Praktik terbaik untuk layanan Amazon ECS Express Mode

Gunakan Secrets Manager untuk rahasia - Simpan data sensitif di Secrets Manager (misalnya repositori pribadi atau kredensial database).

Untuk informasi selengkapnya Praktik terbaik Secrets Manager, lihat Praktik terbaik Secrets Manager di Panduan Pengguna Secrets Manager

Aktifkan enkripsi saat istirahat - Pastikan rahasia dienkripsi saat disimpan dalam AWS layanan.

Menggunakan layanan seperti Secrets Manager memungkinkan Anda mengenkripsi menggunakan kunci AWS terkelola atau yang disediakan pelanggan.

Menerapkan rotasi rahasia - Gunakan rotasi otomatis untuk kata sandi database dan kunci API.

Menggunakan layanan seperti Secrets Manager dapat mengelola rotasi rahasia untuk layanan seperti Amazon Aurora dan Amazon RDS

Gunakan subnet pribadi untuk aplikasi sensitif - Menyebarkan aplikasi yang tidak memerlukan akses internet langsung di subnet pribadi.

Untuk informasi lebih lanjut tentang arsitektur yang direkomendasikan, lihat Connect Amazon ECS aplikasi ke internet.

Konfigurasikan grup keamanan agar minimal permisif - Batasi lalu lintas masuk dan keluar hanya ke port dan sumber yang diperlukan.

Untuk membatasi lalu lintas keluar Grup Keamanan Layanan Mode Ekspres, Anda dapat mengedit ini secara langsung di Konsol Grup Keamanan Amazon EC2 dengan mengubah aturan Keluar, atau menggunakan perintah berikut:

                    
aws ec2 authorize-security-group-egress
    --group-id sg-xxxxxxxx \
    --protocol tcp \ 
    --port 443 \ 
    --cidr 0.0.0.0/0

aws ec2 revoke-security-group-egress
    --group-id sg-xxxxxxxx \
    --protocol tcp \
    --port 443 \ 
    --cidr 0.0.0.0/0

Aktifkan Amazon VPC Flow Logs - Pantau lalu lintas jaringan untuk analisis keamanan dan pemecahan masalah.

Anda dapat mengaktifkan ini di setiap subnet yang digunakan oleh aplikasi Mode Ekspres Anda di Konsol Subnet VPC, atau gunakan aws ec2 create-flow-logs --resource-ids subnet-xxx

Gunakan AWS WAF untuk aplikasi web - Lindungi dari eksploitasi dan serangan web umum.

Anda dapat mengaktifkan ini dengan membuat Web ACL dan kemudian mengaitkannya ke Application Load Balancer yang digunakan oleh layanan Mode Ekspres Anda. Di Konsol, Buat ACL web di WAF & Shield Service dan kaitkan dengan Application Load Balancer Anda. Atau, gunakan aws wafv2 create-web-acl danaws wafv2 associate-web-acl --resource-arn <alb>.

CPU dan memori ukuran kanan - Pantau kinerja aplikasi dan sesuaikan alokasi CPU dan memori berdasarkan pola penggunaan aktual.

AWS Compute Optimizer menghasilkan rekomendasi untuk tugas Amazon ECS dan ukuran wadah. Untuk informasi selengkapnya, lihat Apa itu AWS Compute Optimizer? dalam Panduan Pengguna AWS Compute Optimizer .

Uji kinerja aplikasi Anda - Untuk memastikan aplikasi Anda beroperasi dalam skala besar dan dengan ambang batas penskalaan dan alokasi sumber daya yang diberikan, lakukan pengujian beban.

Tetapkan ambang batas penskalaan yang sesuai - Konfigurasikan ambang batas CPU atau memori yang memicu penskalaan sebelum kinerja menurun.

Anda dapat mengubah nilai target metrik layanan di konsol layanan Mode Ekspres.

Pertimbangkan untuk menambahkan kebijakan penskalaan prediktif, terutama jika lalu lintas Anda mengikuti pola berbasis waktu. Lihat Auto Scaling Prediktif untuk informasi selengkapnya.

Gunakan beberapa metrik penskalaan - Pertimbangkan untuk menggunakan CPU atau Memori dan penskalaan berbasis permintaan untuk penskalaan yang lebih responsif.

Anda dapat menambahkan beberapa kebijakan ke layanan. Mode Ekspres menambahkan satu secara default, tetapi Anda dapat melampirkan kebijakan tambahan ke layanan Anda secara langsung.

