- Aws的密钥只能下载一次,下载后请小心保存
EC2
如何删除EC2实例
- 先选中要删除的实例,Stop,再Terminate(终止实例),这个时候虽然实例还在,但其实已经删除了,大概等个10分钟左右就没了
EC2实例升级/修改实例类型
IP会变更,请注意是否启用弹性IP或者负载均衡器
关机,需要接近一分钟
操作->实例设置->更改实例类型
EC2实例扩容
关机扩容
- 关机扩容很简单,但是IP会变更,请注意是否启用弹性IP或者负载均衡器
- 首先关机
Actions -> Instance State -> Stop - 进入卷管理:
Elastic Block Store -> Volumes - 选择需要更改的磁盘:
Modify Volume,然后输入大小 - 重启实例,并进入终端
- 使用
df -h查看当前磁盘容量
不关机扩容
在实例详里面找到root volumn,进入volumn详情
Actions -> Modify Volume,输入扩容后的大小点击确定进入实例,此时用
df -h查看依然是原来的大小,使用lsblk命令可以查看有新的大小,该命令用于查看是否具有必须扩展的分区,例如:1
2xvda 202:0 0 30G 0 disk
└─xvda1 202:1 0 20G 0 part / # df -h只能看到这个分区执行扩容命令
1
2
3
4sudo growpart /dev/xvda 1
lsblk # 验证xvda1的大小是否已经变化,不过此时用df -h依然看不出变化
sudo resize2fs /dev/xvda1 # 此时用df -h就能看到变化了,扩容过程也完成了
EC2增加磁盘
步骤
创建卷
操作->连接卷,默认会挂载到/dev/sdf进入实例,执行
lsblk可以看到附加的卷(磁盘)新卷默认是没有文件系统的,可以这样确定:
1
2sudo file -s /dev/xvdf # 如果输出是/dev/xvdf: data表示没有文件系统
sudo mkfs -t xfs /dev/xvdf # 创建文件系统,如果找不到mkfs命令,可以安装xfsprogs挂在
1
2
3sudo mkdir /data # 创建挂载点
sudo mount /dev/xvdf /data # 挂载
df -h # 确认是否挂载成功
Ec2绑定Elastic IP弹性IP
弹性IP只要是绑定在运行中的ec2实例上就是免费的,所以如果仅仅是要一个不会随着机器状态变化的IP那么推荐用弹性IP而不是用负载均衡器
当一个新建的弹性IP被关联到一个实例上的时候,该实例的公有IP地址也会变成一样的,不过之后如果实例重启公有IP会改变,弹性IP则不会了
EC2配置Cloudwatch
添加自定义指标
- 需要在服务器安装aws CLI工具,不同操作系统安装方式见Installing, updating, and uninstalling the AWS CLI version 2 on Linux
- 对于服务的监控,ELB自带了监控指标的,不需要使用下面脚本中的
http_status_code,可以在创建监控的时候搜索5xx即可看到 - 还需要编写自定一个脚本实现自定义的监控,例如服务健康状态检测,脚本如下:
1 | !/bin/bash |
- 编写完自定义脚本后添加可执行权限
chmod +x watch.sh,然后可以手动执行一下看看能不能成功,执行完一次过后cloudwatch后台在创建指标的时候就能选择这些指标了。如果执行过程中提示需要cloudwatch:putMetricData权限,那么需要去AWS IAM里面去分配cloudwatch相关的策略,错误信息里面有指定哪个IAM用户 - 我们可以定时执行这个脚本:
1 | crontab -e |
S3
- S3的生命周期管理,有点绕,还没搞懂
- 通过
