当前位置：首页 > news >正文

云平台运维工具 ——AWS 原生工具

news 2025/8/8 5:29:33

一、简介

AWS（Amazon Web Services）提供了一系列原生运维工具，这些工具与 AWS 服务深度集成，能够实现对云资源的全生命周期管理，包括资源部署、监控告警、权限控制、自动化运维等。无论是小型应用还是大型企业级架构，AWS 原生工具都能提供高效、可靠的运维支持。

AWS 原生工具生态主要包含以下核心组件：

AWS CLI：命令行界面工具，用于通过命令行操作 AWS 资源

AWS CloudFormation：基础设施即代码服务，通过模板自动化部署资源

AWS CloudWatch：监控与观测服务，收集指标、日志和事件数据

AWS Systems Manager：统一的资源管理服务，支持实例配置、补丁管理等

AWS IAM：身份与访问管理服务，控制对 AWS 资源的访问权限

图解 1：AWS 原生工具生态架构

二、AWS CLI 安装与配置

2.1 安装 AWS CLI

AWS CLI 支持 Windows、macOS 和 Linux 等主流操作系统，以下是各系统的安装方法：

2.1.1 Linux 系统安装

# 下载安装包
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"# 解压安装包
unzip awscliv2.zip# 执行安装脚本
sudo ./aws/install# 验证安装（显示版本信息即安装成功）
aws --version

2.1.2 Windows 系统安装

访问AWS CLI 官方下载页下载 Windows 安装程序（.msi 文件）
双击安装程序，按照向导提示完成安装
打开命令提示符或 PowerShell，执行aws --version验证安装

2.1.3 macOS 系统安装

# 使用Homebrew安装
brew install awscli# 验证安装
aws --version

2.2 配置 AWS CLI

安装完成后，需要配置 AWS 凭证（Access Key 和 Secret Key）才能访问 AWS 资源：

# 启动交互式配置
aws configure# 按照提示输入以下信息
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE  # 你的Access Key
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY  # 你的Secret Key
Default region name [None]: us-east-1  # 默认区域
Default output format [None]: json  # 默认输出格式（可选json、text、table）

配置完成后，凭证会存储在~/.aws/credentials文件中，配置信息存储在~/.aws/config文件中。

图解 2：AWS CLI 配置流程

三、核心工具使用详解

3.1 AWS CloudFormation

AWS CloudFormation 通过 JSON 或 YAML 格式的模板定义基础设施，实现资源的自动化部署和版本控制。

3.1.1 基本概念

模板（Template）：JSON/YAML 格式的文件，定义资源的配置

堆栈（Stack）：根据模板创建的资源集合，可作为一个整体进行管理

变更集（Change Set）：展示模板变更对现有资源的影响，便于确认后再执行

3.1.2 模板结构

一个完整的 CloudFormation 模板包含以下主要部分：

AWSTemplateFormatVersion: '2010-09-09'  # 模板版本
Description: 'A sample CloudFormation template'  # 模板描述Parameters:  # 输入参数InstanceType:Type: StringDefault: t2.microDescription: EC2 instance typeResources:  # 资源定义（核心部分）MyEC2Instance:Type: AWS::EC2::InstanceProperties:ImageId: ami-0c55b159cbfafe1f0InstanceType: !Ref InstanceType  # 引用参数Tags:- Key: NameValue: MyInstanceOutputs:  # 输出信息InstancePublicIp:Description: Public IP of the EC2 instanceValue: !GetAtt MyEC2Instance.PublicIp  # 获取资源属性

3.1.3 常用命令

# 创建堆栈
aws cloudformation create-stack \--stack-name my-stack \--template-body file://template.yaml \--parameters ParameterKey=InstanceType,ParameterValue=t2.small# 查看堆栈状态
aws cloudformation describe-stacks --stack-name my-stack# 更新堆栈（模板或参数变更时）
aws cloudformation update-stack \--stack-name my-stack \--template-body file://updated-template.yaml# 删除堆栈
aws cloudformation delete-stack --stack-name my-stack

