更灵活的新型折扣模式,只要承诺一定的每小时支出(按1年或3年期限),即可享受折扣,适用于EC2、Fargate和Lambda等多种服务。
5.2 Spot实例使用技巧
Spot实例利用AWS的闲置容量,价格通常比按需实例低70-90%。适合容错性强的批处理、CI/CD等工作负载。使用Spot实例时需要考虑:
- 设置合理的最高价格(避免因市场价格波动被中断)
- 使用Spot舰队(Spot Fleet)跨多个实例类型分散风险
- 结合CloudWatch事件处理中断通知
6. 安全与合规考量
6.1 安全组与网络ACL
安全组(stateful)和网络ACL(stateless)构成了EC2实例的双层防护:
- 安全组作用于实例级别,支持允许规则(无拒绝规则)
- 网络ACL作用于子网级别,支持允许和拒绝规则
- 安全组评估所有规则后决定是否允许流量
- 网络ACL按规则编号顺序评估
6.2 实例角色与权限管理
最佳实践是使用IAM角色而非长期凭证访问AWS服务。角色可以随时附加或分离,且凭证自动轮换。关键操作:
bash复制aws ec2 associate-iam-instance-profile \
--instance-id i-1234567890abcdef0 \
--iam-instance-profile Name=MyProfile
7. 监控与运维工具
7.1 CloudWatch指标与警报
EC2默认提供基础监控指标(5分钟粒度),详细监控(额外收费)提供1分钟粒度。关键指标包括:
- CPU利用率(超过70%应考虑扩展)
- 状态检查(系统状态和实例状态)
- EBS读写操作和吞吐量
7.2 Systems Manager运维
AWS Systems Manager提供了免登录EC2实例的运维能力,核心功能包括:
- Run Command批量执行命令
- Session Manager安全的交互式会话
- Patch Manager自动化补丁管理
- Inventory收集实例软硬件信息
8. 典型考题分析
以下是几个常见考题模式及解题思路:
场景题:某电商平台预计在促销期间流量增长300%,当前使用按需m5.large实例,如何优化架构?
解题要点:
- 使用Auto Scaling组应对流量波动
- 前置层使用Spot实例降低成本
- 关键服务使用预留实例保证容量
- 考虑使用更大的实例类型减少实例数量
存储题:需要为频繁访问的数据库选择存储方案,要求低延迟和高IOPS。
正确答案:配置多卷RAID 0的io2 Block Express卷,启用EBS优化确保网络带宽。
安全题:如何限制EC2实例只能通过公司IP访问特定端口?
解决方案:在安全组中设置入站规则,仅允许来自公司IP的指定端口流量。