---
title: AWS 學習筆記
tags: 公司學習
---
## chapter 1
* AWS: 市佔最高、服務最完整 47%
* GCP: 多雲理念、容器服務最專精、台灣法規相容 7%
* AZure:原.NET體系直上、原MS方案優惠22%
* Alibaba:內需 8%
* Other: 16%
## chapter2
:::info
套用在雲端服務來看
* SaaS (Software as a Service):直接可以使用服務
* PaaS (Platform as a Service) :提供作業系統,可將程式碼部署上去
* IaaS (Infrastructre as a Service):雲端商會提供基礎建設服務
:::
#### AWS 四大服務:
* compute
* storage
* network
* auth
----
#### compute 運算
* Elastic Beanstalk: 提供作業系統 可跑程式碼
* EC2:Elastic Compute Cloud /instance虛擬機
* Scaling:增減虛擬機資源
* Load Balancing:分散流量來源與目的
* Failover:流量從壞掉的主機導向正常的虛擬機
#### storage 儲存
* S3
* RDS:資料庫
* EBS: Elastic Block Storage 作為EC2外接儲存空間
* Backup:備份
* Scaling
#### Network 網路
* Route 53 :處理DNS相關
* Log:網路流量紀錄
* Security:管理誰可以進出空間
#### Auth權限
* Security: 安全管理機制
## chapter3
### ㄧ. VPC基礎設施 - Region/AZ vs VPC/Subnet 關係介紹
* Region:一個Region上會建立多個AZ
* AZ(Availability Zones): 一個AZ上會有多個Data center
* Data center:實體資料中心
* VPC:虛擬網路區域,管理網路流通
* Subnet:更小區塊的虛擬網路區域
1. 一個Subnet會對到一個AZ。
1. 不同Subnet可能會對到同一個AZ
* HA(High Availability)高可用性:
1. 將程式部署到不同的AZ上
2. 同時確認部署的程式在不同的Subnet中也對應到不同的AZ
---
### 二. VPC架構 - Routes & Security
#### Routes
##### 1. VPC內 一個Private Subnet內的溝通
VPC內設立一個Private subnet,並在裡面放置兩台EC2,因instances都在同一個網路空間,所以兩台EC2可以彼此溝通
* Private subnet指的是:網路沒有對外開放/封閉網路
---
#### 2. VPC內 兩個Private Subnet的溝通
兩個Private Subnet內的EC2要溝通的話,需要使用到Route Table
##### Route Table
* 每個Subnet都會配一個Route Table
* Route Table功用:指引網路流量,該怎麼走、到哪
* Route Table兩大重要設定為:目的地IP(最終目的地)、下一站(下一站要先去哪)
以圖示為例來理解Route Table兩大設定,當兩個Private Subnet中的EC2要溝通時,Route Table的目的地就是另一個Private Subnet中的EC2,但中間會先經過的Local為下一站。
---
#### 3. VPC內 ㄧ個Public Subnet對外的溝通
Public Subnet的目的是**連到外面的Internet**
當Public Subnet中EC2要連到Internet的過程:
* 透過Public Subnet 的Route Table指引
目的地:Internet
下一站:Internet Gateway(IGW)中繼站,幫忙導到Internet
#### 4. VPC內 ㄧ個Private Subnet對外的溝通
Private Subnet中的EC2連Internet時,需要透過一個建立在Public Subnet中的NAT gateway,透過它連到IGW再到Internet
:::info
(Private Subnet-EC2 ->Public Subnet-NAT gateway->Internet Gateway->Internet)
:::
當Private Subnet中EC2要連到Internet的過程:
* 透過Route Table指引
目的地:Internet
下一站:NAT gateway,幫忙導到IGW 再到Internet
---
### Security
####
當外部有請求進來時,會先經過NACL、Security Group再到EC2
- NACL:隸屬於Subnet階層,會來規範什麼請求可以進出這個Subnet。每一次進出都要驗證
- Security Group:給EC2用的,類似防火牆。stateful驗證過就不會在驗證一次。
#### 三.VPC架構 - SG vs ENI vs EC2關係介紹
##### SG底層包的是ENI
* 概念上Security Group為EC2外層保護膜,實際上SG裡面是ENI(Elastic Network Interface),ENI類似虛擬網卡
##### ENI與EC2的關係
大致區分為Network與Compute兩大區塊。
ENI 臨時attach到一台EC2,意思為把虛擬網卡裝在虛擬機上
---
* 若有一天,EC2主機掛掉了,原本的ENI會 Detach到另一台EC2上,在網路世界裡是沒有變動的,只有在運算資源裡有變動而已。
* 精準來說,在網路區塊上,SG其實不是給EC2直接使用的,而是屬於ENI的一部分,ENI會再Attach到運算單位的一台EC2上面。
#### 四. 實作Publice Subnet to the Internet(IGW)
步驟:
##### A. 建立VPC
1. AWS Management Console 搜尋 VPC
2. 點選Your VPCs->Create VPC
3. Name tag: vpc-01(自訂)
IPv4 CIDR block: 10.1.0.0/16 (給個網路空間)
4. 其他用預設->Create->建立完成
##### B. 建立Public Subnet (這邊先建立Subnet)
1. 點選Subnet(左側)->Create Subnet
2. Name tag: public-subnet(等等將它public)
VPC: vpc-001(選剛剛建立好的)
Availability Zone: 選任一個
VPC CIDRs: 10.1.0.0/16上面會顯示VPC的網路空間位置
IPv4 CIDR block: 10.1.1.0/24(要比上面小VPC CIDRs)
-> create->subnet創建完成
##### C.將建立好的Subnet 變成Public
1. 點選Internet Gateways(左側)->Create Internet Gateway
2. Name tag: my-igw ->Create
3. 狀態是detached表示尚未被任一VPC使用,點選上方Action->Attach to VPC->選擇創建好的vpc-001->attach
4. 查看狀態為Attach時,表示IGW已經被VPC所使用
5. 點選Subnet(左側)->點選剛剛創建的public subnet下方的Route Table->再點選Route Table的連結(ex:Route Table:rtb-042065...)
