Amazon EC2 — Cheat Sheet complet

Amazon EC2 (Elastic Compute Cloud) fournit des serveurs virtuels (instances) dans le cloud. Vous payez uniquement ce que vous utilisez — à la seconde (minimum 60 s) ou à l'heure.

Nomenclature des types d'instances

c  7  g  n  .  2xlarge
│  │  │  │     └─ Taille (nano, micro, small, medium, large, xlarge, 2xlarge...)
│  │  │  └─── Option réseau (n = réseau haute performance)
│  │  └────── Option CPU (g = processeur ARM Graviton)
│  └───────── Génération (7 = 7ème génération)
└──────────── Famille (c = Compute Optimized)

Exemples de suffixes après la génération :

• d → disques SSD NVMe locaux (ex: c5d)
• g → processeur ARM Graviton (ex: r6g)
• n → réseau haute performance
• a → processeur AMD

Familles d'instances

Instances T — Burst CPU (crédit CPU)

Les instances T (ex: t2.micro, t3.small) fonctionnent sur un système de crédits CPU :

• En dessous du seuil de base → accumulation de crédits
• En pic de charge → consommation des crédits
• Crédits épuisés → performances réduites au niveau de base

t2.micro = Free Tier AWS (750h/mois gratuites). Idéal pour apprendre, pas pour la prod.

Instances M — Usage général stable

Les instances M (ex: m6i.large) offrent des performances constantes sans système de crédits. Idéales pour applications d'entreprise, BDD relationnelles, serveurs web à trafic modéré.

Tableau d'exemples d'instances

Paires de clés (Key Pairs)

Mécanisme d'authentification SSH pour accéder aux instances EC2.

Clé publique  → installée dans ~/.ssh/authorized_keys de l'instance
Clé privée    → conservée localement, NE JAMAIS partager

Formats :

• .pem → connexion SSH en ligne de commande (Linux/Mac)
• .ppk → connexion via PuTTY (Windows)

Connexion SSH :

chmod 400 ma-cle.pem
ssh -i ma-cle.pem ec2-user@<IP-PUBLIQUE>

Utilisateur par défaut : ec2-user sur Amazon Linux, ubuntu sur Ubuntu.

Clé perdue ? Monter le volume root sur une autre instance, modifier ~/.ssh/authorized_keys, remonter le volume sur l'instance originale.

Cycle de vie des instances

     ┌─────────────────────────────┐
     │           AMI               │
     └──────────────┬──────────────┘
                    │ Launch
                    ▼
               [Pending]           ← Provisionnement en cours
                    │
                    ▼
              [Running] ◄──────── Seul état facturé
             ╱    │    ╲
    Reboot  ╱     │     ╲ Terminate
           ╱      │      ╲
    [Rebooting] [Stopping] [Shutting down]
           ╲      │              │
            ╲     ▼              ▼
             ╲ [Stopped]    [Terminated]
              ╲    │
               ╲   │ Hibernate
                ╲  ▼
              [Hibernated]

Hibernation

• Sauvegarde le contenu de la RAM sur le volume EBS racine
• Au redémarrage : état mémoire restauré, processus repris, ID conservé
• Activer dans Advanced Details → Stop - Hibernate behavior → Enable

Important : instance stoppée puis redémarrée = nouvel hôte physique + nouvelle IP publique. Utiliser une Elastic IP pour garder une adresse fixe.

Amazon Machine Image (AMI)

Modèle précconfiguré pour lancer des instances (OS + applications + configurations).

Sources d'AMI

Créer une AMI personnalisée

1. Lancer une instance EC2 de base
2. Personnaliser (installer logiciels, configurer)
3. Arrêter l'instance (pour intégrité des données)
4. Actions → Images and Templates → Create Image
5. Définir les permissions (privée / partagée / publique)
6. Utiliser l'AMI pour lancer de nouvelles instances identiques

Une AMI peut être copiée dans une autre région (pour backup ou déploiement multi-région). Penser à Deregister l'AMI et supprimer les snapshots EBS associés pour éviter les coûts.

