Tolerancia a errores

Verifica si los equilibradores de carga de aplicaciones están configurados para usar más de una zona de disponibilidad (AZ). Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Configure el equilibrador de carga en varias zonas de disponibilidad de la misma región para mejorar la disponibilidad de la carga de trabajo.

c1dfprch08

Amarillo: ALB está en una única zona de disponibilidad.

Verde: ALB tiene dos o más zonas de disponibilidad.

Asegúrese de que el equilibrador de carga esté configurado con al menos dos zonas de disponibilidad.

Para obtener más información, consulte Zonas de disponibilidad del equilibrador de carga de aplicación.

Para obtener más información, consulte la documentación siguiente:

Compruebe si el clúster de Amazon Aurora MySQL tiene habilitada la característica de búsqueda de datos anteriores.

La característica de búsqueda de datos anteriores del clúster de Amazon Aurora MySQL permite restaurar un clúster de base de datos Aurora a un momento anterior sin crear un clúster nuevo. Permite revertir la base de datos a un momento específico en el tiempo dentro de un período de retención, sin necesidad de restaurar desde una instantánea.

Puede ajustar el intervalo de tiempo de la característica de retroceso (horas) en el parámetro backtrackWindowInHours de las reglas AWS Config.

Para obtener más información, consulte Búsqueda de datos anteriores de un clúster de bases de datos de Aurora.

c18d2gz131

AWS Config Managed Rule: aurora-mysql-backtracking-enabled

Amarillo: la característica de búsqueda de datos anteriores de los clústeres de Amazon Aurora MySQL no está habilitada.

Active la característica de búsqueda de datos anteriores del clúster de Amazon Aurora MySQL.

Para obtener más información, consulte Búsqueda de datos anteriores de un clúster de bases de datos de Aurora.

Búsqueda de datos anteriores de un clúster de base de datos de Aurora

Verifica los casos en los que un clúster de base de datos de Amazon Aurora tenga instancias privadas y públicas.

En caso de error en la instancia principal, se puede promover una réplica a una instancia principal. Si dicha réplica es privada, los usuarios que solo tengan acceso público ya no podrán conectarse a la base de datos después de la conmutación por error. Se recomienda que todas las instancias de base de datos de un clúster tengan la misma accesibilidad.

xuy7H1avtl

Amarillo: las instancias de un clúster de base de datos de Aurora tienen una accesibilidad diferente (una combinación de pública y privada).

Modificar la configuración Publicly Accessible de las instancias en el clúster de base de datos para que todas sean públicas o privadas. Para obtener información más detallada, consulte las instrucciones para instancias de MySQL en Modificación de una instancia de base de datos que ejecuta el motor de base de datos MySQL.

Tolerancia a errores de un clúster de base de datos de Aurora

Compruebe que un grupo de orígenes esté configurado para distribuciones que incluyan dos orígenes en Amazon CloudFront.

Para obtener más información, consulte Optimización de alta disponibilidad con conmutación por error de origen de CloudFront.

c18d2gz112

AWS Config Managed Rule: cloudfront-origin-failover-enabled

Amarillo: la conmutación por error de origen de Amazon CloudFront no está habilitada.

Asegúrese de activar la característica de conmutación por error de origen de las distribuciones de CloudFront para garantizar una alta disponibilidad de la entrega de contenido a los usuarios finales. Al activar esta característica, el tráfico se direcciona automáticamente al servidor de origen de respaldo si el servidor de origen principal no está disponible. Esto minimiza el posible tiempo de inactividad y garantiza la disponibilidad continua del contenido.

Verifica los permisos de clave AWS Key Management Service (AWS KMS) para un punto de enlace en el que el modelo subyacente se cifró mediante claves administradas por el cliente. Si la clave administrada por el cliente está desactivada, o si se ha modificado la política de clave para modificar los permisos permitidos para Amazon Comprehend, la disponibilidad del punto de enlace podría verse afectada.

Cm24dfsM13

Rojo: la clave administrada por el cliente está deshabilitada o se ha modificado la política de claves para modificar los permisos autorizados para el acceso a Amazon Comprehend.

Si la clave administrada por el cliente estaba deshabilitada, le recomendamos habilitarla. Para obtener más información, consulte Habilitar claves. Si la política de claves se modificó y desea seguir utilizando el punto de conexión, le recomendamos que actualice la política de claves de AWS KMS. Para obtener más información, consulte Changing a key policy.

AWS KMS Permisos de

Verifica si hay clústeres de Amazon DocumentDB configurados como Single-AZ

La ejecución de cargas de trabajo de Amazon DocumentDB en una arquitectura de Single-AZ no es suficiente para cargas de trabajo muy críticas y la recuperación de un fallo de un componente puede tardar hasta 10 minutos. Los clientes deben implementar instancias de réplica en zonas de disponibilidad adicionales para garantizar la disponibilidad durante el mantenimiento, los fallos de instancias, los fallos de los componentes o los fallos de la zona de disponibilidad.

c15vnddn2x

Amarillo: el clúster de Amazon DocumentDB tiene instancias en menos de tres zonas de disponibilidad.

Verde: el clúster de Amazon DocumentDB tiene instancias en tres zonas de disponibilidad.

Si la aplicación requiere alta disponibilidad, modifique la instancia de base de datos para habilitar multi-AZ mediante instancias de réplica. Consulte Alta disponibilidad y replicación de Amazon DocumentDB

Información general de la tolerancia a errores de clúster de Amazon DocumentDB

Regiones y zonas de disponibilidad de

Compruebe si la recuperación a un momento dado está habilitada para las tablas de Amazon DynamoDB.

La recuperación a un momento dado protege a las tablas de DynamoDB de operaciones accidentales de escritura o eliminación. Al habilitar la recuperación a un momento dado, ya no tiene que preocuparse por crear, mantener o planificar copias de seguridad bajo demanda. La recuperación a un momento dado restaura la tabla a cualquier momento de los últimos 35 días. DynamoDB mantiene backups acumulativos de la tabla.

Para obtener más información, consulte Recuperación a un momento dado en DynamoDB.

c18d2gz138

AWS Config Managed Rule: dynamodb-pitr-enabled

Compruebe si la recuperación a un momento dado está habilitada para las tablas de Amazon DynamoDB.

Active la recuperación a un momento dado en Amazon DynamoDB para realizar copias de seguridad continuas de los datos de tablas.

Para obtener más información, consulte Recuperación a un momento dado: cómo funciona.

Recuperación a un momento dado en DynamoDB

Compruebe si las tablas de Amazon DynamoDB forman parte de un plan de AWS Backup.

AWS Backup proporciona copias de seguridad incrementales para las tablas de DynamoDB que capturan los cambios realizados desde la última copia de seguridad. La inclusión de tablas de DynamoDB en un plan de AWS Backup protege los datos de situaciones de pérdida accidental de datos y automatiza el proceso de copia de seguridad. Esto proporciona una solución de respaldo confiable y escalable para las tablas de DynamoDB, lo que garantiza que los datos valiosos estén protegidos y disponibles para su recuperación según sea necesario.

Para obtener más información, consulte Creación de copia de seguridad de las tablas de DynamoDB conAWS Backup

c18d2gz107

AWS Config Managed Rule: dynamodb-in-backup-plan

Amarillo: la tabla Amazon DynamoDB no está incluida en el plan de AWS Backup.

Asegúrese de que las tablas de Amazon DynamoDB formen parte de un plan de AWS Backup.

Copias de seguridad programadas

Qué es AWS Backup?

Creación de planes de copia de seguridad mediante la consola de AWS Backup

Compruebe si los volúmenes de Amazon EBS están presentes en los planes de copia de seguridad de AWS Backup.

Incluya los volúmenes de Amazon EBS en un plan de AWS Backup para automatizar las copias de seguridad periódicas de los datos almacenados en esos volúmenes. Esto evita la pérdida de datos, simplifica la gestión de datos y posibilita la restauración cuando sea necesario. Un plan de copia de seguridad garantiza la seguridad de los datos y garantiza que se cumplan los objetivos de tiempo y punto de recuperación (RTO/RPO) de las aplicaciones y servicios.

Para obtener más información, consulte Creación de un plan de copia de seguridad

c18d2gz106

AWS Config Managed Rule: ebs-in-backup-plan

Amarillo: el volumen de Amazon EBS no está incluido en el plan de AWS Backup.

Asegúrese de que los volúmenes de Amazon EBS formen parte de un plan de AWS Backup.

Creación de planes de copia de seguridad mediante la consola de AWS Backup

Qué es AWS Backup?

Primeros pasos 3: creación de una copia de seguridad programada

Verifica la antigüedad de las instantáneas de los volúmenes de Amazon EBS (disponibles o en uso). Pueden producirse errores aunque los volúmenes de Amazon EBS estén replicados. Las instantáneas se conservan en Amazon S3 para obtener un almacenamiento duradero y una recuperación a un momento dado.

H7IgTzjTYb

Cree instantáneas semanales o mensuales de los volúmenes. Para obtener más información, consulte Creación de una instantánea de Amazon EBS.

Para automatizar la creación de instantáneas de EBS, puede utilizar AWS Backup o Amazon Data Lifecycle Manager.

Amazon Elastic Block Store (Amazon EBS)

Instantáneas de Amazon EBS

AWS Backup

Administrador de vida útil de datos de Amazon

Compruebe si los grupos de Amazon EC2 Auto Scaling asociados a un equilibrador de carga clásico utilizan las comprobaciones de estado del Elastic Load Balancing. Las comprobaciones de estado predeterminadas de un grupo de escalado automático son solo comprobaciones de estado de Amazon EC2. Si una instancia no supera estas comprobaciones de estado, se marca como en mal estado y se termina. En ese caso, Amazon EC2 Auto Scaling lanza una instancia de remplazo. La comprobación de estado del Elastic Load Balancing monitorea las instancias de Amazon EC2 de forma periódica para detectar y terminar las instancias en mal estado y, a continuación, lanzar nuevas instancias.

Para obtener más información, consulte Agregar comprobaciones de estado del equilibrador de carga elástico.

c18d2gz104

AWS Config Managed Rule: autoscaling-group-elb-healthcheck-required

Amarillo: las comprobaciones de estado de Elastic Load Balancing del grupo Amazon EC2 Auto Scaling asociado al equilibrador de carga clásico no están habilitadas.

Asegúrese de que los grupos de escalado automático asociados a un equilibrador de carga clásico utilizan las comprobaciones de estado de Elastic Load Balancing.

Las comprobaciones de estado de Elastic Load Balancing indican si el equilibrador de carga está en buen estado y disponible para gestionar las solicitudes. Esto garantiza una alta disponibilidad de la aplicación.

Para más información, consulte Adición de comprobaciones de estado de Elastic Load Balancing a un grupo de escalado automático

Compruebe si la característica de reequilibrio de capacidad está habilitada para los grupos de Amazon EC2 Auto Scaling que utilizan varios tipos de instancia.