6. 進入到Route Table的介面(此位置為剛建好Subnet使用的route table)->
Name改為:public-route-table
7. 改完後點選下方的Routes,目的地會顯示10.1.0.0/16(這是整個VPC的位置)旁邊的local指的是所有網路都會透過這個中繼站。
8. 點選Edit route->Add Route->
Destibation:0.0.0.0/0
Target:選擇剛創建的Internet Gateway->Save route(當要去internet時,就會導到剛剛建立的IGW)
已成功建立好public subnet=subnet+igw
##### D.在subnet內建立一台EC2
1. 點選上方Service,搜尋**EC2**
2. 點選左方**Instance**-> Launch Instance
3. **Step1:choose an Amazon Machine Image**
點選『Amazon Linux2 AMI(HVM),SSD Volumn Type』(第一個)
4. **Step2:Choose an Instance Type**:用預設即可->Next
5. **Step3:Configure Instance Details**:
Network:選剛剛建立的VPC-001
Subnet:選擇Public Subnet
Auto-assign Public IP: Enable (會需要Public IP所以Enable)
->Next
6. **Step4: Add Storage**:用預設即可->Next
7. **Step5:Add Tage**:用預設即可->Next
8. **Step6: Configure Security Group**:
Add Route->All ICMP-IPv4(可以允許去ping這台主機) Source:Anywhere(允許任何地方都可ping這台)->Rwview ans Launch
9. **Step7 Review Instance Launch**:點選Launch
10. **Select an existing key pair or create a new key pair**:
創新的create a new key pair(key pair將用來連進去EC2)
name:vpc-ex2-002->download key pair(下載下來,需要用此pem file來驗證)-> Launch Instances
11. **Launch Statis**:按下View Instances
12. EC2起好後,更改EC2名稱為:public-ec2
現在EC2已經在public Subnet裡面了
下面description中:可看到的Subnet ID就是 Public Subnet
##### E.驗證是否可連進去
1. 打開終端機 看能不能ping剛剛建立的EC2
copy EC2的 **IPv4 Public IP** (在 instance 的 console中下方 Description中查找)
並輸入下列指令
```
ping 3.21.106.235 (此ip為示範)
#成功連進去後 輸入control C終止
```
2. ping成功後,用SSH連進去
在instance的console頁面 點選上方的Connect 裡面有提示指令 跟著做
```
#先到下載pem file的目錄位置
cd Downloads/
#確認目錄底下有pem file
ls -l | grep vpc-ec2-002
#更改不要有write的權限
chmod 400 vpc-ec2-002.pem
# 更改後 再輸入下列指令 會發現只剩下讀的權限
ls -l | grep vpc-ec2-002
# 連SSH
ssh -i "vpc-ec2-002.pem" ec2-user@3.21.106.235 (指令從connect to your instance 直接複製,此為示範)
#此指令意思為SSH帶著pem file 用ec2-user這個帳號進去,目的地是這個instance的public IP(簡單來說就是user用憑證方式連進public subnet中這台ec2)
#連進去後 使用者名稱會顯示此台EC2的Private IP
# 測試從EC2能不能連去外網在連進來
ping 8.8.8.8
# 8.8.8.8 這個IP位置是 Google DNS Server的位置 如果有網路 基本上都會連得到
# 如果有回應 表示EC2成功連到外面的網路囉
Control C #結束
```
#### 五. 實作Private Subnet to Public Subnet (同一個VPC下跨subnet的溝通)
##### A. 建立Private Subnet創立之前 先去新增一個route table給private subnet用
1. 點擊左側 Route Table
2. create route table
3. name: private-subnet-route-table
vpc:選擇剛剛建立的vpc-001
->create
回到Subnet console(左側)
##### B. 建立第一個Private Subnet
1. Create Subnet
2. name tag: private subnet-01
vpc:選擇vpc-001
AZ:任選一個
IPv4 CIDR block: 10.1.2.0/24->create
3. 創立完成後,點擊Subnet Console頁面下方的Route Table->點擊 Edit route table association
**Edit route table association**:
Route Table ID:選剛剛建立的Private-subnet-route-table(目前destination只有local)->Save
##### C.private subnet建立完成,接下來放一台EC2進去
1. 點擊左側Instance console-> **Launch Instance**
2. **Step1:choose an Amazon Machine Image**
點選『Amazon Linux2 AMI(HVM),SSD Volumn Type』(第一個)
3. **Step2:Choose an Instance Type**:用預設即可->Next
4. **Step3:Configure Instance Details**:
Network:選剛剛建立的VPC-001
Subnet:選擇Private-Subnet-01
Auto-assign Public IP: **Disable** (private subnet 所以選Disable)
->Next
5. **Step4: Add Storage**:用預設即可->Next
6. **Step5:Add Tage**:用預設即可->Next
7. **Step6: Configure Security Group**:
Add Route->
**Type**:All ICMP-IPv4(可以允許去ping這台主機) **Source**:Anywhere(允許任何地方都可ping這台)->Review and Launch
8. **Step7 Review Instance Launch**:點選Launch
9. **Select an existing key pair or create a new key pair**:
choose an existing key pair: 選擇剛建立的vpc-ec2-002 這個pem file
打勾:I acknowledge that I have to ....
