AWS
1 AWS 基本介紹
Amazon Web Services(AWS)是一個由 Amazon 提供的雲端運算平台,提供運算(EC2)、儲存(S3)、資料庫(RDS)與網路等多種服務。使用者可以依需求彈性配置資源,避免自建伺服器的成本與維護負擔。
在生物資訊與資料分析領域,AWS 常被用於處理大規模資料(如 NGS、multi-omics),並結合容器(Docker)與工作流程工具(如 Nextflow)進行自動化分析。透過雲端架構,研究人員可以快速擴展計算資源,提升分析效率與可重現性。
1.1 AWS 基礎設施
1.1.1 Region & AZ
AWS 的基礎設施由多個 Region(區域) 與 Availability Zone(可用區) 組成。
Region 是地理上的資料中心區域(例如 ap-northeast-1 東京、us-east-1 維吉尼亞),每個 Region 彼此獨立,可用於資料隔離與降低延遲。
每個 Region 由多個 Availability Zone(AZ) 組成(通常為 3-6 個)。每個 AZ 代表一個獨立的資料中心或資料中心群,具備獨立的電力、網路與冷卻系統。 AZ 之間透過高速網路連接,但彼此隔離,可提升系統的高可用性與容錯能力。
在實務應用中,服務通常會部署於多個 AZ,以避免單一資料中心故障導致系統中斷;而跨 Region 部署則可進一步提升災難復原能力與全球服務效能。
1.2 如何使用 AWS
1.2.1 AWS CLI
AWS 提供的命令列工具,需使用Access Key登入,讓使用者可透過終端機直接操作各種 AWS 服務(如 EC2、S3、IAM),用於自動化部署、資源管理與腳本化操作。
1.2.2 AWS SDK
AWS 提供的程式開發套件,讓開發者可以在應用程式中(如 Python、Java、JavaScript)直接呼叫 AWS 服務 API(如 EC2、S3、DynamoDB),用於建構雲端應用與服務整合。
1.2.3 AWS cloudshell
由 AWS 提供的瀏覽器內建終端機環境,已預先安裝 AWS CLI 並自動配置使用者憑證,讓你無需本地安裝即可直接管理 AWS 資源。
適合臨時操作與學習使用,但不建議用於長期自動化或正式部署流程;正式環境應使用本地 CLI、CI/CD pipeline 或 Infrastructure as Code 工具(如 CloudFormation / Terraform)。
1.3 如何設定預算通知
1.3.1 AWS budget
成本管理工具,用來設定預算(如每月費用或用量),並在接近或超過預算時發送通知,協助監控與控制雲端支出。
2 IAM
- User = 身分
- Group = 管理
- Policy = 權限
- Role = 臨時權限
2.1 IAM users
提供的身分管理機制,用來建立個別使用者帳號,並透過權限政策(Policy)控制其可存取的 AWS 資源與操作。
不應使用 root account 進行日常操作,應建立 IAM User 並依需求授予權限。 root account 僅用於帳號初始化與必要的高權限設定,並應啟用 MFA 以提升安全性。
2.2 IAM groups
用來將多個 IAM Users 集中管理的群組機制,透過將權限政策套用在群組上,讓使用者自動繼承相同權限。
建議以角色或職責(如 Admin、Developer)建立群組,而非逐一指派使用者權限,以提升管理效率與一致性。
2.3 IAM policies
定義在 AWS 中 允許或拒絕存取資源的權限 的文件(JSON 格式),可套用於 User、Group 或 Role。
應遵循 最小權限原則(Least Privilege),只授予必要操作權限,避免使用過度寬鬆的 * 權限。
2.4 IAM role
一種不屬於特定使用者的身分,允許服務或使用者「暫時取得權限」來存取 AWS 資源(透過 STS)。
應優先使用 Role(如 EC2 Role、Lambda Role)取代長期金鑰(Access Key),以提升安全性並避免憑證外洩風險。
2.5 IAM security tools
一組用於強化帳號與權限安全的工具,例如 IAM Access Advisor、Credential Report 等。
2.6 MFA
Multi-Factor Authentication 多重驗證機制,在登入時除了密碼外,需額外提供一次性驗證碼(如手機 App),以提升帳號安全性。
3 EC2
3.1 EC2 instance