图解 3：CloudFormation 工作流程

3.2 AWS CloudWatch

AWS CloudWatch 用于监控 AWS 资源和应用程序，提供指标收集、日志管理、告警设置等功能。

3.2.1 核心功能

指标（Metrics）：量化资源性能的数据，如 CPU 使用率、磁盘 I/O 等

日志（Logs）：收集和存储应用程序与资源的日志数据

告警（Alarms）：基于指标或日志设置阈值，触发通知或自动操作

3.2.2 常用命令

# 查看EC2实例的CPU使用率指标
aws cloudwatch get-metric-statistics \--namespace AWS/EC2 \--metric-name CPUUtilization \--dimensions Name=InstanceId,Value=i-1234567890abcdef0 \--start-time 2023-10-01T00:00:00Z \--end-time 2023-10-01T01:00:00Z \--period 300 \--statistics Average# 创建CPU使用率告警
aws cloudwatch put-metric-alarm \--alarm-name HighCPUAlarm \--metric-name CPUUtilization \--namespace AWS/EC2 \--statistic Average \--period 300 \--evaluation-periods 2 \--threshold 80 \--comparison-operator GreaterThanThreshold \--dimensions Name=InstanceId,Value=i-1234567890abcdef0 \--alarm-actions arn:aws:sns:us-east-1:123456789012:MyTopic  # 告警触发后通知SNS主题# 查看告警状态
aws cloudwatch describe-alarms --alarm-names HighCPUAlarm

3.2.3 日志管理

# 创建日志组
aws logs create-log-group --log-group-name /myapp/logs# 向日志流写入日志事件
aws logs put-log-events \--log-group-name /myapp/logs \--log-stream-name 2023-10-01 \--log-events \timestamp=1696108800000,message="Application started" \timestamp=1696108860000,message="User login: admin"

图解 4：CloudWatch 监控流程

3.3 AWS Systems Manager

AWS Systems Manager 提供统一的界面用于管理 AWS 资源，支持实例配置、补丁管理、命令执行等功能，无需登录实例即可进行操作。

3.3.1 常用功能

Run Command：远程执行命令，管理实例配置

Parameter Store：存储配置数据和敏感信息

Automation：创建自动化工作流，实现运维任务自动化

Patch Manager：管理操作系统补丁

3.3.2 常用命令

# 通过Run Command在EC2实例上执行命令
aws ssm send-command \--document-name "AWS-RunShellScript" \--targets "Key=instanceids,Values=i-1234567890abcdef0" \--parameters "commands=['yum update -y', 'systemctl restart httpd']" \--comment "Update packages and restart Apache"# 查看命令执行结果
aws ssm list-command-invocations \--command-id "12345678-1234-1234-1234-123456789012" \--details# 在Parameter Store中存储配置参数
aws ssm put-parameter \--name "/myapp/database-url" \--type "String" \--value "jdbc:mysql://mydb.example.com:3306/mydb"# 获取存储的参数值
aws ssm get-parameter --name "/myapp/database-url"

3.4 AWS IAM

AWS IAM 用于管理 AWS 账户的访问权限，通过创建用户、角色和策略，确保只有授权的实体才能访问特定资源。

3.4.1 核心概念

用户（User）：代表人员或应用程序，可分配访问密钥

组（Group）：用户的集合，便于批量管理权限

角色（Role）：可被用户、服务或应用程序临时 assume 的权限集合

策略（Policy）：定义权限的 JSON 文档，可附加到用户、组或角色

3.4.2 常用命令

# 创建IAM用户
aws iam create-user --user-name myuser# 创建权限策略
aws iam create-policy \--policy-name EC2FullAccess \--policy-document file://ec2-policy.json# 附加策略到用户
aws iam attach-user-policy \--user-name myuser \--policy-arn arn:aws:iam::123456789012:policy/EC2FullAccess# 创建IAM角色（供EC2实例使用）
aws iam create-role \--role-name EC2SSMRole \--assume-role-policy-document file://trust-policy.json

图解 5：IAM 权限模型

四、实际应用案例

4.1 自动化部署 Web 应用架构

使用 AWS 原生工具部署包含 EC2、RDS 和 S3 的 Web 应用架构：

1. 创建 CloudFormation 模板（webapp-template.yaml）：定义 VPC、EC2、RDS、S3 等资源

2. 部署堆栈：

aws cloudformation create-stack \--stack-name webapp-stack \--template-body file://webapp-template.yaml \--capabilities CAPABILITY_NAMED_IAM  # 允许创建IAM资源