Configurar a los grupos de Amazon EC2 Auto Scaling con la característica de reequilibrio de capacidad garantiza que las instancias de Amazon EC2 se distribuyan uniformemente en las zonas de disponibilidad, independientemente de los tipos de instancia y de las opciones de compra. Utiliza una política de seguimiento de objetivos asociada al grupo, como el uso de la CPU o el tráfico de red.

Para obtener más información, consulte Grupos de escalado automático con varios tipos de instancia y opciones de compra.

AWS Config c18d2gz103

Regla administrada AWS Config : autoscaling-capacity-rebalancing

Amarillo: la característica de reequilibrio de capacidad del grupo de Amazon EC2 Auto Scaling no está habilitada.

Asegúrese de que la característica de reequilibrio de capacidad esté habilitada para los grupos de Amazon EC2 Auto Scaling que utilizan varios tipos de instancia.

Para obtener más información, consulte Habilitar reequilibrio de capacidad (consola)

Compruebe si el grupo de Amazon EC2 Auto Scaling se implementa en varias zonas de disponibilidad o en el número mínimo de zonas de disponibilidad especificado. Implemente instancias de Amazon EC2 en varias zonas de disponibilidad para garantizar una alta disponibilidad.

Puede ajustar el número mínimo de zonas de disponibilidad mediante el parámetro minAvailibilityZones de las reglas AWS Config.

Para obtener más información, consulte Grupos de escalado automático con varios tipos de instancia y opciones de compra.

c18d2gz101

AWS Config Managed Rule: autoscaling-multiple-az

Rojo: el grupo de Amazon EC2 Auto Scaling no tiene configuradas varias zonas de disponibilidad o no cumple con el número mínimo de zonas de disponibilidad especificado.

Asegúrese de que el grupo de Amazon EC2 Auto Scaling esté configurado con varias zonas de disponibilidad. Implemente instancias de Amazon EC2 en varias zonas de disponibilidad para garantizar una alta disponibilidad.

Creación de un grupo de escalado automático mediante una plantilla de lanzamiento

Crear un grupo de escalado automático mediante una configuración de lanzamiento

Verifica la distribución de instancias de Amazon Elastic Compute Cloud (Amazon EC2) entre las zonas de disponibilidad de una región.

Las zonas de disponibilidad son ubicaciones diferentes aisladas de los errores que se producen en otras zonas de disponibilidad. Proporcionan conectividad de red económica y de baja latencia entre las zonas de disponibilidad de la misma región. Al lanzar instancias en múltiples zonas de disponibilidad de una misma región, puede proteger sus aplicaciones frente a los puntos de error únicos.

wuy7G1zxql

Equilibre las instancias de Amazon EC2 de manera uniforme en varias zonas de disponibilidad. Para ello, lance instancias manualmente o utilice Auto Scaling para hacerlo automáticamente. Para obtener más información, consulte Lanzar la instancia y Usar un equilibrador de carga con un grupo de escalado automático.

Compruebe si la supervisión detallada está habilitada para las instancias de Amazon EC2.

La supervisión detallada de Amazon EC2 proporciona métricas más frecuentes, publicadas a intervalos de un minuto, en lugar de los intervalos de cinco minutos utilizados en la supervisión básica de Amazon EC2. Habilitar la supervisión detallada de Amazon EC2 le permite administrar mejor los recursos de Amazon EC2, de modo que pueda encontrar tendencias y actuar con mayor rapidez.

Para obtener más información, consulte Supervisión básica y detallada.

AWS Config c18d2gz144

Regla administrada AWS Config : ec2-instance-detailed-monitoring-enabled

Amarillo: la supervisión detallada no está habilitada para las instancias de Amazon EC2.

Active la supervisión detallada de las instancias de Amazon EC2 para aumentar la frecuencia con la que se publican los datos de métricas de Amazon EC2 en Amazon CloudWatch (de intervalos de 5 minutos a intervalos de 1 minuto).

Verifica las definiciones de tareas de Amazon ECS configuradas con el controlador de registro de AWSLogs en modo de bloqueo. Un controlador configurado en el modo de bloqueo pone en riesgo la disponibilidad del sistema.

Esta verificación no tiene en cuenta los ajustes de configuración del controlador a nivel de cuenta.

c1dvkm4z6b

Amarillo: el modo de parámetro de configuración de registro del controlador awslogs está configurado en modo de bloqueo.

Verde: la definición de tareas de Amazon ECS no utiliza el controlador awslogs o el controlador awslogs está configurado en modo sin bloqueo.

Para mitigar el riesgo de disponibilidad, considere cambiar la configuración del controlador de AWSLogs de la definición de tareas de bloqueo a sin bloqueo. En el modo sin bloqueo, tendrá que establecer un valor para el parámetro max-buffer-size. Para obtener más información y pautas sobre la configuración de los parámetros, consulte Evitar la pérdida de registros con el modo sin bloqueo en el controlador de registros del contenedor AWSLogs.

Uso del controlador de registro de AWSLogs

Elegir las opciones de registro de contenedores para evitar la contrapresión

Evitar la pérdida de registros con el modo sin bloqueo en el controlador de registros del contenedor AWSLogs

Compruebe que la configuración del servicio utiliza una única zona de disponibilidad (AZ).

Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Esto permite una conectividad de red económica y de baja latencia entre zonas de disponibilidad dentro de una misma Región de AWS. Al lanzar instancias en múltiples zonas de disponibilidad de una misma región, puede proteger a sus aplicaciones de un único punto de error.

c1z7dfpz01

Cree al menos una tarea más para el servicio en una zona de disponibilidad diferente.

Capacidad y disponibilidad de Amazon ECS

Compruebe que su servicio de Amazon ECS utilice la estrategia de ubicación por distribución en función de la zona de disponibilidad (AZ). Esta estrategia distribuye las tareas en las zonas de disponibilidad de una misma Región de AWS y protege a las aplicaciones de un único punto de error.

Para las tareas que se ejecutan como parte de un servicio de Amazon ECS, la distribución es la estrategia de ubicación de tareas por defecto.

Esta comprobación también verifica que la distribución sea la primera o la única estrategia de la lista de estrategias de ubicación habilitadas.

c1z7dfpz02

Utilice la estrategia de distribución de tareas para distribuir las tareas entre varias zonas de disponibilidad. Compruebe que la distribución por zonas de disponibilidad sea la primera estrategia para todas las estrategias de ubicación de tareas habilitadas o la única estrategia utilizada. Si opta por administrar la ubicación de las zonas de disponibilidad, puede utilizar un servicio duplicado en otra zona de disponibilidad para mitigar estos riesgos.

Estrategias de ubicación de tareas de Amazon ECS

Compruebe si los puntos de montaje existen en varias zonas de disponibilidad para un sistema de archivos de Amazon EFS.

Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Al crear puntos de montaje en varias zonas de disponibilidad separadas geográficamente dentro de una región de AWS, los sistemas de archivos de Amazon EFS pueden alcanzar los niveles más altos de disponibilidad y de durabilidad.

c1dfprch01

Para los sistemas de archivos EFS que utilizan clases de almacenamiento de una zona, le recomendamos que cree nuevos sistemas de archivos que utilicen clases de almacenamiento estándar mediante la restauración de una copia de seguridad en un nuevo sistema de archivos. Luego, cree puntos de montaje en varias zonas de disponibilidad.

Para los sistemas de archivos EFS que utilizan clases de almacenamiento estándar, se recomienda crear puntos de montaje en varias zonas de disponibilidad.

Compruebe si los sistemas de archivos de Amazon EFS están incluidos en los planes de copia de seguridad con AWS Backup.

AWS Backup es un servicio de copia de seguridad unificado diseñado para simplificar la creación, migración, restauración y eliminación de copias de seguridad, al tiempo que proporciona informes y auditorías mejorados.

Para obtener más información, consulte Backing up your Amazon EFS file systems (Copias de seguridad de los sistemas de archivos Amazon EFS).

c18d2gz117

AWS Config Managed Rule: EFS_IN_BACKUP_PLAN

Rojo: los sistemas de archivos Amazon EFS no están incluidos en el plan de AWS Backup.

Asegúrese de que los sistemas de archivos de Amazon EFS estén incluidos en el plan de AWS Backup para protegerlos contra la pérdida accidental o la corrupción de los datos.

Copia de seguridad de los sistemas de archivos de Amazon EFS

Copia de seguridad y restauración de Amazon EFS mediante AWS Backup.

Verifica los clústeres que se implementan en una sola zona de disponibilidad (AZ). Esta comprobación avisa si Multi-AZ está inactiva en un clúster.

Las implementaciones en varias AZ mejoran la disponibilidad del clúster mediante la replicación asincrónica en réplicas de solo lectura en una AZ diferente. Cuando se produce un mantenimiento planificado del clúster o un nodo principal no está disponible, ElastiCache promociona automáticamente una réplica al nodo principal. Esta conmutación por error permite reanudar las operaciones de escritura del clúster y no requiere la intervención de un administrador.

ECHdfsQ402

Cree al menos una réplica por partición, en una AZ diferente a la principal.

Para obtener más información, consulte Minimizing downtime in ElastiCache (Redis OSS) with Multi-AZ.

Verifica si los clústeres de Amazon ElastiCache (Redis OSS) tienen activada la copia de seguridad automática y si el período de retención de instantáneas supera el límite especificado o predeterminado de 15 días. Cuando se habilitan las copias de seguridad automáticas, ElastiCache crea una copia de seguridad del clúster una vez al día.

Puede especificar el límite de retención de instantáneas que desee mediante los parámetros snapshotRetentionPeriod de las reglas AWS Config.

Para obtener más información, consulte Copia de seguridad y restauración de ElastiCache (Redis OSS).

c18d2gz178

AWS Config Managed Rule: elasticache-redis-cluster-automatic-backup-check

Rojo: los clústeres de Amazon ElastiCache (Redis OSS) no tienen activada la copia de seguridad automática o el período de retención de instantáneas está por debajo del límite.

Asegúrese de que los clústeres de Amazon ElastiCache (Redis OSS) tengan la copia de seguridad automática activada y que el período de retención de instantáneas supere el límite especificado o predeterminado de 15 días. Las copias de seguridad automáticas pueden ayudarle a protegerse frente a la pérdida de datos. En caso de error, puede crear un nuevo clúster y restaurar los datos de la copia de seguridad más reciente.

Para obtener más información, consulte Copia de seguridad y restauración de ElastiCache (Redis OSS).

Para obtener más información, consulte Programar copias de seguridad automáticas.

Verifica los clústeres MemoryDB que se implementan en una sola zona de disponibilidad (AZ). Esta comprobación avisa si Multi-AZ está inactiva en un clúster.

