AWS EC2

创建 EC2 时，最重要的是：AMI、实例规格、VPC/Subnet、公网 IP、安全组、磁盘。80% 的故障来自：👉 网络（VPC / Subnet / 公网 IP）👉 安全组👉 Key Pair👉 磁盘满 / 权限不足。

卖芒果的潇洒农民

726人浏览 · 2026-01-05 22:29:12

卖芒果的潇洒农民 · 2026-01-05 22:29:12 发布

文章目录

Mynote
- Network Settings（VPC / Subnet / Public IP）是重点
- Bars
chatgptNote
一 AWS EC2创建实例时，都有哪些参数可选，哪些参数比较重要？
一、面试官问 Network Settings，真正想考什么？
二、Network Settings 必须理解的 6 个点（⭐⭐⭐⭐⭐）
三、Network Settings 的逻辑关系（面试官最想看到）
四、经典面试题（一定会被问）
五、面试官听了会觉得你“很懂”的总结段
六、Support 面试常见“坑点”
- 下一步我可以继续帮你：

20260105 1h

Mynote

EC2 实例的public IPV4地址和private IPV4地址有何区别？
public ip是给公网访问用的，private IP是内网访问用的，也就是VPC内使用，例如一个EC2 instance要使用另外的AWS的服务，使用private IP

VPC（Virtual Private Cloud）就是 AWS 在你账户里“划”出来的一块完全私有的虚拟数据中心。

Network Settings（VPC / Subnet / Public IP）是重点

Bars

When launching an EC2 instance, the most critical configurations are the AMI, instance type, networking settings, security groups, and storage.
In real support cases, most issues are caused by networking misconfiguration, missing security group rules, or incorrect key pair settings

Using an incorrect or deprecated AMI is a common reason for instance launch failure.

Network Settings（VPC / Subnet / Public IP）

All internal communication inside a VPC relies on private IP addresses.

Public IPs are mapped to private IPs using 1:1 NAT at the Internet Gateway. Mind that EC2 instance doesnot know its own public IP.
Public IP will change if u restart EC2.

An EC2 key pair cannot be replaced directly after instance launch.
If the key is lost, access can be recovered by modifying the instance’s SSH configuration through the root volume, or by using AWS-managed access methods like SSM.

An EC2 key pair consists of a public key and a private key.
The private key is stored locally by the user, while AWS stores only the public key and injects it into the instance during launch.”

chatgptNote

一 AWS EC2创建实例时，都有哪些参数可选，哪些参数比较重要？

在 AWS EC2 创建实例（Launch Instance） 的过程中，参数其实很多，但真正“重要、必须理解”的只有一部分。我按 「你在工作中最容易被问到 / 最容易出问题」 的角度，帮你系统梳理一遍。

一、EC2 创建实例的核心参数总览（从上到下）

控制台创建 EC2 时，参数大致分为 9 大类：

AMI（镜像）
Instance Type（实例规格）
Key Pair（密钥对）
Network Settings（网络配置）
Storage（存储）
Security Group（安全组）
IAM Role（实例角色）
User Data（启动脚本）
Tags（标签）