虛擬伺服器(VM),可用於部署應用程式、網站或運算任務,並可依需求調整 CPU、記憶體與儲存資源。
3.2 AMI
3.3 Security group
一種作用在 EC2 上的虛擬防火牆,用來控制進出流量(inbound / outbound),僅允許符合規則的連線。
預設情況下:
- Inbound(進入流量)全部拒絕
- Outbound(出去流量)全部允許
Security Group 為 stateful(有狀態),只需設定單向規則即可自動允許回應流量。
常見 Port:
| Port | 協定 | 用途 |
|---|---|---|
| 22 | SSH | Linux 遠端登入 |
| 21 | FTP | 檔案傳輸(不建議使用,較不安全) |
| 80 | HTTP | 網頁(未加密) |
| 443 | HTTPS | 加密網頁(SSL/TLS) |
| 3389 | RDP | Windows 遠端桌面 |
3.4 SSH EC2
透過 SSH(Secure Shell)協定遠端登入 EC2 instance(通常為 Linux),以進行系統管理與部署操作。
3.5 EC2 instance connect
由 Amazon Web Services 提供的連線方式,允許使用者透過瀏覽器或 CLI,直接以 SSH 連線到 Amazon EC2 instance,無需事先下載或管理私鑰(key pair)。
EC2 Instance Connect 使用臨時金鑰進行登入,不應在 instance 中儲存長期憑證(如 Access Key 或 ~/.aws/credentials / config)。
建議搭配 IAM Role取得臨時憑證,以提升安全性並避免憑證外洩風險。
3.6 Spot instance
一種使用 AWS 閒置運算資源的低價 EC2,價格通常可比 On-Demand 便宜 70–90%,但可能隨時被中斷。
3.7 Spot Fleets
一種用來同時管理多個 Spot instance(或混合 On-Demand)的機制,可依照價格與容量自動選擇最合適的 instance 類型與可用區,維持目標運算能力。
3.8 Private IP & Public IP
EC2 會同時擁有私有 IP(VPC 內通訊)與公有 IP(對外網路),用於區分內部與外部連線。
IPv4 為傳統 32-bit 位址(如 192.168.x.x),數量有限;IPv6 為 128-bit 位址(如 2001:db8::),可提供幾乎無限的 IP 空間。
3.9 Elastic IP
一個可靜態綁定與快速重新指派的公用 IPv4 位址,用來確保服務在實例重啟或更換時仍能維持固定對外 IP,一個帳號最多 5 個。
通常不建議使用,被視為不佳的架構(tight coupling)。 應優先使用 Load Balancer(如 ALB/NLB) 或 DNS(如 Route 53) 來實現高可用與彈性擴展。
3.10 EC2 Placement groups
控制多個執行個體(instances)在實體硬體上的部署方式,以優化網路延遲、頻寬或提升高可用性的分組機制。
| 類型 | 說明 | 特色 | 適合用途 |
|---|---|---|---|
| Cluster | 把 instance 放在同一個機架或區域 | 低延遲、高頻寬 | HPC、即時運算 |
| Spread | instance 分散到不同硬體 | 高可用性、避免同時故障 | 關鍵服務、小型系統 |
| Partition | 分成多個 partition(不同硬體群) | 隔離風險、可擴展 | 大型分散系統(如 Hadoop、Kafka) |
3.11 Elastic network interfaces (ENI)
代表一個可附加在 instance 上的虛擬網路卡,包含私有 IP、公網 IP、MAC 位址與 Security Group 設定,用於控制與管理網路連線。
ENI 可在不同 EC2 instance 之間移動,常用於故障轉移(failover)或高可用架構;一個 instance 也可附加多個 ENI(multi-homed),用於不同網路隔離或流量分流。
3.12 EC2 hibernate
一種 Amazon Web Services Amazon EC2 的停止模式,會將 instance 的記憶體(RAM)狀態保存到 EBS 磁碟中,讓下次啟動時能快速恢復到原本執行狀態。
3.13 EBS volume
一次最多 16個 EC2