Amazon EC2 上 Windows 最佳實務

為了確保在 Amazon EC2 上執行 Windows 得到最佳結果，我們建議您執行以下最佳實務。

• Update drivers

• Use the latest Windows AMIs

• Security

• Storage

• Resource management

• Backup and recovery

• Networking

更新 Windows 驅動程式

在所有 Windows EC2 執行個體上維護最新的驅動程式，以確保在機群中套用最新的問題修正和效能增強。根據您的執行個體類型，您需更新 AWS PV、Amazon ENA 和 AWS NVMe 驅動程式。

• 使用 SNS 主題接收新驅動程式的版本更新。

• 使用 AWS Systems Manager 自動化手冊 AWSSupport- 輕鬆地UpgradeWindowsAWSDrivers將更新套用到您的執行個體。

使用最新 Windows AMI 來啟動新執行個體

AWS 每個月都會發佈新的 Windows AMI，其中包含最新的作業系統修補程式、驅動程式和啟動代理程式。在啟動新執行個體或建構自己的自訂映像時，您應運用最新的 AMI。

• 若要檢視視窗 AMI 的每個發行版本的更新，請參閱視 AWS AWS 窗 AMI 版本歷史記錄。

• 若要建構最新的可用 AMI，請參閱使用 Systems Manager 參數存放區查詢最新的 Windows AMI。

在遷移前測試系統/應用程式效能

將企業應用程式移轉至 AWS 可能涉及許多變數和組態。一律對 EC2 解決方案執行效能測試以確保：

• 已正確配置執行個體類型，包括執行個體大小、增強型聯網和租用 (共用或專用)。

• 執行個體拓撲適用於工作負載，並在必要時運用高效能功能，例如專用租用、置放群組、執行個體存放區磁碟區、裸機。

更新啟動代理程式

更新至最新的 EC2Launch v2 代理程式，以確保您的機群中套用最新的增強功能。如需詳細資訊，請參閱 遷移到 EC2Launch v2。

如果您有混合機群，或想要繼續使用 EC2Launch (Windows Server 2016 和 2019) 或 EC2 Config (僅限舊版作業系統) 代理程式，則請更新至各自代理程式的最新版本。

下列 Windows Server 版本和啟動代理程式組合支援自動更新。您可以在 Amazon EC2 啟動代理程式下的 SSM 快速設定主機管理主控台中選擇自動更新。

Windows 版本	EC2Launch v1	EC2Launch v2
2016	✓	✓
2019	✓	✓
2022		✓

• 如需有關更新至 EC2Launch v2 的詳細資訊，請參閱安裝最新版本的 EC2Launch v2。

• 如需手動更新 EC2Config 的資訊，請參閱安裝最新版本的 EC2Config。

• 如需手動更新 EC2Launch 的資訊，請參閱安裝最新版本的 EC2Launch。

安全性

保護 Windows 執行個體時，我們建議您實作 Active Directory Domain Services，為分散式位置啟用可擴展、安全且可管理的基礎設施。此外，從 Amazon EC2 主控台啟動執行個體之後，或使用 Amazon EC2 佈建工具 (例如 AWS CloudFormation)，在發生組態偏移時，最好使用原生作業系統功能 (例如 Microsoft Windows PowerShell DSC) 來維護組態狀態。

中的 Windows 執行個體 AWS 應遵循下列高階安全性最佳作法：

• 最低存取權：僅授與信任和預期之系統和位置的存取權。這適用於所有 Microsoft 產品，例如 Active Directory、Microsoft 商務生產力伺服器，以及基礎設施服務，例如遠端桌面服務，反向代理伺服器、IIS Web 伺服器等。使用 Amazon EC2 執行個體安全群組、網路存取控制清單 (ACL) 和 Amazon VPC 公有/私有子網路等 AWS 功能，將架構中多個位置的安全性分層。在 Windows 執行個體中，客戶可以使用 Windows 防火牆在部署中進一步分層 defense-in-depth 策略。僅安裝系統依設計運作所需的作業系統元件和應用程式。將基礎設施服務 (例如 IIS) 設定為在服務帳戶下執行，或使用應用程式集區身分這類功能，在本機和遠端存取整個基礎設施中的資源。

• 最低權限：決定執行個體和帳戶為了執行其功能所需的最低權限集。限制這些伺服器和使用者只允許這些已定義的許可。使用角色型存取控制這類技術來減少管理帳戶的表面區域，並建立最受限的角色來完成任務。使用作業系統功能 (例如 NTFS 內的加密檔案系統 (EFS))，來加密敏感的敏感資料，並控制應用程式和使用者對它的存取。

