Bewährte Methoden für Amazon ECS Express Mode-Services - Amazon Elastic Container Service
Bewährte Methoden für die Gewährleistung der SicherheitLeistungs- und RechenoptimierungBewährte betriebliche Verfahren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für Amazon ECS Express Mode-Services

Erfahren Sie mehr über bewährte Methoden und Empfehlungen für die effektive Nutzung des Express Mode-Service in Produktionsumgebungen.

Bewährte Methoden für die Gewährleistung der Sicherheit

Verwaltung von Secrets

  • Secrets Manager für Secrets verwenden — Speichern Sie sensible Daten in Secrets Manager (z. B. private Repository- oder Datenbankanmeldeinformationen).

    Weitere Informationen zu den Best Practices von Secrets Manager finden Sie unter Best Practices für Secrets Manager im Secrets Manager-Benutzerhandbuch

  • Verschlüsselung im Ruhezustand aktivieren — Stellen Sie sicher, dass Geheimnisse verschlüsselt werden, wenn sie in AWS Diensten gespeichert werden.

    Mit einem Dienst wie Secrets Manager können Sie entweder mit einem AWS verwalteten oder vom Kunden bereitgestellten Schlüssel verschlüsseln.

  • Implementieren Sie die geheime Rotation — Verwenden Sie die automatische Rotation für Datenbankkennwörter und API-Schlüssel.

    Mit einem Service wie Secrets Manager können Sie die geheime Rotation für Dienste wie Amazon Aurora und Amazon RDS verwalten.

Beispiel für die Verwendung von Geheimnissen im Expressmodus-Service:


aws ecs update-express-gateway-service \
    --primary-container \
        ‘{“environment”=[{“name”=“DB_PASSWORD”,”value”=“arn:aws:secretsmanager:us-west-2:123456789012:secret:prod/db/password”}, \
        {“name”=“API_KEY”,”value”=“arn:aws:ssm:us-west-2:123456789012:parameter/prod/api-key”}]}’ \

Netzwerksicherheit

  • Private Subnetze für vertrauliche Anwendungen verwenden — Stellen Sie Anwendungen, die keinen direkten Internetzugang benötigen, in privaten Subnetzen bereit.

    Weitere Informationen zu empfohlenen Architekturen finden Sie unter Amazon ECS-Anwendung mit dem Internet Connect.

  • Konfigurieren Sie Sicherheitsgruppen so, dass sie minimal freizügig sind. Beschränken Sie den ein- und ausgehenden Datenverkehr auf die erforderlichen Ports und Quellen.

    Um den ausgehenden Verkehr der Express Mode Service Security Group einzuschränken, können Sie ihn direkt in der Amazon EC2 Security Groups Console bearbeiten, indem Sie die ausgehenden Regeln ändern oder die folgenden Befehle verwenden: 

                        
aws ec2 authorize-security-group-egress
    --group-id sg-xxxxxxxx \
    --protocol tcp \ 
    --port 443 \ 
    --cidr 0.0.0.0/0

aws ec2 revoke-security-group-egress
    --group-id sg-xxxxxxxx \
    --protocol tcp \
    --port 443 \ 
    --cidr 0.0.0.0/0

  • Amazon VPC Flow Logs aktivieren — Überwachen Sie den Netzwerkverkehr zur Sicherheitsanalyse und Fehlerbehebung.

    Sie können dies in jedem Subnetz, das von Ihren Expressmodus-Anwendungen verwendet wird, in der VPC-Subnetzkonsole aktivieren oder aws ec2 create-flow-logs --resource-ids subnet-xxx

  • AWS WAF Für Webanwendungen verwenden — Schützen Sie sich vor gängigen Web-Exploits und Angriffen.

    Sie können dies aktivieren, indem Sie eine Web-ACL erstellen und diese dann dem Application Load Balancer zuordnen, der von Ihrem Express Mode Service verwendet wird. Erstellen Sie in der Konsole eine Web-ACL im WAF & Shield Service und ordnen Sie sie Ihrem Application Load Balancer zu. Oder verwenden aws wafv2 create-web-acl Sie und. aws wafv2 associate-web-acl --resource-arn <alb>

Leistungs- und Rechenoptimierung

Dimensionierung der Ressourcen

  • Richtige Größe von CPU und Arbeitsspeicher — Überwachen Sie die Anwendungsleistung und passen Sie die CPU- und Speicherzuweisungen an die tatsächlichen Nutzungsmuster an.

    AWS Compute Optimizer generiert Empfehlungen für Amazon ECS-Aufgaben- und Containergrößen. Weitere Informationen finden Sie unter Was ist AWS Compute Optimizer? im AWS Compute Optimizer -Benutzerhandbuch.

  • Leistungstest Ihrer Anwendung — Führen Sie Auslastungstests durch, um sicherzustellen, dass Ihre Anwendung skalierbar und mit den angegebenen Skalierungsschwellenwerten und Ressourcenzuweisungen funktioniert.

Konfiguration für automatische Skalierung

  • Legen Sie geeignete Skalierungsschwellenwerte fest — Konfigurieren Sie CPU- oder Speicher-Schwellenwerte, die eine Skalierung auslösen, bevor die Leistung beeinträchtigt wird.

    Sie können den Zielwert der Service-Metrik in Ihrer Express-Modus-Servicekonsole ändern.

    Erwägen Sie das Hinzufügen einer Richtlinie zur vorausschauenden Skalierung, insbesondere wenn Ihr Datenverkehr einem zeitbasierten Muster folgt. Weitere Informationen finden Sie unter Predictive Auto Scaling.

