第一部分:基础知识
一、云计算服务类型
1.IaaS(基础设施即服务)
代表:EC2
AWS 提供服务器硬件,你自己负责操作系统安装、补丁、软件配置和应用运行。自由度最高,但运维最多。
2.PaaS(平台即服务)
代表:RDS、Elastic Beanstalk
AWS 帮你搭好运行环境,负责底层系统和软件维护,你只负责应用和数据。
3.SaaS(软件即服务)
直接使用软件服务,不需要管理任何底层资源。
4.FaaS(函数即服务)
代表:AWS Lambda
不需要服务器,只写函数代码,有请求才运行,按调用次数计费。
共享责任模型:
AWS 负责“云的安全”(物理机、机房、电力、网络基础设施)
客户负责“云里的安全”(操作系统补丁、账号权限、防火墙规则、数据安全)
二、Region 和 AZ
Region(区域)
一个独立的地理区域,不同 Region 完全隔离,数据不会自动跨区域。
AZ(可用区)
一个 Region 内多个独立机房,彼此物理隔离。
跨 AZ → 提高高可用
跨 Region → 提高灾备能力
EBS 只能在同一个 AZ 使用。
三、EC2 虚拟机
EC2 是云上的虚拟服务器,包括 CPU、内存、存储、网络性能。
AMI
操作系统模板。只属于一个 Region,但可以复制到其他 Region。
密钥对
AWS 保存公钥,你保存私钥,用于 SSH 登录。
实例类型
通用型= 普通办公电脑
计算优化= CPU 特强
内存优化= 内存很大
加速计算= 带显卡
存储优化= 硬盘很强
实例计费方式
按需实例
预留实例
竞价实例
Savings Plan:提前承诺“我会长期用”
四、EBS(云硬盘)
EBS 是与 EC2 分离的云硬盘。
EC2 关闭不会删除 EBS。
终止实例时:默认根卷删除,数据卷不删除(可修改)。
快照
EBS 的备份方式,存储在 S3 中。
是增量备份。可以跨区域复制。可以从快照创建新卷。
SSD 性能高 HDD 成本低
实例存储:物理机本地盘,实例停止或终止后数据丢失。
五、安全组 vs NACL
安全组(Security Group)
作用在实例上 有状态 只能写允许规则 默认拒绝所有入站流量
NACL(网络访问控制列表)
作用在子网上 无状态 可以写允许和拒绝规则 按编号顺序匹配
六、ELB(负载均衡)
把流量分发到多台服务器。
ALB
7层(HTTP/HTTPS)支持路径和域名路由
NLB
4层(TCP)高性能 支持固定 IP
组件:Listener Target Group 后端实例
七、CloudWatch
用于监控 AWS 资源。收集指标、日志。可以设置报警(Alarm)。
八、Auto Scaling
自动增加或减少 EC2 数量。属于横向扩展。提高可用性,降低成本。
九、Placement Group
Cluster(高性能低延迟) Partition(大规模分布) Spread(高可用分散部署)
一、VPC(虚拟私有云)
VPC = 在AWS里的专属网络
可以:自定义IP段,创建子网,配置路由,设置防火墙规则,控制出入互联网
VPC 必要组件
1.子网(Subnet)
一个VPC可以有多个子网
一个子网只能属于一个AZ
分为:公有子网(可访问互联网),私有子网(不能直接访问互联网)
2.路由表(Route Table)
决定数据流量的去向。
例如:
0.0.0.0/0 → IGW(去公网)
10.0.0.0/16 → local(VPC内部)
3.安全组(Security Group)
作用在实例级别,有状态(Stateful)
只有允许规则,默认拒绝所有入站
4.网络 ACL(Network ACL)
作用在子网级别,无状态(Stateless)
可以允许和拒绝,按编号顺序匹配
5.DHCP 选项集
自动给实例分配:IP DNS 域名
VPC 可选组件
1.互联网网关(IGW)
作用:让公有子网访问互联网。
必须满足:子网路由表指向 IGW,实例有公网 IP
2.NAT 网关
作用:让私有子网访问互联网,但互联网不能访问它。
常见架构:NAT 放在公有子网,私有子网路由指向 NAT
