AWS充值 AWS亚马逊云移动App运维体验

各位正在AWS控制台里狂点刷新、盯着CloudWatch图表祈祷的兄弟姐妹们——别划走，这篇不是广告，也不是官方白皮书复读机，而是一份带着咖啡渍、Git冲突记录和凌晨三点告警截图气味的《AWS移动App运维生存手记》。

故事得从2019年说起。那会儿我们团队刚把一款健身社交App从阿里云迁到AWS，理由很朴素：老板听说‘亚马逊云’听起来像国际大厂，投资人问架构图时能多画两个箭头。没人提过——迁云不是搬家，是给APP做开胸手术，还顺便给运维工程师配了把电锯。

第一阶段：EC2手工时代，俗称「Linux老法师修行期」。

每天早上九点，我打开Terminal，敲下ssh -i "prod-key.pem" [email protected]，仿佛在念咒语。服务器上跑着Node.js后端+MySQL+Redis，全靠shell脚本+crontab维生。最经典操作是：用户反馈「上传头像失败」→ 我SSH登录→ df -h发现根目录98% → find /var/log -name "*.log" -mtime +7 -delete → 顺手pm2 restart all → 回微信：“已修复”。实际呢？日志轮转没配，磁盘爆了三次，每次都是靠删日志续命。有次删错了/var/log/cloud-init-output.log，导致下次重启实例直接挂起——因为AWS默认用它判断初始化状态。那周我学会了两件事：1. ls -la前先pwd；2. 在~/.bash_history里写满注释，比如「⚠️此命令删的是nginx access log，不是systemd journal」。

第二阶段：Docker+ELB+ECS，进入「假装现代化」时期。

终于说服CTO买账，搞容器化。我们用ECS托管Fargate，听着高大上，实操起来全是坑。最魔幻的一次：上线新版本后，iOS用户疯狂报错「网络请求超时」，Android却一切正常。排查两小时，发现Fargate任务定义里指定了awsvpc网络模式，但安全组规则只放行了443，漏了80——而iOS的AFNetworking默认会先走HTTP探活再切HTTPS。Android用OkHttp，跳过了这步。最后解决方案？不是改安全组，而是加了一行curl -I http://api.xxx.com健康检查，强行让iOS也走通。那一刻我悟了：云厂商的文档写的是「支持」，生产环境告诉你什么叫「支持但不负责兼容性」。

第三阶段：EKS+Helm+ArgoCD，步入「K8s玄学炼丹炉」。

当团队招来一位K8s布道师，我们的YAML文件从2个涨到87个。ConfigMap里一个空格缩进不对，Helm install直接报ValidationError: invalid type for io.k8s.apimachinery.pkg.apis.meta.v1.ObjectMeta.name。更绝的是Ingress Controller——我们用ALB Ingress Controller，配置完死活不转发。查了三天，发现是ALB Target Group健康检查路径写了/healthz，但后端服务根本没暴露这个接口，ALB把所有实例标成Unhealthy，流量全丢弃。解决方式？不是改后端，而是把健康检查路径换成/，并确保返回200。同事感慨：“原来云原生的哲学是：**不是你适配基础设施，是基础设施逼你改业务逻辑**。”

第四阶段：Serverless觉醒，走向「佛系值班」。

真正转折点来自一次线上事故。某天凌晨两点，用户量突增300%，EC2 CPU飙到99%，自动伸缩还没触发，API全崩。我一边喝红牛一边想：咱能不能别管服务器了？于是砍掉所有EC2，后端全切Lambda+API Gateway，图片上传直传S3+CloudFront，数据库换成DynamoDB。效果立竿见影：月账单降了60%，值班频率从每周3次变成每月1次。但快乐是短暂的——Lambda冷启动让首屏加载慢了1.2秒，用户流失率微升0.3%。我们祭出「预置并发」，成本立刻翻倍。最后妥协方案：核心登录/支付函数开5个预置，并发低谷期自动缩容。现在监控面板上最常出现的告警是：[Lambda] ConcurrentExecutionsExceeded——意思是“你预置的5个不够用了，请掏钱”。Serverless不是免费午餐，是按粒度付费的自助餐，吃撑了自己买单。

血泪交叉路口：那些文档里不会写的坑。

• S3签名URL失效之谜：前端生成预签名URL上传头像，用户总报403。查了两小时，发现是本地时区比UTC快8小时，生成URL时用了new Date()而非new Date().toISOString()，导致签名时间戳被判定为“未来时间”，S3直接拒收。
• CloudWatch Logs过滤器形同虚设：配置了ERROR关键词过滤，结果日志里[error]（中括号小写）全漏掉。后来才懂：CloudWatch日志过滤器默认大小写敏感，且不支持正则捕获组，只能硬写[eE][rR][rR][oO][rR]……
• Route53 DNS缓存陷阱：切新API域名后，部分用户仍连旧IP。不是TTL没生效，是运营商DNS缓存了CNAME记录，而我们的CNAME指向了ELB地址——ELB地址本身也会变！最终方案：不用CNAME，改用ALIAS记录直连ELB，绕过中间商。