3. 配置 CloudWatch 监控：

# 为EC2实例创建CPU和内存监控告警
aws cloudwatch put-metric-alarm \--alarm-name WebServerHighCPU \--metric-name CPUUtilization \--namespace AWS/EC2 \--dimensions Name=InstanceId,Value=$(aws cloudformation describe-stacks --stack-name webapp-stack --query "Stacks[0].Outputs[?OutputKey=='WebServerInstanceId'].OutputValue" --output text) \--statistic Average \--period 300 \--evaluation-periods 2 \--threshold 80 \--comparison-operator GreaterThanThreshold \--alarm-actions $(aws cloudformation describe-stacks --stack-name webapp-stack --query "Stacks[0].Outputs[?OutputKey=='AlarmTopicARN'].OutputValue" --output text)

4. 使用 Systems Manager 管理实例：

# 远程部署应用代码到EC2实例
aws ssm send-command \--document-name "AWS-RunShellScript" \--targets "Key=tag:Name,Values=WebServer" \--parameters "commands=['cd /var/www/html', 'git clone https://github.com/myapp.git', 'chmod -R 755 myapp']"

图解 6：Web 应用部署架构

4.2 自动化备份 RDS 数据库

使用 CloudWatch Events 和 Systems Manager Automation 创建 RDS 自动备份计划：

1. 创建自动化文档（rds-backup-doc.yaml）：

description: Automatically back up RDS instances
schemaVersion: '0.3'
assumeRole: '{{ AutomationAssumeRole }}'
parameters:RDSInstanceId:type: Stringdescription: RDS instance IDBackupRetentionPeriod:type: Integerdefault: 7description: Backup retention period in days
mainSteps:- name: CreateDBBackupaction: 'aws:executeAwsApi'inputs:Service: rdsApi: CreateDBSnapshotDBSnapshotIdentifier: '{{ RDSInstanceId }}-backup-{{ formatDate(now(), ''yyyyMMdd-HHmmss'') }}'DBInstanceIdentifier: '{{ RDSInstanceId }}'- name: SetRetentionPeriodaction: 'aws:executeAwsApi'inputs:Service: rdsApi: ModifyDBSnapshotAttributeDBSnapshotIdentifier: '{{ CreateDBBackup.DBSnapshot.DBSnapshotIdentifier }}'AttributesToModify:- AttributeName: retentionPeriodAttributeValue: '{{ BackupRetentionPeriod }}'

2. 注册自动化文档：

aws ssm create-document \--name RDSBackupAutomation \--content file://rds-backup-doc.yaml \--document-type Automation

3. 创建 CloudWatch Events 规则：

# 创建每日凌晨2点执行的规则
aws events put-rule \--name DailyRDSBackup \--schedule-expression "cron(0 2 * * ? *)" \--state ENABLED# 将自动化文档作为目标关联到规则
aws events put-targets \--rule DailyRDSBackup \--targets \"Id"="1", \"Arn"="arn:aws:ssm:us-east-1:123456789012:automation-definition/RDSBackupAutomation", \"RoleArn"="arn:aws:iam::123456789012:role/AutomationRole", \"Input"="{\"RDSInstanceId\": \"my-rds-instance\", \"BackupRetentionPeriod\": 7}"

4. 验证规则与执行：

# 查看事件规则
aws events describe-rule --name DailyRDSBackup# 手动触发一次备份测试
aws ssm start-automation-execution \--document-name RDSBackupAutomation \--parameters "RDSInstanceId=my-rds-instance,BackupRetentionPeriod=7"

