` Parameter ist optional. Wenn Sie nicht darüber informiert werden, wird ein standardmäßig generierter Namespace-Name bereitgestellt. | Kubernetes-Benutzer mit erteilten Berechtigungen |
### Erstellen eines Amazon EFS-Dateisystems
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Generieren Sie ein eindeutiges Token. | Amazon EFS benötigt ein Erstellungstoken, um einen idempotenten Vorgang sicherzustellen (der Aufruf des Vorgangs mit demselben Erstellungstoken hat keine Auswirkung). Um diese Anforderung zu erfüllen, müssen Sie mithilfe einer verfügbaren Technik ein eindeutiges Token generieren. Sie können beispielsweise einen Universally Unique Identifier (UUID) generieren, um ihn als Erstellungstoken zu verwenden. | AWS-Systemadministrator |
| Erstellen Sie ein Amazon EFS-Dateisystem. | Erstellen Sie das Dateisystem für den Empfang der Datendateien, die von den Anwendungsworkloads gelesen und geschrieben werden. Sie können ein verschlüsseltes oder ein unverschlüsseltes Dateisystem erstellen. (Es hat sich bewährt, dass der Code für dieses Muster ein verschlüsseltes System erstellt, sodass die Verschlüsselung im Ruhezustand standardmäßig aktiviert ist.) Sie können einen eindeutigen, symmetrischen AWS-KMS-Schlüssel verwenden, um Ihr Dateisystem zu verschlüsseln. Wenn kein benutzerdefinierter Schlüssel angegeben ist, wird ein von AWS verwalteter Schlüssel verwendet.Verwenden Sie das Skript create-efs.sh, um ein verschlüsseltes oder unverschlüsseltes Amazon EFS-Dateisystem zu erstellen, nachdem Sie ein eindeutiges Token für Amazon EFS generiert haben.**Mit Verschlüsselung im Ruhezustand, ohne KMS-Schlüssel:**./scripts/epic02/create-efs.sh \
-c "$CLUSTER_NAME" \
-t "$EFS_CREATION_TOKEN"
wo `$CLUSTER_NAME` ist der Name Ihres Amazon EKS-Clusters und `$EFS_CREATION_TOKEN` ist ein eindeutiges Erstellungstoken für das Dateisystem.**Mit Verschlüsselung im Ruhezustand, mit einem KMS-Schlüssel:**./scripts/epic02/create-efs.sh \
-c "$CLUSTER_NAME" \
-t "$EFS_CREATION_TOKEN" \
-k "$KMS_KEY_ALIAS"
wobei `$CLUSTER_NAME` der Name Ihres Amazon EKS-Clusters, `$EFS_CREATION_TOKEN` ein eindeutiges Erstellungstoken für das Dateisystem und der Alias für den KMS-Schlüssel `$KMS_KEY_ALIAS` ist.**Ohne Verschlüsselung:**./scripts/epic02/create-efs.sh -d \
-c "$CLUSTER_NAME" \
-t "$EFS_CREATION_TOKEN"
wobei `$CLUSTER_NAME` der Name Ihres Amazon EKS-Clusters `$EFS_CREATION_TOKEN` steht, ein eindeutiges Erstellungstoken für das Dateisystem ist und die Verschlüsselung im Ruhezustand `–d` deaktiviert. | AWS-Systemadministrator |
| Erstellen einer Sicherheitsgruppe. | Erstellen Sie eine Sicherheitsgruppe, um dem Amazon EKS-Cluster den Zugriff auf das Amazon EFS-Dateisystem zu ermöglichen. | AWS-Systemadministrator |
| Aktualisieren Sie die Regel für eingehende Nachrichten für die Sicherheitsgruppe. | Aktualisieren Sie die Regeln für eingehenden Datenverkehr der Sicherheitsgruppe, um eingehenden Datenverkehr für die folgenden Einstellungen zuzulassen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/run-stateful-workloads-with-persistent-data-storage-by-using-amazon-efs-on-amazon-eks-with-aws-fargate.html) | AWS-Systemadministrator |
| Fügen Sie für jedes private Subnetz ein Mount-Ziel hinzu. | Erstellen Sie für jedes private Subnetz des Kubernetes-Clusters ein Mount-Ziel für das Dateisystem und die Sicherheitsgruppe. | AWS-Systemadministrator |
### Installieren Sie Amazon EFS-Komponenten im Kubernetes-Cluster
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie den Amazon EFS CSI-Treiber bereit. | Stellen Sie den Amazon EFS CSI-Treiber im Cluster bereit. Der Treiber stellt Speicher entsprechend den von Anwendungen generierten persistenten Volume-Ansprüchen bereit. Führen Sie das `create-k8s-efs-csi-sc.sh` Skript aus, um den Amazon EFS CSI-Treiber und die Speicherklasse im Cluster bereitzustellen../scripts/epic03/create-k8s-efs-csi-sc.sh
Dieses Skript verwendet das `kubectl` Hilfsprogramm. Stellen Sie also sicher, dass der Kontext konfiguriert wurde, und verweisen Sie auf den gewünschten Amazon EKS-Cluster. | Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie die Speicherklasse bereit. | Stellen Sie die Speicherklasse im Cluster für den Amazon EFS-Provisioner bereit (efs.csi.aws.com). | Kubernetes-Benutzer mit erteilten Berechtigungen |
