Οι βέλτιστες πρακτικές για τη διαμόρφωση των ελέγχων υγείας στο AWS Global Accelerator εστιάζουν στην εξασφάλιση ακριβούς, ασφαλούς και αποτελεσματικής παρακολούθησης της υγείας του τελικού σημείου για τη διατήρηση της υψηλής διαθεσιμότητας και της βέλτιστης δρομολόγησης της κυκλοφορίας. Παρακάτω υπάρχουν λεπτομερείς κατευθυντήριες γραμμές που βασίζονται στην τεκμηρίωση AWS και τις σχετικές βέλτιστες πρακτικές:
βασικές βέλτιστες πρακτικές για τη διαμόρφωση ελέγχων υγείας στον παγκόσμιο επιταχυντή
1. Χρησιμοποιήστε τα κατάλληλα πρωτόκολλα ελέγχου υγείας και θύρες
- Επιλέξτε το πρωτόκολλο ελέγχου υγείας (TCP, HTTP ή HTTPS) που αντικατοπτρίζει καλύτερα τη φύση της εφαρμογής σας και την ικανότητα του τελικού σημείου να ανταποκριθεί. Οι έλεγχοι υγείας TCP επαληθεύουν τη συνδεσιμότητα σε επίπεδο δικτύου στέλνοντας πακέτα SYN, ενώ οι έλεγχοι HTTP/HTTPS προσομοιώνουν πραγματικά αιτήματα HTTP GET σε τελικά σημεία εφαρμογής [6] [9].
- Διαμορφώστε τη θύρα ελέγχου υγείας για να ταιριάζει με τη θύρα ακροατή στον επιταχυντή σας για συνέπεια. Εάν χρησιμοποιείτε διαφορετική θύρα για ελέγχους υγείας, βεβαιωθείτε ότι οι κανόνες της ομάδας τείχους προστασίας και της ομάδας ασφαλείας περιορίζουν την πρόσβαση μόνο στις περιοχές IP που χρησιμοποιούνται από το διαδρομές 53 για την αποτροπή της έκθεσης του λιμανιού [1] [4].
- Για τις περιπτώσεις EC2 ή τα ελαστικά τελικά σημεία IP με ακροατές UDP, ο Global Accelerator εκτελεί ελέγχους υγείας TCP στη θύρα ακροατή, οπότε βεβαιωθείτε ότι ένας διακομιστής TCP εκτελείται σε αυτή τη θύρα. Διαφορετικά, τα τελικά σημεία θα επισημανθούν ανθυγιεινά [1].
2. Εξασφαλίστε την ασφάλεια και την πρόσβαση για ελέγχους υγείας
- Επιτρέψτε την εισερχόμενη κυκλοφορία από τις διευθύνσεις IP που σχετίζονται με το Amazon Route 53 Checkers Health στις διαμορφώσεις τείχους προστασίας και δρομολογητή σας. Αυτό είναι κρίσιμο για τους ελέγχους υγείας για να πετύχει, ειδικά για την εμφάνιση EC2 ή τα ελαστικά τελικά σημεία IP [1] [4].
- Όταν χρησιμοποιείτε μια θύρα ελέγχου υγείας μη υποβολής, περιορίζετε την πρόσβαση στη θύρα μόνο στη διαδρομή 53 Ελέγχου Υγείας IP για να αποφύγετε τους κινδύνους ασφαλείας [1].
- Κανονικά αναθεώρηση και ενημέρωση κανόνων ομάδας ασφαλείας για να φιλοξενήσει τυχόν αλλαγές στις περιοχές διεύθυνσης IP που χρησιμοποιούνται από τους checkers της διαδρομής 53.
3. Διαμορφώστε προσεκτικά τις παραμέτρους του χρονοδιαγράμματος ελέγχου υγείας
- Ρυθμίστε το διάστημα ελέγχου υγείας (ο χρόνος μεταξύ των ελέγχων) με βάση την ανοχή της εφαρμογής σας για διακοπή λειτουργίας και την κρισιμότητα του τελικού σημείου. Τα βραχύτερα διαστήματα ανιχνεύουν τις αποτυχίες ταχύτερες, αλλά αυξάνουν το φορτίο και το κόστος, ενώ τα μεγαλύτερα διαστήματα μειώνουν το φορτίο αλλά την ανίχνευση αποτυχίας καθυστέρησης [5].
- Ρύθμιση του αριθμού κατωφλίων (αριθμός διαδοχικών επιτυχιών ή αποτυχιών πριν από την αλλαγή της κατάστασης υγείας του τελικού σημείου) για την εξισορρόπηση της ευαισθησίας και της σταθερότητας. Μια κοινή προεπιλογή είναι 3, η οποία παρέχει μια καλή αντιστάθμιση μεταξύ ψευδών θετικών και ταχύτητας ανίχνευσης [1] [9].
- Χρησιμοποιήστε προεπιλεγμένες τιμές χρονικού ορίου εκτός εάν έχετε συγκεκριμένους λόγους για να τις προσαρμόσετε. Για παράδειγμα, το χρονικό όριο ελέγχου υγείας TCP έχει σταθεροποιηθεί σε 3 δευτερόλεπτα στον παγκόσμιο επιταχυντή [6].