3.弹性 IP(EIP)
固定公网 IP
可绑定 EC2 或 NAT
4.弹性网卡(ENI)
一个 EC2 可以有多个网卡
用于高可用、IP 迁移
5.VPC 终端节点(Endpoint)
让 VPC 私网访问 AWS 服务(例如 S3)不走公网。
6.VPC 对等连接(VPC Peering)
作用:让两个 VPC 互通。
限制:不支持传递,不能 CIDR 重叠,同两个 VPC 之间不能建立多个 Peering
公式:VPC 对等数量 = n(n-1)/2
7.Transit Gateway
用于:多个 VPC 大规模互通。像一个中央交换机。
1. VPC Endpoint(终端节点)
让VPC里的资源访问AWS服务时不走公网,而走AWS内部私有网络。
例如:EC2访问S3时:
正常情况:EC2 → 公网 → S3
使用VPC Endpoint:EC2 → AWS内部网络 → S3
好处:不走公网,更安全 延迟更低 不需要NAT Gateway 部分Endpoint没有费用
2.VPC Endpoint 类型
1️⃣Gateway Endpoint(网关终端节点)
只支持:S3 DynamoDB
特点:完全免费 通过路由表(Route Table)控制 不需要 ENI
适合:访问大量 S3数据 / DynamoDB
2️⃣Interface Endpoint(接口终端节点)
基于PrivateLink
特点:在VPC里创建 ENI(网卡)
有小时费用 + 流量费用
可以访问很多AWS 服务
例如:SQS SNS KMS CloudWatch 其他VPC服务
PrivateLink的作用:让不同VPC或服务通过私有网络访问
特点:不走公网 不需要VPC Peering 不需要NAT 安全性更高
常用于:SaaS服务 跨账户访问
3.VPN
VPN = 虚拟专用网络
作用:通过互联网加密连接AWS和本地网络
简单理解:公司内网 ↔ 加密隧道 ↔ AWS VPC
VPN类型
1️⃣Site-to-Site VPN(站点到站点)
公司网络 ↔ AWS VPC
公司机房 ←→ AWS VPC
特点:整个公司网络接入AWS 常用于企业
2️⃣Client VPN(Point-to-Site)
个人电脑 ↔ AWS
例如:员工在家连接公司云环境
4.Direct Connect(DX)
Direct Connect = AWS专线
作用:通过专用物理线路连接公司数据中心和AWS
公司机房 ───专线─── AWS
特点:不走公网 带宽稳定 延迟低 适合大流量
使用场景 大规模数据迁移 实时数据处理 混合云架构 金融 / 游戏行业
费用 端口小时费 出站数据费用
5.CloudFront(CDN)
CloudFront = 内容分发网络(CDN)
作用:把内容缓存到全球节点,让用户 就近访问。
例如:用户在日本访问美国服务器:
没有CDN: 日本用户 → 美国服务器
使用 CloudFront:
日本用户 → 东京CDN节点 速度更快。
常见内容 CloudFront 可以缓存:图片 视频 网站 API
优点 低延迟 全球访问快 降低源服务器压力 DDoS防护
6.Global Accelerator(全球加速)
作用:优化全球用户访问应用的网络路径
区别:CloudFront:→ 缓存内容
Global Accelerator:→ 优化网络路径
例如:用户访问应用:用户 → 最近AWS边缘节点 → AWS骨干网络 → 应用
优点:更稳定 更低延迟 自动流量切换
7.S3
S3是AWS的对象存储服务。就是云端的大网盘 / 文件仓库。
常存储:图片 视频 日志 备份 静态网站文件 大数据
特点:存储空间几乎无限 高可靠性(11个9) 价格便宜 通过API访问
S3的基本结构 Bucket(桶) Object(对象) Metadata(元数据)
Bucket名字:整个AWS全球唯一
存储空间几乎无限
一个账户最多100个Bucket
默认:100个可以申请增加。
费用构成 存储费用+请求费用+数据传输费用