Bucket的Metrics可以查看桶的总容量和总的文件数量 - 通过文件夹的
Actions->Calculate total size可以查看指定文件夹的容量和文件数量
使用js sdk操作AWS3
1 | import AWS = require('aws-sdk') |
开放S3桶的公共访问权限
- 需要在Bucket的
Permissions上进行以下设置
1 | Block public access (bucket settings)关闭以下几个权限 |
ACM/AWS Certificate Manager
- AWS的公有SSL/TLS证书是免费的,不过因为ACM管理私钥,所以只能在AWS上面使用。获取步骤还算简单,添加一个CNAME记录,一会儿就好了
- 只能用于集成了ACM服务的EC2实例,例如(ElasticLoad Balancing [ELB]或Amazon CloudFront分配)
Route 53
- AWS的域名管理
- 第一次添加DNS的时候默认时间是
1h,最好设置成1m,否则缓存更新太慢了 - 可以为同一个域名设置多个托管区域(hosted zone),例如针对同一个域名在测试环境和生产环境分别配置不同的DNS,只需要更改本地的名称服务器就能切换到不同的DNS上去,这样使用感觉有点复杂了
- 如果要用
Route 53去管理域名的DNS,需要新建托管区域(hosted zone),然后在域名购买地设置NS记录指向hosted zone的四个NS记录即可
ELB/Elastic Load Balancing负载均衡器
- ELB支持多种负载均衡器
- 应用负载均衡器(Application Load Balancer):对HTTP/HTTPS请求进行负载均衡
- 网络负载均衡器(Network Load Balancer):对网络/传输协议(第4层-TCP、UDP、TLS)以及极端性能/低延迟的应用程序进行负载均衡
- 网关负载均衡器(Gateway Load Balancer):IP层
(Classic Load Balancer):应用程序在EC2 Classic网络中构建而成,AWS上已经变成灰色了,看来已经放弃了
- 可以直接在EC2管理页面创建负载均衡器,点击
Load Balancer即可进行创建,如果需要选择ACM管理的SSL证书,可以直接在第二步选择 - 需要注意的是,创建后需要将域名的DNS记录指向负载均衡器的DNS名称,这样才能正确到负载均衡器上
- 负载均衡器的目标组可以只选择80端口,服务器上也可以只开启80端口,只有在负载均衡器的监听器上面需要监听443,转发到目标组就行了
- 如果是非
Route 53管理的域名需要指向elb需要设置的是CNAME记录 - 价格表: 0.0225美元/小时,差不多3.5元/天,简单的还是用弹性IP吧,毕竟是免费的
API Gateway
- Creating a Serverless Contact Form on AWS: 使用API Gateway + SES服务创建一个serverless API用于网页的用户表单搜集
- 如何启用 CloudWatch Logs 以对 API Gateway REST API 或 WebSocket API 进行问题排查:
映射模板语法
1 | 这是一个使用EMS发送email的模板 |
API Gateway权限设置/Resource Policy
- 有多种访问策略:AWS Account Allowlist/IP Range Denylist/Source VPC Allowlist
- 如何排查API Gateway中的HTTP 403禁止访问错误
- 如何排查与 API Gateway 私有 API 终端节点的连接问题?
- 我从 VPC 连接到 API Gateway API 时,为什么会收到 HTTP 403 禁止错误?