### Installieren Sie die PoC-Anwendung im Kubernetes-Cluster
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie das persistente Volume bereit. | Stellen Sie das persistente Volume bereit und verknüpfen Sie es mit der erstellten Speicherklasse und der ID des Amazon EFS-Dateisystems. Die Anwendung verwendet das persistente Volume zum Lesen und Schreiben von Inhalten. Sie können eine beliebige Größe für das persistente Volumen im Speicherfeld angeben. Kubernetes erfordert dieses Feld, aber da Amazon EFS ein elastisches Dateisystem ist, erzwingt es keine Dateisystemkapazität. Sie können das persistente Volume mit oder ohne Verschlüsselung bereitstellen. (Der Amazon EFS CSI-Treiber aktiviert standardmäßig die Verschlüsselung als bewährte Methode.) Führen Sie das `deploy-poc-app.sh` Skript aus, um das persistente Volume, den Anspruch auf persistente Volumes und die beiden Workloads bereitzustellen.**Bei Verschlüsselung während der Übertragung:**./scripts/epic04/deploy-poc-app.sh \
-t "$EFS_CREATION_TOKEN"
wo `$EFS_CREATION_TOKEN` ist das eindeutige Erstellungstoken für das Dateisystem.**Ohne Verschlüsselung bei der Übertragung:**./scripts/epic04/deploy-poc-app.sh -d \
-t "$EFS_CREATION_TOKEN"
wo `$EFS_CREATION_TOKEN` ist das eindeutige Erstellungstoken für das Dateisystem und `–d` deaktiviert die Verschlüsselung bei der Übertragung. | Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie den von der Anwendung angeforderten Anspruch auf persistentes Volumen bereit. | Stellen Sie den von der Anwendung angeforderten Anspruch auf beständiges Volumen bereit und verknüpfen Sie ihn mit der Speicherklasse. Verwenden Sie denselben Zugriffsmodus wie das persistente Volume, das Sie zuvor erstellt haben. Sie können im Speicherfeld eine beliebige Größe für den Anspruch auf persistentes Volumen angeben. Kubernetes erfordert dieses Feld, aber da Amazon EFS ein elastisches Dateisystem ist, erzwingt es keine Dateisystemkapazität. | Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie Workload 1 bereit. | Stellen Sie den Pod bereit, der Workload 1 der Anwendung darstellt. Dieser Workload schreibt Inhalt in die Datei`/data/out1.txt`. | Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie Workload 2 bereit. | Stellen Sie den Pod bereit, der Workload 2 der Anwendung darstellt. Dieser Workload schreibt Inhalt in die Datei`/data/out2.txt`. | Kubernetes-Benutzer mit erteilten Berechtigungen |
### Überprüfen Sie die Persistenz, Haltbarkeit und gemeinsame Nutzung des Dateisystems
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie den Status von`PersistentVolume`. | Geben Sie den folgenden Befehl ein, um den Status von zu überprüfen`PersistentVolume`.kubectl get pv
Eine Beispielausgabe finden Sie im Abschnitt [Zusätzliche Informationen](#run-stateful-workloads-with-persistent-data-storage-by-using-amazon-efs-on-amazon-eks-with-aws-fargate-additional). | Kubernetes-Benutzer mit erteilten Berechtigungen |
| Überprüfen Sie den Status von. `PersistentVolumeClaim` | Geben Sie den folgenden Befehl ein, um den Status von zu überprüfen`PersistentVolumeClaim`.kubectl -n poc-efs-eks-fargate get pvc
Eine Beispielausgabe finden Sie im Abschnitt [Zusätzliche Informationen](#run-stateful-workloads-with-persistent-data-storage-by-using-amazon-efs-on-amazon-eks-with-aws-fargate-additional). | Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie sicher, dass Workload 1 in das Dateisystem schreiben kann. | Geben Sie den folgenden Befehl ein, um zu überprüfen, ob Workload 1 schreibt`/data/out1.txt`.kubectl exec -ti poc-app1 -n poc-efs-eks-fargate -- tail -f /data/out1.txt
Die Ergebnisse ähneln den folgenden:...
Thu Sep 3 15:25:07 UTC 2023 - PoC APP 1
Thu Sep 3 15:25:12 UTC 2023 - PoC APP 1
Thu Sep 3 15:25:17 UTC 2023 - PoC APP 1
...
| Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie sicher, dass Workload 2 in das Dateisystem schreiben kann. | Geben Sie den folgenden Befehl ein, um zu überprüfen, ob Workload 2 schreibt`/data/out2.txt`.kubectl -n $APP_NAMESPACE exec -ti poc-app2 -- tail -f /data/out2.txt
Die Ergebnisse ähneln den folgenden:...
Thu Sep 3 15:26:48 UTC 2023 - PoC APP 2
Thu Sep 3 15:26:53 UTC 2023 - PoC APP 2
Thu Sep 3 15:26:58 UTC 2023 - PoC APP 2
...
| Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie sicher, dass Workload 1 die von Workload 2 geschriebene Datei lesen kann. | Geben Sie den folgenden Befehl ein, um zu überprüfen, ob Workload 1 die von Workload 2 geschriebene `/data/out2.txt` Datei lesen kann.kubectl exec -ti poc-app1 -n poc-efs-eks-fargate -- tail -n 3 /data/out2.txt
Die Ergebnisse ähneln den folgenden:...
Thu Sep 3 15:26:48 UTC 2023 - PoC APP 2
Thu Sep 3 15:26:53 UTC 2023 - PoC APP 2
Thu Sep 3 15:26:58 UTC 2023 - PoC APP 2
...
| Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie sicher, dass Workload 2 die von Workload 1 geschriebene Datei lesen kann. | Geben Sie den folgenden Befehl ein, um zu überprüfen, ob Workload 2 die von Workload 1 geschriebene `/data/out1.txt` Datei lesen kann.kubectl -n $APP_NAMESPACE exec -ti poc-app2 -- tail -n 3 /data/out1.txt
Die Ergebnisse ähneln den folgenden:...
