Amazon EC2 的最佳實務 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EC2 的最佳實務

為了確保 Amazon EC2 獲得最大利益,我們建議您執行以下最佳實務。

安全

  • 盡可能使用與身分提供者和 AWS IAM 角色聯合的身分識別來管理資源和 API 的存取。如需詳細資訊,請參閱《IAM 使用者指南》中的建立 IAM 政策

  • 為您的安全群組實作最嚴苛的規則。如需詳細資訊,請參閱 安全群組規則

  • 定期修補、更新和保護您執行個體上的作業系統與應用程式。如需有關更新 AL2023 的詳細資訊,請參閱《AL2023 使用者指南》中的更新 AL2023。如需更新 Amazon Linux 2 或 Amazon Linux AMI 的詳細資訊,請參閱《Linux 執行個體的 Amazon EC2 使用者指南》中的在您的 Linux 執行個體上管理軟體

  • 使用 Amazon Inspector 自動探索和掃描 Amazon EC2 執行個體的軟體漏洞和意外網路暴露。如需更多資訊,請參閱 Amazon Inspector 使用者指南

  • 使用 AWS Security Hub 控制項根據安全最佳實務和安全標準監控 Amazon EC2 資源。如需有關使用 Security Hub 的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon Elastic Compute Cloud 控制項

儲存

  • 了解根裝置類型對資料持久性、備份和復原的意涵。如需詳細資訊,請參閱 根設備儲存

  • 為作業系統和資料使用不同的 Amazon EBS 磁碟區。確保執行個體終止後能持續儲存您資料的磁碟區。如需詳細資訊,請參閱 在執行個體終止時保留資料

  • 使用您執行個體可用的執行個體存放區存放暫存資料。請記住,當您讓您的執行個體停止、休眠或終止時,會刪除存放在執行個體存放區的資料。如果您將執行個體存放區用為資料庫儲存體,請確保您的叢集有能確保容錯能力的複寫因素。

  • 加密 EBS 磁碟區和快照。如需詳細資訊,請參閱 Amazon EBS 使用者指南中的 Amazon EBS 加密

資源管理

  • 使用執行個體中繼資料和自訂資源標籤追踪並找出您的 AWS 資源。如需詳細資訊,請參閱執行個體中繼資料與使用者資料標記您的 Amazon EC2 資源

  • 檢視您目前的 Amazon EC2 限制。計劃在您需要的時候,先行請求提高限制。如需詳細資訊,請參閱 Amazon EC2 服務配額

  • 用於檢 AWS Trusted Advisor 查您的 AWS 環境,然後在存在機會時提出建議,以節省成本、改善系統可用性和效能,或協助縮小安全性漏洞。如需詳細資訊,請參閱《AWS Support 使用者指南》中的 AWS Trusted Advisor

備份與復原

  • 使用 Amazon EBS 快照定期備份您的 EBS 磁碟區,並從您的執行個體建立 Amazon Machine Image (AMI) 將組態儲存為範本,以啟動未來的執行個體。如需有助於實現此使用案例的 AWS 服務的詳細資訊,請參閱AWS BackupAmazon Data Lifecycle Manager

  • 跨多個可用區域部署您應用程式的關鍵元件,並適當複寫您的資料。

  • 設計您的應用程式在執行個體重新啟動時處理動態 IP 定址。如需詳細資訊,請參閱 Amazon EC2 執行個體 IP 定址

  • 監控與回應事件。如需詳細資訊,請參閱 監控 Amazon EC2

  • 請確定您已準備好可處理容錯移轉。如需基本解決方案,您可將網路界面或彈性 IP 地址手動連接到替代執行個體。如需詳細資訊,請參閱 彈性網絡介面。如需自動化解決方案,您可使用 Amazon EC2 Auto Scaling。如需詳細資訊,請參閱 Amazon EC2 Auto Scaling 使用者指南

  • 定期測試執行個體和 Amazon EBS 磁碟區的復原程序,以確保資料和各項服務成功還原。

聯網

  • 針對 IPv4 和 IPv6,請將應用程式的 time-to-live (TTL) 值設定為 255。如果您使用較小的值,則存在 TTL 會在應用程式流量傳輸期間過期的風險,從而導致執行個體的可存取性問題。