Las implementaciones en varias AZ mejoran la disponibilidad del clúster MemoryDB mediante la replicación asincrónica en réplicas de solo lectura en una AZ diferente. Cuando se lleva a cabo el mantenimiento planificado del clúster o si un nodo principal no está disponible, MemoryDB promueve automáticamente una réplica al nodo principal. Esta conmutación por error permite reanudar las operaciones de escritura del clúster y no requiere la intervención de un administrador.

MDBdfsQ401

Cree al menos una réplica por partición, en una AZ diferente a la principal.

Para obtener más información, consulte Minimización del tiempo de inactividad en MemoryDB con Multi-AZ.

Compruebe que los agentes de un clúster de Managed Streaming for Kafka (MSK) no tengan asignadas más particiones de las recomendadas.

Cmsvnj8vf1

Siga las prácticas recomendadas por MSK para escalar el clúster de MSK o eliminar las particiones no utilizadas.

Verifica el número de zonas de disponibilidad (AZ) del clúster aprovisionado de Amazon MSK. El clúster Amazon MSK está formado por varios agentes que trabajan juntos y distribuyen los datos y la carga. La producción podría interrumpirse durante el mantenimiento o por problemas de intermediación en un clúster 2-AZ.

90046ff5b5

Para aumentar la disponibilidad del clúster, puede crear otro clúster en una configuración de 3 zonas de disponibilidad. A continuación, se migra el clúster existente al nuevo clúster que se creó. Puede utilizar la replicación de Amazon MSK para esta migración.

Alta disponibilidad de Amazon MSK

Migración a Amazon MSK

Compruebe si los dominios de Amazon OpenSearch Service están configurados con al menos tres nodos de datos y si ZoneAwarenessEnabled está activado. Con ZoneAwarenessEnabled activado, Amazon OpenSearch Service garantiza que cada partición principal y su réplica correspondiente se asignen en distintas zonas de disponibilidad.

Para más información, consulte Configuración de un dominio multi-AZ en Amazon OpenSearch Service.

c18d2gz183

AWS Config Managed Rule: opensearch-data-node-fault-tolerance

Dominios de Amazon OpenSearch Service con menos de tres nodos de datos

Asegúrese de que los dominios de Amazon OpenSearch Service estén configurados con un mínimo de tres nodos de datos. Configure un dominio Multi-AZ para mejorar la disponibilidad del clúster de Amazon OpenSearch Service mediante la asignación de nodos y la replicación de los datos en tres zonas de disponibilidad de la misma región. Esta acción previene la pérdida de datos y minimiza el tiempo de inactividad en caso de error en el nodo o en el centro de datos (zona de disponibilidad).

Para obtener más información, consulte Aumentar la disponibilidad de Amazon OpenSearch Service mediante la implementación en tres zonas de disponibilidad.

Verifica si hay copias de seguridad automatizadas de instancias de bases de datos de Amazon RDS.

De forma predeterminada, las copias de seguridad están habilitadas con un periodo de retención de un día. Las copias de seguridad reducen el riesgo de pérdidas de datos inesperadas y permiten la recuperación a un momento dado.

opQPADkZvH

Rojo: el periodo de retención de copia de seguridad en una instancia de base de datos es de 0 días.

Establezca el periodo de retención para la copia de seguridad automatizada de la instancia de base de datos en 1 a 35 días, lo que sea adecuado según los requisitos de la aplicación. Consulte Trabajo con copias de seguridad automatizadas.

Introducción a Amazon RDS

Verifica si una instancia de Amazon RDS está habilitada con copias de seguridad automatizadas mediante Amazon RDS o con copias de seguridad continuas de AWS Backup. Las copias de seguridad continuas reducen el riesgo de pérdidas de datos inesperadas y permiten la recuperación a un momento dado.

44fde09ab5

Asegúrese de que las instancias de Amazon RDS tengan configurada la copia de seguridad automática, ya sea mediante la configuración de un período de retención superior a 0 en Amazon RDS o la creación de un plan de copia de seguridad continua con AWS Backup.

Agregue al menos otra instancia de base de datos más al clúster de base de datos para mejorar la disponibilidad y el rendimiento.

c1qf5bt011

Amarillo: los clústeres de bases de datos solo tienen una instancia de base de datos.

Agregue una instancia de base de datos de lectura al clúster de base de datos.

En la configuración actual, se utiliza una instancia de base de datos para las operaciones de lectura y escritura. Puede añadir otra instancia de base de datos para permitir la redistribución de la lectura y una opción de conmutación por error.

Para obtener más información, consulte Alta disponibilidad para Amazon Aurora.

Actualmente, los clústeres de base de datos se encuentran en una sola zona de disponibilidad. Utilice varias zonas de disponibilidad para mejorar la disponibilidad.

c1qf5bt007

Amarillo: los clústeres de base de datos tienen todas las instancias en la misma zona de disponibilidad.

Agregue las instancias de base de datos a varias zonas de disponibilidad de su clúster de base de datos.

Se recomienda que agregue las instancias de base de datos a varias zonas de disponibilidad en un clúster de base de datos. Agregar las instancias de base de datos a varias zonas de disponibilidad mejora la disponibilidad de su clúster de base de datos.

Para obtener más información, consulte Alta disponibilidad para Amazon Aurora.

El clúster de base de datos dispone de todas las instancias de lector en la misma zona de disponibilidad. Se recomienda distribuir las instancias de lector entre varias zonas de disponibilidad en su clúster de base de datos.

Esta distribución aumenta la disponibilidad de la base de datos y mejora el tiempo de respuesta al reducir la latencia de la red entre los clientes y la base de datos.

c1qf5bt018

Rojo: los clústeres de base de datos disponen de las instancias de lector en la misma zona de disponibilidad.

Distribuya las instancias de lector entre varias zonas de disponibilidad.

Las zonas de disponibilidad (AZ) representan ubicaciones distintas entre sí para proporcionar aislamiento en caso de interrupciones en cada región de AWS. Es recomendable que distribuya la instancia principal y las instancias de lectura del clúster de base de datos entre varias AZ para mejorar la disponibilidad del clúster de base de datos. Puede crear un clúster multi-AZ mediante la Consola de administración de AWS, la AWS CLI o la API de Amazon RDS al crear el clúster. También puede modificar el clúster de Aurora ya existente y convertirlo en un clúster multi-AZ agregando una nueva instancia de lector y especificando una AZ distinta.

Para obtener más información, consulte Alta disponibilidad para Amazon Aurora.

Compruebe si las instancias de base de datos de Amazon RDS tienen habilitada la supervisión mejorada.

La supervisión de Amazon RDS proporciona métricas en tiempo real para el sistema operativo (SO) en el que se ejecuta la instancia de base de datos. Puede ver todas las métricas del sistema y la información de procesos de las instancias de base de datos de RDS en la consola de Amazon RDS. También puede personalizar el panel de control. Con la supervisión mejorada, puede ver el estado operativo de la instancia de Amazon RDS prácticamente en tiempo real, lo que le permite responder a los problemas operativos con mayor rapidez.

Puede especificar el intervalo de supervisión deseado mediante el parámetro monitoringInterval de las reglas AWS Config.

Para obtener más información, consulte Descripción general de la supervisión mejorada y las Métricas del sistema operativo en la supervisión mejorada.

c18d2gz158

AWS Config Managed Rule: rds-enhanced-monitoring-enabled

Amarillo: las instancias de base de datos de Amazon RDS no tienen habilitada la supervisión mejorada o no están configuradas con el intervalo deseado.

Habilite la supervisión mejorada de las instancias de base de datos de Amazon RDS para mejorar la visibilidad del estado operativo de las mismas.

Para obtener más información sobre la supervisión mejorada de Amazon RDS, consulte Supervisión de las métricas del SO con la supervisión mejorada.

Métricas del sistema operativo en Supervisión mejorada

El escalado automático de Amazon RDS no está activado en su instancia de base de datos. El escalado automático del almacenamiento de RDS escala automáticamente la capacidad de almacenamiento cuando hay un aumento del tamaño de la carga de trabajo de la base de datos, sin tiempo de inactividad.

c1qf5bt013

Rojo: las instancias de base de datos no tienen habilitado el escalado automático.

Active el escalado automático del almacenamiento de Amazon RDS con un umbral de almacenamiento máximo especificado

El escalado automático del almacenamiento de Amazon RDS escala automáticamente la capacidad de almacenamiento cuando aumenta el tamaño de la carga de trabajo de la base de datos, sin tiempo de inactividad. El escalado automático del almacenamiento monitorea el uso del almacenamiento y escala automáticamente la capacidad cuando el uso se acerca a la capacidad de almacenamiento aprovisionada. También se puede establecer un límite máximo en el almacenamiento que Amazon RDS puede asignar en la instancia de base de datos. No existe un costo adicional por el escalado automático de almacenamiento. Solo tiene que pagar por los recursos de Amazon RDS que se asignan a la instancia de base de datos. Le recomendamos que active el escalado automático de Amazon RDS.

Para obtener más información, consulte Administrar la capacidad automáticamente con el escalado automático de almacenamiento de Amazon RDS.

Recomendamos usar la implementación multi-AZ. Las implementaciones multi-AZ mejoran la disponibilidad y la durabilidad de la instancia de base de datos.

c1qf5bt019

Amarillo: instancias de base de datos que no utilizan la implementación multi-AZ

Configure multi-AZ para las instancias de base de datos afectadas.

En una implementación de Amazon RDS Multi-AZ, Amazon RDS crea automáticamente una instancia de base de datos principal y replica sincrónicamente los datos en una instancia en espera en una zona de disponibilidad diferente. Cuando detecta un error, Amazon RDS conmuta por error automáticamente a una instancia en espera sin intervención manual.

Para obtener más información, consulte Precios.

Compruebe si la métrica DiskQueueDepth de CloudWatch muestra que el número de escrituras en cola en el almacenamiento de la base de datos de la instancia RDS ha aumentado hasta un nivel en el que debería sugerirse una investigación operativa.

Cmsvnj8db3

Considere la posibilidad de pasarse a instancias y volúmenes de almacenamiento que admitan las características de lectura y escritura.

Verifica si la métrica FreeStorageSpace CloudWatch para una instancia de base de datos de RDS ha disminuido por debajo de un límite razonable desde el punto de vista operativo.

Cmsvnj8db2

Escale el espacio de almacenamiento de la instancia de base de datos de RDS que se está quedando sin almacenamiento gratis mediante la consola de administración de Amazon RDS, la API de Amazon RDS o la Interfaz de la línea de comandos de AWS.

Cuando log_output se establece en TABLE, se utiliza más espacio de almacenamiento que cuando log_output se establece en FILE. Se recomienda que establezca el parámetro en FILE para evitar que se alcance el límite de tamaño de almacenamiento.

c1qf5bt023

Amarillo: los grupos de parámetros de base de datos tienen el parámetro log_output establecido en TABLE.

