AWS认证SAA-C03核心服务对比手册从架构设计到实战选型当云架构师面对AWS上百种服务时最常遇到的挑战不是功能理解而是在相似服务间做出精准选择。这份手册源自笔者通过SAA-C03认证后的实战总结将用对比矩阵决策树的形式帮你建立清晰的选型框架。我们不会重复官方文档的功能描述而是聚焦在实际架构设计中那些令人纠结的二选一场景。1. 存储服务深度对比从对象存储到高性能文件系统1.1 S3家族 vs EBS vs EFS vs FSx四维决策模型核心差异矩阵维度S3EBSEFSFSx系列数据模型对象存储(扁平命名空间)块存储(裸磁盘)文件系统(POSIX兼容)企业级文件系统访问延迟100-200ms亚毫秒级毫秒级亚毫秒级(Lustre)典型用例静态资源、数据湖、备份归档数据库存储、随机读写多EC2实例共享、CI/CDHPC、机器学习训练成本特征按用量计费请求费用预配置容量计费按用量吞吐模式计费高性能溢价实战提示当需要为MySQL选择存储时EBS gp3卷是最佳选择——它提供基线3000 IOPS且可独立扩展吞吐量而S3哪怕启用S3 Express One Zone也无法满足数据库的随机读写需求。生命周期管理对比S3智能分层自动在Frequent/Infrequent Access层间迁移适合访问模式不规律的数据如用户上传内容EFS生命周期仅支持移动到IA层标准→IA需手动设置转移策略默认7天未访问FSx Lustre无内置生命周期策略需配合DataSync手动迁移到S31.2 加密与安全配置要点所有AWS存储服务都支持服务端加密但实现方式各有特点# S3加密示例Python SDK s3 boto3.client(s3) s3.upload_file( local_file.txt, my-bucket, remote_key, ExtraArgs{ ServerSideEncryption: AES256, # 或aws:kms SSEKMSKeyId: arn:aws:kms:... } )跨服务加密支持度服务SSE-S3SSE-KMS客户端加密传输加密(TLS)S3✓✓✓✓EBS-✓--EFS-✓✓✓FSx-✓✓✓2. 计算服务选型指南从虚拟机到无服务器2.1 EC2 vs Lambda vs Fargate性能边界测试通过实际压力测试得出的性能临界点指标EC2(c5.xlarge)Lambda(1GB)Fargate(2vCPU)冷启动时间30-60秒100-300ms10-30秒持续高负载稳定性★★★★★★★☆☆☆★★★★☆突发请求处理能力需配置ASG自动扩展需预配置每小时成本(预估)$0.17$0.0000167/GB-s$0.04典型选型误区纠正Lambda只适合简单任务实际上配置10GB内存的Lambda可运行轻量级机器学习推理Fargate比EC2贵对于间歇性任务Fargate的按秒计费反而更经济EC2一定要选最新代c6g比c7g在某些场景下性价比更高如内存密集型2.2 容器服务深度对比ECS vs EKS vs App Runner架构决策树是否需要K8s生态? ├─ 是 → EKS └─ 否 → 是否需要CI/CD流水线集成? ├─ 是 → ECS(with CodePipeline) └─ 否 → App Runner(极简部署)网络模式对比特性ECS(Fargate)EKS(CNI插件)App Runner每个任务私有IP✓✓托管自定义安全组✓✓✗VPC对等连接✓✓仅出站流量加密需自行配置需自行配置自动TLS3. 消息服务架构模式从队列到事件总线3.1 SQS vs SNS vs EventBridge vs Kinesis吞吐量实测数据服务写入延迟最大吞吐量消息保留期顺序保证SQS标准队列10ms不限1-14天无SQS FIFO队列50ms300消息/秒1-14天严格有序SNS100ms不限无持久化无EventBridge500ms1000事件/秒无持久化无Kinesis50ms分片数×1MB/秒1-365天分片内有序混合架构示例graph LR A[生产者] -- B{SNS主题} B --|HTTP推送| C[Lambda] B --|队列缓冲| D[SQS] D -- E[EC2消费者] B --|事件路由| F[EventBridge] F -- G[Step Functions]注意当需要消息重试机制时务必配置SQS的死信队列(DLQ)而SNS需要通过订阅策略设置重试次数。4. 网络组件选型负载均衡与连接服务4.1 ALB vs NLB vs GWLB关键指标对比七层与四层负载均衡实测性能测试场景ALB(HTTP)NLB(TCP)GWLB(IP)每秒新连接数3,000100,00050,000持续连接吞吐量5Gbps25Gbps15GbpsSSL卸载性能支持支持不支持静态IP支持需Global Accelerator原生支持原生支持典型误用案例用ALB承载gRPC流量应选择NLBTLS终止为NLB配置基于路径的路由这是ALB的特性在GWLB上启用WAFGWLB仅处理L3流量4.2 NAT网关 vs 私有连接方案成本分析跨AZ流量成本对比以us-east-1区域为例方案出站流量成本($/GB)固定成本适用场景NAT网关0.045$0.045/小时通用互联网出口VPC端点(S3/DynamoDB)0.01无特定AWS服务访问PrivateLink0.01$0.01/小时跨账户/VPC服务暴露Transit Gateway0.02$0.05/小时混合云网络枢纽安全配置建议# 检查NAT网关路由配置的CLI命令 aws ec2 describe-route-tables \ --filters Nameassociation.subnet-id,Valuessubnet-123456 \ --query RouteTables[].Routes[?NatGatewayIdnat-123456]在为企业设计云架构时这些服务选择往往不是非此即彼的关系。笔者曾为一个电商平台同时使用FSx for Lustre处理实时推荐模型、用Fargate运行促销微服务、通过SQS缓冲订单峰值——理解每个服务的特性和边界才能组合出最优架构。