Les meilleures pratiques pour configurer les contrôles de santé dans AWS Global Accelerator se concentrent sur la surveillance précise, sécurisée et efficace de la santé des points de terminaison pour maintenir la haute disponibilité et un routage de trafic optimal. Vous trouverez ci-dessous des directives détaillées basées sur la documentation AWS et les meilleures pratiques connexes:
meilleures pratiques pour configurer les contrôles de santé dans l'accélérateur global
1. Utilisez des protocoles de contrôle de santé et des ports appropriés
- Choisissez le protocole de vérification de la santé (TCP, HTTP ou HTTPS) qui reflète le mieux la nature de votre application et la capacité du point final à répondre. Les vérifications de la santé TCP vérifient la connectivité au niveau du réseau en envoyant des paquets SYN, tandis que les vérifications HTTP / HTTPS simulent les demandes de GET HTTP réelles aux points de terminaison de l'application [6] [9].
- Configurez le port de contrôle de santé pour correspondre au port de l'auditeur sur votre accélérateur pour la cohérence. Si vous utilisez un port différent pour les contrôles de santé, assurez-vous que les règles de pare-feu et de groupe de sécurité restreignent l'accès uniquement aux gammes IP utilisées par les vérificateurs de santé de la route 53 pour empêcher l'exposition publiquement du port [1] [4].
- Pour les instances EC2 ou les points de terminaison IP élastiques avec des auditeurs UDP, Global Accelerator effectue des vérifications de santé TCP sur le port de l'écouteur, alors assurez-vous qu'un serveur TCP s'exécute sur ce port; Sinon, les points de terminaison seront marqués malsains [1].
2. Assurer la sécurité et l'accès aux contrôles de santé
- Autoriser le trafic entrant à partir des adresses IP associées aux vérificateurs de santé Amazon Route 53 dans vos configurations de pare-feu et de routeur. Ceci est essentiel pour que les contrôles de santé réussissent, en particulier pour l'instance EC2 ou les points de terminaison IP élastiques [1] [4].
- Lorsque vous utilisez un port de vérification de santé non défaut, limitez l'accès à ce port uniquement à la gamme IP de contrôle de santé de la route 53 pour éviter les risques de sécurité [1].
- Examiner et mettre à jour régulièrement les règles du groupe de sécurité pour s'adapter à toutes les modifications des plages d'adresses IP utilisées par les vérificateurs de santé de la route 53.
3. Configurer les paramètres de synchronisation de vérification de la santé de manière réfléchie
- Définissez l'intervalle de vérification de la santé (le temps entre les chèques) en fonction de la tolérance de votre application pour les temps d'arrêt et de la criticité du point final. Les intervalles plus courts détectent les échecs plus rapidement mais augmentent la charge et le coût, tandis que les intervalles plus longs réduisent la charge mais détendent la détection de défaillance [5].
- Configurez le nombre de seuils (nombre de succès ou de défaillances consécutifs avant de modifier l'état de santé du point de terminaison) pour équilibrer la sensibilité et la stabilité. Un défaut commun est 3, ce qui fournit un bon compromis entre les faux positifs et la vitesse de détection [1] [9].
- Utilisez les valeurs de délai de temps par défaut, sauf si vous avez des raisons spécifiques de les ajuster. Par exemple, le délai d'expiration du contrôle de la santé TCP est fixé à 3 secondes dans Global Accelerator [6].
4. Aligner les contrôles de santé avec les types de points finaux
- Pour l'équilibreur de charge de réseau (NLB) ou les points de terminaison de l'équilibreur de chargement d'application (ALB), configurez les contrôles de santé sur l'équilibreur de charge lui-même plutôt que dans Global Accelerator, car l'accélérateur global utilise l'état de santé de l'équilibreur de charge pour déterminer la santé des points de terminaison [1].
- Pour les instances EC2 ou les adresses IP élastiques, configurez les contrôles de santé directement dans Global Accelerator, spécifiant les ports et protocoles appropriés qui reflètent la disponibilité réelle du service [1].
5. Utilisez des chemins de contrôle de santé significatifs pour HTTP / HTTPS
- Lorsque vous utilisez des contrôles de santé HTTP ou HTTPS, spécifiez un chemin URI qui représente avec précision la santé de votre application (par exemple, un point de terminaison de contrôle de santé dédié plutôt que la page d'accueil). Cela garantit que le contrôle de santé reflète la préparation au niveau de l'application, pas seulement la disponibilité du réseau [6].
- Gardez le chemin URI concis et valide, en commençant par une barre oblique en avant et en contenant des caractères autorisés [6].
6. Surveiller les mesures et les journaux de contrôle de santé
- Revoir régulièrement les résultats des vérifications de la santé et les mesures CloudWatch pour identifier les modèles ou les échecs récurrents. Cela contribue à un dépannage proactif et à la planification des capacités [5].
- Configurez les alarmes CloudWatch pour informer votre équipe immédiatement lorsque les points de terminaison deviennent malsains ou se rétablissent, permettant une réponse rapide aux incidents [5].
7. Mettre en œuvre les stratégies de basculement et de récupération
- Tirez parti de la capacité de Global Accelerator à acheminer le trafic uniquement vers des points de terminaison sains pour un basculement instantané.
- Scénarios de basculement et de défaillance de test pour assurer des transitions de trafic lisses pendant les pannes de terminaux et la récupération [5] [8].
8. Tenez les contrôles de santé à jour
- Examiner et mettre à jour périodiquement les configurations de contrôle de santé au fur et à mesure que votre application évolue, y compris les modifications des ports, des protocoles ou des chemins de contrôle de santé.
- supprimer les contrôles de santé des critères de terminaison qui ne sont plus utilisés pour éviter une surveillance inutile et une exposition potentielle à la sécurité [5].
En suivant ces meilleures pratiques, vous vous assurez que les contrôles de santé mondiaux de l'accélérateur fournissent des informations précises, sécurisées et opportunes sur la santé des points finaux, permettant un routage de trafic fiable et une grande disponibilité pour vos applications.
Citations:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups-health-check-options.html
[2] https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deployment-with-aws-bolbal-accelerator/
[3] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[4] https://repost.aws/knowledge-center/global-accelerator-unhealthy-endpoints
[5] https://docs.aws.amazon.com/route53/latest/developerguide/best-practices-healthchecks.html
[6] https://www.alibabacloud.com/help/en/ga/user-guide/enable-and-manage-health-checks
[7] https://support.huaweicloud.com/intl/en-us/usermanual-ga/ga_03_5002.html
[8] https://tutorialsdojo.com/aws-global-accelerator/
[9] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html