Establezca el valor del parámetro log_output en FILE en el grupo de parámetros de su base de datos.

Para obtener más información, consulte Archivos de registro de la base de datos de MySQL.

Su instancia de base de datos encuentra un problema conocido: una tabla creada en una versión de MySQL anterior a la 8.0.26 con el valor row_format establecido en COMPACT o REDUNDANT será inaccesible e irrecuperable si el índice supera los 767 bytes.

Se recomienda establecer el valor del parámetro innodb_default_row_format en DYNAMIC.

c1qf5bt036

Rojo: los grupos de parámetros de base de datos tienen una configuración no segura para el parámetro innodb_default_row_format.

Establezca el parámetro innodb_default_row_format en DYNAMIC.

Cuando se crea una tabla con una versión de MySQL anterior a 8.0.26 con row_format establecido en COMPACT o REDUNDANT, no se exige la creación de índices con un prefijo clave inferior a 767 bytes. Una vez reiniciada la base de datos, no se podrá obtener acceso ni recuperar estas tablas.

Para obtener más información, consulte Cambios enMySQL 8.0.26 (2021-07-20, disponibilidad general)n, en el sitio web de documentación de MySQL.

El valor del parámetro innodb_flush_log_at_trx_commit de la instancia de base de datos no es un valor seguro. Este parámetro controla la persistencia de las operaciones de confirmación en el disco.

Se recomienda que establezca el parámetro innodb_flush_log_log_at_trx_commit en 1.

c1qf5bt030

Amarillo: los grupos de parámetros de base de datos tienen innodb_flush_log_log_at_trx_commit establecido en un valor distinto de 1.

Establezca el valor del parámetro innodb_flush_log_log_at_trx_commit en 1

La transacción de la base de datos es duradera cuando el búfer de registro se guarda en el almacenamiento duradero. Sin embargo, guardar en el disco afecta al rendimiento. En función del valor establecido en el parámetro innodb_flush_log_at_trx_commit, el comportamiento de cómo se escriben y guardan los registros en el disco puede variar.

Para obtener más información, consulte Best practices for configuring parameters for Amazon RDS for MySQL, part 1: Parameters related to performance.

La instancia de base de datos tiene un valor bajo para el número máximo de conexiones simultáneas para cada cuenta de base de datos.

Se recomienda aumentar el parámetro max_user_connections a un número superior a 5.

c1qf5bt034

Amarillo: los grupos de parámetros de base de datos tienen max_user_connections mal configurado.

Aumente el valor del parámetro max_user_connections a un número superior a 5.

La configuración max_user_connections controla el número máximo de conexiones simultáneas permitidas para una cuenta de usuario de MySQL. Si se alcanza este límite de conexión, se producen errores en las operaciones de administración de instancias de Amazon RDS, como las copias de seguridad, la aplicación de parches y los cambios en los parámetros.

Para obtener más información, consulte Configuración de los límites de recursos de la cuenta en el sitio web de documentación de MySQL.

Verifica las instancias de base de datos que están implementadas en una implementan en una sola zona de disponibilidad (AZ).

Las implementaciones Multi-AZ mejoran la disponibilidad de la base de datos mediante la replicación sincrónica en una instancia en espera de otra zona de disponibilidad distinta. Durante el mantenimiento planificado de la base de datos o en caso de error en una instancia de base de datos o zona de disponibilidad, Amazon RDS conmuta por error automáticamente a la instancia en espera. Dicha conmutación por error permite reanudar rápidamente las operaciones de base de datos sin intervención administrativa. Dado que Amazon RDS no admite la implementación Multi-AZ para Microsoft SQL Server, esta verificación no examina las instancias de SQL Server.

f2iK5R6Dep

Amarillo: una instancia de base de datos se implementa en una única zona de disponibilidad.

Si la aplicación requiere alta disponibilidad, modifique la instancia de base de datos para habilitar la implementación Multi-AZ. Consulte Alta disponibilidad (Multi-AZ).

Regiones y zonas de disponibilidad de

Compruebe si las instancias de base de datos de Amazon RDS están incluidas en un plan de copia de seguridad en AWS Backup.

AWS Backup es un servicio de copia de seguridad completamente administrado que facilita la centralización y la automatización de las copias de seguridad de datos en servicios de AWS.

Incluir la instancia de base de datos de Amazon RDS en un plan de copia de seguridad es importante para hacer cumplir las normativas, para la recuperación de desastres, para las políticas empresariales de protección de datos y para los objetivos de continuidad empresarial.

Para obtener más información, consulte ¿Qué es AWS Backup?.

c18d2gz159

AWS Config Managed Rule: rds-in-backup-plan

Amarillo: una instancia de base de datos de Amazon RDS no está incluida en un plan de copia de seguridad con AWS Backup.

Incluya las instancias de base de datos de Amazon RDS en un plan de copia de seguridad con AWS Backup.

Para obtener información adicional, consulte Copia de seguridad y restauración de Amazon RDS mediante AWS Backup.

Asignación de recursos a un plan de copia de seguridad

Su instancia de base de datos tiene la réplica de lectura en modo de escritura, lo que permite actualizaciones de los clientes.

Se recomienda configurar el parámetro read_only en TrueIfReplica para que las réplicas de lectura no estén en modo de escritura.

c1qf5bt035

Amarillo: los grupos de parámetros de base de datos activan el modo de escritura permitida para las réplicas de lectura.

Establezca el valor del parámetro read_only en TrueIFReplica.

El parámetro read_only controla el permiso de escritura de los clientes en una instancia de base de datos. El valor predeterminado para este parámetro es TrueIfReplica. Para una instancia de réplica, TrueIFReplica establece el valor read_only en ON (1) y desactiva cualquier actividad de escritura de los clientes. Para una instancia maestro/de escritura, TrueIFReplica establece el valor en OFF (0) y habilita la actividad de escritura de los clientes de la instancia. Cuando la réplica de lectura se abre en modo de escritura permitida, los datos almacenados en esta instancia pueden diferir de los de la instancia principal, lo que provoca errores de replicación.

Para obtener más información, consulte “Best practices for configuring parameters for Amazon RDS for MySQL, part 2: Parameters related to replication” en el sitio web de documentación de MySQL.

Las copias de seguridad automatizadas están deshabilitadas en los recursos de la base de datos. Las copias de seguridad automatizadas permiten la recuperación a un momento dado de su instancia de base de datos.

c1qf5bt001

Rojo: los recursos de Amazon RDS no tienen activadas las copias de seguridad automáticas

Active las copias de seguridad automatizadas con un período de retención de hasta 14 días.

Las copias de seguridad automatizadas permiten la recuperación a un momento dado de su instancia de base de datos. Se recomienda activar las copias de seguridad automatizadas. Al activar las copias de seguridad automatizadas para una instancia de base de datos, Amazon RDS realiza de manera automática una copia de seguridad completa de los datos a diario durante el período de copia de seguridad que prefiera. La copia de seguridad captura los registros de transacciones cuando hay actualizaciones en su instancia de base de datos. Obtiene almacenamiento de copia de seguridad hasta el tamaño de almacenamiento de su instancia de base de datos sin costo adicional.

Para obtener más información, consulte los siguientes recursos:

La sincronización del registro binario con el disco no se aplica antes de que la confirmación de las transacciones se reconozca en la instancia de base de datos.

Se recomienda que establezca el valor del parámetro sync_binlog en 1.

c1qf5bt031

Amarillo: los grupos de parámetros de base de datos tienen el registro binario sincrónico desactivado.

Establezca el parámetro sync_binlog en 1.

El parámetro sync_binlog controla la forma en que MySQL envía el registro binario al disco. Cuando el valor de este parámetro se establece en 1, se activa la sincronización del registro binario con el disco antes de que se confirmen las transacciones. Cuando el valor de este parámetro se establece en 0, se desactiva la sincronización del registro binario con el disco. Por lo general, el servidor MySQL depende del sistema operativo para enviar el registro binario al disco con regularidad de forma similar a otros archivos. El valor del parámetro sync_binlog establecido en 0 puede mejorar el rendimiento. Sin embargo, durante un corte de energía o un fallo del sistema operativo, el servidor pierde todas las transacciones confirmadas que no estaban sincronizadas con los registros binarios.

Para obtener más información, consulte “Best practices for configuring parameters for Amazon RDS for MySQL, part 2: Parameters related to replication”.

Compruebe si los clústeres de base de datos de Amazon RDS tienen habilitada la replicación Multi-AZ.

Un clúster de base de datos Multi-AZ tiene una instancia de base de datos del escritor y dos instancias de base de datos del lector en tres zonas de disponibilidad diferentes. Los clústeres de base de datos Multi-AZ proporcionan alta disponibilidad, mayor capacidad para cargas de trabajo de lectura y menor latencia en comparación con las implementaciones Multi-AZ.

Para obtener más información, consulte Crear un clúster de base de datos Multi-AZ.

c18d2gz161

AWS Config Managed Rule: rds-cluster-multi-az-enabled

Amarillo: el clúster de base de datos de Amazon RDS no tiene configurada la replicación Multi-AZ

Active la implementación del clúster de base de datos Multi-AZ al crear un clúster de base de datos de Amazon RDS.

Para obtener más información, consulte Crear un clúster de base de datos Multi-AZ.

Implementaciones de clústeres de base de datos Multi-AZ

Compruebe si las instancias de base de datos de Amazon RDS tienen una réplica de reserva Multi-AZ configurada.

Amazon RDS Multi-AZ proporciona alta disponibilidad y durabilidad para las instancias de base de datos al replicar los datos en una réplica de reserva dentro de una zona de disponibilidad diferente. Esto proporciona una conmutación por error automática, mejora el rendimiento y mejora la durabilidad de los datos. En una implementación de instancia de base de datos Multi-AZ, Amazon RDS aprovisiona y mantiene automáticamente una réplica síncrona en espera dentro de una zona de disponibilidad diferente. La instancia de base de datos principal se replica de forma síncrona en distintas zonas de disponibilidad en una réplica en espera para proporcionar redundancia de datos y minimizar los picos de latencia durante las copias de seguridad del sistema. La ejecución de una instancia de base de datos con alta disponibilidad mejora la disponibilidad durante el mantenimiento planificado del sistema. También ayuda a proteger las bases de datos contra los errores de las instancias de base de datos y las interrupciones de las zonas de disponibilidad.

Para obtener más información, consulte Implementaciones de instancias de base de datos Multi-AZ.

c18d2gz156

AWS Config Managed Rule: rds-multi-az-support

Amarillo: el clúster de base de datos de Amazon RDS no tiene configurada la replicación Multi-AZ

Active la implementación del clúster de base de datos Multi-AZ al crear un clúster de base de datos de Amazon RDS.

No es posible ocultar esta comprobación en la consola Trusted Advisor.

