AWS Trusted Advisor 最佳实践检查

Trusted Advisor 最佳实践检查

AWS Trusted Advisor 提供了一组丰富的最佳实践检查和建议,涵盖以下五个类别:成本优化、安全性、容错能力、性能和服务限制。

成本优化

了解如何通过消除未使用和闲置的资源或保证预留容量来节省在 AWS 上花费的资金。

  • Amazon EC2 预留实例优化  

    检查 Amazon Elastic Compute Cloud (Amazon EC2) 的计算使用历史记录,并计算出预付部分费用的预留实例的最佳数量。然后,根据所有整合账单账户中汇总的上个日历月的每小时使用量给出建议。有关如何计算推荐项的更多信息,请参阅 Trusted Advisor 常见问题中的“预留实例优化检查问题”。

    利用预留实例,您只需支付很低的一次性费用,即可在该实例的按小时使用费上获得大幅折扣。为了尽量降低您的成本,账单系统将自动首先应用预留实例费率。

  • 低使用率 Amazon EC2 实例  

    检查过去 14 天内任何时间运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例,如果在 4 天或更多天内,每日 CPU 使用率未超过 10% 且网络 I/O 未超过 5MB,则向您发出提醒。运行实例会产生按小时计算的使用费。尽管按照一些方案的设计方式可能导致低使用率,但您经常可以通过管理实例的数量和大小来降低成本。

    预计每月节省情况可通过两方面来计算,使用按需实例的当前使用费率,以及可能未充分利用实例的估计天数。如果您使用的是预留或 Spot 实例,又或者如果该实例没有全天运行,则实际节省情况就会有所不同。若要获取每日使用数据,请下载此检查的报告。  

  • 闲置的负载均衡器  

    检查未经常使用的负载均衡器的 Elastic Load Balancing 配置。任何经过配置的负载均衡器都会产生费用。如果负载均衡器没有关联的后端实例,或者如果网络流量被严格限制,则负载均衡器处于未有效使用的状态。

  • 未充分利用的 Amazon EBS 卷  

    检查 Amazon Elastic Block Store (Amazon EBS) 卷配置,并在卷出现使用不足时发出警告。从创建卷时开始收费。如果卷在一段时间内保留未连接状态或写入活动非常少(引导卷除外),则该卷很可能处于未被使用状态。

  • 无关联的弹性 IP 地址  

    检查与运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例不相关的弹性 IP 地址 (EIP)。EIP 是专用于动态云计算的静态 IP 地址。与传统静态 IP 地址不同,EIP 可以通过将公用 IP 地址重新映射到账户中的其他实例来掩盖实例或可用区的故障。将对与运行的实例不相关的 EIP 进行象征性收费。

  • Amazon RDS 闲置数据库实例  

    检查 Amazon Relational Database Service (Amazon RDS) 的配置,确认是否存在闲置的数据库实例。如果数据库实例在延长的时间段内没有连接,您可以删除该实例以降低成本。如果实例上的数据需要持久性存储,则您可以采用成本较低的选项,例如拍摄并保留数据库快照。手动创建的数据库快照将一直保留,直到您将它们删除。 

  • Amazon Route 53 延迟资源记录集  

    检查配置效率欠佳的 Amazon Route 53 延迟记录集。要让 Amazon Route 53 将查询路由到网络延迟最低的地区,您应在不同的地区中为特定域名(例如 example.com)创建延迟资源记录集。如果只为一个域名创建一个延迟资源记录集,则所有的查询都会路由到一个区域,而您却需要为基于延迟的路由额外付费,但却享受不到任何收益。 

  • Amazon EC2 Reserved Instance Lease Expiration  

    检查即将在未来 30 天内过期或已经在过去 30 天内过期的 Amazon EC2 预留实例。预留实例不会自动续订;您可以继续使用预订所涵盖的 EC2 实例而不会中断,但您需要支付按需费率。新预留实例可以具有与过期实例相同的参数,或者您可以购买不同参数的预留实例。


    我们显示的预计每月节省是,针对相同的实例类型,按需费率和预留实例费率之间的差额。

  • Underutilized Amazon Redshift Clusters  

    检查 Amazon Redshift 的配置,确认是否存在利用率不足的集群。如果 Amazon Redshift 集群长时间没有连接或 CPU 使用量较少,则您可以使用成本较低的选项,例如缩小集群大小或关闭集群并拍摄最终快照。即使删除集群后,最终快照也会保留。

安全性

通过关闭缺口、启用各种 AWS 安全功能以及检查权限,提高应用程序的安全性。

  • 安全组 – 特定端口不受限制(免费!)