Thu Sep 3 15:29:22 UTC 2023 - PoC APP 1
Thu Sep 3 15:29:27 UTC 2023 - PoC APP 1
Thu Sep 3 15:29:32 UTC 2023 - PoC APP 1
...
| Kubernetes-Benutzer mit erteilten Berechtigungen |
| Stellen Sie sicher, dass Dateien nach dem Entfernen von Anwendungskomponenten beibehalten werden. | Als Nächstes verwenden Sie ein Skript, um die Anwendungskomponenten (persistentes Volume, Persistentes Volume Claim und Pods) zu entfernen und zu überprüfen, ob die Dateien `/data/out1.txt` im Dateisystem aufbewahrt `/data/out2.txt` werden. Führen Sie das Skript `validate-efs-content.sh` mit dem folgenden Befehl aus../scripts/epic05/validate-efs-content.sh \
-t "$EFS_CREATION_TOKEN"
wo `$EFS_CREATION_TOKEN` ist das eindeutige Erstellungstoken für das Dateisystem.Die Ergebnisse ähneln den folgenden:pod/poc-app-validation created
Waiting for pod get Running state...
Waiting for pod get Running state...
Waiting for pod get Running state...
Results from execution of 'find /data' on validation process pod:
/data
/data/out2.txt
/data/out1.txt
| Kubernetes-Benutzer mit erteilten Berechtigungen, Systemadministrator |
### Überwachen Sie den Betrieb
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überwachen Sie Anwendungsprotokolle. | Senden Sie die Anwendungsprotokolle im Rahmen eines Vorgangs am zweiten Tag CloudWatch zur Überwachung an Amazon. | AWS-Systemadministrator, Kubernetes-Benutzer mit erteilten Berechtigungen |
| Überwachen Sie Amazon EKS- und Kubernetes-Container mit Container Insights. | Überwachen Sie im Rahmen eines Vorgangs am zweiten Tag die Amazon EKS- und Kubernetes-Systeme mithilfe von Amazon CloudWatch Container Insights. Dieses Tool sammelt, aggregiert und fasst Metriken aus containerisierten Anwendungen auf verschiedenen Ebenen und Dimensionen zusammen. [Weitere Informationen finden Sie im Abschnitt Verwandte Ressourcen.](#run-stateful-workloads-with-persistent-data-storage-by-using-amazon-efs-on-amazon-eks-with-aws-fargate-resources) | AWS-Systemadministrator, Kubernetes-Benutzer mit erteilten Berechtigungen |
| Überwachen Sie Amazon EFS mit CloudWatch. | Überwachen Sie im Rahmen eines Vorgangs am zweiten Tag die Dateisysteme mithilfe von Amazon CloudWatch, das Rohdaten von Amazon EFS sammelt und zu lesbaren Metriken nahezu in Echtzeit verarbeitet. Weitere Informationen finden Sie im Abschnitt [Verwandte Ressourcen](#run-stateful-workloads-with-persistent-data-storage-by-using-amazon-efs-on-amazon-eks-with-aws-fargate-resources). | AWS-Systemadministrator |
### Bereinigen von Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bereinigen Sie alle erstellten Ressourcen für das Muster. | Nachdem Sie dieses Muster abgeschlossen haben, bereinigen Sie alle Ressourcen, um zu vermeiden, dass AWS-Gebühren anfallen. Führen Sie das `clean-up-resources.sh` Skript aus, um alle Ressourcen zu entfernen, nachdem Sie die PoC-Anwendung nicht mehr verwendet haben. Füllen Sie eine der folgenden Optionen aus.**Mit Verschlüsselung im Ruhezustand, mit einem KMS-Schlüssel:**./scripts/epic06/clean-up-resources.sh \
-c "$CLUSTER_NAME" \
-t "$EFS_CREATION_TOKEN" \
-k "$KMS_KEY_ALIAS"
wobei `$CLUSTER_NAME` der Name Ihres Amazon EKS-Clusters, `$EFS_CREATION_TOKEN` das Erstellungstoken für das Dateisystem und der Alias für den KMS-Schlüssel `$KMS_KEY_ALIAS` ist.**Ohne Verschlüsselung im Ruhezustand:**./scripts/epic06/clean-up-resources.sh \
-c "$CLUSTER_NAME" \
-t "$EFS_CREATION_TOKEN"
wobei `$CLUSTER_NAME` der Name Ihres Amazon EKS-Clusters und das Erstellungstoken für das Dateisystem `$EFS_CREATION_TOKEN` ist. | Kubernetes-Benutzer mit erteilten Berechtigungen, Systemadministrator |
## Zugehörige Ressourcen
**Referenzen**
+ [AWS Fargate für Amazon EKS unterstützt jetzt Amazon EFS](https://aws.amazon.com/blogs/aws/new-aws-fargate-for-amazon-eks-now-supports-amazon-efs/) (Ankündigung)
+ [So erfassen Sie Anwendungsprotokolle bei der Verwendung von Amazon EKS auf AWS Fargate](https://aws.amazon.com/blogs/containers/how-to-capture-application-logs-when-using-amazon-eks-on-aws-fargate/) (Blogbeitrag)
+ [Verwenden von Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContainerInsights.html) ( CloudWatch Amazon-Dokumentation)
+ [Container Insights auf Amazon EKS und Kubernetes einrichten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-EKS.html) ( CloudWatch Amazon-Dokumentation)
+ [Kennzahlen zu Amazon EKS und Kubernetes Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-metrics-EKS.html) ( CloudWatch Amazon-Dokumentation)
+ [Überwachung von Amazon EFS mit Amazon CloudWatch](https://docs.aws.amazon.com/efs/latest/ug/monitoring-cloudwatch.html) (Amazon EFS-Dokumentation)
**GitHub Tutorials und Beispiele**
+ [Statische Bereitstellung](https://github.com/kubernetes-sigs/aws-efs-csi-driver/blob/master/examples/kubernetes/static_provisioning/README.md)
+ [Verschlüsselung während der Übertragung](https://github.com/kubernetes-sigs/aws-efs-csi-driver/blob/master/examples/kubernetes/encryption_in_transit/README.md)