Implementaciones de instancias de base de datos Multi-AZ

Verifica si la métrica ReplicaLag CloudWatch para una instancia de base de datos de RDS ha aumentado por encima de un umbral razonable desde el punto de vista operativo durante el último día.

La métrica ReplicaLag mide el número de segundos que una réplica de lectura está por detrás de la instancia principal. El retraso en la replicación se produce cuando las actualizaciones asíncronas realizadas en la réplica de lectura no pueden seguir el ritmo de las actualizaciones que se producen en la instancia de base de datos principal. En caso de que se produzca un error en la instancia principal, es posible que falten datos en la réplica de lectura si el ReplicaLag supera un umbral razonable desde el punto de vista operativo.

Cmsvnj8db1

Existen varias causas posibles por las que ReplicaLag aumenta más allá de los niveles operacionalmente seguros. Por ejemplo, puede deberse a instancias de réplica lanzadas o reemplazadas recientemente a partir de copias de seguridad antiguas y a que estas réplicas requieran un tiempo considerable para “ponerse al día” con la instancia de base de datos principal y las transacciones en vivo. El ReplicaLag puede disminuir con el tiempo a medida que se vaya poniendo al día. También puede que la velocidad de transacción que se puede lograr en la instancia de base de datos principal sea superior a la que puede igualar el proceso de replicación o la infraestructura de réplica. El ReplicaLag puede aumentar con el tiempo, ya que la replicación no logra mantener el ritmo del rendimiento de la base de datos principal. Por último, la carga de trabajo puede estar sobrecargada a lo largo de diferentes períodos del día, mes, etc., lo que ocasiona que ReplicaLag se retrase ocasionalmente. Tu equipo debería investigar cuál podría ser la causa raíz que ha contribuido al alto nivel de ReplicaLag de la base de datos y, de ser posible, cambiar el tipo de instancia de la base de datos u otras características de la carga de trabajo para asegurar que la continuidad de los datos en la réplica coincida con tus requisitos.

Cuando el parámetro synchronous_commit está desactivado, es posible que se pierdan datos si la base de datos se bloquea. La durabilidad de la base de datos está en riesgo.

Le recomendamos que active el parámetro synchronous_commit.

c1qf5bt026

Rojo: los grupos de parámetros de base de datos tienen el parámetro synchronous_commit desactivado.

Active el parámetro synchronous_commit en sus grupos de parámetros de la base de datos.

El parámetro synchronous_commit define la finalización del proceso de registro anticipado (WAL) antes de que el servidor de base de datos envíe una notificación correcta al cliente. Esta confirmación se denomina una confirmación asíncrona porque el cliente la reconoce antes de que WAL guarde la transacción en el disco. Si el parámetro synchronous_commit está desactivado, es posible que se pierdan las transacciones, que la durabilidad de la instancia de base de datos se vea comprometida y que se pierdan datos cuando una base de datos se bloquea.

Para obtener más información, consulte Archivos de registro de la base de datos de MySQL.

Compruebe si las instantáneas automatizadas están habilitadas para sus clústeres de Amazon Redshift.

Amazon Redshift realiza instantáneas progresivas de forma automática que hacen un seguimiento de los cambios realizados en el clúster desde la instantánea automatizada anterior. Las instantáneas automatizadas conservan todos los datos requeridos para restaurar un clúster a partir de una instantánea. Para desactivar las instantáneas automatizadas, establezca el período de retención en cero. No puede deshabilitar las instantáneas automatizadas para los tipos de nodos RA3.

Puede especificar el período de retención mínimo y máximo que desee mediante los parámetros MinRetentionPeriod y MaxRetentionPeriod de las reglas AWS Config.

Instantáneas y copias de seguridad de Amazon Redshift

c18d2gz135

AWS Config Managed Rule: redshift-backup-enabled

Rojo: Amazon Redshift no tiene configuradas las instantáneas automatizadas dentro del período de retención deseado.

Asegúrese de que las instantáneas automatizadas estén habilitadas para los clústeres de Amazon Redshift.

Para obtener más información, consulte Administración de instantáneas a través de la consola.

Instantáneas y copias de seguridad de Amazon Redshift

Para obtener más información, consulte Trabajar con copias de seguridad.

Verifica los conjuntos de registros de recursos asociados con las comprobaciones de estado que se han eliminado.

Route 53 no le impide eliminar una comprobación de estado asociada con uno o varios conjuntos de registros de recursos. Si elimina una comprobación de estado sin actualizar los conjuntos de registros de recursos asociados, el enrutamiento de las consultas de DNS para la configuración de conmutación por error a nivel de DNS no funcionará según lo previsto.

Las zonas alojadas creadas mediante los servicios de AWS no se mostrarán en los resultados de la verificación.

Cb877eB72b

Amarillo: un conjunto de registros de recursos está asociado a una comprobación de estado que se ha eliminado.

Cree una nueva comprobación de estado y asóciela al conjunto de registros de recursos. Consulte Creación, actualización y eliminación de comprobaciones de estado y Adición de comprobaciones de estado a conjuntos de registros de recursos.

Verifica si hay conjuntos de registros de recursos de conmutación por error de Amazon Route 53 que tienen una configuración incorrecta.

Cuando las comprobaciones de estado de Amazon Route 53 determinan que el recurso principal no está en buen estado, Amazon Route 53 responde a las consultas con un conjunto de registros de recursos de copia de seguridad secundario. Debe crear conjuntos de registros de recursos primarios y secundarios configurados correctamente para que la conmutación por error funcione.

Las zonas alojadas creadas mediante los servicios de AWS no se mostrarán en los resultados de la verificación.

b73EEdD790

Si falta un conjunto de recursos de conmutación por error, cree el conjunto de registros de recursos correspondiente. Consulte Creación de conjuntos de registros de recursos de conmutación por error.

Si los conjuntos de registros de recursos están asociados a la misma comprobación de estado, cree comprobaciones de estado separadas para cada uno. Consulte Creación, actualización y eliminación de comprobaciones de estado.

Comprobaciones de estado de Amazon Route 53 y conmutación por error de DNS

Verifica los conjuntos de registros de recursos que pueden beneficiarse de tener un valor de período de vida (TTL) más bajo.

El TTL es el número de segundos durante los cuales los solucionadores de DNS almacenan un conjunto de registro de recursos en la caché. Cuando se especifica un valor de TTL largo, los solucionadores de DNS tardan más tiempo en solicitar registros de DNS actualizados, lo que puede causar retrasos innecesarios en el redireccionamiento del tráfico (p. ej., cuando la conmutación por error de DNS detecta y responde a una falla de uno de sus puntos de conexión). Esta verificación solo examina los registros con una política de conmutación por error o si hay una comprobación de estado asociada.

Las zonas alojadas creadas mediante los servicios de AWS no aparecerán en los resultados de la verificación.

C056F80cR3

Ingrese un valor TTL de 60 segundos para los conjuntos de registros de recursos de la lista. Para obtener más información, consulte Trabajar con conjuntos de registros de recursos.

Comprobaciones de estado de Amazon Route 53 y conmutación por error de DNS

Verifica las zonas alojadas de Amazon Route 53 para las que el registrador de dominios o DNS no utiliza los servidores de nombres de Route 53 correctos.

Cuando se crea una zona alojada, Route 53 asigna un conjunto de delegación de cuatro servidores de nombres. Los nombres de estos servidores son ns-###.awsdns-##.com, .net, .org, y .co.uk, donde ### y ## suelen representar números diferentes. Para que Route 53 pueda enrutar consultas de DNS para su dominio, antes debe actualizar la configuración del servidor de nombres del registrador para quitar los servidores de nombres que asignó el registrador. A continuación, debe agregar los cuatro servidores de nombres en el conjunto de delegación de Route 53. Para obtener la máxima disponibilidad, debe agregar los cuatro servidores de nombres de Route 53.

Las zonas alojadas creadas mediante los servicios de AWS no se mostrarán en los resultados de la verificación.

cF171Db240

Amarillo: una zona alojada en la que el registrador del dominio no utiliza los cuatro servidores de nombres de Route 53 del conjunto de delegación.

Agregue o actualice los registros del servidor de nombres con el registrador o con el servicio DNS actual de su dominio para incluir los cuatro servidores de nombres del conjunto de delegación de Route 53. Para encontrar estos valores, consulte Obtención de servidores de nombres para una zona alojada. Para obtener información sobre cómo agregar o actualizar registros del servidor de nombres, consulte Creación y migración de dominios y subdominios a Amazon Route 53.

Uso de zonas hospedadas

Compruebe si la configuración del servicio tiene direcciones IP especificadas en al menos dos zonas de disponibilidad (AZ) para garantizar la redundancia. Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Al especificar instancias en múltiples zonas de disponibilidad de una misma región, puede proteger a sus aplicaciones de un único punto de error.

Chrv231ch1

Especificar las direcciones IP al menos en dos zonas de disponibilidad para la redundancia.

Compruebe si los buckets de Amazon S3 tienen reglas de replicación habilitadas para la replicación entre regiones, la replicación en la misma región o ambas.

La replicación consiste en la copia automática y asíncrona de los objetos de los buckets en las mismas o diferentes regiones de AWS. La replicación copia los objetos recientemente creados y las actualizaciones de objetos de un bucket de origen a un bucket o buckets de destino. Utilice la replicación de bucket de Amazon S3 para mejorar la resiliencia y la conformidad de sus aplicaciones y almacenamiento de datos.

Para obtener más información, consulte Replicar objetos.

c18d2gz119

AWS Config Managed Rule: s3-bucket-replication-enabled

Amarillo: las reglas de replicación de bucket de Amazon S3 no están habilitadas para la replicación entre regiones, la replicación en la misma región o ambas.

Active las reglas de replicación de bucket de Amazon S3 para mejorar la resiliencia y la conformidad de sus aplicaciones y almacenamiento de datos.

Para obtener más información, consulte Ver trabajos de copia de seguridad y puntos de recuperación y Configuración de la replicación.

Tutoriales: ejemplos para configurar la replicación

Verifica si existen buckets de Amazon Simple Storage Service que no tengan el habilitado el control de versiones o que lo tienen suspendido.

Cuando el control de versiones está habilitado, puede recuperarse fácilmente de acciones no deseadas del usuario y de errores de la aplicación. El control de versiones permite conservar, recuperar y restaurar cualquier versión de cualquier objeto almacenado en un bucket. Puede utilizar reglas de ciclo de vida para administrar todas las versiones de los objetos, así como sus costos asociados mediante el archivo automático de los objetos en la clase de almacenamiento de Glacier. Las reglas también se pueden configurar para eliminar versiones de los objetos una vez transcurrido un periodo de tiempo especificado. También puede requerir la autenticación multifactor (MFA) para las eliminaciones de cualquier objeto o para cualquier cambio de configuración de los buckets.