    检查安全组中允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。不受限制的访问将增加发生恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。高风险的端口标记为红色,低风险的端口标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。


    如果您有意以此方式设置安全组,我们建议您使用其他安全措施来保护基础设施(例如 IP 表)。

  • 安全组 – 不受限制的访问

    检查安全组中允许对资源进行不受限制访问的规则。不受限制的访问将增加发生恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。

  • IAM 使用(免费!)

    检查您对 AWS Identity and Access Management (IAM) 的使用情况。您可以使用 IAM 在 AWS 中创建用户、组和角色,并且可以使用权限来控制对 AWS 资源的访问。

  • Amazon S3 存储桶权限(免费!)

    检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限的存储桶。如果存储桶中的对象是由无意用户高频列出的,则授予每个人“列出”访问权限的存储桶权限会导致高于预期的费用。授予每个人“上传/删除”访问权限的存储桶权限会因允许任何人在存储桶中添加、修改或删除项目而造成潜在安全漏洞。此检查将审查显式存储桶权限,以及可能覆盖存储桶权限的相关存储桶策略。

  • 根账户上的 MFA(免费!)

    检查您账户的密码策略,并在密码策略未启用或密码内容要求未启用时发出警告。密码内容要求通过强制创建强用户密码来增加 AWS 环境的整体安全性。当您创建或更改密码策略时,更改将立即用于新用户,但不要求现有用户更改密码。

  • Amazon RDS 安全组访问风险

    检查 Amazon Relational Database Service (Amazon RDS) 的安全组配置,并在安全组规则可能授予过度的数据库访问权限时发出警告。所推荐的任何安全组规则配置均允许从特定的 Amazon Elastic Compute Cloud (Amazon EC2) 安全组或特定的 IP 地址进行访问。

  • AWS CloudTrail 日志记录

    检查 AWS CloudTrail 的使用情况。CloudTrail 通过记录账户所做的 AWS API 调用的相关信息,提供 AWS 账户活动情况更佳的可见性。您可以使用这些日志来进行判断,例如,特定用户在指定时间段内执行过哪些操作,或者指定时间段内哪些用户对特定的资源执行过操作等。因为 CloudTrail 会将日志文件提交到 Amazon Simple Storage Service (Amazon S3) 存储桶,因此 CloudTrail 必须拥有该存储桶的写入权限。

  • Amazon Route 53 MX 和 SPF 资源记录集

    检查每个 MX 资源记录集的 SPF 资源记录集。SPF(发件人策略框架)记录会发布一份服务器列表,罗列出经过授权为您的域发送电子邮件的服务器,这有助于通过检测和停止电子邮件地址欺骗减少垃圾邮件。

  • ELB 侦听器安全性

    借助未使用推荐安全配置的侦听器检查负载均衡器,确认是否使用了加密通信。AWS 建议使用安全协议(HTTPS 或 SSL)、最新的安全策略,以及安全的密码和协议。当您使用安全协议进行前端连接(客户端到负载均衡器)时,客户端和负载均衡器之间的请求将经过加密,这会更安全。Elastic Load Balancing 为预定义的安全策略提供符合 AWS 安全最佳实践的密码和协议。新配置可用时,预定义策略的新版本将会发布。

  • ELB 安全组  

    检查负载均衡器的配置是否缺少安全组,或者包含的安全组允许访问未对负载均衡器进行配置的端口。如果删除了与负载均衡器关联的安全组,则负载均衡器将不会按预期工作。如果安全组允许访问未对负载均衡器进行配置的端口,则数据丢失或恶意攻击的风险将增加。 

  • IAM 证书存储中的 CloudFront 自定义 SSL 证书  

    在 IAM 证书存储中检查 CloudFront 备用域名的 SSL 证书,如果证书已过期、即将过期、使用了过时的加密方式或未经正确配置而进行分发,则向您发出提醒。当备用域名的自定义证书到期时,显示 CloudFront 内容的浏览器可能会显示关于网站安全性的警告消息。使用 SHA-1 哈希算法加密的证书将被 Chrome 和 Firefox 等 Web 浏览器弃用。如果证书包含的任何域名与源域名或查看者请求的主机标头中的域名不匹配,则 CloudFront 会向用户返回 HTTP 状态代码 502(网关错误)。