AMI vs User Data

Groupes de sécurité (Security Groups)

Pare-feu virtuel contrôlant le trafic entrant/sortant des instances EC2.

Principe

• Modèle liste blanche : tout ce qui n'est pas explicitement autorisé est bloqué
• Stateful : une réponse à une requête autorisée est automatiquement permise (pas besoin de règle de retour)
• Associable à plusieurs instances ; une instance peut avoir plusieurs security groups

Règles configurables

Les noms de domaine ne peuvent pas être utilisés dans les règles.

Exemple d'architecture

Internet (0.0.0.0/0)
    │ Port 80 (HTTP)
    │ Port 443 (HTTPS)
    ▼
[sg-web] — Instance EC2 (serveur web)
    │ Port 3306 (MySQL) → uniquement vers sg-db
    ▼
[sg-db] — Instance RDS (base de données)
    ← Accepte 3306 depuis sg-web uniquement

Bonne pratique : restreindre SSH (port 22) à votre seule IP (x.x.x.x/32), jamais à 0.0.0.0/0.

Stateful vs Stateless

User Data — Scripts au démarrage

Exécution automatique de scripts lors du premier lancement (ou à chaque redémarrage si configuré).

#!/bin/bash                          # ← Shebang obligatoire sur Linux
yum install httpd -y                 # -y pour éviter les confirmations manuelles
systemctl enable httpd
systemctl start httpd
echo '<h1>Hello from EC2</h1>' > /var/www/html/index.html

Points clés

• Exécuté avec les droits root (Linux) ou administrateur (Windows)
• Géré par cloud-init sur Linux
• Logs : /var/log/cloud-init.log et /var/log/cloud-init-output.log (Linux)
• Logs Windows : C:\ProgramData\Amazon\EC2-Windows\Launch\Log
• ⚠️ Ne jamais mettre de secrets en clair → utiliser AWS Secrets Manager

Métadonnées d'instances (Instance Metadata)

Informations sur l'instance accessible depuis l'instance elle-même.

URL magique (accessible uniquement depuis l'intérieur de l'instance) :

http://169.254.169.254/latest/meta-data/

Exemples de données disponibles :

ami-id, instance-id, instance-type,
local-ipv4, public-ipv4, mac,
security-groups, placement/, iam/...

IMDSv1 vs IMDSv2

IMDSv2 — commandes :

# Obtenir le token
TOKEN=$(curl -X PUT "http://169.254.169.254/latest/api/token" \
  -H "X-aws-ec2-metadata-token-ttl-seconds: 21600")

# Utiliser le token
curl -H "X-aws-ec2-metadata-token: $TOKEN" \
  http://169.254.169.254/latest/meta-data/local-ipv4

Activer IMDSv1 si nécessaire : Advanced Details → Metadata version → V1 and V2 (token optional)

Adresses IP élastiques (Elastic IP)

Adresse IPv4 statique et persistante louée à AWS, indépendante du cycle de vie de l'instance.

Problème sans Elastic IP

Instance démarrée  → IP publique : 52.10.20.30
Instance stoppée
Instance redémarrée → IP publique : 18.45.67.89  ← IP différente !

Solution avec Elastic IP

Elastic IP 54.10.20.30  →  Associée à l'instance A
                         →  Remappée à l'instance B si A tombe
DNS (example.com)        →  Pointe toujours vers 54.10.20.30

Facturation

• Depuis 2023 : facturée même si attachée à une instance en cours d'exécution
• Free Tier : 750h/mois d'une IPv4 gratuite pendant 12 mois
• ⚠️ Libérer (Release) les Elastic IP non utilisées pour éviter les frais

Surveillance avec CloudWatch

Par défaut, EC2 envoie les métriques toutes les 5 minutes à CloudWatch (1 min avec monitoring détaillé payant).