El control de versiones no se puede desactivar después de haberlo habilitado. Sin embargo, se puede suspender, lo que impide que se creen nuevas versiones de objetos. El uso del control de versiones puede aumentar los costos de Amazon S3, ya que se paga por el almacenamiento de varias versiones de un objeto.

R365s2Qddf

Habilite el control de versiones de buckets en la mayoría de los buckets para evitar que se eliminen o sobrescriban accidentalmente. Consulte Uso del control de versiones y Habilitación del control de versiones mediante programación.

Si el control de versiones del bucket está suspendido, considere volver a habilitar el control de versiones. Para obtener información sobre el trabajo con objetos en un bucket con control de versiones suspendido, consulte Administración de objetos en un bucket con control de versiones suspendido.

Cuando el control de versiones está habilitado o suspendido, puede definir las reglas de configuración del ciclo de vida para marcar determinadas versiones de objetos como vencidas o para eliminar permanentemente las versiones de objetos innecesarias. Para obtener más información, consulte Administración del ciclo de vida de los objetos.

La eliminación con MFA requiere una autenticación adicional cuando se cambia el estado de control de versiones del bucket o cuando se eliminan las versiones de un objeto. Se requiere que el usuario ingrese sus credenciales y un código desde un dispositivo de autenticación aprobado. Para obtener más información, consulte Eliminación MFA.

Trabajo con buckets

Compruebe si los equilibradores de carga (equilibrador de carga de aplicaciones, redes y puertas de enlace) están configurados con subredes en varias zonas de disponibilidad.

Puede especificar las zonas de disponibilidad mínimas deseadas en los parámetros minAvailabilityZones de las reglas AWS Config.

Para obtener más información, consulte Zonas de disponibilidad para el equilibrador de carga de aplicación, Zonas de disponibilidad - Equilibrador de carga de red y Crear un equilibrador de carga de puerta de enlace.

c18d2gz169

AWS Config Managed Rule: elbv2-multiple-az

Amarillo: equilibradores de carga de aplicaciones, redes o puertas de enlace configurados con subredes en menos de dos zonas de disponibilidad.

Configure sus equilibradores de carga de aplicaciones, redes y puertas de enlace con subredes en varias zonas de disponibilidad.

Zonas de disponibilidad para el equilibrador de carga de aplicación

Zonas de disponibilidad (Elastic Load Balancing)

Creación de un equilibrador de carga de puerta de enlace

Compruebe que queden suficientes IP disponibles en las subredes de destino. Tener suficientes IP disponibles para su uso será útil cuando el grupo de escalado automático alcance su tamaño máximo y necesite lanzar instancias adicionales.

Cjxm268ch1

Aumentar el número de direcciones IP disponibles

Examina la configuración de la comprobación de estado de los grupos de Auto Scaling.

Si Elastic Load Balancing se está utilizando para un grupo de Auto Scaling, se recomienda habilitar una comprobación de estado de Elastic Load Balancing. Si no se utiliza ninguna comprobación de estado de Elastic Load Balancing, Auto Scaling solo podrá actuar en función del estado de la instancia de Amazon Elastic Compute Cloud (Amazon EC2). Auto Scaling no actuará en la aplicación que esté en ejecución en la instancia.

CLOG40CDO8

Si el grupo de escalado automático tiene un equilibrador de carga asociado, pero la comprobación de estado de Elastic Load Balancing no está habilitada, consulte Adición de una comprobación de estado de Elastic Load Balancing al grupo de escalado automático.

Si la comprobación de estado de Elastic Load Balancing está habilitada, pero no hay un equilibrador de carga asociado al grupo de escalado automático, consulte Configuración de una aplicación con escalado automático y balanceo de carga.

Guía del usuario de Amazon EC2 Auto Scaling

Verifica la disponibilidad de los recursos asociados con las configuraciones de lanzamiento, las plantillas de lanzamiento y los grupos de escalado automático.

Los grupos de Auto Scaling que apuntan a recursos que no están disponibles no pueden lanzar nuevas instancias de Amazon Elastic Compute Cloud (Amazon EC2). Cuando se configura correctamente, Auto Scaling hace que el número de instancias de Amazon EC2 aumente sin problemas durante los picos de demanda y disminuya automáticamente durante los periodos de menor demanda. Los grupos de escalado automático y las configuraciones de lanzamiento que apuntan a recursos que no están disponibles no funcionan según lo previsto.

8CNsSllI5v

Si el equilibrador de carga se ha eliminado, cree uno nuevo o cree un grupo de destino y asócielo al grupo de escalado automático, o cree un nuevo grupo de escalado automático sin el equilibrador de carga. Para obtener información acerca de la creación de un nuevo grupo de escalado automático con un nuevo equilibrador de carga, consulte Configuración de una aplicación con escalado automático y balanceo de carga. Para obtener información sobre cómo crear un nuevo grupo de escalado automático sin un equilibrador de carga, consulte Crear un grupo de escalado automático en Introducción a Auto Scaling con la consola.

Si se ha eliminado la AMI, cree una nueva configuración de lanzamiento o una versión de plantilla de lanzamiento mediante una AMI válida y asóciela a un grupo de escalado automático. Para obtener información sobre cómo crear una nueva configuración de lanzamiento, consulte Crear una configuración de lanzamiento en la Guía usuario de Amazon EC2 Auto Scaling. Para obtener información acerca de cómo crear una plantilla de lanzamiento, consulte Crear un grupo de escalado automático en la Guía del usuario de Amazon EC2 Auto Scaling.

Si sus plantillas de lanzamiento incluyen un parámetro AWS Systems Manager que incluye una imagen de máquina de Amazon (AMI), revise la plantilla de lanzamiento para asegurarse de que los parámetros hacen referencia a un ID de AMI válido o realice los cambios adecuados en el almacén de parámetros AWS Systems Manager. Para obtener más información, consulte Use AWS Systems Manager parameters instead of AMI IDs en la Guía del usuario de Amazon EC2 Auto Scaling.

Comprueba los clústeres que ejecutan las instancias de HSM en una única zona de disponibilidad (AZ). Esta comprobación avisa si sus clústeres corren el riesgo de no tener la copia de seguridad más reciente.

hc0dfs7601

Cree al menos una instancia más para el clúster en una zona de disponibilidad diferente.

Prácticas recomendadas de AWS CloudHSM

Comprueba la resistencia de la Direct Connect utilizada para conectar su entorno en las instalaciones a cada puerta de enlace de Direct Connect o puerta de enlace privada virtual.

Esta verificación le avisa si alguna puerta de enlace de Direct Connect o puerta de enlace privada virtual no está configurada con interfaces virtuales en al menos dos ubicaciones distintas de Direct Connect. La falta de resiliencia de la ubicación puede provocar un tiempo de inactividad inesperado durante el mantenimiento, un corte de fibra, un fallo del dispositivo o un fallo total de la ubicación.

c1dfpnchv2

Rojo: la puerta de enlace Direct Connect o la puerta de enlace privada virtual está configurada con una o más interfaces virtuales en un único dispositivo de Direct Connect.

Amarillo: la puerta de enlace Direct Connect o la puerta de enlace privada virtual está configurada con interfaces virtuales en varios dispositivos de Direct Connect en una única ubicación de Direct Connect.

Verde: la puerta de enlace Direct Connect o la puerta de enlace privada virtual está configurada con interfaces virtuales en dos o más ubicaciones distintas de Direct Connect.

Para aumentar la resiliencia de ubicación de Direct Connect, puede configurar la puerta de enlace Direct Connect o la puerta de enlace privada virtual para que se conecte al menos a dos ubicaciones distintas de Direct Connect. Para obtener más información, consulte Recomendaciones de resiliencia de Direct Connect.

Direct Connect Recomendaciones sobre resiliencia de

Direct Connect Prueba de conmutación por error de

Compruebe si una característica de AWS Lambda está configurada con una cola de mensajes fallidos.

Una cola de mensajes fallidos es una característica de AWS Lambda que permite capturar y analizar los eventos fallidos, lo que permite gestionar esos eventos como corresponde. Es posible que el código genere una excepción, agote el tiempo de espera o se quede sin memoria, dando lugar a ejecuciones asíncronas fallidas de la función de Lambda. Una cola de mensajes fallidos almacena los mensajes de las invocaciones fallidas, lo que proporciona una forma de gestionar los mensajes y solucionar los errores.

Puede especificar el recurso de cola de mensajes fallidos que desea comprobar mediante el parámetro dlqArns de las reglas AWS Config.

Para obtener más información, consulte Colas de mensajes fallidos.

c18d2gz182

AWS Config Managed Rule: lambda-dlq-check

Amarillo: la característica AWS Lambda no tiene configurada ninguna cola de mensajes fallidos.

Asegúrese de que las características AWS Lambda tengan configurada una cola de mensajes fallidos para controlar la gestión de los mensajes en todas las invocaciones asíncronas fallidas.

Para obtener más información, consulte Colas de mensajes fallidos.

Compruebe que las funciones Lambda de su cuenta tengan configurado un destino de eventos de error o una cola de mensajes fallidos (DLQ) para las invocaciones asíncronas, de modo que los registros de las invocaciones fallidas se puedan direccionar a un destino para su posterior investigación o procesamiento.

c1dfprch05

Configure el destino de eventos de error o la DLQ para que sus funciones de Lambda envíen las invocaciones fallidas junto con otros detalles a uno de los servicios de AWS de destino disponibles para su posterior depuración o procesamiento.

Verifica la versión $LATEST de las funciones de Lambda habilitadas para VPC que son vulnerables a la interrupción del servicio en una única zona de disponibilidad. Es una práctica recomendada conectar las funciones habilitadas para VPC con múltiples zonas de disponibilidad para obtener una alta disponibilidad.

L4dfs2Q4C6

Amarillo: la versión $LATEST de una función de Lambda habilitada para VPC se conecta a subredes en una única zona de disponibilidad.

Al configurar funciones para el acceso a la VPC, elija subredes en varias zonas de disponibilidad a fin de garantizar una alta disponibilidad.

Verifica el saldo de bastidores de Outpost. Esto evalúa si las instancias de Outpost de un cliente están implementadas en varios bastidores de Outpost o en un solo bastidor de Outpost. Un único rack de Outposts crea un único punto de fallo para los problemas relacionados con un único bastidor (por ejemplo, fallos medioambientales). Estos escenarios se pueden mitigar con la implementación de Outposts en varios bastidores.

c243hjzrhn

Si ejecuta cargas de trabajo de producción en AWS Outposts, se recomienda utilizar la siguiente arquitectura flexible. Si se utiliza un único bastidor de AWS Outposts, se genera un punto de error específico. Considere añadir un segundo bastidor de AWS Outposts a esa ubicación con capacidad suficiente para un evento de conmutación por error y, a continuación, distribuir las cargas de trabajo entre los bastidores.

