AWS雲創建EC2與使用注意事項-踩坑記錄

AWS

目錄

• AWS
  • AWS 網絡測試地址
  • AWS 測試IP獲取
  • AWS雲服務器價格計算器
  • AWS免費套餐詳情
  • 一 創建 EC2(雲服務器)
    • 創建步驟一: 進入 控制台，選擇系統鏡像
    • 創建步驟二：設置示例類型，配置實例，選擇存儲，配置安全組，創建實例
    • 創建步驟三 ：分配彈性IP，並綁定到主機上。
    • 注意事項
    • EC2 數據卷選擇
    • EC2 創建快照計划任務
    • 設置 root 用戶密碼
  • 二、AWS 注意事項
    • 彈性IP限制
    • 付費類型
    • EC2實例有兩種根設備類型
    • EC2 實例數量限制
    • AWS 使用RDS注意時區參數
    • AWS ELB
  • 三、AWS 申請 SSL 證書
  • 四、 創建VPC

文章 GitHub 地址： 點我

AWS 網絡測試地址

測試你本地的網絡到亞馬遜各個可用區的網絡
https://www.cloudping.info/

AWS 測試IP獲取

亞馬遜提供的各個可用區和地域的網絡
http://ec2-reachability.amazonaws.com/

AWS雲服務器價格計算器

AWS WEB 價格計算器網址 https://calculator.s3.amazonaws.com/index.html

AWS免費套餐詳情

AWS新注冊賬號，12個月免費套餐詳情 https://amazonaws-china.com/cn/free/faqs/

注意是從我們創建賬號開始算的，不是從我們使用開始算的。

一 創建 EC2(雲服務器)

創建步驟一: 進入 控制台，選擇系統鏡像

創建步驟二：設置示例類型，配置實例，選擇存儲，配置安全組，創建實例

創建步驟三 ：分配彈性IP，並綁定到主機上。

注意事項

1. 數據卷選擇需要根據需求選擇，選擇錯了會導致費用比較高，具體比較見下文
2. 一定要綁定彈性 IP，如果我們沒有綁定彈性 IP，默認在實例重啟后，公網 IP 是會變化的，如果我們依賴於公網 IP 提供服務的話，這是會很糟糕的，所以我們需要綁定 彈性IP，默認內網IP是不會發生改變的。
3. 默認的登錄用戶 是 centos ,是通過秘鑰登錄的(我們創建的時候指定了秘鑰)。

EC2 數據卷選擇

EBS 各個卷的配置與性能

	固態硬盤 (SSD)	硬盤驅動器 (HDD)
卷類型	通用型 SSD (gp2)*	預配置 IOPS SSD (io1)	吞吐優化 HDD (st1)	Cold HDD (sc1)
描述	平衡價格和性能的通用 SSD 卷，可用於多種工作負載	最高性能 SSD 卷，可用於任務關鍵型低延遲或高吞吐量工作負載	為頻繁訪問的吞吐量密集型工作負載設計的低成本 HDD 卷	為不常訪問的工作負載設計的最低成本 HDD 卷
使用案例	建議用於大多數工作負載系統啟動卷虛擬桌面低延遲交互式應用程序開發和測試環境	需要持續 IOPS 性能或每卷高於 16,000 IOPS 或 250 MiB/s 吞吐量的關鍵業務應用程序大型數據庫工作負載，如：MongoDBCassandraMicrosoft SQL ServerMySQLPostgreSQLOracle	以低成本流式處理需要一致、快速的吞吐量的工作負載大數據數據倉庫日志處理不能是啟動卷	適合大量不常訪問的數據、面向吞吐量的存儲最低存儲成本至關重要的情形不能是啟動卷
API 名稱	gp2	io1	st1	sc1
卷大小	1 GiB - 16 TiB	4 GiB - 16 TiB	500 GiB - 16 TiB	500 GiB - 16 TiB
最大IOPS**/卷	16,000***	64,000****	500	250
最大吞吐量/卷	250 MiB/s***	1,000 MiB/s†	500 MiB/s	250 MiB/s
最大IOPS/實例††	80,000	80,000	80,000	80,000
最大吞吐量/實例††	1,750 MiB/s	1,750 MiB/s	1,750 MiB/s	1,750 MiB/s
管理性能屬性	IOPS	IOPS	MiB/s	MiB/s

新加坡可用區價格表(時間：2019-05-30)

數據卷類型	容量	IOPS	最大吞吐量
gp2	50GB	150	128 MBs/sec	$6/month
IOPS SSD (io1)	50GB	150	37.5 MBs/sec	$17.7/month
吞吐優化 HDD (st1)	500GB(最小)	—	19.53125 MBs/sec	$27/month

根據上面的對比，建議選擇gp2 (性價比高)。AWS 雲服務器的硬盤的 IOPS 是跟硬盤有關的。但是 EBS 卷支持生產期間的實時配置更改。您可以在不中斷服務的情況下修改卷類型、卷大小和 IOPS 容量。EC2 默認創建的卷的類型是 gp2。

EC2 創建快照計划任務

在實際生產環境中，定時創建一個快照也是一個對數據備份的好辦法，所以接下來我們來講講創建快照計划任務。

方法一： 生命周期管理器 官方文檔：https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/snapshot-lifecycle.html

之前上面那種方法，有的時候我們設置了，但是發現沒有生效，原因是我們選擇了對應的 NAME 的值，但是我們沒有設置 數據卷的名稱，所以它通過這個 NAME 的去找數據卷是找不到的，所以我們需要去數據卷那邊設置下與這邊快照 NAME 值一致的值。這樣就可以了.

