搭配使用 Shield 進階運作狀態檢查的最佳實務 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配使用 Shield 進階運作狀態檢查的最佳實務

當您使用「Shield 牌進階」建立並使用健康狀態檢查時,請遵循本節中的最佳作法。

  • 識別您要監視的基礎結構元件,以規劃健康狀態檢查。運作狀態檢查請考慮下列資源類型:

    • 關鍵資源。

    • 任何您想要在 Shield 進階偵測和緩解中獲得更高靈敏度的資源。

    • 您希望護 Shield 進階主動接觸到您的資源。主動參與是由運作狀態檢查的狀態檢查來告知。

    您可能想要監控的資源示例包括亞馬遜 CloudFront分佈、面向網際網路的負載平衡器以及 Amazon EC2 執行個體。

  • 定義運作狀態檢查,以盡可能少的通知準確反映應用程式來源的健康狀態。

    • 撰寫健康狀態檢查,以便只有當您的應用程式無法使用或未在可接受的參數範圍內執行時,才會不健康。您有責任根據應用程式的特定需求來定義和維護運作狀態檢查。

    • 儘可能少地使用健康狀態檢查,同時仍可準確報告應用程式的健康狀態。例如,來自應用程式多個區域的多個警示,這些警示都會報告相同問題,可能會增加回應活動的額外負荷,而不會增加資訊值。

    • 使用計算的運作狀態檢查,結合 Amazon 來監控應用程式運作狀態 CloudWatch 指標。例如,您可以根據應用程式伺服器的延遲及其 5xx 錯誤率來計算合併的健全狀況,這表示原始伺服器未滿足要求。

    • 建立並發佈您自己的應用程式健康狀態指標, CloudWatch 視需要自訂量度,並在計算的健康狀態檢查中使用它們。

  • 實施和管理您的運行狀態檢查,以改善檢測並減少不必要的維護活動。

    • 在您將健康狀態檢查與 Shield 進階防護建立關聯之前,請確定其處於健康狀態。建立報告狀態不良的健康狀態檢查關聯可能會扭曲受保護資源的 Shield Advanced 偵測機制。

    • 保持您的健康檢查可供 Shield 牌進階使用。請勿在 Route 53 中刪除您用於 Shield 牌進階防護的健康狀態檢查。

    • 僅使用測試和測試環境來測試健康狀態檢查。僅針對需要生產層級效能和可用性的環境維護健全狀況檢查關聯。請勿在「Shield Advanced」中針對測試環境和測試環境維護健康狀態檢查關聯。