  • 源服务器上的 CloudFront SSL 证书  

    详细了解用户的 CloudFront 分配自定义源,并检查源证书是否正确配置。配置错误的证书是指在接下来的 7 天内即将过期的证书、已经过期的证书或者使用 SHA1 弱签名算法的证书。

  • Exposed Access Keys  

    检查是否有访问密钥的常用代码存储库外泄,以及是否存在可能因访问密钥泄露而引起的 Amazon Elastic Compute Cloud (Amazon EC2) 异常使用情况。访问密钥由访问密钥 ID 和相应的秘密访问密钥组成。Exposed Access Keys 会对您的账户和其他用户造成安全风险,可能由于未授权的活动或滥用行为产生过多费用,并且违反 AWS 客户协议。如果您的访问密钥已泄露,请立即采取措施保护您的账户。为了进一步防止您的账户产生过多费用,AWS 会暂时限制您创建某些 AWS 资源的能力。这无法确保您的账户安全;它只是部分限制了可能产生费用的未经授权的使用。注意:此检查不保证识别已泄露的访问密钥或受损的 EC2 实例。您最终要对访问密钥和 AWS 资源的安全性负责。

  • Amazon EBS 公共快照(免费!)  

    检查 Amazon Elastic Block Store (Amazon EBS) 卷快照的权限设置,如果任何快照标记为公开,则向您发出提醒。当您公开快照时,您可以让所有 AWS 账户和用户访问快照上的所有数据。如果您想与特定用户或账户共享快照,可将该快照标记为私有,然后指定与之共享快照数据的用户或账户。

  • Amazon RDS 公共快照(免费!)  

    检查 Amazon Relational Database Service (Amazon RDS) 数据库快照的权限设置,如果任何快照标记为公开,则向您发出提醒。当您公开快照时,您可以让所有 AWS 账户和用户访问快照上的所有数据。如果您想与特定用户或账户共享快照,可将该快照标记为私有,然后指定与之共享快照数据的用户或账户。

  • IAM 密码策略  

    检查您账户的密码策略,并在密码策略未启用或密码内容要求未启用时发出警告。密码内容要求通过强制创建强用户密码来增加 AWS 环境的整体安全性。当您创建或更改密码策略时,更改将立即用于新用户,但不要求现有用户更改密码。

  • IAM 访问密钥轮换  

    检查过去 90 天内未轮换的活动 IAM 访问密钥。定期轮换访问密钥时,可以减少在您不知情的情况下使用受损密钥访问资源的机会。出于此检查的目的,最近的轮换日期和时间是创建或最新激活访问密钥的时间。访问密钥编号和日期来自最近 IAM 凭证报告中的 access_key_1_last_rotated 和 access_key_2_last_rotated 信息。

容错能力

利用自动扩展、运行状况检查、多可用区以及备份功能,提升您的 AWS 应用程序的可用性和冗余。

  • Amazon EBS 快照

    检查 Amazon Elastic Block Store (Amazon EBS) 卷(可用或使用中)的快照年龄。即使复制了 Amazon EBS 卷,仍可能发生故障。快照一直存放于 Amazon Simple Storage Service (Amazon S3),用于持久存储和时间点恢复。

  • Amazon EC2 可用区平衡

    检查 Amazon Elastic Compute Cloud (Amazon EC2) 实例在某地区内跨可用区的分布情况。可用区是专用于隔离其他可用区内故障的不同位置,可向相同地区中的其他可用区提供低延迟的廉价网络连接。通过在同一区域内的多个可用区启动多个实例,您可以保护应用程序免受单点故障的影响。

  • 负载均衡器优化

    检查您的负载均衡器配置。使用 Elastic Load Balancing 时,为了帮助提升 Amazon Elastic Compute Cloud (EC2) 的容错水平,我们建议在某地区内跨多可用区运行相同数量的实例。经过配置的负载均衡器会产生费用,所以这也是一项成本优化检查。

