Amazon EC2 上 Windows 最佳實務 - Amazon Elastic Compute Cloud

Amazon EC2 上 Windows 最佳實務

為了確保在 Amazon EC2 上執行 Windows 得到最佳結果,我們建議您執行以下最佳實務。

更新 Windows 驅動程式

在所有 Windows EC2 執行個體上維護最新的驅動程式,以確保在機群中套用最新的問題修正和效能增強。根據您的執行個體類型,您需更新 AWS PVAmazon ENAAWS NVMe 驅動程式。

使用最新 Windows AMI 來啟動新執行個體

AWS 每個月會發佈新的 Windows AMI,其中包含最新的作業系統修補程式、驅動程式和啟動代理程式。在啟動新執行個體或建構自己的自訂映像時,您應運用最新的 AMI。

在遷移前測試系統/應用程式效能

將企業應用程式遷移到 AWS 可能牽涉許多變數和配置。一律對 EC2 解決方案執行效能測試以確保:

  • 已正確配置執行個體類型,包括執行個體大小、增強型聯網和租用 (共用或專用)。

  • 執行個體拓撲適用於工作負載,並在必要時運用高效能功能,例如專用租用、置放群組、執行個體存放區磁碟區、裸機。

更新啟動代理程式

更新至最新的 EC2Launch v2 (Windows Server 2008 及更新版本) 代理程式,以確保您的叢集中套用最新的問題修正程式。若要更新,請參閱安裝 EC2Launch v2 最新版本中的指示。

如果您想要繼續使用 EC2 設定 (Windows Server 2012 R2 及更早版本) 或 EC2 啟動 (Windows Server 2016 年及更新版本) 代理程式,請確定您的叢集中套用最新的問題修正程式。

安全性

保護 Windows 執行個體時,我們建議您實作 Active Directory Domain Services,為分散式位置啟用可擴展、安全且可管理的基礎設施。此外,在透過 Amazon EC2 主控台或使用 Amazon EC2 佈建工具 (例如 AWS CloudFormation) 啟動執行個體之後,最好利用原生作業系統功能 (例如 Microsoft Windows PowerShell DSC) 在發生組態漂移時維護組態狀態。

AWS 中的 Windows 執行個體應該遵循下列高階最佳實務:

  • 最低存取權:僅授與信任和預期之系統和位置的存取權。這適用於所有 Microsoft 產品,例如 Active Directory、Microsoft 商務生產力伺服器,以及基礎設施服務,例如遠端桌面服務,反向代理伺服器、IIS Web 伺服器等。使用 AWS 功能 (例如 Amazon EC2 執行個體安全群組、網路存取控制清單 (ACL) 和 Amazon VPC 公用/私有子網路),在架構中跨多個位置設定不同的安全層。在 Windows 執行個體內,客戶可以使用 Windows 防火牆,在其部署內進一步將深度防禦策略進行分層。僅安裝系統依設計運作所需的作業系統元件和應用程式。將基礎設施服務 (例如 IIS) 設定為在服務帳戶下執行,或使用應用程式集區身分這類功能,在本機和遠端存取整個基礎設施中的資源。

  • 最低權限:決定執行個體和帳戶為了執行其功能所需的最低權限集。限制這些伺服器和使用者只允許這些已定義的許可。使用角色型存取控制這類技術來減少管理帳戶的表面區域,並建立最受限的角色來完成任務。使用作業系統功能 (例如 NTFS 內的加密檔案系統 (EFS)),來加密敏感的敏感資料,並控制應用程式和使用者對它的存取。

  • 組態管理:建立基準伺服器組態,其中納入最新的安全性修補程式,以及主機型保護套件,包括防毒、反惡意軟體、入侵偵測/預防,以及檔案完整性監控。根據目前記錄的基準來評定每部伺服器,以識別並標示任何偏差。確保每部伺服器都已設定為產生並安全地存放適當的日誌和稽核資料。如需詳細資訊,請參閱 中的 AWS Windows AMI

  • 變更管理:建立程序來控制伺服器組態基準的變更,並朝著完全自動化的變更程序運作。此外,運用 Just Enough Administration (JEA) 與 Windows PowerShell DSC,將管理存取權限制為最低必要功能。

  • 修補程式管理:執行定期修補、更新和保護您 EC2 執行個體上的作業系統與應用程式的程序。如需詳細資訊,請參閱 更新您的 Windows 執行個體

  • 稽核日誌:稽核 Amazon EC2 執行個體的存取和所有變更,以驗證伺服器的完整性,並確保僅進行授權的變更。運用增強型 IIS 記錄這類功能,以增強預設記錄功能。AWS 功能 (例如 VPC 流程日誌和 AWS CloudTrail) 也可分別用於稽核網路存取,包括允許/拒絕的請求和 API 呼叫。

儲存

  • 為作業系統和資料使用不同的 Amazon EBS 磁碟區。確保執行個體終止後能持續儲存您資料的磁碟區。如需詳細資訊,請參閱 在執行個體終止時保留 Amazon EBS 磁碟區

  • 使用您執行個體可用的執行個體存放區存放暫存資料。請記住,當您讓您的執行個體停止、休眠或終止時,會刪除存放在執行個體存放區的資料。如果您將執行個體存放區用為資料庫儲存體,請確保您的叢集有能確保容錯能力的複寫因素。

  • 加密 EBS 磁碟區和快照。如需詳細資訊,請參閱 Amazon EBS 加密

資源管理

  • 使用執行個體中繼資料和自訂資源標籤追踪並找出您的 AWS 資源。如需詳細資訊,請參閱執行個體中繼資料與使用者資料標記您的 Amazon EC2 資源

  • 檢視您目前的 Amazon EC2 限制。計劃在您需要的時候,先行請求提高限制。如需詳細資訊,請參閱 Amazon EC2 服務配額

  • 使用 AWS Trusted Advisor 可檢查您的 AWS 環境,接著在有可能節省成本、提升系統可用性與效能或填補安全漏洞時向您提出建議。如需詳細資訊,請參閱《AWS Support 使用者指南》中的 AWS Trusted Advisor

備份與復原

  • 使用 Amazon EBS 快照定期備份您的 EBS 磁碟區,並從您的執行個體建立 Amazon Machine Image (AMI) 將組態儲存為範本,以啟動未來的執行個體。如需詳細了解 AWS 服務如何達成此使用案例,請參閱 AWS BackupAmazon Data Lifecycle Manager

  • 跨多個可用區域部署您應用程式的關鍵元件,並適當複寫您的資料。

  • 設計您的應用程式在執行個體重新啟動時處理動態 IP 定址。如需詳細資訊,請參閱 Amazon EC2 執行個體 IP 定址

  • 監控與回應事件。如需詳細資訊,請參閱 監控 Amazon EC2

  • 請確定您已準備好可處理容錯移轉。如需基本解決方案,您可將網路界面或彈性 IP 地址手動連接到替代執行個體。如需詳細資訊,請參閱 彈性網絡介面。如需自動化解決方案,您可使用 Amazon EC2 Auto Scaling。如需詳細資訊,請參閱 Amazon EC2 Auto Scaling 使用者指南

  • 定期測試執行個體和 Amazon EBS 磁碟區的復原程序,以確保資料和各項服務成功還原。

聯網

  • 針對 IPv4 和 IPv6,將應用程式的存留時間 (TTL) 值設定為 255。如果您使用較小的值,則存在 TTL 會在應用程式流量傳輸期間過期的風險,從而導致執行個體的可存取性問題。