例如:存了多少GB API访问次数 数据下载量
强一致性 写入 → 立即能读到 删除 → 立即生效
原子操作 要么成功 要么失败
S3常见功能
版本控制 开启后:文件修改不会覆盖。可以恢复旧版本。适合:防止误删除 防止误修改
跨区域复制(CRR) 自动复制到其他Region 灾难恢复 全球访问
生命周期管理(Lifecycle) 自动管理文件生命周期。减少存储成本。
托管静态网站 S3可以直接托管:HTML CSS JS变成:静态网站服务器
S3(对象存储)通过API访问 最便宜 扩展无限
适合:图片 视频 日志 备份 静态网站 大数据
访问方式:HTTP API SDK
EBS(块存储)云硬盘 挂载到 EC2
类似电脑硬盘 速度很快 一般一个EC2使用
结构类似:数组结构
适合:数据库 操作系统 需要高IO
EFS(文件存储)云共享文件系统 可以同时挂载很多EC2自动扩容 Linux文件系统
结构类似:树结构
适合: 多个EC2共享文件 网站集群 共享文件系统
8.DataSync(数据同步服务)
数据传输工具 在本地数据中心和AWS之间高速传输数据
也可以:本地 → AWS AWS → AWS
自动化数据传输 DataSync可以:自动复制 自动同步 自动调度
传输速度快 并行传输 自动优化网络 速度比普通复制更快。
安全传输 加密 校验 完整性检查
DataSync常用于:数据迁移 数据备份 归档冷数据 数据保护 云内数据移动
公司NAS → S3 公司服务器 → EFS
9.Storage Gateway(存储网关)
本地数据中心连接AWS存储的桥梁
让本地服务器像使用本地存储一样使用AWS存储
本地服务器 → Storage Gateway → AWS存储
常用于:备份 灾难恢复 数据迁移 存档
File Gateway(文件网关)
提供:文件存储接口
协议:NFS SMB
实际存储:S3
简单理解:本地共享文件夹➡️文件自动存到 S3
用途:文件共享 文件备份
Volume Gateway(卷网关)
提供:块存储
Stored Volume(存储卷)
数据:本地存储
备份:AWS
适合:需要本地完整数据
Cached Volume(缓存卷)
数据:主要在 AWS
本地只缓存:热点数据
适合:本地存储空间小
Tape Gateway(磁带网关)
模拟:传统磁带备份
实际存储:AWS Glacier
用途:替代传统磁带备份
Storage Gateway 简单部署 云集成 低延迟 持久安全 自动备份
10.FSx for Windows File Server
托管文件系统
完全托管 不用自己管理服务器。
支持SMB Windows常用协议:SMB
适合:Windows应用
高性能 支持:高IO高吞吐
安全合规 支持:Active Directory Windows权限
常见用途 Windows共享文件 企业文件服务器 Windows应用存储
11.Snow Family(线下数据迁移)
AWS线下数据迁移设备
当数据太大时:网络传不动就用:寄硬盘
Snowcone 最小设备 适合:边缘计算 小规模数据
特点:便携 小型设备
Snowball 中型设备 容量:大约几十TB。
用途:数据迁移 边缘计算
Snowmobile 最大设备 其实是:卡车数据中心 容量: 100PB
用于:超大规模迁移
例如:数据中心迁移。
RDS(关系型数据库)
AWS提供的托管型关系型数据库服务。
不用自己装数据库 AWS帮你管理
自动管理 AWS负责:备份 更新 故障恢复 补丁 开发者只需要使用数据库。
自动扩容 可以自动增加:存储空间不用自己扩盘。
内置缓冲区(缓存)RDS 内部有:Buffer cache
减少磁盘读取提高数据库性能。
Aurora(极光数据库)
Aurora是AWS自研的云原生关系型数据库。性能更高。
高性能 MySQL性能的5倍 PostgreSQL性能的3倍
高可用 自动复制6份数据 跨3个可用区
故障恢复快 数据可靠
完全托管 AWS自动管理:备份 故障恢复 扩容
成本较低 相比传统数据库:成本更低
Aurora Serverless