  • VPN 通道冗余

    检查每个 VPN 的活跃通道数量。VPN 应始终拥有两个经配置的通道以提供冗余,以防 AWS 终端节点的设备发生中断或进行计划维护。对于一些硬件,一次仅有一个通道活跃(请参阅 Amazon Virtual Private Cloud 网络管理员指南)。如果 VPN 没有活跃的通道,仍可能对 VPN 收费。

  • Auto Scaling 组资源

    检查与启动配置和 Auto Scaling 组相关的资源可用性。指向不可用资源的 Auto Scaling 组无法启动新的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。当正确配置时,Auto Scaling 使 Amazon EC2 实例的数量在需求峰值期间无缝增加,并在需求间歇期间自动减少。指向不可用资源的 Auto Scaling 组和启动配置无法按照预期运行。

  • Amazon RDS 备份

    检查 Amazon RDS 数据库实例的自动化备份。默认情况下,备份启用时有 1 天的保留期。备份可降低意外丢失数据的风险,并支持时间点恢复。

  • Amazon RDS 多可用区

    检查在单个可用区中部署的数据库实例。通过同步复制到不同可用区中的备用实例,多可用区部署可以增强数据库可用性。在计划的数据库维护或者数据库实例、可用区发生故障期间,Amazon RDS 自动故障转移到备用实例,以便数据库操作在无管理员干预的情况下快速恢复。由于 Amazon RDS 不支持 Microsoft SQL Server 的多可用区部署,所以此检查不审查 SQL Server 实例。

  • Auto Scaling 组的运行状况检查

    检查 Auto Scaling 组的运行状况检查配置。如果 Elastic Load Balancing 正用于 Auto Scaling 组,则推荐配置是启用 Elastic Load Balancing 运行状况检查。如果未使用 Elastic Load Balancing 运行状况检查,Auto Scaling 只能根据 Amazon Elastic Compute Cloud (Amazon EC2) 实例的运行状况操作,而不是根据实例上运行的应用程序操作。

  • Amazon S3 存储桶日志记录

    检查 Amazon Simple Storage Service (Amazon S3) 存储桶的日志记录配置。启用服务器访问日志记录后,详细的访问日志将按小时发送到您选择的存储桶。访问日志记录包含有关每个请求的详细信息,例如请求类型、请求中指定的资源,以及处理请求的时间和日期。默认情况下,不启用存储桶日志记录;如果要执行安全审核或了解有关用户和使用模式的更多信息,则应启用日志记录。

  • Amazon Route 53 名称服务器代理  

    检查域名注册机构或 DNS 未对其使用正确的 Route 53 域名服务器的 Amazon Route 53 托管区域。创建托管区域时,Route 53 会分配四个名称服务器的代理集。这些服务器的名称是 ns-###.awsdns-##.com、.net、.org 和 .co.uk,其中 ### 和 ## 通常代表不同的数字。在 Route 53 可以为您的域路由 DNS 查询之前,您必须更新您的注册机构的名称服务器配置,以删除注册机构分配的名称服务器,并在 Route 53 代理集中添加全部四个名称服务器。为获得最大可用性,必须添加全部四个 Route 53 名称服务器。

  • Amazon Route 53 高 TTL 资源记录集

    检查受益于拥有较低生存时间 (TTL) 值的资源记录集。TTL 是 DNS 解析程序缓存资源记录集的秒数。当指定长 TTL 时,DNS 解析程序会用更长时间来请求更新后的 DNS 记录,这可能会导致重新路由流量时不必要的延迟(例如,DNS 故障转移检测到并响应您的其中一个终端节点的故障)。

  • Amazon Route 53 故障转移资源记录集

    检查错误配置的 Amazon Route 53 故障转移资源记录集。当 Amazon Route 53 运行状况检查确定主要资源状况欠佳时,Amazon Route 53 会以次要备份资源记录集来响应查询。您必须创建经正确配置的主要和次要资源记录集,以保证故障转移正常进行。

  • Amazon Route 53 已删除的运行状况检查

    检查与已删除运行状况检查关联的资源记录集。Amazon Route 53 不会阻止您删除与一个或多个资源记录集关联的运行状况检查。如果删除运行状况检查而没有更新关联的资源记录集,则 DNS 故障转移配置的 DNS 查询路由将无法如预期进行。这会影响 DNS 故障转移配置的 DNS 查询的路由。

  • ELB Connection Draining

    检查没有启用 Connection Draining 的负载均衡器。如果未启用 Connection Draining,并且您从负载均衡器中删除(取消注册)Amazon EC2 实例,则负载均衡器会停止将流量路由到该实例并关闭连接。启用 Connection Draining 后,负载均衡器会停止向取消注册的实例发送新请求,但会保持连接处于打开状态以服务于活动的请求。

  • ELB 跨区负载均衡

    检查没有启用跨区负载均衡的负载均衡器。无论实例位于哪个可用区,跨区负载均衡将均匀地在所有后端实例之间分配请求。在客户端错误地缓存 DNS 信息时,或者每个可用区具有的实例数量不平均时(例如,如果您已经停止了某些实例进行维护),跨区负载均衡将减少流量的不均匀分布。跨区负载均衡功能使得跨多个可用区部署和管理应用程序变得更容易。

  • Amazon S3 Bucket Versioning

    检查没有启用或暂停版本控制功能的 Amazon Simple Storage Service 存储桶。启用版本控制后,您能够轻松地从意外的用户操作和应用程序故障中恢复数据。通过版本控制,您可以保留、提取和恢复存储在存储桶中的任何对象的任何版本。您可以使用生命周期规则来管理对象的所有版本及其相关成本,方法是将对象自动存档到 Glacier 存储类或在指定的时间段后删除它们。您还可以选择要求使用 Multi-Factor Authentication (MFA) 进行任何对象删除,或者存储桶的配置更改。

  • AWS Direct Connect 连接冗余

    检查只有一个 AWS Direct Connect 连接的地区。与 AWS 资源的连接应始终配置两个 Direct Connect 连接,以便在设备不可用时提供冗余。

  • AWS Direct Connect 位置冗余  

    检查 AWS Direct Connect 虚拟接口 (VIF) 未在至少两个 AWS Direct Connect 连接上进行配置的虚拟私有网关。与虚拟私有网关的连接应具有跨多个 Direct Connect 连接和位置配置的多个虚拟接口,以便在设备或位置不可用时提供冗余。

  • AWS Direct Connect 虚拟接口冗余

    检查 AWS Direct Connect 虚拟接口 (VIF) 未在至少两个 AWS Direct Connect 连接上进行配置的虚拟私有网关。与虚拟私有网关的连接应具有跨多个 Direct Connect 连接和位置配置的多个虚拟接口,以便在设备或位置不可用时提供冗余。

  • Amazon Aurora 数据库实例的可访问性

    检查 Amazon Aurora 数据库集群同时具有私有实例和公有实例的情况。当主实例发生故障时,可以将副本提升为主实例。如果该副本是私有的,则仅具有公共访问权限的用户将无法在故障转移后连接到该数据库。最佳实践是一个集群中的所有数据库实例具有相同的可访问性。

  • EC2 Windows 实例的 EC2Config 服务

    检查 Amazon EC2 Windows 实例的 EC2Config 服务,如果 EC2Config 代理已过期或配置有误,将会提醒您。使用最新版本的 EC2Config 可以启用并优化终端节点软件管理(例如 PV 驱动程序检查),以便与最安全可靠的终端节点软件保持同步。

    注意:此检查显示以下区域中 EC2 实例的信息:弗吉尼亚北部 (us-east-1)、加利福尼亚北部 (us-west-1)、俄勒冈 (us-west-2)、爱尔兰 (eu-west-1)、圣保罗 (sa-east-1)、东京 (ap-northeast-1)、新加坡 (ap-southeast-1) 和悉尼 (ap-southeast-2)。

  • EC2 Windows 实例的半虚拟化驱动程序版本

    容错能力

    利用自动扩展、运行状况检查、多可用区以及备份功能,提升您的 AWS 应用程序的可用性和冗余。

    检查 Amazon EC2 Windows 实例的半虚拟化驱动程序版本,如果驱动程序不是最新的,将会提醒您。使用最新的半虚拟化驱动程序有助于优化驱动程序性能,最大限度地减少运行时问题和安全风险。

    注意:此检查显示以下区域中 EC2 实例的信息:弗吉尼亚北部 (us-east-1)、加利福尼亚北部 (us-west-1)、俄勒冈 (us-west-2)、爱尔兰 (eu-west-1)、圣保罗 (sa-east-1)、东京 (ap-northeast-1)、新加坡 (ap-southeast-1) 和悉尼 (ap-southeast-2)。

  • ENA 驱动程序

    检查 EC2 Windows 实例的 AWS ENA 驱动程序版本,然后提示您驱动程序是否 (a) 已被弃用且不再受支持;(b) 已被弃用并具有标识的问题;或 (c) 具有可用的升级。使用最新版本的 AWS ENA 驱动程序,以供 Windows 优化 ENA 驱动程序性能并尽可能减少运行时问题和安全风险。

    注意:此检查显示以下区域中 EC2 实例的信息:弗吉尼亚北部 (us-east-1)、加利福尼亚北部 (us-west-1)、俄勒冈 (us-west-2)、爱尔兰 (eu-west-1)、圣保罗 (sa-east-1)、东京 (ap-northeast-1)、新加坡 (ap-southeast-1) 和悉尼 (ap-southeast-2)。

  • NVMe 驱动程序

    检查 EC2 Windows 实例的 AWS NVMe 驱动程序版本,然后提示您驱动程序是否 (a) 已被弃用且不再受支持;(b) 已被弃用并具有标识的问题;或 (c) 具有可用的升级。使用最新版本的 AWS NVMe 驱动程序,以供 Windows 优化 NVMe 驱动程序性能并尽可能减少运行时问题和安全风险。

    注意:此检查显示以下区域中 EC2 实例的信息:弗吉尼亚北部 (us-east-1)、加利福尼亚北部 (us-west-1)、俄勒冈 (us-west-2)、爱尔兰 (eu-west-1)、圣保罗 (sa-east-1)、东京 (ap-northeast-1)、新加坡 (ap-southeast-1) 和悉尼 (ap-southeast-2)。

性能

通过检查服务限制、确保利用预置的吞吐量和监控过度利用的实例,可以提升服务的性能。

  • 高使用率 Amazon EC2 实例

    检查在过去 14 天内的任何时间运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例,如果在 4 天或更多天内,每日 CPU 使用率超过 90%,则将向您发出提醒。持续的高使用率可能表示优化、稳定的性能,但也可能表示应用程序拥有的资源不足。若要获取每日 CPU 使用率数据,请下载此检查的报告。

  • Amazon EBS 预置 IOPS (SSD) 卷附件配置

    检查附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例(未经过 Amazon EBS 优化)的预置 IOPS (SSD) 卷。Amazon Elastic Block Store (Amazon EBS) 中的预配置 IOPS 卷专用于仅在它们附加到经过 EBS 优化的实例时提供预期的性能。

  • EC2 安全组中的大量规则

    检查每个 Amazon Elastic Compute Cloud (EC2) 安全组,确认是否存在多余规则。如果安全组有大量规则,性能可能会降级。

    有关更多信息,请参阅 Amazon EC2 安全组

  • 应用于实例的大量 EC2 安全组规则

    检查拥有大量安全组规则的 Amazon Elastic Compute Cloud (EC2) 实例。如果实例有大量规则,性能可能会降级。

  • Amazon Route 53 别名资源记录集

    检查将 DNS 查询路由到 AWS 资源的资源记录集;这些资源记录集可以变更为别名资源记录集。别名资源记录集是一种特殊的 Amazon Route 53 记录类型,该类型会将 DNS 查询路由到 AWS 资源(例如,Elastic Load Balancing 负载均衡器或 Amazon S3 存储桶)或其他 Route 53 资源记录集。使用别名资源记录集时,Route 53 会将您的 DNS 查询免费路由到 AWS 资源。

  • 过度使用的 Amazon EBS 磁介质卷

    检查 Amazon Elastic Block Store (EBS) 磁介质卷是否存在被过度使用的问题,以及是否会受益于更高效的配置。磁介质卷专用于拥有中等或突发 I/O 需求的应用程序,且 IOPS 速率无法保证。它平均提供约 100 IOPS,最大能激增至数百 IOPS。为了获得始终更高的 IOPS,您可以使用预配置 IOPS (SSD) 卷。为了获得激增的 IOPS,您可以使用通用型 (SSD) 卷。

  • Amazon CloudFront 内容分发优化

    检查来自 Amazon Simple Storage Service (Amazon S3) 存储桶的数据传输是否可以通过使用 Amazon CloudFront(AWS 全球内容分发服务)获得加速的情况。当您配置 Amazon CloudFront 分发内容时,对内容的请求将自动路由到缓存内容的最近边缘站点,从而尽可能将内容以最佳性能交付给用户。如果传出数据与存储桶中存储数据相比的比率较高,则说明您可以从使用 Amazon CloudFront 分发数据中获益。

  • CloudFront 标头转发和缓存命中率

    检查 CloudFront 当前从客户端接收并转发到您的来源服务器上的 HTTP 请求标头。某些标头(例如 Date 或 User-Agent)会显著降低缓存命中率(从 CloudFront 边缘缓存提供的请求的比例)。由于 CloudFront 必须将更多的请求转发到您的来源服务器,因此这会增加您的来源服务器的负载并且会降低性能。

  • Amazon EC2 到 EBS 吞吐量优化

    检查 Amazon EBS 卷,确认其性能是否有可能受到其所连接的 Amazon EC2 实例的最大吞吐容量的影响。为了优化性能,您应当确保 EC2 实例的最大吞吐量大于所连接的 EBS 卷的总最大吞吐量。

  • CloudFront 备用域名

    检查 CloudFront 分配,确认备用域名是否存在错误配置的 DNS 设置。如果 CloudFront 分配包括备用域名,则域的 DNS 配置必须将 DNS 查询路由到该分配。

服务限制

检查超过服务限制 80% 的服务使用。这些值基于快照,所以您的当前使用量可能有差异。限额和使用数据可能需要多达 24 小时才能反映变化。

下表显示了 Trusted Advisor 检查的限制。

服务
限制
Amazon DynamoDB
(DynamoDB
读取容量
写入容量
Amazon Elastic Block Store
(Amazon EBS)
有效的卷
有效快照
通用型 (SSD) 卷存储 (GiB)
预配置 IOPS
预配置 IOPS (SSD) 卷存储 (GiB)
磁盘卷存储 (GiB)
Amazon Elastic Compute Cloud
(Amazon EC2)
弹性 IP 地址 (EIP)
预留实例 – 购买限制(按月)
按需实例
Amazon Kinesis Streams 分片
Amazon Relational Database Service
(Amazon RDS)
集群
集群参数组
集群角色
数据库实例
数据库参数组
数据库安全组
数据库快照(每用户)
事件订阅
最大授权数 (每个安全组)
选项组
只读副本数 (每个主数据)
预留实例
存储配额 (GiB)
子网组
子网数(每个子网组)
Amazon Route 53
(Route 53)
托管区域数(每个账户)
最大运行状况检查(每个账户)
可重用的委派集数(每个账户)
流量政策数(每个账户)
流量策略实例数(每个账户)
Amazon Simple Email Service
(Amazon SES)
日发送配额
Amazon Virtual Private Cloud
(Amazon VPC)
 
弹性 IP 地址 (EIP)
Internet 网关
VPC
Auto Scaling
Auto Scaling 组
启动配置
AWS CloudFormation 堆栈
Elastic Load Balancing (ELB)
有效的负载均衡器
Identity and Access Management (IAM)

实例配置文件
策略
角色
服务器证书
用户

注意:EC2 按需实例限制的数据仅适用于以下 AWS 区域:

亚太地区(东京)[ap-northeast-1]
亚太地区 (新加坡) [ap-southeast-1]
亚太地区 (悉尼) [ap-southeast-2]
欧洲 (爱尔兰) [eu-west-1]
南美洲 (圣保罗) [sa-east-1]
美国东部 (弗吉尼亚北部) [us-east-1]
美国西部 (加利福利亚北部) [us-west-1]
美国西部(俄勒冈)[us-west-2]

注意:Trusted Advisor 目前不跟踪 EC2 按需实例的区域限制。默认情况下,每个账户、每个区域限制 20 个按需实例。

如果您已达到此地区限制,即使 Trusted Advisor 表明您还没有达到该地区内每个实例类型的任何限制,您也可能无法启动新的按需实例。有关 EC2 按需限制的更多详情,请参阅我可以在 Amazon EC2 中运行多少个实例

我们一直致力于在 Service Limits 检查中加入更多服务。您的反馈对我们非常重要。