  • Verwenden Sie mehrere Skalierungsmetriken — Ziehen Sie in Erwägung, sowohl CPU- als auch Arbeitsspeicher und anforderungsbasierte Skalierung zu verwenden, um eine reaktionsschnellere Skalierung zu erzielen.

    Sie können einem Service mehrere Richtlinien hinzufügen. Der Expressmodus fügt standardmäßig eine hinzu, Sie können Ihrem Dienst jedoch zusätzliche Richtlinien direkt hinzufügen.

  • Konfigurieren Sie Mindest- und Höchstgrenzen für Aufgaben — Legen Sie angemessene Grenzen fest, um die Kosten zu kontrollieren und die Verfügbarkeit sicherzustellen.

    Für Produktions-Workloads empfehlen wir, nach Abschluss der ersten Tests die Ausführung in drei Verfügbarkeitszonen durchzuführen, um die bewährten Methoden für die Verfügbarkeit zu befolgen. Sie können die Mindestanzahl an Aufgaben in der Expressmodus-Konsole oder mithilfe update-express-gateway-service --scaling-target '{“minTaskCount”=3}' von aktualisieren.

Health checks (Zustandsprüfungen)

  • Implementieren Sie aussagekräftige Integritätsprüfungen — Erstellen Sie Endpunkte für Integritätsprüfungen, mit denen kritische Anwendungsabhängigkeiten überprüft werden.

    Sie können den Health Check-Pfad in der Express Mode Console aktualisieren. Oder indem Sieupdate-express-gateway-service --health-check-path "/health".

    Weitere Informationen zur Erstellung von Gesundheitschecks für Ihre Anwendung finden Sie unter Implementierung von Gesundheitschecks

  • Halten Sie die Zustandsprüfungen einfach — Vermeiden Sie teure Operationen an den Endpunkten für Zustandsprüfungen.

    Beispiele hierfür können externe API-Aufrufe, CPU- oder speicherintensive Operationen oder lang andauernde Operationen mit der Möglichkeit eines Timeouts sein.

  • Verwenden Sie angemessene Timeouts — Konfigurieren Sie Timeouts für Integritätsprüfungen, die normale Reaktionszeiten ermöglichen und gleichzeitig Fehler schnell erkennen.

    Timeouts für Integritätsprüfungen für den Expressmodus können für die Zielgruppe des Application Load Balancer konfiguriert werden. Navigieren Sie in der EC2 Amazon-Konsole zum Bereich Zielgruppen und wählen Sie Ihre Expressmodus-Zielgruppe aus. Wählen Sie die Registerkarte Health Checks und klicken Sie auf Bearbeiten. Unter Erweiterte Einstellungen für die Gesundheitsprüfung können Sie das Timeout anpassen. Oder verwenden aws elbv2 modify-target-group --target-group-arn <targetgroup> --health-check-timeout Sie.

  • Geben Sie die richtigen HTTP-Statuscodes zurück — Verwenden Sie 200 für fehlerfreien Status und 4xx/5xx für fehlerhafte Zustände.

Bewährte betriebliche Verfahren

Überwachung und Protokollierung

  • Aktivieren Sie Enhanced Container Insights — Verwenden CloudWatch Sie Enhanced Container Insights für eine umfassende Überwachung Ihrer Express-Modus-Serviceanwendungen.

    Weitere Informationen finden Sie unter Container Insights auf Amazon ECS einrichten.

  • Benutzerdefinierte Metriken einrichten — Veröffentlichen Sie anwendungsspezifische Metriken für die CloudWatch Überwachung der Geschäftslogik.

    Weitere Informationen finden Sie unter Öffentliche benutzerdefinierte Metriken im CloudWatch Benutzerhandbuch.

  • Protokollaufbewahrung konfigurieren — Legen Sie angemessene Aufbewahrungsfristen für Protokolle fest, um Kosten und Compliance-Anforderungen in Einklang zu bringen.

    CloudWatch Im Expressmodus erstellte Protokollgruppen sind so konfiguriert, dass sie nie ablaufen. Sie bleiben erhalten, wenn der Expressmodus-Dienst gelöscht wird. Sie können diese Einstellung in der CloudWatch Protokollgruppe anpassen.

  • Dashboards und Benachrichtigungen erstellen — CloudWatch Richten Sie Dashboards und Alarme für eine proaktive Überwachung ein.

Bereitstellungsstrategien

  • Implementieren Sie Backzeiten — Im Expressmodus wird eine „Canary Bake Time“ implementiert, um sicherzustellen, dass Bereitstellungen genügend Zeit haben, sich zu stabilisieren, und gleichzeitig den Explosionsradius problematischer Bereitstellungen zu reduzieren. Wenn Ihre Anwendung mehr Zeit zur Stabilisierung benötigt, kann dies in der Amazon ECS-Servicedefinition Ihres Expressmodus-Service konfiguriert werden. Weitere Informationen finden Sie unter Erstellen einer Amazon ECS-Canary-Bereitstellung.

  • Implementieren Sie Rollback-Verfahren — Planen Sie, schnell zu früheren Versionen zurückzukehren, falls Probleme auftreten.

    Aussagekräftige Integritätsprüfungen und auf Alarmen basierende Rollbacks können beide beim Rollback hilfreich sein. Die kanarische Implementierungsstrategie von Express Mode in Kombination mit alarmbasierten Rollbacks für 4xx- und 5xx-Verkehr ermöglicht schnelle Rollbacks bei fehlerhaftem Anwendungscode oder fehlerhafter Konfiguration.