-> Launch Instances
10. **Launch Statis**:按下View Instances
11. EC2起好後,更改EC2名稱為:private-ec2-01
現在EC2已經在public Subnet裡面了
##### D. 現在要從外部Internet連到Public ec2 再連到Private Ec2裡
1. 終端機,確認位置是在本機電腦的位置,如果不是
```
exit
```
2. 不論要連到public subnet 或是private subnet,都要讓SSH帶著Pem File一起走
```
ssh-add -k vpc-ec-002(Pem File名稱)
# 這樣pem file會打上ssh的內部設定
ssh-add -L
# 確認pem file已經寫入ssh裡(有顯示pem file的檔名)
ssh -A ec2-user-@3.21.106.235
#@+EC2 Public IP
# 觸發SSH Agent Forwarding功能(會帶著pem file走)
# 現在在piblic 的ec2,下一步連到private ec2
ssh 10.1.2.21
#ssh + private ec2的 private IPs
#使用者有有顯示private ip就表示成功連線了
# 測試 可否從現在的private subnet 連到另一個subnet ec2裡?
ping 10.1.1.237
#ping+ public ec2的private ip
#有回應 表示同一vpc下的subnet是可互通的
control c 結束
```
#### 六.Private Subnet to the Internet(NAT)
步驟:
1. 先進入public subnet的ec2
2. 再連到private subnet的ec2
##### A. 終端機連線到public subnet ec2
```
#先連進去public instance(@+ec2 的public ip)
ssh -A ec2-user@3.21.106.235
```
##### B. 從public subnet ec2連到private subnet ec2
```
#再進到private instance的ec2
ssh 10.1.2.21
#ssh + private ec2的 private IPs
#使用者有有顯示private ip就表示成功連線了
```
##### C. 測試private subnet ec2能不能連出去
```
# 測試從EC2能不能連去外網再連進來
ping 8.8.8.8
# 8.8.8.8 這個IP位置是 Google DNS Server的位置 如果有網路 基本上都會連得到
#顯示卡住 代表沒法走到Internet
Control C #終止
```
##### D. 建立NAT Gateway (建一條路來連囉)
1. 點擊console左側 NAT Gateways
2. Create NAT Gateway
subnet:選擇public subnet(把NAT Gateway 放在subnet裡面)
Elastic IP Allocation ID:點擊Allocate Elastic IP address
(某種public ip address給這個NAT Gateway 這樣在public subnet的NAT Gateway才能跟外界溝通)
->create a NAT Gateway
3. 服務起好後,給NAT Gateway取名為:my-nat
##### E. Private Subnet的網路導到NAT Gateway
1. 點擊console左側 Subnet
2. 點擊private Subnet
3. 點擊下方的Route Table
再點擊 Route Table:rtb-02b36996....
4. 進入Route Tbale 後,點擊Route
點擊Edit Route
5. Edit Route:(外面的請求都導到NAT Gateway)
Destination:0.0.0.0/0
Target:選NAT Gateway->剛建立的my-nat
-> save routes
建立完成
##### F.終端機測試
確認使用者為private subnet 的ec2
```
ping 8.8.8.8
#有回應 表示成功連到外面網路
#表示在private subnet ec2可以連到外面
control c #結束
```
:::success
成功從private subnet >NAT in public subnet > Internet
:::
#### 七. 設定 NACL、 Security Group
:::danger
##### (ㄧ) NACL設定
NACL是VPC內的服務
Security Group 是EC2內的服務
:::
##### A.終端機ping public subnet ec2
ping public subnet ec2
console 選instance->
public ec2->下方IPv4 public ip
```
ping 3.21.106.235(示範_輸入public ec2_IPv4 public ip)
```
連線成功
control c
##### B.NACL 設定:取消Inbound Rule外部進來請求
1. 左側 vpc dashboard 點擊 **NACL ACLs**
可看到目前ACL給兩個subnet使用(public & private subnet)
2. 點擊下方 **Inbound Rules**
點擊Edit Inbound Rules
取消允許所有的連線 按X
-> Save
這樣所有外部進來的請求都會被擋
##### C.終端機測試
如果NACL設定成功 等等ping 要被擋住
```
ping 3.21.106.235(示範_輸入public ec2_IPv4 public ip)
# 顯示timeout 表示進不去 驗證了NACL是進入subnet的第一要素
```
##### D.NACL 設定:允許全部Inbound Rule外部進來請求
1. 回到console頁面點擊下方 **Inbound Rules**
點擊Edit Inbound Rules(把rule加回來)
Rule:100(隨意取)
Type:ALL Traffic
Protocol:ALL
Port range:ALL
Source:0.0.0.0/0
Allow/Deny:ALLOW
->Save
##### E.終端機測試
```
ping 3.21.106.235(示範_輸入public ec2_IPv4 public ip)
#有回應表示成功
contril c 結束
```
##### F. NACL 設定:取消全部Outbound Rule外部進來請求
1. 回到console頁面 點擊下方 **Outbound Rules**
點擊Edit Inbound Rules
取消允許所有的連線 按X
-> Save
這樣所有外部出去的請求都會被擋
##### G.終端機測試
```
ping 3.21.106.235(示範_輸入public ec2_IPv4 public ip)