+ [Zugriff auf das Dateisystem von mehreren Pods aus](https://github.com/kubernetes-sigs/aws-efs-csi-driver/blob/master/examples/kubernetes/multiple_pods/README.md)
+ [Nutzung von Amazon EFS in StatefulSets](https://github.com/kubernetes-sigs/aws-efs-csi-driver/blob/master/examples/kubernetes/statefulset/README.md)
+ [Unterpfade werden eingebunden](https://github.com/kubernetes-sigs/aws-efs-csi-driver/blob/master/examples/kubernetes/volume_path/README.md)
+ [Verwenden von Amazon EFS-Zugriffspunkten](https://github.com/kubernetes-sigs/aws-efs-csi-driver/blob/master/examples/kubernetes/access_points/README.md)
+ [Amazon EKS Blueprints für Terraform](https://aws-ia.github.io/terraform-aws-eks-blueprints/)
**Erforderliche Tools**
+ [Installation der AWS-CLI Version 2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html)
+ [Installation von eksctl](https://docs.aws.amazon.com/eks/latest/userguide/getting-started-eksctl.html)
+ [Kubectl wird installiert](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html)
+ [jq installieren](https://stedolan.github.io/jq/download/)
## Zusätzliche Informationen
Im Folgenden finden Sie ein Beispiel für die Ausgabe des `kubectl get pv` Befehls.
```
NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM STORAGECLASS REASON AGE
poc-app-pv 1Mi RWX Retain Bound poc-efs-eks-fargate/poc-app-pvc efs-sc 3m56s
```
Im Folgenden finden Sie ein Beispiel für die Ausgabe des `kubectl -n poc-efs-eks-fargate get pvc` Befehls.
```
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE
poc-app-pvc Bound poc-app-pv 1Mi RWX efs-sc 4m34s
```
# Richten Sie ereignisgesteuertes Auto Scaling in Amazon EKS mithilfe von Amazon EKS Pod Identity und KEDA ein
*Dipen Desai, Abhay Diwan, Kamal Joshi und Mahendra Revanasiddappa, Amazon Web Services*
## Zusammenfassung
Orchestrierungsplattformen wie [Amazon Elastic Kubernetes Service (Amazon EKS)](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) haben das Lebenszyklusmanagement containerbasierter Anwendungen optimiert. Dies hilft Unternehmen, sich auf die Entwicklung, Sicherung, den Betrieb und die Wartung containerbasierter Anwendungen zu konzentrieren. Da ereignisgesteuerte Bereitstellungen immer häufiger vorkommen, skalieren Unternehmen Kubernetes-Bereitstellungen immer häufiger auf der Grundlage verschiedener Ereignisquellen. Diese Methode kann in Kombination mit Auto Scaling zu erheblichen Kosteneinsparungen führen, da Rechenressourcen auf Abruf und eine effiziente Skalierung bereitgestellt werden, die auf die Anwendungslogik zugeschnitten ist.
[KEDA](https://keda.sh/) ist ein auf Kubernetes basierender ereignisgesteuerter Autoscaler. KEDA hilft Ihnen dabei, jeden Container in Kubernetes auf der Grundlage der Anzahl der Ereignisse, die verarbeitet werden müssen, zu skalieren. Es ist leicht und lässt sich in jeden Kubernetes-Cluster integrieren. Es funktioniert auch mit Standard-Kubernetes-Komponenten wie [Horizontal Pod Autoscaling](https://kubernetes.io/docs/tasks/run-application/horizontal-pod-autoscale/) (HPA). KEDA bietet auch eine Funktion [TriggerAuthentication](https://keda.sh/docs/2.14/concepts/authentication/#re-use-credentials-and-delegate-auth-with-triggerauthentication), mit der Sie die Authentifizierung delegieren können. Es ermöglicht Ihnen, Authentifizierungsparameter zu beschreiben, die von den Containern ScaledObject und den Bereitstellungscontainern getrennt sind.
AWS bietet AWS Identity and Access Management (IAM) -Rollen, die verschiedene Kubernetes-Bereitstellungsoptionen unterstützen, darunter Amazon EKS, Amazon EKS Anywhere Red Hat OpenShift Service in AWS (ROSA) und selbstverwaltete Kubernetes-Cluster auf Amazon Elastic Compute Cloud (Amazon). EC2 Diese Rollen verwenden IAM-Konstrukte wie OpenID Connect (OIDC) -Identitätsanbieter und IAM-Vertrauensrichtlinien, um in verschiedenen Umgebungen zu arbeiten, ohne sich direkt auf Amazon EKS-Services oder verlassen zu müssen. APIs Weitere Informationen finden Sie unter [IAM-Rollen für Dienstkonten](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) in der Amazon EKS-Dokumentation.
[Amazon EKS Pod Identity](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html) vereinfacht den Prozess, bei dem Kubernetes-Servicekonten IAM-Rollen übernehmen können, ohne dass OIDC-Anbieter erforderlich sind. Es bietet die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten. Anstatt Ihre AWS Anmeldeinformationen zu erstellen und an die Container zu verteilen oder die Rolle der EC2 Amazon-Instance zu verwenden, verknüpfen Sie eine IAM-Rolle mit einem Kubernetes-Dienstkonto und konfigurieren Ihre Pods so, dass sie das Dienstkonto verwenden. Dies hilft Ihnen, eine IAM-Rolle in mehreren Clustern zu verwenden, und vereinfacht die Richtlinienverwaltung, indem die Wiederverwendung von Berechtigungsrichtlinien für alle IAM-Rollen ermöglicht wird.