方法二： 通過cloudwatch 創建 規則(rules)

通過這種方式創建的快照，是不會自動刪除的，就是會將創建的快照一直保存。

設置 root 用戶密碼

AWS EC2 默認創建的用戶是 centos,是使用秘鑰進行登錄的，我們考慮到我們需要root用戶,雖然我們不常用到，但是為了以備后期使用，是服務器的安全，我們這里會配置 root 用戶密碼，但不允許 root 用戶遠程登錄。

具體操作

[centos@ip-172-31-21-255 ~]$ sudo passwd  root
Changing password for user root.
New password: 
BAD PASSWORD: The password is shorter than 8 characters
Retype new password: 
passwd: all authentication tokens updated successfully.
[centos@ip-172-31-21-255 ~]$ su root 
Password: 
[root@ip-172-31-21-255 centos]# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[root@ip-172-31-21-255 centos]# 

如果我們需要通過 root 來進行遠程登陸的話，可以選擇遠程登陸使用 密碼登陸

# 將 sshd配置文件/etc/ssh/sshd_config 參數 PasswordAuthentication no 更改為 yes
sed -i '/^PasswordAuthentication/s/no/yes/' /etc/ssh/sshd_config
systemctl  restart  sshd
# 更改之后，我們只能通過密碼進行登陸了，而不能通過密鑰登陸了。這時我們需要給 centos 設置密碼，然后通過密碼登陸

如果我們想要通過 root 通過密鑰進行遠程登陸的話，我們需要先在 xshell 生成密鑰，並將公鑰存放在 root 用戶的 /root/.ssh/authorized_keys 里，然后進行登陸。

生成密鑰，並獲取公鑰(要記住設置的密碼，后面要使用)

二、AWS 注意事項

彈性IP限制

注意在每個地域，每個賬戶的默認可以申請的彈性IP是 5個。如果我們的計划需要使用的彈性IP超過了5個，我們需要提前進行申請，將限制提高。

付費類型

一種是RI，另外一種是OnDemand

RI預付費

OnDemand后付費

EC2實例有兩種根設備類型

1、實例存儲（本地），系統和磁盤再同一主機上

​ Instances storage，當刪除了實例，數據卷也釋放了

2、EBS存儲（網盤），EBS可能與雲主機不在一台物理機上，可能在其他物理機上。

​ Elastic Block Storage，當刪除了實例，EBS 卷可以單獨保存。

EC2 實例數量限制

EC2實例在申請超過20台后，會有數量限制。

AWS 使用RDS注意時區參數

使用 AWS 的 RDS ，記住需要創建一個參數組，默認的參數組是不可以修改的，我們新建的參數組是可以修改的。

設置創建函數的權限

默認在創建定時任務的時候是會報錯的。就算管理用戶創建也是不行的，因為這個取決於 參數 log_bin_trust_function_creators 我們需要將該參數設置為 1 ，也就是開啟，這樣我們就可以實現擁有創建函數的權限。

AWS ELB

ELB 是不可以設置黑名單的，也是不可以開啟 gzip 的。

三、AWS 申請 SSL 證書

我們的域名是在阿里雲上面購買的，我們可以在 阿里雲上面進行證書申請，當我們在阿里雲上面申請后，我們需要，從阿里雲導出來后再導入 AWS，這樣會比較麻煩，而且后期續訂證書也比較麻煩。所以我們就計划直接在 AWS 上面申請 SSL 證書，AWS 是支持的，

在證書管理界面點擊 ---》請求證書，然后選擇請求公有證書，然后填入我們的要獲取證書的域名。要想在 AWS 獲取證書，可以通過兩種方式驗證域名的所有者，

• 第一是通過 DNS 解析設置指定記錄值

  AWS 會給我們一個 名稱和記錄值，我們需要在 解析里面添加 CNAME 記錄，名稱值填入到 主機記錄，記錄值填入到解析的記錄值。

• 第二是通過 郵件驗證。

  郵件驗證的話，是會發送到該域名的以下郵件里進行確認

  • administrator@your_domain_name
  • hostmaster@your_domain_name
  • postmaster@your_domain_name
  • webmaster@your_domain_name
  • admin@your_domain_name

自動續訂策略

• 只要證書在使用中且 CNAME 記錄保持不變，ACM 便會自動續訂證書。
• 電子郵件驗證的證書僅可在其原始驗證日期的 825 天后續訂。825 天之后，域擁有者或授權代表必須請求新的證書，而 DNS 驗證的證書將無限期續訂。

如果 ACM 無法在生成 CNAME 值后的 72 小時內驗證域名，ACM 會將證書狀態更改為驗證超時。導致此結果的最可能原因是您未使用 ACM 生成的值更新 DNS 配置。要解決此問題，您必須請求新的證書。

有關AWS 的一些其他文章可查看 博客園-宋某人

四、 創建VPC

我們建議我們創建一個自己的 VPC，因為這樣方便我們后期的管理，以及個性化設置。

1. 創建 VPC

   主要是設置 IPv4 CIDR block ，可以設置為 172.16.0.0/16(參考值)

2. 創建子網

   創建子網 --》選擇VPC --->選擇 可用區域 ---》 設置該 VPC 下面的 IPv4 CIDR 塊

   我們是一個可用區(可用地域)創建一個子網。

3. 創建一個 Internet 網關 並將我們的 將 Internet 網關連接到 VPC

4. 創建一個 自定義路由表，將其與我們的子網相連，以便在子網與 Internet 網關之間進行通信。

   

如果我們想通過 IP 訪問我們自定義的 VPC里面的 EC2 的話，我們可以申請一個 彈性IP,然后將這個彈性IP 綁定到我們的 EC2. 然后我們就可以通過公網進行訪問了。