# timeout 表示失敗 儘管NACL Inbound Rule允許進入 但是outbound Rule不允許出去 一樣會無回應
contril c #結束
```
##### H. NACL 設定:允許全部Outbound Rule外部進來請求
1. 回到console頁面點擊下方 **Outbound Rules**
點擊Edit Inbound Rules(把rule加回來)
Rule:200 (隨意取)
Type:ALL Traffic
Protocol:ALL
Port range:ALL
Source:0.0.0.0/0
Allow/Deny:ALLOW
->Save
##### I.終端機測試
```
ping 3.21.106.235(示範_輸入public ec2_IPv4 public ip)
#有回應表示成功
contril c 結束
```
:::danger
##### (二)Security Group設定
NACL是VPC內的服務
Security Group 是EC2內的服務
:::
##### A.Security Group設定:ec2不給ping
1. 點選左側instance,在點擊public ec2
2. 下方security groups 點擊設定
3. 進到security group console頁面
下方Inbound rules (目前有允許所有人可以ping ex:All ICMP 0.0.0.0/0 )點擊Edit Inbound Rules
Delete兩個All ICMP-IPv4(不給ping)
->save rules
##### B.終端機測試
```
ping 3.21.106.235 #(public ec2的 Ipv4 publuc ip)
# timeout 無回應
control c 結束
```
##### C.Security Group設定:加入Inbound Rule
1. 點選左側instance,在點擊public ec2
2. 下方security groups 點擊
3. 3. 進到security group console頁面
下方Inbound rules
點擊Edit Inbound Rules
Type:Custom ICMP- IPv4
Protocol: All
Port range:All
Source:Anywhere (任何人都可以來)
->save rules
##### D.終端機測試
```
ping 3.21.106.235 #(public ec2的 Ipv4 publuc ip)
# SG允許進去 有回應了
control c 結束
```
##### E.Security Group設定:取消Outbound Rules
Outbound Rules預設讓所有人進去
1. 進到security group console頁面
2. 下方Outbound rules
點擊**Edit Inbound Rules**
Delete (All traffic)(不讓任何人出去)
->save rules
##### F.終端機測試
```
ping 3.21.106.235 #(public ec2的 Ipv4 publuc ip)
# 有回應 仍然可以ping儘管SG不允許Outbound Rules
control c 結束
```
Security Group 是Stateful 一旦曾經進來是允許的會記住,出去就不擋
##### G.Security Group設定:加回Outbound Rules
1. 進到security group console頁面
2. 下方Outbound rules
點擊**Edit Inbound Rules**
點擊Add Rule
Type:All traffic
Protocol: All
Port range:All
Source:Anywhere (任何人都可)
->save rules
#### 八.VPC清理資源
##### A.清理EC2
1. 到EC2 console(左側instances)
2. 創建的private/public subnet都點起來
3. 點擊console頁 上方Actions->Instance State-> Terminate
4. 完成後 ec2的狀態會變成Terminated
##### B.清理VPC:先清NAT Gateway
1. 到NAT Gateways(左側點擊)
2. 創建的NAT Gateway點起來
它其實也是一台AWS後面建立的ec2
3. 點擊console頁 上方Actions->Delete NAT Gateway
4. 完成後 NAT Gateway的狀態會變成Deleted
##### C.再清理建給NAT Gateway的EIP
1. 點擊左側Elastic Ips
2. 創建的EIP點起來
3. 點擊console頁 上方Actions->Release addresses->release
4. 頁面清空表示完成
##### D.清理VPC
1. 點擊左側Your VPCs
2. 創建的VPC點起來
3. 點擊console頁 上方Actions->Delete VPC->close
4. 頁面清空表示完成
## chapter4 EC2運算資源
#### 一.EC2重點架構
##### EC2內部的重要元件介紹:
1. Amazon Machine Image(AMI):類似模板概念,主要決定作業系統(operation system)、細部的設定之後談
2. Instance Metadata:透過AMI起EC2產生Instance層面的資料:Instance ID、Hostname
3. Instance Type:決定要用多少資源
* vCPU: virtual CPU
* Memory:記憶體
* Instance Storage:儲存空間(本地儲存空間,會隨著ec2刪除而不見、不適合放永久資訊、可進行高I/O工作)
* Network Speed:決定這台EC2可負荷多大的網路流量
4. 其他細項之後講
##### EC2連接外部的子服務介紹:
1. Network網路:建立EC2時會配給它一個或多個虛擬網卡,EC2在網路架構中的角色是由ENI來決定,看ENI放到哪個SG,Subnet,NACL
2. Permission權限:IAM Role不能直接被EC2使用,需要透過Instance Profile,將IAM Role轉成EC2可以使用的形式,藉此規範EC2可以使用哪些權限、哪些AWS的服務
3. External Storage外部儲存空間:Elastic Block Storage(EBS)不會隨著EC2刪除而消失,可以儲放永久資料
#### 二.EC2儲存資源:Instance Storage VS. Elastic Block Storage
* 起一台EC2,裡面的Instance Storage跟Instance都會在同一台Host主機
* 透過網路連接,可以接一台外接硬碟EBS(Elastic Block Storage) Volume
* EC2 Instance 跟EBS Volume 會在同一個AZ中
