Comprendre la mise à jour des RFC CTs et la détection de la dérive des CloudFormation modèles - Guide de l'utilisateur avancé d'AMS
Assainissement de la dérive FAQs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre la mise à jour des RFC CTs et la détection de la dérive des CloudFormation modèles

Les ressources mises en service dans AMS utilisent un AWS CloudFormation modèle modifié. Si un paramètre d'une ressource est modifié directement via la console de AWS gestion d'un service, l'enregistrement de CloudFormation création de cette ressource est désynchronisé. Si cela se produit et que vous essayez d'utiliser un type de modification de mise à jour AMS pour mettre à jour la ressource dans AMS, AMS fait référence à la configuration de ressource d'origine et réinitialise éventuellement les paramètres modifiés. Cette réinitialisation peut être dommageable, c'est pourquoi AMS interdit les types RFCs de modifications de mise à jour si des modifications supplémentaires de configuration AMS sont détectées.

Pour obtenir la liste des types de modifications apportées aux mises à jour, utilisez le filtre de console.

Assainissement de la dérive FAQs

Questions et réponses sur la remédiation à la dérive de l'AMS. Il existe deux types de modifications que vous pouvez utiliser pour initier la correction de la dérive : l'un est mode d'exécution = manuel ou « révision requise », l'autre est mode d'exécution = automatisé.

Ressources prises en charge pour la correction de la dérive (ct-3kinq0u4l33zf)

Il s'agit des ressources prises en charge par le type de modification de correction de la dérive (ct-3kinq0u4l33zf).   Pour corriger n'importe quelle ressource, utilisez plutôt le type de modification « révision requise » (ct-34sxfo53yuzah).

AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm

Types de modifications liées à la remédiation à la dérive

Questions et réponses sur l'utilisation des types de modifications de correction de la dérive AMS.

Pour obtenir la liste des ressources prises en charge pour la fonctionnalité de correction de la dérive, consultezRessources prises en charge pour la correction de la dérive (ct-3kinq0u4l33zf).

Important

La correction de la dérive modifie les and/or paramètres du modèle de pile et il est obligatoire de mettre à jour vos référentiels de modèles locaux ou toute automatisation mettant à jour ces piles afin d'utiliser le modèle et les paramètres de pile les plus récents. L'utilisation d'anciens and/or paramètres de modèle sans synchronisation peut entraîner des modifications dommageables des ressources sous-jacentes.

Le CT automatisé sans révision (ct-3kinq0u4l33zf) prend en charge la correction de seulement 10 ressources par RFC. Pour corriger les ressources restantes par lots de 10, créez-en de nouvelles RFCs jusqu'à ce que toutes les ressources soient corrigées.

Quel type de modification de correction de dérive dois-je utiliser ?

Nous recommandons d'utiliser la tomodensitométrie automatisée sans révision (ct-3kinq0u4l33zf) lorsque :

  • Vous essayez d'effectuer une mise à jour d'une ressource de pile existante à l'aide d'un CT automatique et la RFC est DRIFTED rejetée telle quelle.

  • Vous avez utilisé un Update CT dans le passé et celui-ci a échoué car la pile était dérivée. Vous n'avez pas besoin de réessayer une mise à jour et vous pouvez utiliser la révision requise, manuelle ou CT à la place.

Nous recommandons d'utiliser la tomodensitométrie manuelle requise (ct-34sxfo53yuzah) uniquement lorsque les types de ressources dérivées ne sont pas pris en charge par la correction de la dérive, aucune révision requise, automatique, la tomodensitométrie (ct-3kinq0u4l33zf), ou lorsque la correction de la dérive, aucune révision requise, automatisée, échoue.

Quelles sont les modifications apportées à la pile lors de la correction ?

La correction nécessite la mise à jour des and/or paramètres du modèle de pile en fonction des propriétés dérivées. La correction met également à jour la politique de pile de la pile pendant la correction et rétablit la politique de pile à sa valeur précédente une fois la correction terminée.