Durch die Implementierung von KEDA mit Amazon EKS Pod Identity können Unternehmen eine effiziente ereignisgesteuerte auto Skalierung und eine vereinfachte Verwaltung von Anmeldeinformationen erreichen. Anwendungen werden je nach Bedarf skaliert, wodurch die Ressourcennutzung optimiert und die Kosten gesenkt werden.
Dieses Muster hilft Ihnen bei der Integration von Amazon EKS Pod Identity in KEDA. Es zeigt, wie Sie das `keda-operator` Dienstkonto verwenden und die Authentifizierung delegieren können. `TriggerAuthentication` Außerdem wird beschrieben, wie eine Vertrauensbeziehung zwischen einer IAM-Rolle für den KEDA-Operator und einer IAM-Rolle für die Anwendung eingerichtet wird. Diese Vertrauensbeziehung ermöglicht es KEDA, Nachrichten in den Ereigniswarteschlangen zu überwachen und die Skalierung für die Kubernetes-Zielobjekte anzupassen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ AWS Command Line Interface [(AWS CLI) Version 2.13.17 oder höher, installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ [Python-Version 3.11.5 oder höher, installiert](https://www.python.org/downloads/)
+ AWS SDK für Python (Boto3) [Version 1.34.135 oder höher, installiert](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html)
+ [Helm Version 3.12.3 oder höher, installiert](https://helm.sh/docs/intro/install/)
+ [kubectl Version 1.25.1 oder höher, installiert](https://kubernetes.io/docs/tasks/tools/)
+ [Docker Engine Version 26.1.1 oder höher, installiert](https://docs.docker.com/engine/install/)
+ [Ein Amazon EKS-Cluster Version 1.24 oder höher, erstellt](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html)
+ Voraussetzungen für die Erstellung des Amazon EKS Pod Identity-Agenten, [erfüllt](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html#pod-id-agent-add-on-create)
**Einschränkungen**
+ Es ist erforderlich, dass Sie eine Vertrauensbeziehung zwischen der `keda-operator` Rolle und der `keda-identity` Rolle einrichten. Anweisungen finden Sie im Abschnitt [Epen](#event-driven-auto-scaling-with-eks-pod-identity-and-keda-epics) dieses Musters.
## Architektur
In diesem Muster erstellen Sie die folgenden AWS Ressourcen:
+ **Amazon Elastic Container Registry (Amazon ECR) -Repository** — In diesem Muster wird dieses Repo benannt. `keda-pod-identity-registry` Dieses private Repo wird zum Speichern von Docker-Images der Beispielanwendung verwendet.
+ **Amazon Simple Queue Service (Amazon SQS) -Warteschlange** — In diesem Muster wird diese Warteschlange benannt`event-messages-queue`. Die Warteschlange fungiert als Nachrichtenpuffer, der eingehende Nachrichten sammelt und speichert. KEDA überwacht die Warteschlangenmetriken, z. B. die Anzahl der Nachrichten oder die Länge der Warteschlange, und skaliert die Anwendung automatisch auf der Grundlage dieser Messwerte.
+ **IAM-Rolle für die Anwendung** — In diesem Muster wird diese Rolle benannt. `keda-identity` Die `keda-operator` Rolle übernimmt diese Rolle. Diese Rolle ermöglicht den Zugriff auf die Amazon SQS SQS-Warteschlange.
+ **IAM-Rolle für den KEDA-Operator** — In diesem Muster wird diese Rolle benannt. `keda-operator` Der KEDA-Operator verwendet diese Rolle, um die erforderlichen AWS API-Aufrufe durchzuführen. Diese Rolle ist berechtigt, die `keda-identity` Rolle zu übernehmen. Aufgrund der Vertrauensstellung zwischen den Rollen `keda-operator` und den `keda-identity` Rollen verfügt die `keda-operator` Rolle über Amazon SQS SQS-Berechtigungen.
Über die benutzerdefinierten Ressourcen `TriggerAuthentication` und `ScaledObject` Kubernetes verwendet der Operator die `keda-identity` Rolle, um eine Verbindung mit einer Amazon SQS SQS-Warteschlange herzustellen. Basierend auf der Größe der Warteschlange skaliert KEDA die Anwendungsbereitstellung automatisch. Es fügt 1 Pod für jeweils 5 ungelesene Nachrichten in der Warteschlange hinzu. Wenn sich in der Standardkonfiguration keine ungelesenen Nachrichten in der Amazon SQS SQS-Warteschlange befinden, wird die Anwendung auf 0 Pods herunterskaliert. Der KEDA-Operator überwacht die Warteschlange in einem von Ihnen festgelegten Intervall.
Die folgende Abbildung zeigt, wie Sie Amazon EKS Pod Identity verwenden, um der `keda-operator` Rolle sicheren Zugriff auf die Amazon SQS SQS-Warteschlange zu gewähren.