* EBS Volume 透過EBS Snapshot備份,採用漸進式incremental備份(上次備份到的部分 下次不會重複備份 只會加上新的部分)
* EBS Snapshote跟EC2 Instance會在同一個Region
#### EC2 Instance Storage
* EC2 Instance Storage跟instance在同一台Host主機中,所以有很高的I/O處理能力
* EC2 Instance Storag缺點是ephemeral短暫存在,ec2刪除,Instance Storag也一起刪除
* EC2 Instance Storag沒有備份功能,就算沒有刪除ec2 instance,只要它所在的實體主機的儲存硬碟故障,資料也會全部不見。Durability很低
:::danger
Durability:資料可以承擔故障的能力
:::
#### EBS volume
* 較低的I/O處理能力,因它與EC2之間是連這內部網路的,有時間消耗
* 是persistent,即便ec2的刪除不影響
* 備份功能很好,當創造一個EBS volume時,aws會自動在同一個az中,起多台的nodes,來組成一個EBS volume,這樣就算有一個儲存硬碟壞掉,資料也不怕遺失,有較高的Durability
* EBS Snapshot:就算az中的資料中心都壞了,資料還是會保持在同一個region底下的EBS snapshot
#### 三. EBS Type介紹
EBS 比起EC2 instance storage來說,I/O功能弱,所以AWS提供4種類型,依照需求使用
**IOPS(I/O per second):每秒可處理的I/O請求次數**
**IO packet size:每次處理一個I/O請求時,packet size有多大**
**Throughput:每秒可處理的I/O資料總量**
**Throughput=IOPS x IO packet size**
ex:io1的throughout
64000 X 16 X 1024=1048576000 bytes
轉成kb->1048576000/1024=102400kb
轉成mb->102400/1024=1000
1kb=1024 bytes
---
SSD針對次數高但量小的使用情境
HDD針對次數少但量大的使用情境
HDD下的sc1,st1重要的是**throughput**:目的是在每秒處理最大的資料總量,考慮花費cp高。在看throughput時優先看HDD
SDD下的io1跟gp2主要看**IOPS**針對每秒內處理最多的I/O請求次數,如果重IOPS又有預算,可以直上SSD
使用情境:
SSD:io1->資料庫:資料量小但請求次數多
SSD:gp2->開機硬碟:開機速度快/aws預設開機設定
HDD:st1->影音串流:請求頻率不高但每秒處理量大
HDD:sc1->資料封存:使用頻率低 保存花費低
HDD 便宜大流量
SSD 高貴快手速
SSD 重要的效能是IOPS
HDd 重要的效能是Throughput
EBS attach ec2時,兩者的交結點,才是最後EBS的整體效能表現
**EBS Type+EC2的Type=final EBS performance**
#### 四.EC2搭配EBS實作 1/1
步驟:
##### A. 用VPC Wizard 建立環境
1. AWS Management Console 搜尋 VPC
2. 點選上方 **Launch VPC Wizard**(他可以快速建環境)
**step 1** 點選左邊 **VPC with a Single Public Subnet**->select
**step 2**:
- vpc name:ec2-demo-vpc->create vpc
3. VPC建立好了
4. 點選左側**Subnets** 可以看到剛剛建立的public subnet可以使用
##### B.在subnet內建立一台EC2
1. 點選上方services回到Management Console頁面,搜尋**EC2**
2. 點選左方**Instance**-> Launch Instance
3. **Step1:choose an Amazon Machine Image**這邊要決定作業系統
左側選擇:**Community AMIs**
**operating system:**
- [ ] Amazon Linux打勾(沒額外需求,建議選Linux跟雲端環境最相容)
**Architecture:**
- [ ] 64-bit(x86)打勾
**Root device type**(開機硬碟)
- [ ] EBS
##### 點完後 右邊的列表擇一選即可
這邊示範選第一個amzn-ami-hvm-2018.03.0.20200602-1_64-gp2
4. **Step2:Choose an Instance Type**:
上方過濾器選擇:**General purpose**
在AMI已經決定開機硬碟要用EBS
下方的Instance Storage(GB)代表要選擇-額外的硬碟只支援EBS還是要同時支持Instance Store,這邊著重**EBS Only**
**EBS-optimized available**:ebs的效能是由ebs type 跟ec2 type,如果ec2這邊選擇Yes,那跟ebs之間就有專屬網路,可發揮ebs volume最大效能
小結:
family:General purpose
type:t3a.nano(AWS統整後給的名稱 考照時要背orz)
vCPUs:2
Memory(GiB):0.5
Instance Storage(GB):EBS only
EBS-optimized available:Yes
Network Performance(虛擬網卡): Up to 5 Gigabit(可以承擔到5GB的流量)
IPv6 Support: Yes
-> Next:Configure Instance Details
5. **Step3:Configure Instance Details**:
Number of Instances(一次起幾個Instance):1
Network:選剛剛建立的ec2-semo-vpc
Subnet:選擇Public Subnet
Auto-assign Public IP: Enable (會需要Public IP所以Enable)
->Next
6. **Step4: Add Storage**:用預設即可->Next
這邊可以看到Root開機硬碟
**volume type**:預設是給general purpose 也可以往更高規格選,Magnetic是舊版,這邊用general purpose
**Delete on Termination**:這邊打勾,因為是root
把ec2刪除時,要不要保留這個ebs。
打勾代表跟著EC2一起刪除
不打勾代表獨立於EC2生命週期,EC2刪除 這個還是在,不受影響
**點擊Add New Volume**
**Volume Type: **EBS
**Device:**/dev/sdb (預設)
**Snapshot:**:(預設)
**Size(Gib):**:32
數字越大IOPS越大,這邊的最大值是16384->IOPS:16000,數字再大IOPS會顯示Null。
