本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為了確保 Amazon EC2 獲得最大利益,我們建議您執行以下最佳實務。
安全
-
盡可能使用與身分提供者和 IAM 角色的聯合身分來管理對 AWS 資源和 API 的存取。 APIs 如需詳細資訊,請參閱「IAM 使用者指南」中的建立 IAM 政策。
-
為您的安全群組實作最嚴苛的規則。
-
定期修補、更新和保護您執行個體上的作業系統與應用程式。如需詳細資訊,請參閱更新管理。有關 Windows 作業系統的指南,請參閱 Windows 執行個體的安全性最佳做法。
-
使用 Amazon Inspector 自動探索和掃描 Amazon EC2 執行個體的軟體漏洞和意外網路暴露。如需更多資訊,請參閱 Amazon Inspector 使用者指南。
-
使用 AWS Security Hub 控制項來監控 Amazon EC2 資源是否符合安全最佳實務和安全標準。如需有關使用 Security Hub 的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon Elastic Compute Cloud 控制項。
儲存
-
了解根裝置類型對資料持久性、備份和復原的意涵。如需詳細資訊,請參閱 Root device type (根設備類型)。
-
為作業系統和資料使用不同的 Amazon EBS 磁碟區。確保執行個體終止後能持續儲存您資料的磁碟區。如需詳細資訊,請參閱 在執行個體終止時保留資料。
-
使用您執行個體可用的執行個體存放區存放暫存資料。請記住,當您讓您的執行個體停止、休眠或終止時,會刪除存放在執行個體存放區的資料。如果您將執行個體存放區用為資料庫儲存體,請確保您的叢集有能確保容錯能力的複寫因素。
-
加密 EBS 磁碟區和快照。如需詳細資訊,請參閱「Amazon EBS 使用者指南」中的 Amazon EBS 加密。
資源管理
-
使用執行個體中繼資料和自訂資源標籤追踪並找出您的 AWS 資源。如需詳細資訊,請參閱使用執行個體中繼資料管理您的 EC2 執行個體和標記您的 Amazon EC2 資源。
-
檢視您目前的 Amazon EC2 限制。計劃在您需要的時候,先行請求提高限制。如需詳細資訊,請參閱Amazon EC2 服務配額。
-
使用 AWS Trusted Advisor 來檢查您的 AWS 環境,然後在有機會節省成本、改善系統可用性和效能,或協助消除安全漏洞時提出建議。如需詳細資訊,請參閱「AWS 支援 使用者指南」中的 AWS Trusted Advisor。
備份與復原
-
使用 Amazon EBS 快照定期備份您的 EBS 磁碟區,並從您的執行個體建立 Amazon Machine Image (AMI) 將組態儲存為範本,以啟動未來的執行個體。如需協助達成此使用案例之 AWS 服務的詳細資訊,請參閱 AWS Backup和 Amazon Data Lifecycle Manager。
-
跨多個可用區域部署您應用程式的關鍵元件,並適當複寫您的資料。
-
設計您的應用程式在執行個體重新啟動時處理動態 IP 定址。如需詳細資訊,請參閱 Amazon EC2 執行個體 IP 定址。
-
監控與回應事件。如需詳細資訊,請參閱 監控 Amazon EC2 資源。
-
請確定您已準備好可處理容錯移轉。如需基本解決方案,您可將網路界面或彈性 IP 地址手動連接到替代執行個體。如需詳細資訊,請參閱 彈性網路介面。如需自動化解決方案,您可使用 Amazon EC2 Auto Scaling。如需詳細資訊,請參閱 Amazon EC2 Auto Scaling 使用者指南。
-
定期測試執行個體和 Amazon EBS 磁碟區的復原程序,以確保資料和各項服務成功還原。
聯網
-
針對 IPv4 和 IPv6,將應用程式的存留時間 (TTL) 值設定為 255。如果您使用較小的值,則存在 TTL 會在應用程式流量傳輸期間過期的風險,從而導致執行個體的可存取性問題。