Las mejores prácticas para configurar las verificaciones de salud en AWS Global Acelerator se centran en garantizar un monitoreo preciso, seguro y eficiente de la salud del punto final para mantener una alta disponibilidad y un enrutamiento de tráfico óptimo. A continuación se presentan pautas detalladas basadas en la documentación de AWS y las mejores prácticas relacionadas:
Las mejores prácticas clave para configurar las verificaciones de salud en Global Acelerator
1. Use protocolos y puertos de control de salud apropiados
- Elija el protocolo de verificación de salud (TCP, HTTP o HTTPS) que mejor refleje la naturaleza de su aplicación y la capacidad del punto final para responder. Las verificaciones de salud de TCP verifican la conectividad a nivel de red enviando paquetes SYN, mientras que las verificaciones HTTP/HTTPS simulan HTTP reales obtengan solicitudes a los puntos finales de la aplicación [6] [9].
- Configure el puerto de verificación de salud para que coincida con el puerto del oyente en su acelerador para obtener consistencia. Si utiliza un puerto diferente para verificaciones de salud, asegúrese de que las reglas de firewall y del grupo de seguridad restrinjan el acceso solo a los rangos de IP utilizados por los controladores de salud de la Ruta 53 para evitar exponer el puerto públicamente [1] [4].
- Para instancias EC2 o puntos finales de IP elásticos con oyentes UDP, Global Accelerator realiza verificaciones de salud TCP en el puerto del oyente, por lo que asegúrese de que un servidor TCP se esté ejecutando en ese puerto; De lo contrario, los puntos finales se marcarán poco saludables [1].
2. Asegurar la seguridad y el acceso para los controles de salud
- Permitir el tráfico entrante de las direcciones IP asociadas con Amazon Route 53 Health Checkers en su firewall y configuraciones de enrutadores. Esto es crítico para que los controles de salud tengan éxito, especialmente para los puntos finales de instancia EC2 o IP elástica [1] [4].
- Cuando utilice un puerto de verificación de salud no predeterminado, restringir el acceso a ese puerto solo a los rangos de IP de verificación de salud de la ruta 53 para evitar riesgos de seguridad [1].
- Revise y actualice regularmente las reglas del grupo de seguridad para acomodar cualquier cambio en los rangos de direcciones IP utilizados por los controladores de salud de la Ruta 53.
3. Configurar los parámetros de tiempo de verificación de salud cuidadosamente
- Establezca el intervalo de verificación de salud (el tiempo entre las verificaciones) en función de la tolerancia de su aplicación para el tiempo de inactividad y la criticidad del punto final. Los intervalos más cortos detectan fallas más rápido, pero aumentan la carga y el costo, mientras que los intervalos más largos reducen la carga de carga pero retrasan la detección de falla [5].
- Configure el recuento umbral (número de éxitos o fallas consecutivas antes de cambiar el estado de salud del punto final) para equilibrar la sensibilidad y la estabilidad. Un incumplimiento común es 3, que proporciona una buena compensación entre falsos positivos y la velocidad de detección [1] [9].
- Use valores de tiempo de espera predeterminados a menos que tenga razones específicas para ajustarlos. Por ejemplo, el tiempo de espera de verificación de salud TCP se fija en 3 segundos en el acelerador global [6].
4. Alinee las verificaciones de salud con los tipos de puntos finales
- Para los puntos finales de equilibrio de carga de red (NLB) o equilibrador de carga de aplicación (ALB), configure las verificaciones de salud en el equilibrador de carga en sí mismo en el acelerador global, ya que el acelerador global utiliza el estado de salud del equilibrador de carga para determinar la salud del punto final [1].
- Para instancias de EC2 o direcciones IP elásticas, configure las verificaciones de salud directamente en el acelerador global, especificando los puertos y protocolos apropiados que reflejan la disponibilidad del servicio real [1].
5. Use rutas de verificación de salud significativas para http/https
- Cuando se use verificaciones de salud HTTP o HTTPS, especifique una ruta URI que represente con precisión la salud de su aplicación (por ejemplo, un punto final de verificación de salud dedicado en lugar de la página de inicio). Esto garantiza que la verificación de salud refleje la preparación a nivel de aplicación, no solo la disponibilidad de la red [6].
- Mantenga la ruta URI concisa y válida, comenzando con un corte hacia adelante y que contiene caracteres permitidos [6].
6. Monitorear las métricas y registros de la salud de la salud
- Revise regularmente los resultados de control de salud y las métricas de CloudWatch para identificar patrones o fallas recurrentes. Esto ayuda a la resolución proactiva de problemas y la planificación de la capacidad [5].
- Configure las alarmas de CloudWatch para notificar a su equipo inmediatamente cuando los puntos finales se vuelven insalubres o se recuperan, lo que permite una respuesta rápida a los incidentes [5].
7. Implementar estrategias de conmutación por error y recuperación
- Aproveche la capacidad del acelerador global para enrutar el tráfico solo a puntos finales saludables para la conmutación por error instantánea.
- Pruebe los escenarios de conmutación por error y fallas para garantizar las transiciones de tráfico suaves durante las interrupciones y la recuperación del punto final [5] [8].
8. Mantenga los controles de salud actualizados
- Revise y actualice periódicamente las configuraciones de verificación de salud a medida que su aplicación evoluciona, incluidos los cambios en los puertos, protocolos o rutas de verificación de salud.
- Elimine los controles de salud para puntos finales que ya no están en uso para evitar el monitoreo innecesario y la posible exposición de seguridad [5].
Siguiendo estas mejores prácticas, se asegura de que las verificaciones de salud del Acelerador Global proporcionen información precisa, segura y oportuna sobre la salud del punto final, permitiendo el enrutamiento de tráfico confiable y la alta disponibilidad para sus aplicaciones.
Citas:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups-health-check-options.html
[2] https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deployment-with-aws-global-accelerator/
[3] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[4] https://repost.aws/knowledge-center/global-accelerator-unhealthy-dpoints
[5] https://docs.aws.amazon.com/route53/latest/developeguide/best-practices-healthchecks.html
[6] https://www.alibabacloud.com/help/en/ga/user-guide/enable-and-manage-health-checks
[7] https://support.huaweicloud.com/intl/en-us/usermanual-pa/ga_03_5002.html
[8] https://tutorialsdojo.com/aws-global-accelerator/
[9] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html