**Volume Type:**:General Purpose SSD(gp2)
**IOPS:**:100/3000(100是基準點 3000是aws額外提供可以瞬間達到3000)
**Throughput:**:N/A
**Delete on Termination**:不勾
-> **Next:Add Tags**
7. **Step5:Add Tage**:用預設即可->Next
8. **Step6: Configure Security Group**:
用預設即可
SSh->TCP->22->Custom->0.0.0.0/0
->Review and Launch
9. **Step7 Review Instance Launch**:點選Launch
10. **Select an existing key pair or create a new key pair**:
創新的create a new key pair(key pair將用來連進去EC2)
**key pair name:**:my-ec2-keypair->**download key pair**(下載下來,需要用此pem file來驗證)-> **Launch Instances**
11. **Launch Statis**:按下View Instances
12. EC2起好後,更改EC2名稱為:ec2-ebs-demo
13. console左側點選**Elastic Block Store**的**Volumes**
兩個剛起起來的EBS Volume
一個是開機硬碟、一個是外接硬碟
##### E.驗證是否可連進去
1. 回到EC2 Console頁面,點擊上方Connect 有提示的指令可參考,複製第三項ssh連線 更改只有讀的權限
```
chmod 400 my-ec2-key-pair.pem
```
2. 打開終端機
cd+下載key pair位置
```
#先到下載pem file的目錄位置
cd ~/Downloads/ (這邊要看你的位置)
#確認目錄底下有pem file
ls -l | grep.pem
#更改不要有write的權限
chmod 400 my-ec2-key-pair.pem
# 更改後 再輸入下列指令 會發現只剩下讀r的權限
ls -l | grep .pem
#回到ec2介面connect 複製指令
# 連SSH
ssh -i "my-ec2-keypair.pem" ec2-user@ec2-34-223-83-38.us-west-2.compute.amazonaws.com(指令從connect to your instance 直接複製,此為示範)
#詢問hostname不認識,要不要繼續,打yes
#此指令意思為SSH帶著pem file 用ec2-user這個帳號進去,目的地是這個instance的public IP(簡單來說就是user用憑證方式連進public subnet中這台ec2)
#連進去後 使用者名稱會顯示此台EC2的Private IP
#去看這台ec2擁有的ebs
lsblk-p
#-p可以看到完整路徑
#可以看到有一台ebs被mount在根目錄
```
圖示為terminal畫面,匡起來分別為兩台ebs
黃色那台還沒mount 複製ebs名稱 打下面指令
```
#去看個硬碟空間的格式化狀態如何
sudo file -s /dev/nvme1n1
# 如果顯示:data表示還沒被格式化 所以作業系統還不行去使用
# 所以來格式化它 打下面指令 後面加上ebs volume名稱
sudo mkfs -t xfs /dev/nvme1n1
#若出現 mkfs.xfs No such file or directory表示還沒安裝此套件
#安裝 (xfsprogs為套件名稱)
sudo yum install xfsprogs
#安裝好再輸入指令 來格式化
sudo mkfs -t xfs /dev/nvme1n1
#再輸入指令+硬碟名稱(/dev/nvme1n1)
sudo file -s dev/nvme1n1
#可以看到不是data,而是XFS filesystem data,表示硬碟空間已經格式化,可被作業系統給使用
```
###### ebs mount格式化完成 可被作業系統使用
###### 將ebs mount到某個資料夾
###### 1.創建資料夾
###### 2.資料夾mount到硬碟上
```
#創資料夾 指令:mkdir+資料夾名稱
mkdir my_data
#mount 指令(sudo mount)+硬碟名稱+folder名稱
sudo mount /dev/nvme1n1 my_data
#查看有沒有成功mount
lsblk-p
```
###### 3.資料存到資料夾中
```
#先進到資料夾裡
cd my_data/
#看目前硬碟使用狀況
df -h
```
如圖示 硬碟空間有32G 目前只使用65mb
透過指令 創造假檔案 取名為fake_file
```
sudo fallocat -l 1G fake_file
```
再打上指令看目前硬碟使用狀況 會看到已經使用1G的空間了
```
df -h
```
```
ls -lh
#看到fake file在目錄底下佔了1G的空間
```
#### 五. EC2搭配EBS實作 2/2
##### A.測試EC2 stop再start後 EBS volune的資料還保留
1. 到EC2 console介面,點擊上方**Action**->**Instance State**-> **Stop**
p.s 只有使用ebs volume當root volume才有stop功能
2. EC2 stop後,再重新啟動,點擊上方**Action**->**Instance State**-> **Start**
p.s 當EC2 Stop 再重新Start,所拿到的虛擬機可能不是同一台
3. 測試
點選connect 複製ssh指令
```
#(此為示範)
ssh -i "my-ec2-krypair.pem" ec2-user@ec2-44-227-242-90.us-west-2.compute.amazonaws.com
#進到ec2後
lsblk-p
#目前只有根目錄mount
#要將ebs mount到資料夾
#查看東西
ls
#裡面有my_data資料夾
#mountu 起來 +ebs名稱 +資料夾名稱
sudo mount /dev/nvme1n1 my_data
lsblk-p
#mount 成功
#查看my_data資料夾中有沒有之前建立的檔案
ls my_data
#裡面有之前建立的fake_file
#查看更詳細內容
ls -lh my_data/
#裡面的fake_file 1G確實是之前建立的
由此可見 EC2 Stop再Start,EBS volume的資料都還在不受影響
```
##### B.測試EC2 terminate後 EBS volune的資料還保留
1. 到EC2 console介面,點擊上方**Action**->**Instance State**-> **Terminate**
測試EC2刪除後,EBS Volume的資料是否還會保留?
