AWS Service Quotas
集中管理 AWS 服务使用上限值,可提交配额提升请求并设置告警的服务
概述
AWS Service Quotas 是一项集中查看和管理 AWS 各服务配额(使用上限值)的服务。您可以通过单一控制台查看涵盖数百项服务的配额值(如 EC2 实例数、Lambda 并发执行数、S3 存储桶数等),并一键提交配额提升请求。该服务与 CloudWatch 集成,可设置配额使用率告警,在接近上限时提前收到通知。通过与 Organizations 联动,可使用模板统一管理组织内所有账户的配额,并在创建新账户时自动应用所需的配额提升。
配额类型与提升请求的实务操作
AWS 的配额分为可调整(Adjustable)和固定(Non-adjustable)两种类型。可调整配额可通过 Service Quotas 控制台提交提升请求,大多数情况下在 24-48 小时内获批。固定配额基于架构限制,无法提升(例如每个区域的 VPC 绝对上限)。提升请求的审批分为自动化处理和需要 AWS 支持团队人工审核两种。大幅提升(例如将 Lambda 并发执行数从 1000 提升到 10000)需要人工审核,可能要求说明使用场景。实务中,在生产环境上线前梳理所需配额并提前提交提升请求非常重要。特别是为应对活动期间的流量激增,建议事先确认 Auto Scaling 最大值对应的配额是否已确保。
通过 CloudWatch 告警进行配额监控的设计
Service Quotas 将配额使用率作为 CloudWatch 指标发布,可在使用率超过阈值时触发告警。例如,可构建多级告警:当 EC2 Running On-Demand Instances 配额使用率超过 80% 时通过 SNS 通知,超过 90% 时升级到 PagerDuty。但并非所有服务都支持 CloudWatch 指标,可在 Service Quotas 控制台的「监控」列确认支持情况。对于不支持的服务,可通过定期执行 Lambda 调用 GetServiceQuota API 并与使用量比较,将自定义指标发布到 CloudWatch 作为补充方案。Trusted Advisor 也提供配额检查,但检查间隔较长(最短数小时),实时性不如 Service Quotas 的 CloudWatch 集成。建议在仪表板中汇总主要服务的配额使用率,供运维团队日常确认。
通过 Organizations 模板进行多账户管理
Service Quotas 的 Organizations 集成允许创建配额请求模板,并自动将配额提升应用到组织内的新账户。这样无需在每次创建新工作负载账户时手动申请配额提升。模板中定义组织标准工作负载所需的配额值,例如将 Lambda 并发执行数 3000、EC2 On-Demand vCPU 数 200、S3 存储桶数 200 设为标准模板并统一应用到所有账户。但需注意,模板设置的是自动提交提升请求,并不保证一定获批。大幅提升可能需要人工审核。实务中,建议根据账户用途(开发、生产、数据分析)准备不同模板,按 OU(组织单元)分别应用。从成本管理角度看,设置过高的配额可能允许意外创建资源,因此适当的上限设置也是治理手段之一。