Aurora Serverless = 无服务器版Aurora
数据库容量可以 自动变化
自动扩缩容 根据负载自动调整:CPU 内存 连接数
按使用量计费 费用不太容易预测
适合不稳定负载 开发测试环境 SaaS应用 访问量波动大的系统
DynamoDB
DynamoDB = NoSQL数据库
键值对数据库
高性能 毫秒级响应 高并发
自动扩展 支持: Auto Scaling 自动增加吞吐量。
Provisioned(预置容量)提前设定:读写容量
On-Demand(按需模式)自动扩展容量。适合:不稳定流量
支持触发器Lambda
实现:数据变化通知 自动处理
Redshift(数据仓库)
数据分析 商业智能
PB级数据分析 大规模并行计算
Redshift架构 Leader Node(领导节点)↓Compute Node(计算节点)↓Slice(节点切片)
工作流程:客户端↓Leader Node↓Compute Nodes
特点 列式存储
查询速度快 数据压缩高
ElastiCache(缓存数据库)
缓存数据:减少数据库访问
降低延迟 提高吞吐量 减轻数据库压力
使用行业 游戏 金融 电商
DMS(数据库迁移服务)
把数据库迁移到AWS支持两种迁移
同类型数据库迁移:Oracle → Oracle MySQL → MySQL
不同数据库:Oracle → Aurora SQL Server → MySQL
DMS迁移流程复制实例↓源数据库↓目标数据库↓复制任务
三个迁移阶段
1 Full Load
完整复制
2 CDC(Change Data Capture)
捕获数据库变化
3 Continuous Replication
持续同步
保证:最短停机时间
关系型 vs 非关系型数据库
关系型数据库(SQL)表结构 支持SQL 支持事务
容易维护 支持复杂查询
扩展困难 高并发性能一般
非关系型数据库(NoSQL)
无固定结构 高扩展性
速度快 扩展性强 成本低
复杂查询能力较弱 事务支持有限
Lambda(无服务器计算)
不用管理服务器 只写代码AWS负责运行
写代码↓上传到Lambda↓设置触发器↓自动执行
不需要:购买服务器 配置环境 运维
AWS自动处理:运行 扩展 高可用
按使用时间计费只按:代码执行时间收费。
如果没有运行:费用 = 0
自动触发 Lambda可以被很多AWS服务触发
API Gateway
作用:创建 发布 管理 监控 API
客户端 → API Gateway → 后端服务
REST API传统HTTP API。
WebSocket API支持:实时通信
IAM(身份与访问管理)
控制谁可以访问AWS资源
AWS有三个常见成本工具
Cost Explorer查看费用 分析资源成本
支持:图表 成本预测
Organizations管理多个AWS账户
统一管理 合并账单
Budgets设置预算
Elastic Beanstalk
自动部署应用
开发者只需要:
上传代码 AWS自动创建:EC2 负载均衡 Auto Scaling
ECS(容器服务)
用于运行:Docker容器
AWS负责:容器调度 管理
EKS(Kubernetes服务)
AWS负责:管理控制平面
SQS(消息队列)
解耦系统 消息保存 14天 不主动推送 需要轮询获取
Standard高吞吐 可能重复 顺序不保证
FIFO严格顺序 不重复
SNS(通知服务)
主动推送消息
Route53(DNS服务)
DNS域名解析服务
域名 → IP地址
Simple简单解析。
Weighted按权重分流。
Latency选择 延迟最低服务器。
Geolocation按用户地理位置。
Failover主备切换。
Kinesis(流数据处理)
实时数据流处理
实时收集 处理 分析 数据流
Kinesis家族
Kinesis Data Streams实时数据流。
Kinesis Firehose自动将数据写入:S3 Redshift
Kinesis Analytics实时数据分析。
Kinesis Video Streams处理视频流。