Premiers pas avec amazon-web-services

Avant qu’il ne soit trop tard

Trucs et astuces pour éviter les situations désagréables

Instances EC2 et EBS

  • Définir les rôles IAM.

Contrairement aux balises, le rôle IAM est défini une fois pour toutes sur l’instanciation EC2 ([même après 4 ans][1]) ! Essayez d’identifier et de catégoriser au préalable vos instances afin de pouvoir leur attribuer des rôles IAM appropriés. Les rôles IAM sont un bon moyen d’identifier vos machines, ils permettront à Amazon de stocker automatiquement les informations d’identification du profil d’instance en toute sécurité sur vos machines et vous pourrez facilement accorder des privilèges supplémentaires.

Considérez la situation suivante où vous avez des serveurs de base de données et vous réalisez que vous souhaitez surveiller l’utilisation de la mémoire/du disque. Amazon CloudWatch ne fournit pas cette métrique prête à l’emploi et vous devrez configurer des privilèges supplémentaires pour envoyer des données personnalisées à CloudWatch. Si vous avez un rôle IAM « Base de données », vous pouvez facilement attacher de nouvelles stratégies à vos instances de base de données existantes pour leur permettre d’envoyer des rapports de mémoire à CloudWatch. Pas de rôles IAM ? Vous devez recréer vos instances de base de données ou leur donner l’autorisation individuellement.

  • Méfiez-vous de l’intégrité des instantanés

Amazon vous permet de prendre des instantanés de volumes EBS, mais si vous utilisez plusieurs volumes sur la même machine (en configuration RAID, plusieurs volumes EBS pour votre base de données), il est impossible de garantir l’intégrité de ces instantanés, qui peuvent se produire à des moments différents sur le différents volumes EBS.

Assurez-vous toujours qu’aucune donnée n’est écrite (arrêtez la machine virtuelle ou utilisez un code spécifique à l’application (par exemple, db.fsyncLock()) pour vous assurer qu’aucune donnée n’est écrite pendant l’instantané.

CloudWatch

  • Utilisez les alertes Amazon Cloudwatch + SNS en plus de vos notificateurs d’erreurs d’application

Créez des alertes pour un comportement anormal de vos machines et configurez pour envoyer des notifications via Amazon SNS (par exemple des adresses e-mail) en cas de problème. Avoir des notificateurs d’exception sur votre application ne vous aidera pas si votre serveur ne peut même pas recevoir de ping. D’autre part, à part 500 codes d’erreur, Amazon dispose de peu d’informations sur votre application et sur son fonctionnement, vous devriez envisager d’ajouter une surveillance de la santé spécifique à l’application.

[1] : https://forums.aws.amazon.com/thread.jspa?threadID=97487