Métriques collectées automatiquement :

• Utilisation CPU, I/O réseau, I/O disque

Métriques NON collectées par défaut (nécessitent l'agent CloudWatch) :

• Utilisation RAM
• Détails des performances disque

Test de charge CPU :

sudo yum install -y stress
sudo stress --cpu 8 --timeout 800 &

Mise à l'échelle (Scaling)

Scaling vertical :

Instance stoppée → Actions → Instance Settings → Change Instance Type → Apply

⚠️ Toute instance autre que t2.micro sort du Free Tier.

Scaling horizontal → géré par Auto Scaling Groups (ASG).

Modèles de tarification EC2

1. À la demande (On-Demand)

• Paiement à l'heure ou à la seconde
• Aucun engagement, aucun paiement initial
• Idéal pour : charges imprévisibles, tests, développement

2. Instances réservées (Reserved Instances)

Engagement 1 ou 3 ans → jusqu'à 72 % de réduction

Portée (Scope) :

• Régionale : flexible entre toutes les AZ d'une région
• Zonale : garantit la capacité dans une AZ spécifique

Convertible Reserved Instances : possibilité de changer le type/OS/tenancy → jusqu'à 66 % de réduction (moins que les RI standard).

3. Savings Plans

• Engagement sur un montant horaire (ex: 10 $/h pendant 1 ou 3 ans)
• Jusqu'à 72 % de réduction
• Plus flexible que les Reserved Instances : couvre différentes tailles, OS, régions
• AWS applique les réductions automatiquement

4. Instances Spot

• Utilise la capacité inutilisée d'AWS
• Jusqu'à 90 % moins cher que l'On-Demand
• ⚠️ Interruptibles avec un préavis de 2 minutes
• Idéal pour : traitement par lots, analyse de données, simulations, CI/CD

Stratégies pour gérer les interruptions :

• Checkpoints réguliers dans le code
• Utiliser Spot Fleet (plusieurs types d'instances + AZ)
• Surveiller l'historique des prix Spot

5. Instances dédiées (Dedicated Instances)

• Matériel physique dédié à votre compte (non partagé avec d'autres clients)
• Placement géré par AWS automatiquement
• ⚠️ L'instance peut changer de serveur physique après un stop/start
• Idéal pour : conformité réglementaire, sécurité stricte

6. Hôtes dédiés (Dedicated Hosts)

• Serveur physique entier sous votre contrôle
• Vous choisissez le placement des instances sur le serveur
• L'instance reste sur le même serveur après un stop/start
• Idéal pour : licences logicielles par socket/serveur (Windows Server, SQL Server)

Comparatif Instances dédiées vs Hôtes dédiés

Tableau comparatif des modèles de tarification

À retenir pour l'examen AWS

• Nomenclature : c7gn.2xlarge = famille C, génération 7, GPU+réseau, taille 2xlarge
• Instances T = burst CPU avec crédits ; instances M = performances constantes
• Seul état facturé : Running (EBS facturé en Stopped/Hibernated)
• Security Groups = stateful (retour automatique) ; NACL = stateless
• IMDSv2 = par défaut depuis mi-2024, protège contre les attaques SSRF
• Elastic IP = adresse IPv4 fixe, facturée même attachée (depuis 2023)
• User Data = scripts exécutés au premier démarrage, droits root, jamais de secrets en clair
• Scaling vertical = changer le type d'instance, arrêt requis
• Spot = jusqu'à 90 % moins cher, interruptible avec 2 minutes de préavis
• Reserved = jusqu'à 72 %, Spot = jusqu'à 90 %, Savings Plans = jusqu'à 72 %
• Dedicated Instances = placement auto par AWS ; Dedicated Hosts = contrôle total + licences

Emplacements des instances EC2

Sauf indication contraire, lorsque vous lancez des instances EC2, elles sont placées dans un cloud privé virtuel (VPC) par défaut.

Important : Le VPC par défaut permet de démarrer rapidement et de lancer des instances EC2 publiques sans avoir à créer et configurer votre propre VPC. Toute ressource que vous placez dans le VPC par défaut sera publique et accessible par Internet. Vous ne devez donc y placer aucune donnée client ou information privée.