![\[Verwendung von KEDA und Amazon EKS Pod Identity zur automatischen Skalierung einer Kubernetes-basierten Anwendung.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/56f7506d-e8d3-43e5-bec6-42267fedd0ae/images/05bdbd09-9eb8-4c0b-8c0d-efe38aecb683.png)
Das Diagramm zeigt den folgenden Workflow:
1. Sie installieren den Amazon EKS Pod Identity-Agenten im Amazon EKS-Cluster.
1. Sie stellen den KEDA-Operator im KEDA-Namespace im Amazon EKS-Cluster bereit.
1. Sie erstellen die Rollen `keda-operator` und `keda-identity` IAM im Ziel. AWS-Konto
1. Sie stellen eine Vertrauensbeziehung zwischen den IAM-Rollen her.
1. Sie stellen die Anwendung im `security` Namespace bereit.
1. Der KEDA-Operator fragt Nachrichten in einer Amazon SQS SQS-Warteschlange ab.
1. KEDA initiiert HPA, wodurch die Anwendung automatisch auf der Grundlage der Warteschlangengröße skaliert wird.
## Tools
**AWS-Services**
+ [Amazon Elastic Container Registry (Amazon ECR)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) ist ein verwalteter Container-Image-Registry-Service, der sicher, skalierbar und zuverlässig ist.
+ Mit [Amazon Elastic Kubernetes Service (Amazon EKS)](https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html) können Sie Kubernetes ausführen, AWS ohne dass Sie Ihre eigene Kubernetes-Steuerebene oder Knoten installieren oder verwalten müssen.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [Amazon Simple Queue Service (Amazon SQS)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html) bietet eine sichere, dauerhafte und verfügbare gehostete Warteschlange, mit der Sie verteilte Softwaresysteme und -komponenten integrieren und entkoppeln können.
**Andere Tools**
+ [KEDA](https://keda.sh/) ist ein auf Kubernetes basierender ereignisgesteuerter Autoscaler.
**Code-Repository**
Der Code für dieses Muster ist im GitHub [Event-Driven Auto Scaling using EKS Pod Identity and KEDA](https://github.com/aws-samples/event-driven-autoscaling-using-podidentity-and-keda/tree/main) Repository verfügbar.
## Best Practices
Wir empfehlen Ihnen, die ACM bewährte Methode für zu befolgen.
+ [Bewährte Methoden für Amazon EKS](https://docs.aws.amazon.com/eks/latest/best-practices/introduction.html)
+ [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bewährte Methoden für Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-best-practices.html)
## Epen
### Ressourcen erstellen AWS
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die IAM-Rolle für den KEDA-Operator. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | AWS-Administrator |
| Erstellen Sie die IAM-Rolle für die Beispielanwendung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | AWS-Administrator |
| Erstellen einer Amazon SQS-Warteschlange | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | Allgemeines AWS |
| Erstellen Sie ein Amazon-ECR-Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | Allgemeines AWS |
### Den Amazon EKS-Cluster einrichten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie den Amazon EKS Pod Identity-Agenten bereit. | Richten Sie für den Amazon EKS-Zielcluster den Amazon EKS Pod Identity-Agenten ein. Folgen Sie den Anweisungen unter [Amazon EKS Pod Identity Agent einrichten](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html#pod-id-agent-add-on-create) in der Amazon EKS-Dokumentation. | AWS DevOps |
| Stellen Sie KEDA bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | DevOps Ingenieur |
| Weisen Sie dem Kubernetes-Dienstkonto die IAM-Rolle zu. | Folgen Sie den Anweisungen unter [Zuweisen einer IAM-Rolle zu einem Kubernetes-Servicekonto](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-association.html) in der Amazon EKS-Dokumentation. Verwenden Sie die folgenden Werte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | AWS DevOps |
| Erstellen Sie einen -Namespace. | Geben Sie den folgenden Befehl ein, um einen `security` Namespace im Amazon EKS-Zielcluster zu erstellen:kubectl create ns security
| DevOps Ingenieur |
### Bereitstellen der Beispielanwendung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie die Anwendungsdateien. | Geben Sie den folgenden Befehl ein, um die [ereignisgesteuerte auto Skalierung mithilfe von EKS Pod Identity und dem KEDA-Repository](https://github.com/aws-samples/event-driven-autoscaling-using-podidentity-and-keda/tree/main) von zu klonen: GitHubgit clone https://github.com/aws-samples/event-driven-autoscaling-using-podidentity-and-keda.git
| DevOps Ingenieur |
| Erstellen Sie das Docker-Image. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | DevOps Ingenieur |
| Senden Sie das Docker-Image an Amazon ECR. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html)Sie finden Push-Befehle, indem Sie zur Amazon ECR-Repository-Seite navigieren und dann **Push-Befehle anzeigen** wählen. | DevOps Ingenieur |
| Stellen Sie die Beispielanwendung bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | DevOps Ingenieur |
| Weisen Sie dem Anwendungsdienstkonto die IAM-Rolle zu. | Gehen Sie wie folgt vor, um die `keda-identity` IAM-Rolle dem Dienstkonto für die Beispielanwendung zuzuordnen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | DevOps Ingenieur |
| Bereitstellen `ScaledObject` und`TriggerAuthentication`. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | DevOps Ingenieur |
### Testen Sie die auto Skalierung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Senden Sie Nachrichten an die Amazon SQS SQS-Warteschlange. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | DevOps Ingenieur |
| Überwachen Sie die Anwendungs-Pods. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) | DevOps Ingenieur |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Der KEDA-Operator kann die Anwendung nicht skalieren. | Geben Sie den folgenden Befehl ein, um die Protokolle der `keda-operator` IAM-Rolle zu überprüfen:kubectl logs -n keda -l app=keda-operator -c keda-operator
Wenn es einen `HTTP 403` Antwortcode gibt, verfügen die Anwendung und der KEDA-Scaler nicht über ausreichende Berechtigungen, um auf die Amazon SQS SQS-Warteschlange zuzugreifen. Führen Sie folgende Schritte aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html)Wenn ein `Assume-Role` Fehler auftritt, kann eine [Amazon EKS-Knoten-IAM-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/create-node-role.html) die IAM-Rolle, für die definiert ist, nicht übernehmen. `TriggerAuthentication` Führen Sie folgende Schritte aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/event-driven-auto-scaling-with-eks-pod-identity-and-keda.html) |
## Zugehörige Ressourcen
+ [Den Amazon EKS Pod Identity Agent einrichten](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html) (Amazon EKS-Dokumentation)
+ [Bereitstellung von KEDA](https://keda.sh/docs/2.14/deploy/) (KEDA-Dokumentation)
+ [ScaledObject Spezifikation](https://keda.sh/docs/2.16/reference/scaledobject-spec/) (KEDA-Dokumentation)
+ [Authentifizierung mit TriggerAuthentication](https://keda.sh/docs/2.14/concepts/authentication/) (KEDA-Dokumentation)
# Optimieren Sie PostgreSQL-Bereitstellungen auf Amazon EKS mithilfe von PGO
*Shalaka Dengale, Amazon Web Services*
## Zusammenfassung
Dieses Muster integriert den Postgres-Operator von Crunchy Data (PGO) mit Amazon Elastic Kubernetes Service (Amazon EKS), um PostgreSQL-Bereitstellungen in cloudnativen Umgebungen zu optimieren. PGO bietet Automatisierung und Skalierbarkeit für die Verwaltung von PostgreSQL-Datenbanken in Kubernetes. Wenn Sie PGO mit Amazon EKS kombinieren, bildet es eine robuste Plattform für die effiziente Bereitstellung, Verwaltung und Skalierung von PostgreSQL-Datenbanken.
