75. AWS EC2自动化部署: 使用CloudFormation与Terraform实现基础设施即代码

1. 基础设施即代码（Infrastructure as Code）的核心价值

在云原生架构中，AWS EC2（Elastic Compute Cloud）作为核心计算服务，其部署效率直接影响业务系统的迭代速度。传统手动配置EC2实例的方式存在三个显著缺陷：(1) 环境一致性难以保证 (2) 变更记录缺乏可追溯性 (3) 规模扩展效率低下。根据Flexera 2023云报告显示，采用基础设施即代码（IaC）的企业部署效率提升可达400%。

通过AWS CloudFormation和Terraform这两种主流工具，我们可以实现：

• 版本控制的EC2配置模板
• 参数化驱动的环境部署
• 依赖关系的自动化管理

1.1 EC2自动化部署的技术优势

以部署包含安全组（Security Group）、IAM角色和自动扩展组（Auto Scaling Group）的EC2集群为例，IaC方案可实现：

1. 部署时间从小时级缩短至分钟级
2. 配置错误率降低90%以上
3. 支持跨区域（Region）的多环境复制

2. AWS CloudFormation实现EC2标准化部署

CloudFormation作为AWS原生服务，提供深度集成的资源管理能力。其JSON/YAML模板可直接调用最新EC2功能特性，例如最新的C7g实例类型和 Nitro系统架构。

2.1 CloudFormation模板架构解析

AWSTemplateFormatVersion: "2010-09-09"
Description: EC2生产环境部署模板

Parameters:
  InstanceType:
    Type: String
    Default: t3.micro
    AllowedValues: [t2.micro, t3.micro, m5.large]

Resources:
  WebServerSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 允许HTTP/HTTPS流量
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 80
          ToPort: 80
          CidrIp: 0.0.0.0/0

  WebServerInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: ami-0c55b159cbfafe1f0 # Amazon Linux 2 AMI
      InstanceType: !Ref InstanceType
      SecurityGroupIds:
        - !GetAtt WebServerSecurityGroup.GroupId

（注：该模板定义了可参数化的EC2实例及关联安全组）

2.2 高级部署模式实践

对于需要滚动更新的生产环境，可以结合UpdatePolicy配置：

WebServerAutoScalingGroup:
  Type: AWS::AutoScaling::AutoScalingGroup
  UpdatePolicy:
    AutoScalingRollingUpdate:
      MaxBatchSize: 2
      MinInstancesInService: 1
      PauseTime: PT5M

此配置确保在更新过程中始终保持至少1个可用实例，最大程度保障服务连续性。

3. Terraform多云EC2部署方案

HashiCorp Terraform的HCL（HashiCorp Configuration Language）语法提供了更灵活的资源编排能力。根据2023年DevOps现状报告，Terraform在混合云场景的使用率已达72%。

3.1 Terraform模块化部署

# 定义EC2模块
module "web_server" {
  source = "./modules/ec2-cluster"
  
  instance_count = 3
  instance_type  = "t3.small"
  ami            = "ami-0c55b159cbfafe1f0"
  
  vpc_id         = aws_vpc.main.id
  subnet_ids     = aws_subnet.public.*.id
}

# 安全组模块
resource "aws_security_group" "web" {
  name_prefix = "web-sg-"
  
  ingress {
    from_port   = 443
    to_port     = 443
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }
}

（注：模块化设计支持部署逻辑复用）

3.2 状态管理与协同工作

通过配置远程状态存储，实现团队协作：

terraform {
  backend "s3" {
    bucket = "tf-state-prod"
    key    = "ec2-deployment/terraform.tfstate"
    region = "us-west-2"
  }
}

4. 工具链对比与技术选型

5. 生产环境最佳实践

• 金丝雀发布策略：通过Terraform的count参数控制新旧版本实例比例
• 成本优化：基于CloudFormation Stack Policies限制生产环境的实例类型变更
• 安全审计：集成Checkov进行IaC模板的合规性检查

6. 技术演进方向

随着AWS CDK（Cloud Development Kit）的普及，基础设施即代码正呈现"可编程化"趋势。但CloudFormation和Terraform仍是当前最稳定的生产级选择，建议根据团队技术栈进行选型：

1. 纯AWS环境优先考虑CloudFormation
2. 混合云架构建议采用Terraform
3. 复杂业务逻辑可结合CDK生成CloudFormation模板

AWS EC2, CloudFormation, Terraform, 基础设施即代码, 自动化部署, IaC实践