Amazon Trusted Advisor
Amazon Trusted Advisor 提供了以下四种类别的最佳实践(或检查):成本优化、安全、容错能力和性能提升。在控制面板页面用颜色编码标明检查的状态:
红色:建议执行操作
黄色:建议开展调查
绿色:未发现问题
对于每个检查,您都可以查看有关该主题的建议最佳实践、警报条件集、操作指南和实用资源列表的详细说明。
两项检查对所有客户开放,帮助提高安全和性能:Service Limits 和安全组 – 特定端口不受限制。
成本优化
了解如何通过清理未使用和闲置的资源,或承诺使用预留容量,来节省亚马逊云科技的成本。
无关联的弹性 IP 地址
检查是否存在不与运行的 Amazon Elastic Compute Cloud(Amazon EC2)实例关联的弹性 IP 地址(EIP)。EIP 是专用于动态云计算的静态 IP 地址。与传统静态 IP 地址不同,EIP 可以通过将公用 IP 地址重新映射到账户中的其他实例来掩盖实例或可用区的故障。对于与正在运行的实例无关联的 EIP,将收取象征性费用。
安全性
通过关闭缺口、启用各种亚马逊云科技安全功能以及检查权限,提高应用程序的安全性
安全组 – 特定端口不受限制(免费!)
检查安全组中允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。不受限制的访问将增加发生恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。高风险的端口标记为红色,低风险的端口标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。如果您有意以此方式设置安全组,我们建议您使用其他安全措施来保护基础设施(例如 IP 表)。
Amazon S3 存储桶权限
检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限的存储桶。如果存储桶中的对象是由无意用户高频列出的,则授予每个人“列出”访问权限的存储桶权限会导致高于预期的费用。授予每个人“上传/删除”访问权限的存储桶权限会因允许任何人在存储桶中添加、修改或删除项目而造成潜在安全漏洞。此检查将审查显式存储桶权限,但不审查可能替代存储桶权限的相关存储桶策略。
安全组 – 不受限制的访问
检查安全组中允许对资源进行不受限制访问的规则。不受限制的访问将增加发生恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。
容错能力
利用自动扩展、运行状况检查、多可用区以及备份功能,提升您的亚马逊云科技应用程序的可用性和冗余。
Amazon EBS 快照
检查 Amazon Elastic Block Store (Amazon EBS) 卷(可用或使用中)的快照年龄。即使复制了 Amazon EBS 卷,仍可能发生故障。快照一直存放于 Amazon Simple Storage Service (Amazon S3),用于持久存储和时间点恢复。
Amazon EC2 可用区平衡
检查 Amazon Elastic Compute Cloud (Amazon EC2) 实例在某地区内跨可用区的分布情况。可用区是专用于隔离其他可用区内故障的不同位置,可向相同地区中的其他可用区提供低延迟的廉价网络连接。通过在同一区域内的多个可用区启动多个实例,您可以保护应用程序免受单点故障的影响。
负载均衡器优化
检查您的负载均衡器配置。使用 Elastic Load Balancing 时,为了帮助提升 Amazon Elastic Compute Cloud (EC2) 的容错水平,我们建议在某地区内跨多可用区运行相同数量的实例。经过配置的负载均衡器会产生费用,所以这也是一项成本优化检查。
Amazon S3 存储桶日志记录
检查启用了服务器访问日志记录的 Amazon Simple Storage Service (Amazon S3) 存储桶的配置。当日志记录开始启用时,系统会自动验证该配置;但随后的修改可能会导致日志记录故障。此检查将审查显式 Amazon S3 存储桶权限,但不审查可能替代存储桶权限的相关存储桶策略。
性能
通过检查服务限制、确保充分利用预调配吞吐量和监控过度使用的实例,全面提升服务性能。
高使用率 Amazon EC2 实例
检查在过去 14 天内的任何时间运行的 Amazon Elastic Compute Cloud(Amazon EC2)实例,如果在 4 天或更多天内每日 CPU 使用率为 90% 或以上,则将向您发出提醒。持续的高使用率可能意味着优化良好、运行稳定的性能表现,但也可能表明应用程序资源不足。若要获取每日 CPU 使用率数据,请下载此检查项目的报告。
Service Limits(免费!)
检查使用量是否超过服务限制的 80%。数值基于快照生成,当前使用量可能会有所不同。限制和使用量数据最多可能需要 24 小时才能反映变化。在某些情况下,使用量可能会暂时超出所示限制。
Amazon EBS 预调配 IOPS(SSD)卷附加配置
检查是否存在附加到未针对 Amazon EBS 优化的 Amazon Elastic Compute Cloud(Amazon EC2)实例的预调配 IOPS 卷。Amazon Elastic Block Store(Amazon EBS)中的预调配 IOPS 卷仅当附加到针对 EBS 优化的实例时,才会提供预期性能。
EC2 安全组中的过多规则
检查每个 Amazon Elastic Compute Cloud(EC2)安全组是否存在规则过多的情况。如果安全组规则过多,性能可能会降级。有关更多信息,请参阅 Amazon EC2 安全组。
应用于实例的过多 EC2 安全组规则
检查是否存在安全组规则过多的 Amazon Elastic Compute Cloud(EC2)实例。如果实例规则过多,性能可能会降级。
过度使用的 Amazon EBS 磁介质卷
检查 Amazon Elastic Block Store(EBS)磁介质卷是否存在过度使用的情况,以及是否可以通过更高效的配置提升性能。磁介质卷专为具有适度或突发式 I/O 需求的应用程序设计,无法保证其 IOPS 速率。它平均可提供约 100 IOPS,最多可突增至数百 IOPS。若需持续获得更高 IOPS,可切换至通用型(SSD)卷或使用预调配 IOPS(SSD)卷,这可以实现最高 4000 IOPS。当预调配 IOPS(SSD)卷附加到针对 Amazon EBS 优化的 Amazon EC2 实例时,其可保证在 99.9% 的时间内提供指定 IOPS 性能的 90% 以上。