REL02-BP01 Usar conectividad de red de alta disponibilidad para los puntos de conexión públicos de la carga de trabajo

La creación de una conectividad de red de alta disponibilidad para los puntos de conexión públicos de las cargas de trabajo puede ayudarle a reducir el tiempo de inactividad debido a la pérdida de conectividad y mejorar la disponibilidad y el SLA de su carga de trabajo. Para conseguirlo, use DNS, redes de entrega de contenido (CDN), puertas de enlace de API, un equilibrador de carga o proxies inversos altamente disponibles.

Resultado deseado: es fundamental planificar, construir y poner en funcionamiento una conectividad de red de alta disponibilidad para sus puntos de conexión públicos. Si la carga de trabajo resulta inaccesible debido a una pérdida de conectividad, incluso si la carga de trabajo está en funcionamiento y disponible, los clientes verán su sistema como caído. Al combinar una conectividad de red de alta disponibilidad y resistente para los puntos de conexión públicos de la carga de trabajo, junto con una arquitectura resistente para la propia carga de trabajo, puede proporcionar la mejor disponibilidad y nivel de servicio posibles a sus clientes.

AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway, las URL de función de AWS Lambda, las API de AWS AppSync y Elastic Load Balancing (ELB) ofrecen puntos de conexión públicos de alta disponibilidad. Amazon Route 53 proporciona un servicio DNS de alta disponibilidad para la resolución de nombres de dominio con el fin de verificar que las direcciones de los puntos de conexión públicos se puedan resolver.

También puede evaluar las aplicaciones de software de AWS Marketplace que proporcionen equilibrio de carga o uso de proxies.

Antipatrones usuales:

• Diseñar una carga de trabajo de alta disponibilidad sin planificar el DNS y la conectividad de red para alta disponibilidad.

• Usar direcciones de internet públicas en instancias o contenedores individuales y administrar la conectividad a ellas a con DNS.

• Usar direcciones IP en lugar de nombres de dominio para localizar los servicios.

• No hacer pruebas de escenarios en que se pierda la conectividad con sus puntos de conexión públicos.

• No analizar las necesidades de rendimiento de la red y los patrones de distribución.

• No hacer pruebas ni planificar escenarios en los que la conectividad de la red de internet a sus puntos de conexión públicos de la carga de trabajo pueda verse interrumpida.

• Proporcionar contenido (como páginas web, activos estáticos o archivos multimedia) a una gran área geográfica y no usar una red de entrega de contenido.

• No planificar en caso de que se produzcan ataques de denegación de servicio distribuido (DDoS). Los ataques DDoS corren el riesgo de cerrar el tráfico legítimo y reducir la disponibilidad para sus usuarios.

Beneficios de establecer esta práctica recomendada: se diseña una conectividad de red resistente y de alta disponibilidad que garantiza que la carga de trabajo esté accesible y disponible para los usuarios.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

El enrutamiento del tráfico es el núcleo de la creación de una conectividad de red de alta disponibilidad para sus puntos de conexión públicos. Para verificar que el tráfico puede llegar a los puntos de conexión, el DNS debe ser capaz de resolver los nombres de dominio en sus direcciones IP correspondientes. Utilice un sistema de nombres de dominio (DNS) escalable y de alta disponibilidad como Amazon Route 53 para administrar los registros DNS de su dominio. También puede utilizar las comprobaciones de estado proporcionadas por Amazon Route 53. Las comprobaciones de estado verifican que la aplicación sea accesible, esté disponible y funcione; se pueden configurar de manera que imiten el comportamiento de su usuario, como la solicitud de una página web o una URL concreta. En caso de error, Amazon Route 53 responde a las solicitudes de resolución de DNS y dirige el tráfico únicamente a los puntos de conexión de estado. También puede plantearse el uso de las capacidades de DNS geográfico y enrutamiento basado en la latencia que ofrece Amazon Route 53.

Para comprobar que la carga de trabajo en sí sea de alta disponibilidad, utilice Elastic Load Balancing (ELB). Amazon Route 53 se puede utilizar para dirigir el tráfico a ELB, que distribuye el tráfico a las instancias de computación de destino. También puede utilizar Amazon API Gateway junto con AWS Lambda para una solución sin servidor. Los clientes también pueden ejecutar cargas de trabajo en varias Regiones de AWS. Con el patrón activo/activo multisitio, la carga de trabajo puede atender tráfico de varias regiones. Con un patrón activo/pasivo multisitio, la carga de trabajo atiende tráfico desde la región activa, mientras que los datos se replican en la región secundaria y se activan en caso de error en la región principal. Las comprobaciones de estado de Route 53 se pueden utilizar para controlar la conmutación por error de DNS desde cualquier punto de conexión en una región principal y a un punto de conexión en una región secundaria, lo que verifica que la carga de trabajo esté accesible y disponible para los usuarios.