Diese Integration bietet die folgenden Hauptvorteile:
+ Automatisierte Bereitstellung: Vereinfacht die Bereitstellung und Verwaltung von PostgreSQL-Clustern.
+ Benutzerdefinierte Ressourcendefinitionen (CRDs):**** Verwendet Kubernetes-Primitive für das PostgreSQL-Management.
+ Hohe Verfügbarkeit: Unterstützt automatisches Failover und synchrone Replikation.
+ Automatisierte Backups und Wiederherstellungen:**** Optimiert Sicherungs- und Wiederherstellungsprozesse.
+ Horizontale Skalierung:**** Ermöglicht die dynamische Skalierung von PostgreSQL-Clustern.
+ Versionsupgrades: Ermöglicht fortlaufende Upgrades mit minimalen Ausfallzeiten.
+ Sicherheit: Erzwingt Verschlüsselungs-, Zugriffskontrollen und Authentifizierungsmechanismen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto.
+ [AWS-Befehlszeilenschnittstelle (AWS CLI) Version 2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html), installiert und konfiguriert unter Linux, macOS oder Windows.
+ [AWS CLI Config](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html), um AWS Ressourcen über die Befehlszeile zu verbinden.
+ [eksctl](https://github.com/eksctl-io/eksctl#installation), installiert und konfiguriert unter Linux, MacOS oder Windows.
+ `kubectl`, installiert und konfiguriert für den Zugriff auf Ressourcen in Ihrem Amazon EKS-Cluster. Weitere Informationen finden Sie unter [Kubectl und eksctl einrichten in der Amazon EKS-Dokumentation](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html).
+ Ihr Computerterminal ist für den Zugriff auf den Amazon EKS-Cluster konfiguriert. Weitere Informationen finden [Sie in der Amazon EKS-Dokumentation unter Konfiguration Ihres Computers für die Kommunikation mit Ihrem Cluster](https://docs.aws.amazon.com/eks/latest/userguide/getting-started-console.html#eks-configure-kubectl).
**Produktversionen**
+ [Kubernetes-Versionen 1.21—1.24 oder höher (siehe PGO-Dokumentation).](https://access.crunchydata.com/documentation/postgres-operator/5.2.5/)
+ PostgreSQL Version 10 oder höher. Dieses Muster verwendet PostgreSQL Version 16.
**Einschränkungen**
+ Einige AWS-Services sind nicht in allen verfügbar. AWS-Regionen Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie [AWS-Services unter Nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie auf der Seite [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
## Architektur
**Zieltechnologie-Stack**
+ Amazon EKS
+ Amazon Virtual Private Cloud (Amazon VPC)
+ Amazon Elastic Compute Cloud (Amazon EC2)
**Zielarchitektur**
![\[Architektur für die Verwendung von PGO mit drei Availability Zones und zwei Replikaten sowie PgBouncer PGO-Operator.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/4c164012-7527-4ebe-b6a7-c129600328d6/images/26a5572b-405b-4634-b96a-91254c3ea2c1.png)
Dieses Muster erstellt eine Architektur, die einen Amazon EKS-Cluster mit drei Knoten enthält. Jeder Knoten läuft auf einer Reihe von EC2 Instances im Backend. Dieses PostgreSQL-Setup folgt einer primären Replikatarchitektur, die besonders für leseintensive Anwendungsfälle effektiv ist. Die Architektur umfasst die folgenden Komponenten:
+ Der **primäre Datenbankcontainer (pg-primary)** hostet die PostgreSQL-Hauptinstanz, an die alle Schreibvorgänge gerichtet sind.
+ **Sekundäre Replikatcontainer (pg-replica)** hosten die PostgreSQL-Instanzen, die die Daten aus der Primärdatenbank replizieren und Lesevorgänge abwickeln.
+ **PgBouncer**ist ein leichter Verbindungspooler für PostgreSQL-Datenbanken, der in PGO enthalten ist. Es befindet sich zwischen dem Client und dem PostgreSQL-Server und fungiert als Vermittler für Datenbankverbindungen.
+ **PGO** automatisiert die Bereitstellung und Verwaltung von PostgreSQL-Clustern in dieser Kubernetes-Umgebung.