2. 點擊左側**Elatic Block Store**的**Volumes**
作為root storage的ebs已經刪除
剩下額外加上的EBS Voulme
##### C.建立新的EC2
1. 點選左側**Instances**->Launch Instances
2. **Step1:choose an Amazon Machine Image**這邊要決定作業系統
左側選擇:**Community AMIs**
**operating system:**
- [ ] Amazon Linux打勾(沒額外需求,建議選Linux跟雲端環境最相容)
**Architecture:**
- [ ] 64-bit(x86)打勾
**Root device type**(開機硬碟)
- [ ] EBS
##### 點完後 右邊的列表擇一選即可
這邊示範選第一個amzn-ami-hvm-2018.03.0.20200602-1_64-gp2
3. **Step2:Choose an Instance Type**:
family:**General purpose**
type:**t3a.nano**
vCPUs:**2**
Memory(GiB):**0.5**
Instance Storage(GB):**EBS only**
EBS-optimized available:**Yes**
Network Performance(虛擬網卡): **Up to 5 Gigabit**(可以承擔到5GB的流量)
IPv6 Support: **Yes**
-> Next:Configure Instance Details
4. **Step3:Configure Instance Details**:
Number of Instances(一次起幾個Instance):1
Network:選建立的**ec2-demo-vpc**
Subnet:選擇**Public Subnet**
Auto-assign Public IP: **Enable** (會需要Public IP所以Enable)
->Next
5. **Step4: Add Storage**:用預設即可->Next
6. **Step5:Add Tage**:用預設即可->Next
7. **Step6: Configure Security Group**:
用預設即可
SSh->TCP->22->Custom->0.0.0.0/0
->Review and Launch
8. **Step7 Review Instance Launch**:點選Launch
9. **Select an existing key pair or create a new key pair**:
- choose an existing key pair
- 選my-ec2-keypair
**download key pair**(下載下來,需要用此pem file來驗證)-> **Launch Instances**
11. **Launch Statis**:按下View Instances
12. EC2起好後,更改EC2名稱為:ec2-ebs-reuse-demo
13. console左側點選**Elastic Block Store**的**Volumes**
兩個EBS Volume
一個是剛起起來的開機硬碟、一個是之前建立的外接硬碟
---
##### D.新的EC2 attach EBS volume
1. 承上,點擊32GB的ebs,再按上方的**Action**
**Attach Volume**:
Instance:選**ec2-ebs-reuse-demo那個**
->**Attach**
##### E. 測試
1. 回到Instance console 頁面 參考connect 指令
2. terminal 打指令
```
#連線到EC2
ssh -i "vpc-ec2-002.pem" ec2-user@3.21.106.235
#查看有哪些ebs volume
lsblk -p
# 32G ebs還沒mount
#創新資料夾
mkdir my data_02
#mount 起來 +硬碟名稱+資料夾名稱
sudo mount /dev/nvme1n1 my data_02
#查看ebs volume
lsblk -p
#mount 成功
#查看這個ebs裡面有沒有知其創造的fake file如果有表示是同一個ebs
#指令+mountpoint
ls -lh /home/ec2-user/my_data_02
#有fake file 表示ebs 生命週期與ec2是隔開的
```
#### 六.EBS Snapshot備份建立與使用
##### A.將EBS轉成EBS Snapshot
**Snapshot是以region為單位**
1. 點選左側**Elastic Block Store**的**Volumes**:
一個是ec2用的root volume(8G)
另一個是ebs volume (32G)
2. 點選ebs volume (32G) 在點擊上方**Actions**->**Create Snapshot**->
3. Create Snapshot:
**Description**: mysnapshot in us-west-2
->**Create Snapshot**
p.s 點擊右上方查看region(示範中點擊Oregon)為US West (Oregon) **us-west-2** 寫進Description中
4. 點擊左側Elastic Block Store**的**Snapshots**:
查看創建好的EBS Snapshot 細部沒有顯示AZ 因**EBS Snapshot是以Region為單位**
##### B.用Snapshot還原資料
步驟為:刪除ec2->刪除ebs->創ec2->ebs snapshot要跟ec2同一個AZ->驗證
1. 刪除ec2
點擊要刪除的EC2,點擊上方**Action**->**Instance State**->**Terminate**
2. 刪除ebs
點擊左側**Elastic Block Store**的**Volumes**:點擊要刪除的EBS,在點擊上方**Action**->**Delete Volume**
模擬現在資料如果沒有備份 或是資料中心壞了,資料就是整個不見,但是有ebs snapshot就可以還原資料
3. 創ec2
點擊左側**Instances**:**Launch Instance**
**Step1:choose an Amazon Machine Image**
左側選擇:**Community AMIs**
**operating system:**
- [ ] Amazon Linux打勾
**Architecture:**
- [ ] 64-bit(x86)打勾
**Root device type**(開機硬碟)
- [ ] EBS
##### 點完後 右邊的列表擇一選即可
這邊示範選第一個amzn-ami-hvm-2018.03.0.20200602-1_64-gp2
**Step2:Choose an Instance Type**:
family:**General purpose**
type:**t3a.nano**
vCPUs:**2**
Memory(GiB):**0.5**
Instance Storage(GB):**EBS only**
EBS-optimized available:**Yes**
Network Performance(虛擬網卡): **Up to 5 Gigabit**
IPv6 Support: **Yes**
-> **Next:Configure Instance Details**
**Step3:Configure Instance Details**:
Number of Instances:1(不改)