Amazon CloudFront proporciona una API sencilla para distribuir contenido con baja latencia y altas velocidades de transferencia de datos atendiendo las solicitudes mediante una red de ubicaciones periféricas en todo el mundo. Las redes de entrega de contenido (CDN) atienden a los clientes proporcionándoles contenido ubicado o almacenado en caché en una ubicación cercana al usuario. Esto también mejora la disponibilidad de su aplicación, ya que la carga de contenido se desplaza de sus servidores a las ubicaciones periféricas de CloudFront. Las ubicaciones periféricas y las cachés periféricas regionales mantienen copias en caché de su contenido cerca de sus usuarios, lo que permite una recuperación rápida y aumenta la accesibilidad y la disponibilidad de su carga de trabajo.

Para cargas de trabajo con usuarios distribuidos geográficamente, AWS Global Accelerator ayuda a mejorar la disponibilidad y el rendimiento de las aplicaciones. AWS Global Accelerator proporciona direcciones IP estáticas de difusión por proximidad que sirven como punto de entrada fijo a su aplicación alojada en una o más Regiones de AWS. Esto permite que el tráfico entre en la red global de AWS lo más cerca posible de sus usuarios, lo que mejora la accesibilidad y disponibilidad de su carga de trabajo. AWS Global Accelerator también supervisa el estado de los puntos de conexión de su aplicación mediante comprobaciones de estado de TCP, HTTP y HTTPS. Cualquier cambio en el estado o la configuración de sus puntos de conexión activa el redireccionamiento del tráfico de usuario a puntos de conexión en buen estado que ofrezcan el mejor rendimiento y disponibilidad a los usuarios. Además, AWS Global Accelerator cuenta con un diseño de aislamiento de errores que utiliza dos direcciones IPv4 estáticas atendidas por zonas de red independientes que aumentan la disponibilidad de las aplicaciones.

Para ayudar a proteger a los clientes de ataques DDoS, AWS proporciona AWS Shield Standard. Shield Standard se activa automáticamente y protege de los ataques habituales a la infraestructura (capas 3 y 4), como las inundaciones de SYN/UDP y los ataques de reflexión, para respaldar la alta disponibilidad de sus aplicaciones en AWS. Para obtener protecciones adicionales contra ataques más sofisticados y grandes (como inundaciones de UDP) y ataques de agotamiento de estado (como inundaciones de TCP SYN), y para ayudar a proteger sus aplicaciones que se ejecutan en Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Route 53, puede considerar el uso de AWS Shield Advanced. Para la protección contra ataques en la capa de aplicación como HTTP POST o inundaciones de GET, utilice AWS WAF. AWS WAF puede utilizar condiciones de direcciones IP, encabezados HTTP, cuerpos HTTP, cadenas de URI, inyección de código SQL y scripting entre sitios para determinar si una solicitud debe bloquearse o permitirse.

Pasos para la implementación

1. Configure DNS de alta disponibilidad: Amazon Route 53 es un servicio web de sistema de nombres de dominio (DNS) (DNS) altamente disponible y escalable. Route 53 conecta las solicitudes de los usuarios con las aplicaciones de Internet que se ejecutan en AWS o localmente. Para obtener más información, consulte Configuración de Amazon Route 53 como servicio DNS.

2. Configure comprobaciones de estado: cuando utilice Route 53, verifique que solo se puedan resolver los destinos en buen estado. Empiece por Creación de comprobaciones de estado de Route 53 y configuración de la conmutación por error a nivel de DNS. Es importante tener en cuenta los siguientes aspectos a la hora de configurar las comprobaciones de estado:

   1. Cómo determina Amazon Route 53 si la comprobación de estado es correcta

   2. Creación, actualización y eliminación de comprobaciones de estado

   3. Supervisar el estado de la comprobación de estado y recibir notificaciones

   4. Prácticas recomendadas de DNS de Amazon Route 53

3. Conecte su servicio DNS a sus puntos de conexión.

   1. Al utilizar Elastic Load Balancing como destino de su tráfico, cree un registro de alias mediante Amazon Route 53 que apunte al punto de conexión regional de su equilibrador de carga. Durante la creación del registro de alias, establezca la opción de evaluación de estado del destino a Sí.

   2. Para cargas de trabajo sin servidor o API privadas cuando se utilice API Gateway, utilice Route 53 para dirigir el tráfico a API Gateway.

4. Decida la red de entrega de contenido.

   1. A la hora de entregar contenido mediante las ubicaciones periféricas más cercanas al usuario, comience por comprender cómo CloudFront entrega el contenido.