Comment pouvons-nous voir les modifications apportées aux and/or paramètres du modèle de pile ?

Dans la réponse à la RFC, un résumé des modifications est fourni avec les informations suivantes :

  • ChangeSummaryJson: contient un résumé des modifications apportées aux and/or paramètres du modèle de pile dans le cadre de la correction de la dérive. La correction s'effectue en plusieurs phases. Ce résumé des modifications comprend les modifications apportées aux différentes phases. Si la correction est réussie, vérifiez les modifications apportées à la dernière phase. Consultez ExecutionPlan le JSON pour les phases exécutées dans l'ordre. Par exemple, RestoreReferences la section lorsqu'elle est présente est toujours exécutée à la fin et contient du JSON pour les modifications apportées après la correction. Si la correction est exécutée en DryRun mode, aucune de ces modifications n'aurait été appliquée à la pile.

  • PreRemediationStackTemplateAndConfigurationJson: contient un instantané de configuration de la CloudFormation pile, y compris le modèle, les paramètres et les sorties, StackPolicyBody avant que la correction ne soit déclenchée sur la pile.

Que dois-je faire une fois la correction effectuée ?
Important

Vous devez mettre à jour vos référentiels de modèles locaux, ou toute automatisation, qui mettrait à jour la pile corrigée, avec le modèle et les paramètres les plus récents fournis dans le résumé de la RFC. Il est très important de le faire car l'utilisation des anciens and/or paramètres du modèle peut entraîner d'autres modifications destructrices des ressources de la pile.

Ma demande sera-t-elle prise en compte au cours de cette correction ?

La correction est un processus hors ligne qui est effectué uniquement sur la configuration de la CloudFormation pile. Aucune mise à jour n'est effectuée sur la ressource sous-jacente.

Puis-je continuer à utiliser Management | Other | Other RFCs pour effectuer des mises à jour des ressources après la correction ?

Nous vous recommandons de toujours effectuer des mises à jour pour empiler les ressources à l'aide de la mise à jour automatique disponible CTs. Lorsque la mise à jour disponible CTs ne correspond pas à votre cas d'utilisation, utilisez Management | Other | Other requests.

La remédiation crée-t-elle de nouvelles ressources dans la pile ?

La correction ne crée aucune nouvelle ressource dans la pile. Toutefois, la correction crée de nouvelles sorties et met à jour la section des métadonnées du modèle de pile afin de stocker le résumé de la correction à titre de référence.

Les mesures correctives seront-elles toujours couronnées de succès ?

La correction nécessite une analyse et une validation minutieuses de la configuration du modèle afin de déterminer si elle peut être effectuée. Dans les scénarios où ces validations échouent, le processus de correction est arrêté et aucune modification n'est apportée au modèle ou aux paramètres de la pile. En outre, la correction ne peut être effectuée que sur les types de ressources pris en charge.

Comment puis-je effectuer des mises à jour pour empiler les ressources en cas d'échec de la correction ?

Vous pouvez utiliser le CT Management | Other | Other | Update (ct-0xdawir96cy7k) pour demander des modifications. AMS surveille ces scénarios et travaille à l'amélioration de la solution de correction.

Puis-je corriger des piles contenant à la fois des types de ressources pris en charge et des types de ressources non pris en charge ?

Oui. Toutefois, la correction n'est effectuée que si les types de ressources pris en charge se trouvent à la dérive dans la pile. Si des types de ressources non pris en charge sont DÉRIVÉS, la correction ne se poursuit pas.

Puis-je demander une correction pour les piles créées par le biais d'une ingestion autre que CFN ? CTs

Oui. La correction peut être effectuée sur les piles quel que soit le type de modification utilisé pour créer la pile.

Puis-je connaître les modifications qui seraient apportées à la pile avant la correction ?

Oui. Les deux types de modifications fournissent une DryRunoption que vous pouvez utiliser pour demander des modifications qui seraient effectuées si la pile était corrigée. Cependant, les modifications finales de correction peuvent différer en fonction de la dérive présente sur la pile au moment de la correction.