Nejlepší postupy pro konfiguraci zdravotních kontrol v AWS Global Accelerator se zaměřují na zajištění přesného, bezpečného a efektivního sledování zdraví koncových bodů za účelem udržení vysoké dostupnosti a optimálního směrování provozu. Níže jsou uvedeny podrobné pokyny založené na dokumentaci AWS a souvisejících osvědčených postupů:
Klíčové osvědčené postupy pro konfiguraci kontrol zdraví v globálním akcelerátoru
1. Použijte příslušné protokoly a porty pro kontrolu zdraví
- Vyberte protokol o kontrole Health (TCP, HTTP nebo HTTPS), který nejlépe odráží povahu vaší aplikace a schopnost koncového bodu reagovat. Zdraví TCP kontroly ověřte připojení na úrovni sítě odesíláním paketů SYN, zatímco kontroly HTTP/HTTPS simulují skutečné požadavky HTTP na koncové body aplikace [6] [9].
- Nakonfigurujte port pro kontrolu zdraví tak, aby odpovídal port posluchače na vašem akcelerátoru pro konzistenci. Pokud pro kontroly zdraví používáte jiný port, ujistěte se, že pravidla firewall a skupiny zabezpečení omezují přístup pouze k IP rozsahům používaným v oblasti zdraví Route 53, aby se zabránilo veřejnému odhalení portu [1] [4].
- Pro instance EC2 nebo elastické koncové body IP s posluchači UDP provádí Global Accelerator TCP Health Checks na portu posluchače, takže ujistěte se, že na tomto portu běží server TCP; Jinak budou koncové body označeny nezdravé [1].
2. Zajistěte zabezpečení a přístup pro kontroly zdraví
- Povolte příchozí provoz z IP adres spojených s Amazon Route 53 Health Checkers v konfiguracích firewall a routeru. To je rozhodující pro úspěch zdravotních kontrol, zejména pro koncové body EC2 nebo elastické koncové body IP [1] [4].
- Při používání neterového zdravotního kontrolního portu omezte přístup k tomuto portu pouze na rozsahy IP Route 53, abyste se vyhnuli bezpečnostním rizikům [1].
- Pravidelně kontrolujte a aktualizujte pravidla skupiny zabezpečení tak, aby vyhovovaly jakýmkoli změnám v rozsazích IP adresy používaných v oblasti zdraví Route 53.
3. Konfigurace nakonfigurujte parametry načasování zdraví zamyšleně
- Nastavte interval kontroly zdraví (čas mezi kontrolami) na základě tolerance vaší aplikace pro prostoje a kritičnost koncového bodu. Kratší intervaly detekují selhání rychleji, ale zvyšují zátěž a náklady, zatímco delší intervaly snižují zatížení, ale detekci selhání zpoždění [5].
- Nakonfigurujte počet prahových hodnot (počet po sobě jdoucích úspěchů nebo selhání před změnou zdravotního stavu koncového bodu), abyste vyvážili citlivost a stabilitu. Běžný výchozí je 3, který poskytuje dobrý kompromis mezi falešnými pozitivy a rychlostí detekce [1] [9].
- Použijte výchozí hodnoty časového limitu, pokud nemáte konkrétní důvody k jejich úpravě. Například časový limit kontroly zdraví TCP je stanoven na 3 sekundy v globálním akcelerátoru [6].
4. Zarovnejte zdravotní kontroly s typy koncových bodů
- Pro koncové body síťového zatížení (NLB) nebo koncové body zatížení aplikací (ALB) nakonfigurujte kontroly zdraví na samotném vyvažovači zátěže spíše než v globálním akcelerátoru, protože globální akcelerátor používá zdravotní stav zatížení k určení zdraví koncového bodu [1].
- Pro instance EC2 nebo elastické IP adresy nakonfigurujte zdravotní kontroly přímo v globálním akcelerátoru a zadejte vhodné porty a protokoly, které odrážejí skutečnou dostupnost služeb [1].
5. Použijte smysluplné cesty pro kontrolu zdraví pro HTTP/HTTPS
- Při používání zdravotních kontrol HTTP nebo HTTPS zadejte cestu URI, která přesně představuje zdraví vaší aplikace (např. Vyhrazený koncový bod kontroly zdraví spíše než domovskou stránku). Tím je zajištěno, že kontrola zdraví odráží připravenost na úrovni aplikací, nejen dostupnost sítě [6].
- Udržujte cestu URI výstižnou a platnou, počínaje dopředným lomítkem a obsahujícím povolené znaky [6].
6. Monitorujte metriky a protokoly ke kontrole zdraví
- Pravidelně kontrolujte výsledky kontroly zdraví a metriky CloudWatch, abyste identifikovali vzorce nebo opakující se selhání. To pomáhá při proaktivní řešení problémů a plánování kapacit [5].
- Nastavte alarmy CloudWatch, abyste okamžitě informovali váš tým, až se koncové body stanou nezdravým nebo zotavením, což umožňuje rychlou reakci na incidenty [5].
7. Implementujte strategie převzetí služeb a obnovy
- Využijte schopnost globálního akcelerátoru směrovat provoz pouze do zdravých koncových bodů pro okamžitý převzetí služeb při selhání.
- Testujte scénáře převzetí služeb při selhání a selhání, abyste zajistili hladké přechody provozu během výpadků a zotavení koncových bodů [5] [8].
8. Udržujte kontroly zdraví aktualizovány
- Pravidelně kontrolujte a aktualizujte konfigurace kontroly zdraví, jak se vaše aplikace vyvíjí, včetně změn v portech, protokolech nebo cestách kontroly zdraví.
- Odstraňte kontroly zdravotních kontrol koncových bodů, které se již nepoužívají, abyste se vyhnuli zbytečnému monitorování a potenciálnímu zabezpečení [5].
Dodržováním těchto osvědčených postupů zajistíte, že kontroly zdraví globálního akcelerátoru poskytují přesné, bezpečné a včasné informace o zdraví koncových bodů, což umožňuje spolehlivé směrování provozu a vysokou dostupnost pro vaše aplikace.
Citace:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups-check-check-options.html
[2] https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deployment-with-aws-global-accelerator/
[3] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-it-works.html
[4] https://repost.aws/knowledge-center/Global-Accelerator-UnHealthy-endpoints
[5] https://docs.aws.amazon.com/route53/latest/develorgide/best-pactices-healthchecks.html
[6] https://www.alibabacloud.com/help/en/ga/user-guide/enable-and-manage-health-checks
[7] https://support.huaweicloud.com/intl/en-us/usermanual-ga/ga_03_5002.html
[8] https://tutorialsdojo.com/aws-global-accelerator/
[9] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html