4. Ευθυγραμμίστε τους ελέγχους υγείας με τύπους τελικού σημείου
- Για τα τελικά σημεία εξισορρόπησης φορτίου δικτύου (NLB) ή εξισορρόπησης φορτίου εφαρμογής (ALB), διαμορφώστε τους ελέγχους υγείας στον ίδιο τον εξισορρόπηση φορτίου και όχι στον παγκόσμιο επιταχυντή, καθώς ο παγκόσμιος επιταχυντής χρησιμοποιεί την κατάσταση υγείας του φορτίου για τον προσδιορισμό της υγείας του τελικού σημείου [1].
- Για περιπτώσεις EC2 ή ελαστικές διευθύνσεις IP, διαμορφώστε τους ελέγχους υγείας απευθείας στον παγκόσμιο επιταχυντή, καθορίζοντας τις κατάλληλες θύρες και πρωτόκολλα που αντικατοπτρίζουν την πραγματική διαθεσιμότητα υπηρεσιών [1].
5. Χρησιμοποιήστε σημαντικές διαδρομές ελέγχου υγείας για HTTP/HTTPS
- Όταν χρησιμοποιείτε ελέγχους υγείας HTTP ή HTTPS, καθορίστε μια διαδρομή URI που αντιπροσωπεύει με ακρίβεια την υγεία της εφαρμογής σας (π.χ. ένα ειδικό τελικό σημείο ελέγχου υγείας και όχι η αρχική σελίδα). Αυτό εξασφαλίζει ότι ο έλεγχος υγείας αντικατοπτρίζει την ετοιμότητα σε επίπεδο εφαρμογής, όχι μόνο τη διαθεσιμότητα δικτύου [6].
- Κρατήστε τη διαδρομή URI συνοπτική και έγκυρη, ξεκινώντας με μια προς τα εμπρός κάθετο και περιέχει επιτρεπόμενες χαρακτήρες [6].
6. Παρακολουθήστε τις μετρήσεις και τα αρχεία καταγραφής ελέγχου υγείας
- Ελέγξτε τακτικά τα αποτελέσματα ελέγχου υγείας και τις μετρήσεις CloudWatch για τον εντοπισμό μοτίβων ή επαναλαμβανόμενων αποτυχιών. Αυτό βοηθά στην προληπτική αντιμετώπιση προβλημάτων και σχεδιασμού χωρητικότητας [5].
- Ρυθμίστε τους συναγερμούς CloudWatch για να ειδοποιήσετε την ομάδα σας αμέσως όταν τα τελικά σημεία γίνονται ανθυγιεινά ή ανακάμψουν, επιτρέποντας ταχεία ανταπόκριση σε περιστατικά [5].
7. Εφαρμογή στρατηγικών αποτυχίας και ανάκτησης
- Αξιοποιήστε την ικανότητα του Global Accelerator να δρομολογεί την κυκλοφορία μόνο σε υγιή τελικά σημεία για άμεση αποτυχία.
- Δοκιμάστε σενάρια αποτυχίας και αποτυχίας για να εξασφαλίσετε ομαλές μεταβάσεις κυκλοφορίας κατά τη διάρκεια των διακοπών του τελικού σημείου και της ανάκτησης [5] [8].
8. Διατηρήστε ενημερωμένους ελέγχους υγείας
- Περιοδικά αναθεωρήστε και ενημερώστε τις διαμορφώσεις ελέγχου υγείας καθώς εξελίσσεται η εφαρμογή σας, συμπεριλαμβανομένων των αλλαγών στις θύρες, τα πρωτόκολλα ή τις διαδρομές ελέγχου υγείας.
- Αφαιρέστε τους ελέγχους υγείας για τα τελικά σημεία που δεν χρησιμοποιούνται πλέον για να αποφευχθεί η περιττή παρακολούθηση και η πιθανή έκθεση ασφαλείας [5].
Ακολουθώντας αυτές τις βέλτιστες πρακτικές, διασφαλίζετε ότι οι έλεγχοι υγείας του Global Accelerator παρέχουν ακριβείς, ασφαλείς και έγκαιρες πληροφορίες σχετικά με την υγεία του τελικού σημείου, επιτρέποντας την αξιόπιστη δρομολόγηση της κυκλοφορίας και την υψηλή διαθεσιμότητα για τις εφαρμογές σας.
Αναφορές:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups-health-check-options.html
[2] https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deployment-with-aws-global-accelerator/
[3] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[4] https://repost.aws/knowledge-center/global-accelerator-unhealthy-endpoints
[5] https://docs.aws.amazon.com/route53/latest/developerguide/best-practices-healthchecks.html
[6] https://www.alibabacloud.com/help/en/ga/user-guide/enable-and-manage-health-checkss
[7] https://support.huaweicloud.com/intl/en-us/usermanual-ga/ga_03_5002.html
[8] https://tutorialsdojo.com/aws-global-accelerator/
[9] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html