下面我重点说：
👉 哪些一定要懂
👉 哪些是 Support / Cloud Support 面试高频

二、最重要的 5 个参数（⭐⭐⭐⭐⭐）

1️⃣ AMI（Amazon Machine Image）⭐⭐⭐⭐⭐

是什么？

实例的“操作系统 + 预装环境”
决定你启动的是：
- Amazon Linux
- Ubuntu
- Windows
- 自定义镜像（Golden AMI）

关键点：

AMI 和 Region 强绑定
AMI 决定：
- 启动速度
- 包管理方式（yum / apt）
- 云厂商支持程度

工作中常见问题：

为什么同一个 AMI 在另一个 Region 找不到？
EC2 启动失败（AMI 被删除 / 权限不足）

2️⃣ Instance Type（实例规格）⭐⭐⭐⭐⭐

是什么？

决定 CPU / 内存 / 网络 / 成本

常见分类（必须会）：

t3 / t4g：通用、突发型（最常用）
m：通用型
c：计算密集
r：内存密集
g / p：GPU

Support 面试必考：

t 系列的 CPU Credit 机制
t3/t4g 为什么便宜？
什么时候不适合用 t 系列？

3️⃣ Network Settings（VPC / Subnet / Public IP）⭐⭐⭐⭐⭐

这是最容易出事故的地方

关键参数包括：

参数	是否重要
VPC	⭐⭐⭐⭐⭐
Subnet	⭐⭐⭐⭐⭐
Auto-assign Public IP	⭐⭐⭐⭐⭐
Network Interface	⭐⭐⭐

典型故障：

实例创建成功但 SSH 连不上
没有公网 IP
路由表 / IGW 问题

👉 90% 的“EC2 访问失败”都在这

4️⃣ Security Group（安全组）⭐⭐⭐⭐⭐

是什么？

EC2 的虚拟防火墙（Stateful）

必须理解：

Inbound / Outbound Rules
Source（0.0.0.0/0、Security Group）
协议 & 端口

高频 Support 场景：

22 端口没放行 → SSH 失败
80/443 没开 → 网站访问不了
规则改了但还不通（NACL / OS 防火墙）

5️⃣ Storage（EBS）⭐⭐⭐⭐⭐

关键参数：

Volume Type：
- gp3（现在默认）
- gp2 / io1 / io2
Size
Delete on termination

Support 必问：

root volume 删除了怎么办？
磁盘满了如何扩容？
gp2 vs gp3 区别

三、中等重要，但“Support 很常见”的参数（⭐⭐⭐）

6️⃣ Key Pair（密钥对）⭐⭐⭐

用于 SSH 登录
一旦创建实例后，不能再绑定新的 key pair

常见问题：

key 丢了怎么办？
能不能改 key？
Windows 实例和 Linux 实例区别

7️⃣ IAM Role（实例角色）⭐⭐⭐

是什么？

给 EC2 访问 AWS 服务的权限
避免在实例中存 AK/SK

Support 常见问题：

EC2 访问 S3 被拒绝
Role 绑定错了
权限策略生效延迟

四、进阶参数（初期可不深究，但知道作用）

8️⃣ User Data（启动脚本）⭐⭐

实例首次启动执行的脚本
常用于：
- 安装软件
- 启动服务

问题点：

只在 首次启动 执行
日志在 /var/log/cloud-init.log

9️⃣ Tags（标签）⭐⭐

Key-Value
用于：
- 成本归属
- 资源管理
- 自动化脚本

五、一句话优先级总结（面试 & 实战）

如果你时间有限，只记这一段：

创建 EC2 时，最重要的是：AMI、实例规格、VPC/Subnet、公网 IP、安全组、磁盘。
80% 的故障 来自：
👉 网络（VPC / Subnet / 公网 IP）
👉 安全组
👉 Key Pair
👉 磁盘满 / 权限不足

六、如果你愿意，我可以继续帮你做的事

我可以直接帮你做 Support 定向强化：

✅ “EC2 创建失败 / 连不上 / 慢 / 贵”排障清单
✅ EC2 高频面试 Q&A（英文版）
✅ 把这些参数压缩成一张“Support 速查表”
✅ 给你一套 EC2 实操任务（像真实工单）

你告诉我：
👉 偏向面试？还是偏向真实工作排障？

这个问题问得非常对位。
在 Cloud Support / Support Engineer 面试里，Network Settings 是最核心、最容易被追问的一块，甚至比 Instance Type 还重要。

我直接给你一份 「面试必会清单 + 能背的答案 + 排障视角」。

一、面试官问 Network Settings，真正想考什么？

不是让你背名词，而是想确认你能不能回答这类问题：

为什么 EC2 创建成功但连不上？
为什么 没有公网 IP？
为什么 Private Subnet 不能上网？
为什么 同一个 VPC 里有的能通，有的不能？

二、Network Settings 必须理解的 6 个点（⭐⭐⭐⭐⭐）

下面这 6 个，是“不会就一定挂”的

1️⃣ VPC（Virtual Private Cloud）

你要会说什么？

EC2 必须运行在 某个 VPC 内
VPC 定义 IP 地址范围（CIDR）
网络隔离的边界

面试标准句：

“A VPC defines the network boundary and IP address range for EC2 instances.”

2️⃣ Subnet（Public vs Private）⭐⭐⭐⭐⭐

这是面试重灾区

Subnet 决定什么？

实例所在的 可用区
是否能直连 Internet
IP 分配方式

面试官想你说出这句话：

Public Subnet ≠ 有 public IP

真正定义 Public Subnet 的是：

Route Table 中是否有：
```
0.0.0.0/0 → Internet Gateway
```

3️⃣ Route Table（必须懂）

核心理解：

Subnet 绑定 Route Table
决定流量“往哪走”

场景	路由
上公网	IGW
私网出站	NAT Gateway
内部通信	Local

Support 加分句：

“Most connectivity issues are caused by incorrect route table configurations.”

4️⃣ Public IPv4（不是你以为的那样）

面试必会三点：

是 可选的
是 NAT 映射到 private IP
stop / start 会变

面试官最爱问：

EC2 内部能看到 public IP 吗？

❌ 不能
OS 只知道 private IP

5️⃣ Internet Gateway（IGW）

你要知道：

IGW 连接 VPC 和 Internet
只有绑定了 IGW 的 VPC 才能有公网流量
Public IP + IGW 才能真正上网

6️⃣ NAT Gateway（高频追问）

核心用途：

让 Private Subnet 出站访问 Internet

但不能入站

三、Network Settings 的逻辑关系（面试官最想看到）

EC2
 ↓
Subnet
 ↓
Route Table
 ↓
IGW / NAT
 ↓
Internet

👉 不是“有没有 public IP”这么简单

四、经典面试题（一定会被问）

Q1：EC2 创建成功但 SSH 连不上，你怎么排查？

Network 部分必答顺序：

是否有 Public IP
Subnet Route Table 是否指向 IGW
Security Group 是否放行 22
NACL
OS 防火墙

Q2：Private Subnet 的 EC2 能不能上网？

标准答案：

可以，通过 NAT Gateway。

Q3：为什么不建议在生产环境直接给 EC2 public IP？

成熟回答：

安全风险
不稳定（IP 会变）
不符合最小暴露原则

五、面试官听了会觉得你“很懂”的总结段

“When configuring EC2 networking, it’s important to understand the relationship between VPC, subnets, route tables, and internet gateways.
Public IPs alone do not guarantee connectivity—routing and gateways are often the root cause of most issues.”