Modo de error 4: racks o centros de datos

Verifica si un componente de la aplicación (AppComponent) en su aplicación es irrecuperable. Si un AppComponent no se recupera en caso de una interrupción, es posible que se produzca una pérdida de datos desconocida y un tiempo de inactividad del sistema.

RH23stmM04

Rojo: AppComponent no se puede recuperar.

Para asegurarse de que su AppComponent sea recuperable, revise e implemente las recomendaciones de resiliencia y, a continuación, ejecute una nueva evaluación. Para obtener más información sobre la revisión de las recomendaciones de resiliencia, consulte Recursos adicionales.

Revisar las recomendaciones de resiliencia

AWS Resilience Hub Conceptos de

AWS Resilience Hub Guía del usuario de

Comprueba Resilience Hub en busca de aplicaciones que no cumplen con el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO) que define la política. La comprobación avisa si su aplicación no cumple con los objetivos de RTO y RPO que ha establecido para una aplicación en Resilience Hub.

RH23stmM02

Inicie sesión en la consola de Resilience Hub y revise las recomendaciones para que su aplicación cumpla con los objetivos de RTO y RPO.

Conceptos de Resilience Hub

Comprueba si ha realizado una evaluación para sus aplicaciones en Resilience Hub. Esta comprobación avisa si sus puntuaciones de resiliencia están por debajo de un valor específico.

RH23stmM01

Inicie sesión en la consola de Resilience Hub y ejecute una evaluación de su aplicación. Revise las recomendaciones para mejorar la puntuación de resiliencia.

Conceptos de Resilience Hub

Compruebe el tiempo transcurrido desde la última vez que ejecutó una evaluación de la aplicación. Esta comprobación le avisa si no ha realizado una evaluación de la aplicación durante un número específico de días.

RH23stmM03

Inicie sesión en la consola de Resilience Hub y ejecute una evaluación de su aplicación.

Conceptos de Resilience Hub

Verifica el número de túneles que están activos para cada una de las AWS Site-to-Site VPN.

Una VPN debe tener siempre dos túneles configurados. Esto proporciona redundancia en caso de interrupción o mantenimiento planificado de los dispositivos del punto de conexión de AWS. Para determinados componentes de hardware, solo hay un túnel activo a la vez. Si una VPN no tiene ningún túnel activo, es posible que se apliquen cargos por la VPN.

Para obtener más información, consulte ¿Qué es AWS Site-to-Site VPN?

c18d2gz123

AWS Config Managed Rule: vpc-vpn-2-tunnels-up

Amarillo: al menos uno de los túneles de una Site-to-Site VPN está inactivo.

Asegúrese de que haya dos túneles configurados para las conexiones VPN. Y, si su hardware lo admite, asegúrese de que ambos túneles estén activos. Si ya no necesita la conexión de VPN, elimínela para evitar gastos.

Para obtener más información, consulte Su dispositivo de puerta de enlace de cliente y el contenido disponible en el Centro de conocimientos de AWS.

Esta verificación identifica un riesgo de resiliencia cuando las cargas de trabajo de AWS realizan llamadas entre regiones al punto de conexión global de STS en la región Este de EE. UU. (Norte de Virginia). Las cargas de trabajo de AWS que realizan solicitudes entre regiones al punto final global de STS en la región Este de EE. UU. (Norte de Virginia) podrían verse afectadas negativamente si se ve afectada la conectividad con el punto de conexión de STS de la región Este de EE. UU. (Norte de Virginia).

En abril de 2025, AWS mejoró el punto de conexión global para que atendiera automáticamente las llamadas a los puntos de conexión globales de STS en la misma región en la que se encuentran sus cargas de trabajo AWS, y están activadas de forma predeterminada para todas las Regiones de AWS. Sin embargo, algunas cargas de trabajo, como las que se ejecutan en regiones de suscripción o las que no utilizan servidores DNS de Amazon, no se benefician de la reducción de la latencia y el aislamiento de errores que se ofrecen como parte de esta mejora. Para estas cargas de trabajo, las solicitudes de puntos de conexión globales de STS se atienden en la región Este de EE. UU. (Norte de Virginia), lo que supone un riesgo de resiliencia para la aplicación y aumenta la latencia de las solicitudes de STS.

c15m0mgld3

Rojo: las cargas de trabajo realizan llamadas entre regiones al punto de conexión AWS STS global de la región Este de EE. UU. (Norte de Virginia).

Para mejorar la resiliencia y el rendimiento de sus cargas de trabajo, le recomendamos que migre del punto de conexión global de STS al punto de conexión regional de STS. Al usar un punto de conexión regional, puede usar AWS STS en la misma región que sus cargas de trabajo.

La siguiente es una lista de las entidades principales de AWS Identity and Access Management (IAM) que realizan llamadas entre regiones al punto de conexión AWS STS global de la región Este de EE. UU. (Norte de Virginia). Si sigue los pasos de la entrada del blog How to use Regional AWS STS endpoints, puede volver a configurar sus cargas de trabajo para que utilicen el punto de conexión STS regional.

Verifica si hay problemas de alto riesgo para las cargas de trabajo en el pilar de fiabilidad. Esta verificación se basa en las revisiones de AWS-Well Architected. Los resultados de las verificaciones dependen de si ha completado la evaluación de la carga de trabajo con AWS Well-Architected.

Wxdfp4B1L4

AWS Well-Architected detectó problemas de alto riesgo durante la evaluación de la carga de trabajo. Estos problemas presentan oportunidades para reducir el riesgo y ahorrar dinero. Inicie sesión en la herramienta AWS Well-Architected para revisar las respuestas y tomar medidas para resolver los problemas activos.

Compruebe si el equilibrador de carga clásico abarca varias zonas de disponibilidad (AZ).

Un equilibrador de carga distribuye el tráfico entrante de aplicaciones en varias instancias de Amazon EC2 en varias zonas de disponibilidad. De forma predeterminada, el equilibrador de carga distribuye equitativamente el tráfico entre las zonas de disponibilidad que se habilitan para el equilibrador de carga. Si una Zona de Disponibilidad experimenta una interrupción, los nodos del equilibrador de carga reenvían automáticamente las solicitudes a las instancias registradas y saludables en una o más zonas de disponibilidad.

Puede ajustar el número mínimo de zonas de disponibilidad mediante el parámetro minAvailabilityZones de las reglas AWS Config

Para obtener más información, consulte ¿Qué es el equilibrador de carga clásico?.

c18d2gz154

AWS Config Managed Rule: clb-multiple-az

Amarillo: el equilibrador de carga clásico no tiene configuradas varias zonas de disponibilidad o no cumple con la cantidad mínima de zonas de disponibilidad especificada.

Asegúrese de que sus equilibradores de carga clásicos tengan configuradas varias zonas de disponibilidad. Distribuya el equilibrador de carga entre varias zonas de disponibilidad para asegurarse de que la aplicación tenga una alta disponibilidad.

Para obtener más información, consulte Tutorial: crear un equilibrador de carga clásico.

Verifica si hay equilibradores de carga clásicos que no tienen habilitado el drenaje de conexiones.

Cuando el drenaje de conexiones no está habilitado y se anula el registro de una instancia de Amazon EC2 desde un equilibrador de carga clásico, el equilibrador de carga detiene el enrutamiento del tráfico a dicha instancia y cierra la conexión. Cuando se habilita el drenaje de conexiones, el equilibrador de carga clásico deja de enviar nuevas solicitudes a la instancia cuyo registro se anuló, pero mantiene la conexión abierta para servir las solicitudes activas.

7qGXsKIUw

Habilite el drenaje de conexiones para el equilibrador de carga clásico. Para obtener más información, consulte Drenaje de conexiones y Habilitar o deshabilitar el drenaje de conexiones para el equilibrador de carga.

Conceptos de Elastic Load Balancing

Verifica la distribución objetivo de los grupos objetivo en las zonas de disponibilidad (AZ) para el equilibrador de carga de aplicación (ALB), el equilibrador de carga de red (NLB) y el equilibrador de carga de puerta de enlace (GWLB).

Esta comprobación excluye lo siguiente:

b92b83d667

Para mejorar la resiliencia, asegúrese de que sus grupos de objetivos tengan el mismo número de objetivos en todas las zonas de disponibilidad.

Grupos de destino para los Equilibradores de carga de aplicación

Registro de destinos con el grupo de destino del Equilibrador de carga de aplicación

Verifica si los puntos de conexión del equilibrador de carga de puerta de enlace (GWLB) están configurados como destino de ruta desde otra zona de disponibilidad (AZ).

Los puntos de conexión del equilibrador de carga de la puerta de enlace reenvían el tráfico de la red a los dispositivos de firewall que se encuentran detrás de un equilibrador de carga de la puerta de enlace para su inspección. Cada punto de conexión del equilibrador de carga de puerta de enlace funciona dentro de una zona de disponibilidad designada y se crea con redundancia únicamente en esa zona de disponibilidad. Por lo tanto, cualquier recurso de una zona de disponibilidad determinada debe utilizar un punto de conexión del equilibrador de carga de la puerta de enlace en la misma zona de disponibilidad. Esto garantiza que cualquier posible interrupción de un punto de conexión del equilibrador de carga de la puerta de enlace o de su zona de disponibilidad no afecte a los recursos de otra zona de disponibilidad.

528d6f5ee7

Verifique la zona de disponibilidad de su subred y configure su tabla de enrutamiento para enrutar el tráfico a través de un punto de conexión del equilibrador de carga de la puerta de enlace en la misma zona de disponibilidad.

Si no hay ningún punto de conexión del equilibrador de carga de puerta de enlace en la zona de disponibilidad, cree uno nuevo y, a continuación, dirija el tráfico de la subred a través de él.

Si tiene la misma tabla de enrutamiento asociada a las subredes de diferentes zonas de disponibilidad, mantenga esta tabla de enrutamiento asociada a las subredes que residen en la misma zona de disponibilidad que el punto de conexión del equilibrador de carga de la puerta de enlace. Para las subredes de la otra zona de disponibilidad, puede asociar una tabla de enrutamiento independiente con una ruta a un punto de conexión del equilibrador de carga de la puerta de enlace en esta zona de disponibilidad.

Se recomienda que elija un período de mantenimiento para los cambios de arquitectura en Amazon VPC.

Verifica la configuración del balanceador de carga.

Para ayudar a aumentar el nivel de tolerancia a errores en Amazon Elastic Compute Cloud (Amazon EC2) al utilizar Elastic Load Balancing, se recomienda ejecutar un número igual de instancias en las distintas zonas de disponibilidad de una región. Los balanceadores de carga configurados acumulan cargos, por lo que esta es también una verificación de optimización de costos.

iqdCTZKCUp

Asegúrese de que el equilibrador de carga apunte a instancias activas y en buen estado en al menos dos zonas de disponibilidad. Para obtener más información, consulte Agregar zona de disponibilidad.