   2. Empiece con una distribución sencilla de CloudFront. CloudFront sabrá entonces desde dónde desea que se entregue el contenido, así como los detalles sobre cómo realizar el seguimiento y administrar la entrega de contenido. Es importante comprender y tener en cuenta los siguientes aspectos al configurar la distribución de CloudFront:

      1. Cómo funciona el almacenamiento en caché con ubicaciones periféricas de CloudFront

      2. Incrementar la proporción de solicitudes que se atienden directamente desde las cachés de CloudFront (tasa de aciertos de caché)

      3. Uso de Amazon CloudFront Origin Shield

      4. Optimización de alta disponibilidad con conmutación por error de origen de CloudFront

5. Configure la protección de la capa de aplicación: AWS WAF le ayuda a protegerse contra ataques web y bots habituales que pueden afectar a la disponibilidad, comprometer la seguridad o consumir demasiados recursos. Para obtener una comprensión más profunda, revise cómo funciona AWS WAF y, cuando esté listo para implementar protecciones contra inundaciones de HTTP POST Y GET en la capa de aplicación, revise Introducción a AWS WAF. También puede utilizar AWS WAF con CloudFront. Consulte la documentación sobre cómo funciona AWS WAF con las características de Amazon CloudFront.

6. Configure protección DDoS adicional: de forma predeterminada, todos los clientes de AWS reciben protección frente a los ataques DDoS más habituales y frecuentes de la capa de red y transporte dirigidos a su sitio web o aplicación con AWS Shield Standard y sin ningún cargo adicional. Para obtener protección adicional de las aplicaciones orientadas a Internet que se ejecutan en Amazon EC2, Elastic Load Balancing, Amazon CloudFront, AWS Global Accelerator y Amazon Route 53 considere AWS Shield Advanced y revise los ejemplos de arquitecturas resistentes a DDoS. Para proteger su carga de trabajo y sus puntos de conexión públicos de ataques DDoS, consulte Introducción a AWS Shield Advanced.

Recursos

Prácticas recomendadas relacionadas:

• REL10-BP01 Implementar la carga de trabajo en varias ubicaciones

• REL10-BP02 Seleccionar las ubicaciones adecuadas para el despliegue en varias ubicaciones

• REL11-BP04 Confiar en el plano de datos y no en el plano de control durante la recuperación

• REL11-BP06 Enviar notificaciones cuando los eventos afecten a la disponibilidad

Documentos relacionados:

• Socio de APN: socios que pueden ayudarle a planificar sus redes

• AWS Marketplace for Network Infrastructure (AWS Marketplace para la infraestructura de red)

• ¿Qué es AWS Global Accelerator?

• ¿Qué es Amazon CloudFront?

• ¿Qué es Amazon Route 53?

• ¿Qué es Elastic Load Balancing?

• Network Connectivity capability - Establishing Your Cloud Foundations (Capacidad de conectividad de red: establecimiento de las bases de su nube)

• What is Amazon API Gateway? (¿Qué es Amazon API Gateway?)

• What are AWS WAF, AWS Shield, and AWS Firewall Manager? (¿Qué son AWS WAF, AWS Shield y AWS Firewall Manager?)

• What is Amazon Route 53 Application Recovery Controller? (¿Qué es el Controlador de recuperación de aplicaciones de Amazon Route 53?)

• Configurar las comprobaciones de estado personalizadas para la conmutación por error de DNS

Vídeos relacionados:

• AWS re:Invent 2022 - Improve performance and availability with AWS Global Accelerator (AWS re:Invent 2022: Mejorar el rendimiento y la disponibilidad con AWS Global Accelerator)

• AWS re:Invent 2020: Global traffic management with Amazon Route 53 (AWS re:Invent 2020: Administración de tráfico global con Amazon Route 53)

• AWS re:Invent 2022 - Operating highly available Multi-AZ applications (AWS re:Invent 2022: Funcionamiento de aplicaciones multi-AZ de alta disponibilidad)

• AWS re:Invent 2022 - Dive deep on AWS networking infrastructure (AWS re:Invent 2022: Profundización en la infraestructura de red de AWS)

• AWS re:Invent 2022 - Building resilient networks (AWS re:Invent 2022: Creación de redes resistentes)

Ejemplos relacionados:

• Disaster Recovery with Amazon Route 53 Application Recovery Controller (ARC) (Recuperación de desastres con el controlador de recuperación de aplicaciones [ARC] de Amazon Route 53)

• Reliability Workshops (Talleres de fiabilidad)

• AWS Global Accelerator Workshop (Taller de AWS Global Accelerator)