图解 7：RDS 自动备份流程

五、常见问题与解决方法

5.1 CloudFormation 堆栈创建失败

问题现象：执行create-stack后，堆栈状态变为ROLLBACK_COMPLETE，资源创建失败。

排查方法：

# 查看堆栈事件，定位失败原因
aws cloudformation describe-stack-events --stack-name my-stack | grep -B 10 -A 10 "STATUS=FAILED"

常见原因及解决：

- 权限不足：确保执行用户有足够权限，添加--capabilities CAPABILITY_NAMED_IAM（如需创建 IAM 资源）。

- 资源依赖错误：检查资源间依赖关系，使用DependsOn显式定义依赖。

- 资源配置冲突：如实例类型与 AMI 不匹配，选择兼容的配置组合。

5.2 CloudWatch 告警不触发

问题现象：指标已超过阈值，但告警未触发。

排查方法：

# 检查告警配置
aws cloudwatch describe-alarms --alarm-names HighCPUAlarm# 验证指标数据
aws cloudwatch get-metric-statistics \--namespace AWS/EC2 \--metric-name CPUUtilization \--dimensions Name=InstanceId,Value=i-1234567890abcdef0 \--start-time $(date -u +"%Y-%m-%dT%H:%M:%SZ" -d "1 hour ago") \--end-time $(date -u +"%Y-%m-%dT%H:%M:%SZ") \--period 300 \--statistics Average

常见原因及解决：

- 评估周期不足：evaluation-periods设置过大，需连续多次超过阈值才触发。

- 指标维度错误：告警的dimensions与资源不匹配，检查实例 ID 或资源标签。

- 权限问题：告警目标（如 SNS）无权限接收通知，检查 IAM 策略。

5.3 Systems Manager 命令执行失败

问题现象：send-command返回成功，但实例未执行命令或执行失败。

排查方法：

# 查看命令执行详情
aws ssm get-command-invocation \--command-id "12345678-1234-1234-1234-123456789012" \--instance-id i-1234567890abcdef0

常见原因及解决：

- SSM 代理未安装：EC2 实例需安装 SSM 代理，Amazon Linux 2 通常默认安装，其他系统需手动安装。

- 实例无网络连接：确保实例能访问 SSM 终端节点（可通过 VPC 终端节点或公网访问）。

- 权限不足：实例关联的 IAM 角色缺少AmazonSSMManagedInstanceCore权限，附加该策略。

六、最佳实践

6.1 资源管理与命名规范

为所有资源添加标签（如Environment=Production、Project=MyApp），便于成本核算和资源筛选：

# 创建标签策略
aws organizations create-policy \--name RequiredTags \--type TAG_POLICY \--content '{"tags": {"Environment": {"tag_key": {"@@assign": "Environment"},"tag_value": {"@@assign": ["Dev", "Test", "Prod"]}}}}'

使用一致的命名格式：[资源类型]-[环境]-[功能]-[编号]，如ec2-prod-web-01。

6.2 安全与权限控制

遵循最小权限原则：为 IAM 用户和角色仅分配必要的权限，避免使用AdministratorAccess。

启用多因素认证（MFA）：

# 为用户启用MFA
aws iam enable-mfa-device \--user-name myuser \--serial-number arn:aws:iam::123456789012:mfa/myuser-mfa \--authentication-code1 123456 \--authentication-code2 654321

定期轮换访问密钥：

# 创建新访问密钥
aws iam create-access-key --user-name myuser# 删除旧访问密钥
aws iam delete-access-key \--user-name myuser \--access-key-id AKIAIOSFODNN7EXAMPLE

6.3 自动化与监控

尽可能使用 CloudFormation 或 AWS CDK 实现基础设施即代码，避免手动操作。

为关键资源配置全面监控：

- 基础指标：CPU、内存、磁盘使用率。

- 业务指标：请求延迟、错误率、并发用户数。

- 成本指标：每日 / 每月支出、资源利用率。

实现自动化运维流程：

- 自动备份：如 RDS 快照、EBS 卷备份。

- 自动扩缩容：根据负载调整资源数量。

- 自动修复：如替换不健康的 EC2 实例。

6.4 成本优化

使用 AWS Cost Explorer 分析成本趋势，识别闲置资源：

# 查看成本与使用情况报告
aws ce get-cost-and-usage \--time-period Start=2023-09-01,End=2023-09-30 \--granularity MONTHLY \--metrics UnblendedCost

对长期运行的资源使用预留实例（Reserved Instances）或 Savings Plans。

启用资源生命周期管理：

# 为S3桶配置生命周期规则（30天后转IA，90天后过期）
aws s3api put-bucket-lifecycle-configuration \--bucket my-bucket \--lifecycle-configuration '{"Rules":[{"ID":"TransitionAndExpire","Status":"Enabled","Prefix":"logs/","Transitions":[{"Days":30,"StorageClass":"STANDARD_IA"}],"Expiration":{"Days":90}}]}'