Si el equilibrador de carga está configurado para una zona de disponibilidad sin instancias en buen estado o si hay un desequilibrio de instancias en las zonas de disponibilidad, determine si todas las zonas de disponibilidad son necesarias. Omita las zonas de disponibilidad innecesarias y asegúrese de que haya una distribución equilibrada de las instancias en las zonas de disponibilidad restantes. Para obtener más información, consulte Eliminar zona de disponibilidad.

Compruebe si las puertas de enlace NAT están configuradas con independencia de la zona de disponibilidad (AZ).

Una puerta de enlace NAT permite que los recursos de su subred privada se conecten de forma segura a servicios fuera de la subred mediante las direcciones IP de la puerta de enlace NAT y elimina cualquier tráfico entrante no solicitado. Cada puerta de enlace NAT funciona dentro de una zona de disponibilidad (AZ) designada y se crea con redundancia únicamente en esa zona de disponibilidad. Por lo tanto, los recursos de una zona de disponibilidad determinada deben utilizar una puerta de enlace NAT en la misma zona de disponibilidad para que cualquier posible interrupción de una puerta de enlace NAT o de su zona de disponibilidad no afecte a los recursos de otra zona de disponibilidad.

c1dfptbg10

Compruebe la zona de disponibilidad de la subred y dirija el tráfico a través de una puerta de enlace NAT en la misma zona de disponibilidad.

Si no hay ninguna puerta de enlace NAT en la zona de disponibilidad, cree una y, a continuación, dirija el tráfico de la subred a través de ella.

Si tiene la misma tabla de enrutamiento asociada a las subredes de diferentes zonas de disponibilidad, mantenga esta tabla de enrutamiento asociada a las subredes que residen en la misma zona de disponibilidad que la puerta de enlace NAT y, en el caso de las subredes de la otra zona de disponibilidad, asocie una tabla de enrutamiento independiente a una ruta a una puerta de enlace NAT en esta otra zona de disponibilidad.

Le recomendamos que elija un período de mantenimiento para los cambios de arquitectura en Amazon VPC.

Verifica si sus puntos de conexión AWS Network Firewall están configurados como un destino de ruta desde otra zona de disponibilidad (AZ).

Los puntos de conexión del firewall de red reenvían el tráfico de red a un firewall de red para su inspección. Cada punto de conexión del firewall de red funciona dentro de una zona de disponibilidad designada y se crea con redundancia únicamente en esa zona de disponibilidad. Los recursos de una zona de disponibilidad determinada deben utilizar un punto de conexión del firewall de red en la misma zona de disponibilidad. Esto garantiza que cualquier posible interrupción de un punto de conexión del firewall de red o de su zona de disponibilidad no afecte a los recursos de otra zona de disponibilidad. El tráfico de red que se origina en otra zona de disponibilidad para inspeccionar el tráfico implica cargos por la transferencia de datos entre zonas de disponibilidad. Se recomienda asegurarse de que todos los recursos de una zona de disponibilidad específica utilicen un firewall de red en la misma zona de disponibilidad para evitar cargos por datos entre zonas de disponibilidad.

7040ea389a

Verifique la zona de disponibilidad de la subred y dirija el tráfico a través de un punto de conexión del firewall de red en la misma zona de disponibilidad.

Si no hay ningún punto de conexión del firewall de red en la zona de disponibilidad, cree un nuevo firewall de red y dirija el tráfico de la subred a través de él.

Si la misma tabla de enrutamiento está asociada a múltiples subredes de diferentes zonas de disponibilidad, mantenga esta tabla de enrutamiento asociada a las subredes que residen en la misma zona de disponibilidad que el punto de conexión del firewall de red. Para las subredes de otras zonas de disponibilidad, asocie una tabla de enrutamiento independiente a una ruta a un punto de conexión del firewall de red en esa zona de disponibilidad.

Se recomienda que elija un período de mantenimiento para los cambios de arquitectura en Amazon VPC.

Transferencia de datos dentro de la misma Región de AWS

Understanding data transfer charges

Independencia de la zona de disponibilidad

Pasos de alto nivel para implementar un firewall

Creación de un firewall

AWS Well-Architected Tool: uso de arquitecturas herméticas para limitar el alcance del impacto

Verifica si los firewalls de red están configurados para usar más de una zona de disponibilidad (AZ) como puntos de conexión de firewall.

Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Si el punto de conexión del firewall de red se implementa solo en 1 zona de disponibilidad, puede tratarse de un único punto de error y afectar las cargas de trabajo de otras zonad de disponibilidad que utilizan el firewall de red para inspeccionar el tráfico. Se recomienda configurar los firewalls de red en varias zonas de disponibilidad de la misma región para mejorar la disponibilidad de la carga de trabajo.

c2vlfg0gqd

Asegúrese de que su firewall de red esté configurado con al menos dos zonas de disponibilidad para las cargas de trabajo de producción.

Configuración de subred de VPC para AWS Network Firewall

Creación de un firewall

Zona de disponibilidad

AWS Well-Architected Tool: implementación de la carga de trabajo en varias ubicaciones

Dispositivo en una VPC de servicios compartidos

Compruebe si el equilibrador de carga entre zonas está habilitado en los equilibradores de carga de red.

El equilibrador de carga entre zonas ayuda a mantener una distribución uniforme del tráfico entrante entre las instancias de distintas zonas de disponibilidad. Esto evita que el equilibrador de carga enrute todo el tráfico a instancias de la misma zona de disponibilidad, lo que puede provocar una distribución irregular del tráfico y una posible sobrecarga. La característica también contribuye a la fiabilidad de las aplicaciones al redirigir de forma automática el tráfico a instancias en buen estado de otras zonas de disponibilidad en caso de que se produzca un error en una sola zona de disponibilidad.

Para obtener más información, consulte Equilibrador de carga entre zonas.

c18d2gz105

AWS Config Managed Rule: nlb-cross-zone-load-balancing-enabled

Asegúrese de que el equilibrador de carga entre zonas esté habilitado en los equilibradores de carga de red.

Equilibrador de carga entre zonas (equilibradores de carga de red)

Verifica si un equilibrador de carga de red (NLB) expuesto a Internet está configurado con una subred privada. Se debe configurar un equilibrador de carga de red (NLB) expuesto a Internet en las subredes públicas para recibir tráfico. Una subred pública es una subred que tiene una ruta directa a una puerta de enlace de Internet. Si la subred está configurada como privada, su zona de disponibilidad (AZ) no recibe tráfico, lo que puede provocar problemas de disponibilidad.

c1dfpnchv4

Rojo: NLB está configurado con una o más subredes privadas

Verde: no hay ninguna subred privada configurada para el NLB con acceso a Internet

Compruebe que las subredes configuradas en un equilibrador de carga con acceso a Internet son públicas. Una subred pública es una subred que tiene una ruta directa a una puerta de enlace de Internet. Utilice una de las siguientes opciones:

Verifica si los equilibradores de carga de red están configurados para usar más de una zona de disponibilidad (AZ). Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Configure el equilibrador de carga en varias zonas de disponibilidad de la misma región para mejorar la disponibilidad de la carga de trabajo.

c1dfprch09

Amarillo: NLB está en una única zona de disponibilidad.

Verde: NLB tiene dos o más zonas de disponibilidad.

Asegúrese de que el equilibrador de carga esté configurado con al menos dos zonas de disponibilidad.

Para obtener más información, consulte la documentación siguiente:

Compruebe que la configuración de un conjunto de replicación del administrador de incidentes utiliza más de una Región de AWS para admitir la conmutación por error y la respuesta locales. Para los incidentes creados por las alarmas de CloudWatch o los eventos de EventBridge, el administrador de incidentes crea un incidente en la misma Región de AWS que la regla de alarma o evento. Si Incident Manager no está disponible temporalmente en esa región, el sistema intenta crear un incidente en otra región dentro del conjunto de replicación. Si el conjunto de replicación incluye solo una región, el sistema no podrá crear un registro de incidentes mientras el administrador de incidentes no esté disponible.

cIdfp1js9r

Agregue al menos una región más al conjunto de replicación.

Para obtener más información, consulte Administración de incidentes entre regiones.

Compruebe a través de patrones de red si el tráfico de red de salida se direcciona a través de una única zona de disponibilidad (AZ).

Una zona de disponibilidad es una ubicación diferente que queda aislada de cualquier impacto en otras zonas. Al distribuir el servicio entre varias zonas de disponibilidad, se limita el radio de alcance de un error en una zona de distribución.

c1dfptbg11

Si su aplicación requiere alta disponibilidad, considere implementar una arquitectura Multi-AZ para obtener mayor disponibilidad.

Verifique si los puntos de conexión de la interfaz de VPC AWS PrivateLink están configurados para usar más de una zona de disponibilidad (AZ). Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Esto permite una conectividad de red económica y de baja latencia entre zonas de disponibilidad dentro de una misma región de AWS. Seleccione subredes en múltiples zonas de disponibilidad al crear puntos de conexión de la interfaz para ayudar a proteger a sus aplicaciones de un único punto de error.

c1dfprch10

Amarillo: el punto de conexión de VPC está en una única zona de disponibilidad.

Verde: el punto de conexión de VPC se encuentra en al menos dos zonas de disponibilidad.

Asegúrese de que el punto de conexión de la interfaz de VPC esté configurado con al menos dos zonas de disponibilidad.

Para obtener más información, consulte la documentación siguiente:

Verifica el número de túneles que están activos para cada una de las Site-to-Site VPN.

Una VPN debe tener siempre dos túneles configurados. Esto proporciona redundancia en caso de interrupción o mantenimiento planificado de los dispositivos del punto de enlace AWS. Para determinados componentes de hardware, solo hay un túnel activo a la vez. Si una VPN no tiene ningún túnel activo, es posible que se apliquen cargos por la VPN. Para obtener más información, consulte la Guía del usuario de AWS Site-to-Site VPN.

S45wrEXrLz

Asegúrese de que haya dos túneles configurados para su conexión VPN y de que ambos estén activos si su hardware es compatible. Si ya no necesita la conexión de VPN, puede eliminarla para evitar gastos. Para obtener más información, consulte Su puerta de enlace de cliente o Eliminación de una conexión Site-to-Site VPN.

Compruebe que los agentes de Amazon MQ para ActiveMQ estén configurados para una alta disponibilidad con un agente activo/de reserva en varias zonas de disponibilidad.

c1t3k8mqv1

Cree un nuevo agente con el modo de implementación activo/de reserva.

Compruebe que los agentes de Amazon MQ para RabbitMQ estén configurados con instancias de clúster distribuidas en varias zonas de disponibilidad para garantizar una alta disponibilidad.

c1t3k8mqv2

Cree un nuevo agente con el modo de implementación de clúster.