Le migliori pratiche per la configurazione di controlli sanitari in AWS Global Accelerator si concentrano sulla garanzia di monitoraggio accurato, sicuro ed efficiente della salute degli endpoint per mantenere un'elevata disponibilità e un routing del traffico ottimale. Di seguito sono riportate linee guida dettagliate basate sulla documentazione AWS e sulle migliori pratiche correlate:
Best practice chiave per la configurazione di controlli sanitari in Acceleratore globale
1. Utilizzare protocolli e porte di controllo sanitario appropriati
- Scegli il protocollo di controllo sanitario (TCP, HTTP o HTTPS) che riflette meglio la natura dell'applicazione e la capacità di rispondere dell'Endpoint. Controlli di salute TCP Verificare la connettività a livello di rete inviando pacchetti SYN, mentre i controlli HTTP/HTTPS simulano le richieste HTTP effettive agli endpoint dell'applicazione [6] [9].
- Configurare la porta di controllo Health per abbinare la porta dell'ascoltatore sull'acceleratore per coerenza. Se si utilizza una porta diversa per i controlli sanitari, assicurarsi che il firewall e le regole del gruppo di sicurezza limitino l'accesso alle solo gamme IP utilizzate dai controllori sanitari della Route 53 per evitare di esporre pubblicamente la porta [1] [4].
- Per istanze EC2 o endpoint IP elastici con ascoltatori UDP, Global Accelerator esegue controlli di salute TCP sulla porta dell'ascoltatore, quindi assicurati che un server TCP sia in esecuzione su quella porta; Altrimenti, gli endpoint saranno marcati malsani [1].
2. Garantire la sicurezza e l'accesso per i controlli sanitari
- Consenti il traffico in entrata dagli indirizzi IP associati a Amazon Route 53 sanitari nelle configurazioni del firewall e del router. Ciò è fondamentale per i controlli sanitari per avere successo, specialmente per l'istanza EC2 o gli endpoint IP elastici [1] [4].
- Quando si utilizza una porta di controllo sanitaria non Default, limita l'accesso a quella porta solo alle gamme IP di controllo sanitario della Route 53 per evitare rischi per la sicurezza [1].
- Rivedi regolarmente e aggiorna le regole del gruppo di sicurezza per soddisfare eventuali modifiche agli intervalli di indirizzi IP utilizzati dai Checkers Health Route 53.
3. Configurare con cura i parametri di temporizzazione del controllo della salute
- Imposta l'intervallo di controllo della salute (il tempo tra i controlli) in base alla tolleranza dell'applicazione per i tempi di inattività e sulla criticità dell'endpoint. Intervalli più brevi rilevano i guasti più velocemente ma aumentano il carico e il costo, mentre gli intervalli più lunghi riducono il carico ma il rilevamento del guasto [5].
- Configurare il conteggio della soglia (numero di successi o guasti consecutivi prima di cambiare lo stato di salute degli endpoint) per bilanciare la sensibilità e la stabilità. Un default comune è 3, che fornisce un buon compromesso tra falsi positivi e velocità di rilevamento [1] [9].
- Utilizzare i valori di timeout predefiniti a meno che non si disponga di motivi specifici per regolarli. Ad esempio, il timeout di controllo sanitario TCP è fissato a 3 secondi in Acceleratore globale [6].
4. Allinea i controlli sanitari con tipi di endpoint
- Per gli endpoint di bilanciamento del carico di rete (NLB) o bilanciamento del carico dell'applicazione (ALB), configurare controlli di salute sul bilanciamento del carico stesso piuttosto che nell'acceleratore globale, poiché l'acceleratore globale utilizza lo stato di salute del bilanciamento del carico per determinare la salute degli endpoint [1].
- Per istanze EC2 o indirizzi IP elastici, configurare i controlli di salute direttamente in Acceleratore globale, specificando porte e protocolli appropriati che riflettono la disponibilità effettiva del servizio [1].
5. Usa percorsi di controllo sanitario significativi per HTTP/HTTPS
- Quando si utilizzano controlli di salute HTTP o HTTPS, specificare un percorso URI che rappresenti accuratamente la salute dell'applicazione (ad esempio, un endpoint di controllo sanitario dedicato piuttosto che la home page). Ciò garantisce che il controllo sanitario rifletta la prontezza a livello di applicazione, non solo la disponibilità di rete [6].
- Mantieni il percorso URI conciso e valido, a partire da una barra in avanti e contenente caratteri consentiti [6].
6. Monitorare le metriche e i registri del controllo sanitario
- Rivedere regolarmente i risultati del controllo sanitario e le metriche di Cloudwatch per identificare modelli o guasti ricorrenti. Questo aiuta a risolvere i problemi proattivi e pianificazione delle capacità [5].
- Imposta gli allarmi di CloudWatch per avvisare immediatamente il team quando gli endpoint diventano malsani o si riprendono, consentendo una risposta rapida agli incidenti [5].
7. Implementare le strategie di failover e recupero
- Sfruttare la capacità dell'acceleratore globale di instradare il traffico solo verso endpoint sani per un failover istantaneo.
- Test di failover e scenari di failback per garantire transizioni di traffico regolari durante le interruzioni e il recupero degli endpoint [5] [8].
8. Mantieni i controlli sanitari aggiornati
- Rivedi periodicamente e aggiorna le configurazioni di controllo sanitario man mano che l'applicazione si evolve, comprese le modifiche in porte, protocolli o percorsi di controllo sanitario.
- Rimuovere i controlli sanitari per gli endpoint non più in uso per evitare il monitoraggio inutile e la potenziale esposizione alla sicurezza [5].
Seguendo queste migliori pratiche, si assicura che i controlli sanitari dell'acceleratore globale forniscano informazioni accurate, sicure e tempestive sulla salute degli endpoint, consentendo un routing del traffico affidabile e un'alta disponibilità per le tue applicazioni.
Citazioni:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups-health-check-options.html
[2] https://aws.amazon.com/blogs/networking-and-content-deleivery/best-practices-for-deployment-with-aws-global-ackcelerator/
[3] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[4] https://repost.aws/knowledge-center/global-accelerator-unhealthy-endpoints
[5] https://docs.aws.amazon.com/route53/latest/developingerguide/best-practices-healthchecks.html
[6] https://www.alibabacloud.com/help/en/ga/user-guide/enable-and-manage-health-checks
[7] https://support.huaweicloud.com/intl/en-us/usermanual-ga/ga_03_5002.html
[8] https://tutorialsdojo.com/aws-global-ackcelerator/
[9] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalackcelerator.html