Amazon Trusted Advisor 提供了以下四种类别的最佳实践(或检查):成本优化、安全、容错能力和性能提升。在控制面板页面用颜色编码标明检查的状态:
红色:建议执行操作
黄色:建议开展调查
绿色:未发现问题
对于每个检查,您都可以查看有关该主题的建议最佳实践、警报条件集、操作指南和实用资源列表的详细说明。
两项检查对所有客户开放,帮助提高安全和性能:Service Limits 和安全组 – 特定端口不受限制。
成本优化
了解如何通过消除未使用和闲置的资源或保证预留容量来节省在亚马逊云科技上花费的资金。
无关联的弹性 IP 地址
检查与运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例不相关的弹性 IP 地址 (EIP)。EIP 是专用于动态云计算的静态 IP 地址。与传统静态 IP 地址不同,EIP 可以通过将公用 IP 地址重新映射到账户中的其他实例来掩盖实例或可用区的故障。将对与运行实例不相关的 EIP 进行象征性收费。
安全性
通过关闭缺口、启用各种亚马逊云科技安全功能以及检查权限,提高应用程序的安全性。
安全组 – 特定端口不受限制(免费!)
检查安全组中允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。不受限制的访问将增加发生恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。高风险的端口标记为红色,低风险的端口标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。
如果您有意以此方式设置安全组,我们建议您使用其他安全措施来保护基础设施(例如 IP 表)。
安全组 – 不受限制的访问
检查安全组中允许对资源进行不受限制访问的规则。不受限制的访问将增加发生恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。
Amazon S3 存储桶权限
检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限的存储桶。如果存储桶中的对象是由无意用户高频列出的,则授予每个人“列出”访问权限的存储桶权限会导致高于预期的费用。授予每个人“上传/删除”访问权限的存储桶权限会因允许任何人在存储桶中添加、修改或删除项目而造成潜在安全漏洞。此检查将审查显式存储桶权限,但不审查可能替代存储桶权限的相关存储桶策略。
容错能力
利用自动扩展、运行状况检查、多可用区以及备份功能,提升您的亚马逊云科技应用程序的可用性和冗余。
Amazon EBS 快照
检查 Amazon Elastic Block Store (Amazon EBS) 卷(可用或使用中)的快照年龄。即使复制了 Amazon EBS 卷,仍可能发生故障。快照一直存放于 Amazon Simple Storage Service (Amazon S3),用于持久存储和时间点恢复。
Amazon EC2 可用区平衡
检查 Amazon Elastic Compute Cloud (Amazon EC2) 实例在某地区内跨可用区的分布情况。可用区是专用于隔离其他可用区内故障的不同位置,可向相同地区中的其他可用区提供低延迟的廉价网络连接。通过在同一区域内的多个可用区启动多个实例,您可以保护应用程序免受单点故障的影响。
负载均衡器优化
检查您的负载均衡器配置。使用 Elastic Load Balancing 时,为了帮助提升 Amazon Elastic Compute Cloud (EC2) 的容错水平,我们建议在某地区内跨多可用区运行相同数量的实例。经过配置的负载均衡器会产生费用,所以这也是一项成本优化检查。
Amazon S3 存储桶日志记录
检查启用了服务器访问日志记录的 Amazon Simple Storage Service (Amazon S3) 存储桶的配置。当日志记录开始启用时,系统会自动验证该配置;但随后的修改可能会导致日志记录故障。此检查将审查显式 Amazon S3 存储桶权限,但不审查可能替代存储桶权限的相关存储桶策略。
性能
通过检查服务限制、确保利用预置的吞吐量和监控过度利用的实例,可以提升服务的性能。
高使用率 Amazon EC2 实例
检查在过去 14 天内的任何时间运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例,如果在 4 天或更多天内,每日 CPU 使用率超过 90%,则将向您发出提醒。持续的高使用率可能表示优化、稳定的性能,但也可能表示应用程序拥有的资源不足。若要获取每日 CPU 使用率数据,请下载此检查的报告。
Service Limits(免费!)
检查超过服务限制的 80% 的使用量。这些值基于快照,所以您的当前使用量可能有差异。限制和使用数据最长可能需要 24 小时才能反映变化。在有些情况下,一段时间内您的使用量可能要高于规定的限制。
Amazon EBS 预置 IOPS (SSD) 卷附件配置
检查附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例且未经 Amazon EBS 优化的预置 IOPS 卷。Amazon Elastic Block Store (Amazon EBS) 中预置的 IOPS 卷仅在连接到经 EBS 优化的实例时,才能提供预期的性能。
EC2 安全组中的大量规则
检查每个 Amazon Elastic Compute Cloud (EC2) 安全组,确认是否存在多余规则。如果安全组有大量规则,性能可能会降级。有关更多信息,请参阅 Amazon EC2 安全组。
应用于实例的大量 EC2 安全组规则
检查拥有大量安全组规则的 Amazon Elastic Compute Cloud (EC2) 实例。如果实例有大量规则,性能可能会降级。
过度使用的 Amazon EBS 磁介质卷
检查 Amazon Elastic Block Store (EBS) 磁介质卷是否存在被过度使用的问题,以及是否会受益于更高效的配置。磁介质卷专用于拥有中等或突发 I/O 需求的应用程序,且 IOPS 速率无法保证。它平均提供约 100 IOPS,最大能激增至数百 IOPS。为了持续获得较高的 IOPS,您可以切换到一个一般用途的 (SSD) 卷,或者使用一个预配置 IOPS (SSD) 卷,此卷最多可提供 4000 IOPS。预配置 IOPS (SSD) 卷的设计目的是,当它连接到经 Amazon EBS 优化的 Amazon EC2 实例时,在 99.9% 的时间内提供 10% 以内的指定 IOPS 性能。