• 組態管理：建立基準伺服器組態，其中包含 up-to-date 安全性修補程式和主機型保護套件，其中包括防毒、反惡意程式碼、入侵偵測/預防，以及檔案完整性監控。根據目前記錄的基準來評定每部伺服器，以識別並標示任何偏差。確保每部伺服器都已設定為產生並安全地存放適當的日誌和稽核資料。如需詳細資訊，請參閱 中的 AWS Windows AMI。

• 變更管理：建立程序來控制伺服器組態基準的變更，並朝著完全自動化的變更程序運作。此外，運用 Windows PowerShell DSC 的「剛夠管理」(JEA)，將系統管理存取限制在最低限度的必要功能。

• 修補程式管理：執行定期修補、更新和保護您 EC2 執行個體上的作業系統與應用程式的程序。如需詳細資訊，請參閱 更新您的 Windows 執行個體。

• 稽核日誌：稽核 Amazon EC2 執行個體的存取和所有變更，以驗證伺服器的完整性，並確保僅進行授權的變更。利用 IIS 的增強型記錄等功能來增強預設記錄功能。 AWS VPC 流程記錄等功能也可用 AWS CloudTrail 於稽核網路存取，包括分別允許/拒絕的要求和 API 呼叫。

使用 AWS Security Hub 控制項根據安全最佳實務和安全標準監控 Amazon EC2 資源。如需有關使用 Security Hub 的詳細資訊，請參閱《AWS Security Hub 使用者指南》中的 Amazon Elastic Compute Cloud 控制項。

儲存

• 為作業系統和資料使用不同的 Amazon EBS 磁碟區。確保執行個體終止後能持續儲存您資料的磁碟區。如需詳細資訊，請參閱 在執行個體終止時保留資料。

• 使用您執行個體可用的執行個體存放區存放暫存資料。請記住，當您讓您的執行個體停止、休眠或終止時，會刪除存放在執行個體存放區的資料。如果您將執行個體存放區用為資料庫儲存體，請確保您的叢集有能確保容錯能力的複寫因素。

• 加密 EBS 磁碟區和快照。如需詳細資訊，請參閱 Amazon EBS 使用者指南中的 Amazon EBS 加密。

資源管理

• 使用執行個體中繼資料和自訂資源標籤追踪並找出您的 AWS 資源。如需詳細資訊，請參閱執行個體中繼資料與使用者資料和標記您的 Amazon EC2 資源。

• 檢視您目前的 Amazon EC2 限制。計劃在您需要的時候，先行請求提高限制。如需詳細資訊，請參閱 Amazon EC2 服務配額。

• 用於檢 AWS Trusted Advisor 查您的 AWS 環境，然後在存在機會時提出建議，以節省金錢、改善系統可用性和效能，或協助縮小安全性漏洞。如需詳細資訊，請參閱《AWS Support 使用者指南》中的 AWS Trusted Advisor。

備份與復原

• 使用 Amazon EBS 快照定期備份您的 EBS 磁碟區，並從您的執行個體建立 Amazon Machine Image (AMI) 將組態儲存為範本，以啟動未來的執行個體。如需有助於實現此使用案例的 AWS 服務的詳細資訊，請參閱AWS Backup和 Amazon Data Lifecycle Manager。

• 跨多個可用區域部署您應用程式的關鍵元件，並適當複寫您的資料。

• 設計您的應用程式在執行個體重新啟動時處理動態 IP 定址。如需詳細資訊，請參閱 Amazon EC2 執行個體 IP 定址。

• 監控與回應事件。如需詳細資訊，請參閱 監控 Amazon EC2。

• 請確定您已準備好可處理容錯移轉。如需基本解決方案，您可將網路界面或彈性 IP 地址手動連接到替代執行個體。如需詳細資訊，請參閱 彈性網絡介面。如需自動化解決方案，您可使用 Amazon EC2 Auto Scaling。如需詳細資訊，請參閱 Amazon EC2 Auto Scaling 使用者指南。

• 定期測試執行個體和 Amazon EBS 磁碟區的復原程序，以確保資料和各項服務成功還原。

聯網

• 針對 IPv4 和 IPv6，請將應用程式的 time-to-live (TTL) 值設定為 255。如果您使用較小的值，則存在 TTL 會在應用程式流量傳輸期間過期的風險，從而導致執行個體的可存取性問題。