Network:選建立好的ec2-demo-vpc(不改)
Subnet:選擇Public Subnet(不改)
Auto-assign Public IP:**Enable **(會需要Public IP所以Enable)
-> Next
**Step4: Add Storage**:用預設即可->Next
**Step5:Add Tage**:用預設即可->Next
**Step6: Configure Security Group**:
用預設即可->Next
**Step7 Review Instance Launch**:點選Launch
**Select an existing key pair or create a new key pair**:
Choose an existing key pair
**key pair name:**:my-ec2-keypair->**download key pair**-> **Launch Instances**
EC2起好後,更改EC2名稱為:ec2-ebs-snapshot-
demo
4. ebs snapshot轉回去建立EBS Volume
a) console左側點選**Elastic Block Store**的**Snapshots**
b) 點擊**Snapshot**->點擊上方**Action**->**Create Volumes**->
c)Create Volumes:
Volume Type:General Purpose SSD(gp2)
Size(GiB):32
**AZ:必須跟ec2 instance在同一個AZ**:us-west-2d(選跟ec2一樣的)
->Create Volume
點擊左側**Elastic Block Store**的**Volumes**
查看Snapshot正轉換成EBS Volume
5.將建立好的EBS Volume Attach to EC2
點擊剛建好的32GB EBS Volume,再按上方的**Action**:
**Attach Volume**:
Instance:選**ec2-ebs-snapshot-demo**(在同一個AZ所以找得到)->**Attach**
5. 測試
a) 回到Instance console 頁面 參考connect 指令
b) terminal 打指令 貼上ssh那行指令
```
#連線到EC2
ssh -i "vpc-ec2-002.pem" ec2-user@3.21.106.235
#進去ec2後 查看有哪些ebs volume
lsblk -p
# 32G ebs還沒mount
#創新資料夾
mkdir my data_03
#mount 起來 +硬碟名稱+資料夾名稱
sudo mount /dev/nvme1n1 my data_03
#查看ebs volume
lsblk -p
#mount 成功
#查看這個ebs裡面有沒有之前創造的fake file如果有表示是同一個ebs
#指令+mountpoint
ls -lh /home/ec2-user/my_data_03
#有fake file 表示ebs snapshot轉換過來的ebs 內容物跟之前一樣不變
```
#### 七.ec2資源清理
- [ ] 刪除ec2
- [ ] 刪除ebs shapshot
- [ ] 刪除ebs volume
- [ ] 刪除keypair
- [ ] 刪除vpc
**1. 刪除ec2**
Instance console點擊欲刪除ec2 instance->Action->Instance State->Terminate
**2. 刪除ebs shapshot**
左側Elastic Block Sotre的Snapshot console->點擊欲刪除的Snapshot->Actions->Delete
**3. 刪除ebs volume**
左側Elastic Block Sotre的Volumes console->點擊欲刪除的Volume ->Actions->Delete Volume
**4. 刪除keypair**
左側Network&Security的Key Pairs點擊欲刪除的Key Pairs(my-ec2-key-pair)->Actions->Delete
以上為EC2服務上得資源清除 接下來到VPC
**5. 刪除vpc**
左側Your VPCs->點擊欲刪除的VPC->Actions->Delete VPC
#### 八.EC2-AMI架構介紹
AMI:Amazon Machine Image
用來創造EC2 Instance的模板
AMI組成:
* operation system
* Root Device Storage:instance storage或是 ebs
* Block Device Mapping:連結外部Stotage(root device storage以外的storage,連結到外部硬碟時,需要透過這個當媒介)
* Launch Permissions
#### 九.AMI實作
vpc-vpc wizard-sinlge and public subnet
## chapter5 S3儲存資源
#### 一.
#### 二.
#### 三.
#### 四.
#### 五.
## chapter6 RDS資料庫儲存資源
#### 一.
#### 二.
#### 三.
#### 四.
#### 五.
#### 六.
#### 七.
#### 八.
## chapter7 IAM 權限管理
#### 一.
#### Policy
IAM底下的Policy 主要規範誰可以用 或 哪些資源可以被使用,又分為:
Identity-based policy
Resource-based policy
### Identity-based policy
* 一個Identity-based policy有多個statements
* 一個statements只歸屬於一個policy
* statement更細部規定可以只用哪些aws服務,其中重要的要素為:
1. effect(allow/deny):要開放權限還是阻擋權限
2. action:允許服務到什麼動作
3. resource: aws service(ex.s3 bucket, RDS instance)
#### User
套用給誰
每個policy可以給不同user使用
一個user與可以同時擁有不同的policy
#### Group
一個group裡面可涵蓋多個user
一個user也可以存在多個group中
一個policy可以被多個group使用
一個group可以套用多個policy
#### Role
一個policy可以給不同role使用
一個role可以套用多個不同的policy
role是:不是user不是登入帳號來使用服務,像是其他aws service(ec2 instance)
----
#### Resource-based policy
* 一個Resource-based policy有多個statements
* 一個statements只屬於一個policy
* statement更細部規定可以只用哪些aws服務,其中重要的要素為:
1. effect(allow/deny):要開放權限還是阻擋權限
2. action:允許服務到什麼動作
3. resource(self): aws service(ex.s3 bucket, RDS instance)
4. proincipal: 服務套用給誰(statement level)
#### 二.
#### 三.
#### 四.
#### 五.
#### 六.
#### 七.
#### 八.
## chapter8實作
---
Sign in via Google
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet