☁️ AWS — 云架构优化

设置 首次使用时，请阅读 setup.md 了解集成选项。本技能开箱即用——个性化配置为可选项。 ## 何时使用 用户需要 AWS 基础设施指导时。Agent 负责架构决策、服务选择、成本优化、安全加固与部署模式。 ## 架构 记忆保存在 ~/aws/。结构见 memory-template.md。 `` ~/aws/ ├── memory.md # 账户上下文 + 偏好 ├── resources.md # 活跃基础设施清单 └── costs.md # 成本跟踪 + 告警 ` ## 速查表 | 主题 | 文件 | |-------|------| | 设置流程 | setup.md | | 记忆模板 | memory-template.md | | 服务模式 | services.md | | 成本优化 | costs.md | | 安全加固 | security.md | ## 核心规则 ### 1. 先验证账户上下文 任何操作前，确认： - 区域（默认 us-east-1，但需询问） - 账户类型（个人 / 初创 / 企业） - 现有基础设施（VPC、子网、安全组） `bash aws sts get-caller-identity aws ec2 describe-vpcs --query 'Vpcs[].{ID:VpcId,CIDR:CidrBlock,Default:IsDefault}' ` ### 2. 成本优先架构 每条建议都附带成本影响： | 阶段 | 推荐栈 | 月费用 | |-------|-------------------|--------------| | MVP (<1k 用户) | 单 EC2 + RDS | ~$50 | | 增长 (1-10k) | ALB + ASG + RDS Multi-AZ | ~$200 | | 规模 (10k+) | ECS/EKS + Aurora + ElastiCache | ~$500+ | 默认选最小可用实例。扩容简单；缩容浪费钱。 ### 3. 默认安全 每个资源包含： - 最小权限 IAM - 静态加密（至少 KMS 默认密钥） - VPC 隔离（数据库不放公有子网） - 安全组默认拒绝所有入站 ### 4. 基础设施即代码 生成 Terraform 或 CloudFormation 保证可复现： `bash # 优先 Terraform，便于多云移植 terraform init && terraform plan ` 禁止仅控制台操作。 ### 5. 标签策略 所有资源打标签用于成本分摊： `bash --tags Key=Environment,Value=prod Key=Project,Value=myapp Key=Owner,Value=team ` ### 6. 第一天就监控 随基础设施部署 CloudWatch 告警： - 账单告警（别被账单吓到） - CPU/内存阈值 - 错误率突增 ## 成本陷阱 NAT 网关数据处理费（$0.045/GB）： VPC 终端访问 S3/DynamoDB 免费。高流量应用单月 NAT 费可烧 $500。 `bash aws ec2 create-vpc-endpoint --vpc-id vpc-xxx \ --service-name com.amazonaws.us-east-1.s3 --route-table-ids rtb-xxx ` EBS 快照永不清除： 自动备份产生快照永不删除。设生命周期策略。 `bash aws ec2 describe-snapshots --owner-ids self \ --query 'Snapshots[?StartTime<=2024-01-01].[SnapshotId,StartTime,VolumeSize]' ` CloudWatch Logs 默认永不过期： `bash aws logs put-retention-policy --log-group-name /aws/lambda/fn --retention-in-days 14 ` 空闲负载均衡器最低 $16/月： ALB 零流量也收费。删除无用实例。 跨可用区数据传输 $0.01/GB 双向： 微服务跨 AZ 频繁通信费用飙升。尽量同区部署。 ## 安全陷阱 S3 桶策略覆盖 ACL： 控制台显示 ACL 为“私有”，但桶策略仍可公开全部数据。 `bash aws s3api get-bucket-policy --bucket my-bucket 2>/dev/null || echo "No policy" aws s3api get-public-access-block --bucket my-bucket ` 默认 VPC 安全组允许全部出站： 攻击者利用出站外泄数据。需限制。 IAM 用户同时开控制台 + 编程访问： 代码里写密钥易泄露。应使用角色 + 临时凭证。 RDS 在控制台默认可公开访问： 务必确认： `bash aws rds describe-db-instances --query 'DBInstances[].{ID:DBInstanceIdentifier,Public:PubliclyAccessible}' ` ## 性能模式 Lambda 冷启动： - 对延迟敏感函数用预置并发 - 保持包体小（解压后 <50MB） - 在处理器外初始化 SDK 客户端 RDS 连接数上限： | 实例 | 最大连接 | |----------|-----------------| | db.t3.micro | 66 | | db.t3.small | 150 | | db.t3.medium | 300 | Lambda 使用 RDS Proxy 避免连接耗尽。 EBS 卷类型： | 类型 | 场景 | IOPS | |------|----------|------| | gp3 | 默认（稳定） | 3,000 起步 | | io2 | 数据库（保证） | 最高 64,000 | | st1 | 大数据（吞吐） | 500 MiB/s | ## 服务选择 | 需求 | 服务 | 理由 | |------|---------|-----| | 静态站点 | S3 + CloudFront | 每月几分钱，全球 CDN | | API 后端 | Lambda + API Gateway | 零闲置费用 | | 容器应用 | ECS Fargate | 无需管理集群 | | 数据库 | RDS PostgreSQL | 托管，支持 Multi-AZ | | 缓存 | ElastiCache Redis | 会话/缓存，延迟低于 DynamoDB | | 队列 | SQS | 多数场景比 SNS 简单 | | 搜索 | OpenSearch | 托管 Elasticsearch | ## CLI 必背 `bash # 配置凭证 aws configure --profile myproject # 始终指定 profile export AWS_PROFILE=myproject # 查看当前身份 aws sts get-caller-identity # 列出所有区域 aws ec2 describe-regions --query 'Regions[].RegionName' # 估算月度费用 aws ce get-cost-forecast --time-period Start=$(date +%Y-%m-01),End=$(date -v+1m +%Y-%m-01) \ --metric UNBLENDED_COST --granularity MONTHLY ` ## 安全与隐私 凭证： 本技能使用 AWS CLI，凭证读取自 ~/.aws/credentials 或环境变量。技能绝不存储、记录或传输 AWS 凭证。 本地存储： 偏好与上下文仅保存在 ~/aws/——任何数据不会离开你的机器。 CLI 命令： 默认所有示例命令均为只读。破坏性操作（删除、终止）需用户显式确认。 ## 相关技能 用户确认后，用 clawhub install 安装： - infrastructure —— 架构决策 - cloud —— 多云模式 - docker —— 容器基础 - backend —— API 设计 ## 反馈 - 若觉得有用：clawhub star aws - 保持更新：clawhub sync`