实现仅自己的EC2(指定的VPC)能访问接口其他地方不能访问接口
Resource Policy添加如下策略:
1
2
3
4
5
6
7
8
9
10
11{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "execute-api:Invoke",
"Resource": "arn:aws:execute-api:us-west-2:账户ID:API的ID/APi的Stage/*/*"
}
]
}进入我们想配置的EC2绑定的VPC的配置页面选择左侧菜单栏的
Endpoints(终端节点),创建一个新的终端节点。服务类别选择AWS服务,服务名称选择API Gateway的执行服务com.amazonaws.us-west-2.execute-api,终端节点类型为Interface,然后VPC就是我们需要的VPC,子网可以全选,取消选择Enable DNS name禁用私有DNS,其他默认。创建完成后需要等几分钟才能生效
Lambda
通过
process.env.MY_ENV获取环境变量如果需要安装依赖,要么创建
层,要么就将node_modules一起压缩为.zip文件然后上传,可以使用adm-zip等方式压缩,但是这样会因为程序包太大而无法使用在线的内联编辑器1
2
3
4
5
6import AdmZip from 'adm-zip';
const zip = new AdmZip();
zip.addLocalFolder('./dist');
zip.writeZip('./lambda.zip');使用
cloudwatch触发lambda,需要在CloudWatch控制台创建规则Events -> Create rule,Event Source可以定时或者选择警告,目标target则选择我们创建的Lambda函数
实例
1 | exports.handler = async (event, context) => { |
RDS
MySQL
SES/Simple Email Service电子邮件发送和接收服务
AWS Systems Manager(SSM)
- 管理ec2系统内部的东西,例如通过api或cli向服务器发送命令并执行
- SSM未发现管理的ec2实例: 可能是因为
ssm agent在实例内部未安装或者未安装成功(即使在运行中也可能没有安装成功,还是得看其日志/var/log/amazon/ssm下),ssm agent安装文档,当然ssm agent默认是安装了的,可以通过这些命令查看ssm运行状态
CodeDeploy/Pipeline
- CodeDeploy日志位置:
/var/log/aws/codedeploy-agent/codedeploy-agent.log - 部署日志位置:
/opt/codedeploy-agent/deployment-root/deployment-logs/codedeploy-agent-deployments.log CodeDeply Agent安装方式见https://docs.aws.amazon.com/zh_cn/codedeploy/latest/userguide/codedeploy-agent-operations-install-ubuntu.html- 服务器上保留的副本的数量设置
/etc/codedeploy-agent/conf/codedeployagent.yml里面的max_revisions,默认是10,服务器总共才8G,保留不了那么多副本 CodeDeploy拉取的源码和构建后的代码都会自动存储到S3上面去,这些文件可能占用很大的存储,我暂时还不清楚其费用和自动清理的方式,网上有人说用S3的生命周期管理,可是那样不能保证至少保留N个副本
需要在项目根目录添加这些文件
1 | # buildspec.yml |
以及
1 | # appspec.yml |
对应的脚本可以这样
1 | scripts/start_service.sh |
Cron表达式
- 很多地方都会用到cron表达式,比如cloudwatch、ebs生命周期管理器(lifecycle)
- 和我们常规的linux的用法有点不一样,没有隔几天执行的方法,如果要实现只能在日期那里把一个月的写上
- 使用的是UTC时间
- 对于EBS的生命周期管理,最小精度只能是小时,第一位没有用,且可能发生在那个小时里面的任意一分钟
1 | 分钟 小时 日期 月 星期几 年份 |
开发
权限验证方式
- 设置环境变量
export AWS_ACCESS_KEY_ID=xxx AWS_SECRET_ACCESS_KEY=xxx - Lambda,参考下一条tips
- 设置环境变量
如果是在aws lambda中运行,可以不需要
access key和access id,只需要在lambda的配置中给角色role分配权限即可,默认就有一个CloudWatch的权限,有一点需要注意的是在lambda中需要提前new instance然后将函数转换为promise的方式,否则函数不会被执行,很奇怪的问题1
2
3
4
5
6const AWS = require('aws-sdk');
const ec2 = new AWS.EC2({apiVersion: '2016-11-15'});
exports.handler = async () => {
const re = await ec2.describeInstances({DryRun: false}).promise();
}
APIs
1 | // 获取实例列表 |
TroubleShooting
- InstanceAgent::Plugins::CodeDeployPlugin::CommandPoller: Missing credentials : 需要重启一下agent:
sudo service codedeploy-agent restart
我的安全凭证,但是只能创建两个访问密钥,lambda函数不需要创建凭据https://docs.aws.amazon.com/zh_cn/sdk-for-javascript/v3/developer-guide/loading-node-credentials-lambda.html
