以下內容來自aws線下訓練營的培訓內容的整理。 如果錯誤之處,還望指出。
文章首發於: www.hackstoic.com, 作者: hackstoic
一: 關於AWS的國際版和中國版
中國版訪問地址 http://www.amazonaws.cn/
國際版訪問地址 http://aws.amazon.com/
中國版和國際版的賬號不互通, 另外中國版的功能相比國際版有閹割
二: 關於DC, AZ 和 Region
一個region包含多個AZ(available zone),一個AZ 下包含多個DC(datacenter)
亞馬遜認爲如果一個DC最好不要超過8萬臺主機, 如果機器超過8萬臺,另建一個DC來存放多出來的機器,反而可以降低綜合成本。
每個available zone 會包含多個DC, 每個AZ內的DC之間的距離大於70公里(該數字不太確定)。
AZ間的網絡延時小於2ms, DC內的網絡延時則更小。
aws的數據會存放在多個AZ之間做同城容災。 如果你希望創建的應用或者網站能同城容災,可以創建兩個一模一樣的EC2實例,然後分別部署到不同的AZ上。
ps: 截止2016年3月8日, aws在中國只有一個region,即北京。 另外在建的一個region在北京。
三: 關於Instance Storage, EBS 和 S3
這三者的用途都是存儲,但是適用的場景有差異。
在可用性上 Instance Storage < EBS < S3 , 據說S3的可用性達到11個9,不知真假。
Instance Storage 是掛載的虛擬機內部的,每次EC2 Instance stop 再 start的時候, 原有的Instance Storage上的數據不再可用, 因爲會重新分配一塊新的Instance Storage。 可靠性是最差的, 因而Instance Storage 適合做一些臨時文件的存儲,或者 作爲 Swap虛擬內存, 不適合做重要數據的持久化存儲。
EBS 獨立的網絡存儲服務, 通過網絡接口和虛擬機進行通信。 它不會因爲EC2 實例的銷燬而銷燬。 另外EBS會對數據做鏡像備份,如果你選擇了1GB的EBS存儲,實際上在後臺會使用2G的存儲空間。EBS備份數據可以做對數據做快照(snapshot),當EBS出現問題時,可以恢復到最近的快照數據。 因此EBS的可靠性會更好,適合做數據的持久化。
S3,全稱爲Simple Storage Service, 主要的使用場景是用來存儲只讀的文件,放置在S3的文件提供有一個https的url的訪問地址, 另外可以對單個文件做權限上的控制。S3上的理論總存儲空間是不設上限的,對單個文件的大小規定不能超過5個T。 上傳到S3的文件,會被複制多份進行備份,同時S3會定期檢查損壞的文件,並對損壞的文件進行恢復。 S3沒有回收站的概念,在S3主動刪除文件後,就無法找回。 S3適合存儲類似於圖片,視頻, 或者一些不需要經常更改的文檔。
四: 關於EC2, EBS, S3的收費
EC2創建後只要不使用(Instance實例處於stop狀態)就不會收費。使用不足1小時按照1小時收費, 比如你開機使用了5分鐘,也按照1個小時記。 要特別注意stop 實例後就是一個計費週期結束,start 實例後重新開始計費。 如果你要重啓系統,又要不重新計費,就使用reboot吧。
EBS創建後會一直收費。
S3按照存儲的量和走互聯網的流量收費。 另外要注意的是, 如果是在同一個region下上傳文件到S3或者下載文件到S3,是不收費的。 但是跨region的上傳下載則是收費的, 因爲跨region的通信是走Internet的。
五: 關於停止stop 和 銷燬terminate
stop一個實例 還可以重新start 它
terminate 一個實例, 只能從新構建實例了, 需要重新走挑選系統,實例類型等流程。
六: 實例的重啓
這裏的重啓是指stop 實例後 start
實例重啓,會重新尋找資源佔用不繁忙的物理機進行啓動, 網絡性能下降時,可以通過重啓,來解決問題
七: 關於IAM
aws的權限控制的粒度非常細
group & user & role
access key, access token
ec2 instance上可以指定IAM Role
八: 關於Cloud Formation
通過定義json格式模板,方便對配置進行版本控制, 方便資源的配置構建和徹底刪除, 有點類似於docker-compose的yaml文件
九: 關於Security Group
Security Group 可以理解爲在網卡層面防火牆策略,不是在OS層面的防火牆策略
如果你是自己登陸到系統寫防火牆策略, 恰恰不小心寫了一條策略,把自己擋在系統的門外,即你無法登陸系統做操作,那麼就會帶來很多不必要的麻煩。
使用security group的則沒有這個問題。 你可以登陸的aws console web管理界面,添加和刪除防火牆策略,對實例起作用。
十: 關於VPC
VPC是在region上構建的, 默認的vpc是有連接互聯網的gateway的,你也可以選擇自建vpc,自己定義是否讓vpc下的實例通外網, 還可以自己選擇子網。 另外每個vpc下的子網之間在路由上是互通的。 你無法通過修改路由來修改這個關係。 如果你要讓各個子網不能互相訪問,就需要自己在子網間加防火牆。
十一: 關於培訓
線下訓練營
http://aws.amazon.com/cn/training/
3天的培訓大概4800元, 也有免費的線下基礎培訓。 關注aws的微信公衆號,能看到相關的活動信息推送。
線上自學
有免費的, 也有收費的實驗,可以使用支付寶付費。 這個網站上面有很多免費實驗, 開啓實驗,會給你分配一個aws的臨時賬號, 讓你登陸到aws的web 管理界面進行對應的操作。
文章首發於: www.hackstoic.com, 作者: hackstoic