Évolution recommandée :
Lorsque vous serez plus à l'aise avec la mise en réseau sur AWS, vous devrez :

1. Modifier ce paramètre par défaut
2. Choisir vos propres VPC personnalisés
3. Restreindre l'accès à l'aide de :
   • Mécanismes de routage
   • Connectivité supplémentaire

Cycle de vie d'une instance EC2

Une instance EC2 passe par différents états depuis sa création jusqu'à sa fermeture.

États du cycle de vie

1. État "En attente"

• La facturation n'a pas encore commencé
• AWS effectue les configurations nécessaires :
  • Copie du contenu de l'AMI sur le périphérique racine
  • Allocation des composants réseau

2. État "En cours d'exécution"

• L'instance est prête à être utilisée
• La facturation commence
• Actions possibles :
  • Redémarrage
  • Résiliation
  • Arrêt
  • Arrêt avec mise en veille prolongée

3. Redémarrage d'une instance

• Équivalent à un redémarrage de système d'exploitation
• Conservation des éléments suivants :
  • Nom DNS public (IPv4)
  • Adresses IPv4 privées/publiques
  • Adresse IPv6 (le cas échéant)
  • Données des volumes de stockage

4. Arrêt d'une instance

Transition : En cours d'exécution → Arrêt en cours → Arrêté

Caractéristiques :

• Similaire à l'arrêt d'un ordinateur portable
• Nécessite un volume Amazon EBS comme périphérique racine
• Peut être placée sur un nouveau serveur physique
• Conserve :
  • Adresses IPv4 privées
  • Adresse IPv6 (si existante)

5. Arrêt avec mise en veille prolongée

• Enregistre le contenu de la mémoire (RAM) sur le volume racine EBS
• Conditions requises :
  • Mise en veille prolongée activée
  • Instance compatible avec la mise en veille prolongée

6. Résiliation d'une instance

• Effacement des magasins d'instance
• Perte des adresses IP publique et privée
• Fin de la facturation

Comparaison des modes d'arrêt

Options de tarification EC2

1. Instances à la demande

• Paiement : Par heure/seconde
• Avantages :
  • Pas d'engagement à long terme
  • Flexibilité de capacité
• Cas d'usage :
  • Charges de travail imprévisibles
  • Développement/test initial

2. Instances Spot

• Économie : Jusqu'à 90% réduction
• Caractéristiques :
  • Capacité de rechange
  • Peuvent être interrompues
• Cas d'usage :
  • Charges de travail flexibles
  • Applications tolérantes aux pannes

3. Savings Plans

• Engagement : 1 ou 3 ans
• Économie : Jusqu'à 72%
• Couverture :
  • Amazon EC2
  • AWS Lambda
  • AWS Fargate
• Cas d'usage :
  • Charges de travail stables
  • Utilisation prévisible

4. Instances réservées

• Types :
  • Standard (72% réduction)
  • Convertibles (54% réduction)
  • Planifiées (créneaux horaires)
• Options de paiement :
  • Tous frais initiaux
  • Frais initiaux partiels
  • Sans frais initiaux

5. Hôtes dédiés

• Caractéristiques :
  • Serveur physique dédié
  • Utilisation des licences existantes
  • Conformité renforcée
• Options d'achat :
  • Sur demande
  • En réservation (70% réduction)
• Intégration :
  • AWS License Manager

Tableau comparatif des options tarifaires

Bonnes pratiques de gestion

1. Pour les coûts :

   • Utiliser des instances Spot pour les travaux flexibles
   • Combiner Savings Plans et instances réservées
   • Surveiller avec AWS Cost Explorer

2. Pour la disponibilité :

   • Utiliser des groupes de placement
   • Répartir sur plusieurs zones de disponibilité
   • Configurer des politiques de recouvrement

3. Pour les performances :

   • Choisir la famille d'instance adaptée
   • Surveiller les métriques CloudWatch
   • Ajuster le type d'instance selon les besoins