Konfigurasikan batas minimum dan maksimum tugas - Tetapkan batas yang wajar untuk mengontrol biaya dan memastikan ketersediaan.

Untuk beban kerja produksi, setelah pengujian awal selesai - kami sarankan berjalan di tiga zona ketersediaan untuk mengikuti praktik terbaik ketersediaan. Anda dapat memperbarui jumlah tugas minimum di Konsol Mode Ekspres, atau dengan menggunakanupdate-express-gateway-service --scaling-target '{“minTaskCount”=3}'.

Menerapkan pemeriksaan kesehatan yang berarti - Buat titik akhir pemeriksaan kesehatan yang memverifikasi dependensi aplikasi penting.

Anda dapat memperbarui jalur pemeriksaan Kesehatan di Konsol Mode Ekspres. Atau dengan menggunakanupdate-express-gateway-service --health-check-path "/health".

Untuk informasi lebih lanjut tentang membentuk pemeriksaan kesehatan untuk aplikasi Anda, lihat Implementing Health Checks

Jaga agar pemeriksaan kesehatan tetap ringan - Hindari operasi mahal di titik akhir pemeriksaan kesehatan.

Contohnya mungkin termasuk panggilan API eksternal, CPU atau operasi intensif memori, atau operasi yang berjalan lama dengan potensi batas waktu.

Gunakan batas waktu yang sesuai - Konfigurasikan batas waktu pemeriksaan kesehatan yang memungkinkan waktu respons normal sambil mendeteksi kegagalan dengan cepat.

Batas waktu pemeriksaan Kesehatan untuk Mode Ekspres dapat dikonfigurasi pada kelompok sasaran Application Load Balancer. Di Konsol Amazon EC2, Arahkan ke bagian Grup Target dan pilih grup target Mode Ekspres Anda. Pilih Tab Pemeriksaan Kesehatan dan klik Edit, di bawah Pengaturan pemeriksaan kesehatan lanjutan Anda dapat menyesuaikan batas waktu. Atau, gunakanaws elbv2 modify-target-group --target-group-arn <targetgroup> --health-check-timeout.

Kembalikan kode status HTTP yang tepat - Gunakan 200 untuk sehat dan 4xx/5xx untuk keadaan tidak sehat.

Aktifkan Wawasan Kontainer yang Ditingkatkan - Gunakan CloudWatch; Wawasan Kontainer yang Ditingkatkan untuk pemantauan komprehensif aplikasi layanan Mode Ekspres Anda.

Lihat Menyiapkan Wawasan Kontainer di Amazon ECS untuk informasi selengkapnya.

Siapkan metrik khusus - Publikasikan metrik khusus aplikasi ke CloudWatch; untuk pemantauan logika bisnis.

Lihat Metrik kustom publik di Panduan CloudWatch Pengguna untuk informasi selengkapnya.

Konfigurasikan penyimpanan log - Tetapkan periode penyimpanan log yang sesuai untuk menyeimbangkan persyaratan biaya dan kepatuhan.

CloudWatch Grup Log yang dibuat oleh Mode Ekspres dikonfigurasi agar tidak pernah kedaluwarsa dan dipertahankan saat layanan Mode Ekspres dihapus. Anda dapat menyesuaikan pengaturan ini di Grup CloudWatch Log.

Buat dasbor dan peringatan - Siapkan CloudWatch; dasbor dan alarm untuk pemantauan proaktif.

Menerapkan waktu pemanggangan - Mode Ekspres mengimplementasikan waktu memanggang kenari untuk memastikan penerapan memiliki waktu untuk menstabilkan sekaligus mengurangi radius ledakan dari penerapan yang bermasalah. Jika aplikasi Anda membutuhkan lebih banyak waktu untuk menstabilkan, ini dapat dikonfigurasi dalam definisi Layanan Amazon ECS dari layanan Mode Ekspres Anda. Lihat Membuat penyebaran kenari Amazon ECS untuk detail selengkapnya.

Menerapkan prosedur rollback - Memiliki rencana untuk segera kembali ke versi sebelumnya jika terjadi masalah.

Pemeriksaan kesehatan yang berarti dan rollback berbasis alarm dapat membantu rollback. Strategi penyebaran kenari Express Mode yang dikombinasikan dengan rollback berbasis alarm pada lalu lintas 4xx dan 5xx mengatur penerapan Anda untuk rollback cepat jika terjadi kode atau konfigurasi aplikasi yang salah.