+ **Patroni** ist ein Open-Source-Tool, das Hochverfügbarkeitskonfigurationen für PostgreSQL verwaltet und automatisiert. Es ist in PGO enthalten. Wenn Sie Patroni mit PGO in Kubernetes verwenden, spielt dies eine entscheidende Rolle bei der Sicherstellung der Widerstandsfähigkeit und Fehlertoleranz eines PostgreSQL-Clusters. [Weitere Informationen finden Sie in der Patroni-Dokumentation.](https://patroni.readthedocs.io/en/latest/)
Der Workflow umfasst die folgenden Schritte:
+ **Stellen Sie den PGO-Operator** bereit. Sie stellen den PGO-Operator auf Ihrem Kubernetes-Cluster bereit, der auf Amazon EKS läuft. Dies kann mithilfe von Kubernetes-Manifesten oder Helm-Diagrammen erfolgen. Dieses Muster verwendet Kubernetes-Manifeste.
+ **Definieren Sie PostgreSQL-Instanzen**. Wenn der Operator ausgeführt wird, erstellen Sie benutzerdefinierte Ressourcen (CRs), um den gewünschten Status von PostgreSQL-Instanzen anzugeben. Dazu gehören Konfigurationen wie Speicher-, Replikations- und Hochverfügbarkeitseinstellungen.
+ **Betreiberverwaltung**. Sie interagieren mit dem Operator über Kubernetes-API-Objekte, z. B. CRs um PostgreSQL-Instanzen zu erstellen, zu aktualisieren oder zu löschen.
+ **Überwachung und Wartung.** Sie können den Zustand und die Leistung der PostgreSQL-Instances überwachen, die auf Amazon EKS ausgeführt werden. Betreiber stellen häufig Metriken und Protokollierung zu Überwachungszwecken bereit. Sie können bei Bedarf routinemäßige Wartungsaufgaben wie Upgrades und Patches durchführen. Weitere Informationen finden Sie unter [Überwachen der Cluster-Leistung und Anzeigen von Protokollen](https://docs.aws.amazon.com/eks/latest/userguide/eks-observe.html) in der Amazon EKS-Dokumentation.
+ **Skalierung und Backup**: Sie können die vom Betreiber bereitgestellten Funktionen verwenden, um PostgreSQL-Instanzen zu skalieren und Backups zu verwalten.
Dieses Muster deckt keine Überwachungs-, Wartungs- und Sicherungsvorgänge ab.
**Automatisierung und Skalierung**
+ Sie können es verwenden CloudFormation , um die Erstellung der Infrastruktur zu automatisieren. Weitere Informationen finden Sie unter [Amazon EKS-Ressourcen erstellen mit CloudFormation](https://docs.aws.amazon.com/eks/latest/userguide/creating-resources-with-cloudformation.html) in der Amazon EKS-Dokumentation.
+ Sie können Build Numbers GitVersion oder Jenkins verwenden, um die Bereitstellung von Datenbank-Instances zu automatisieren.
## Tools
**AWS-Services**
+ Mit [Amazon Elastic Kubernetes Service (Amazon EKS)](https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html) können Sie Kubernetes ausführen, AWS ohne dass Sie Ihre eigene Kubernetes-Steuerebene oder Knoten installieren oder verwalten müssen.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell interagieren AWS-Services können.
**Andere Tools**
+ [eksctl](https://eksctl.io/) ist ein einfaches Befehlszeilentool zum Erstellen von Clustern auf Amazon EKS.
+ [kubectl](https://kubernetes.io/docs/tasks/tools/install-kubectl/) ist ein Befehlszeilenprogramm zum Ausführen von Befehlen für Kubernetes-Cluster.
+ [PGO](https://github.com/CrunchyData/postgres-operator) automatisiert und skaliert die Verwaltung von PostgreSQL-Datenbanken in Kubernetes.
## Best Practices
Folgen Sie diesen Best Practices, um eine reibungslose und effiziente Bereitstellung zu gewährleisten:
+ **Schützen Sie Ihren EKS-Cluster**. Implementieren Sie bewährte Sicherheitsmethoden für Ihren EKS-Cluster, z. B. die Verwendung von AWS Identity and Access Management (IAM-) Rollen für Dienstkonten (IRSA), Netzwerkrichtlinien und VPC-Sicherheitsgruppen. Beschränken Sie den Zugriff auf den EKS-Cluster-API-Server und verschlüsseln Sie die Kommunikation zwischen den Knoten und dem API-Server mithilfe von TLS.
+ **Stellen Sie die Versionskompatibilität** zwischen PGO und Kubernetes sicher, die auf Amazon EKS ausgeführt werden. Einige PGO-Funktionen erfordern möglicherweise bestimmte Kubernetes-Versionen oder führen zu Kompatibilitätseinschränkungen. Weitere Informationen finden Sie in der PGO-Dokumentation unter [Komponenten und Kompatibilität](https://access.crunchydata.com/documentation/postgres-operator/5.2.5/references/components/).
+ **Planen Sie die Ressourcenzuweisung** für Ihre PGO-Bereitstellung, einschließlich CPU, Arbeitsspeicher und Speicher. Berücksichtigen Sie die Ressourcenanforderungen sowohl von PGO als auch der von ihr verwalteten PostgreSQL-Instanzen. Überwachen Sie die Ressourcennutzung und skalieren Sie die Ressourcen nach Bedarf.
+ **Design für hohe Verfügbarkeit**. Gestalten Sie Ihre PGO-Bereitstellung für hohe Verfügbarkeit, um Ausfallzeiten zu minimieren und die Zuverlässigkeit zu gewährleisten. Stellen Sie aus Gründen der Fehlertoleranz mehrere PGO-Repliken in mehreren Availability Zones bereit.
+ **Implementieren Sie Sicherungs- und Wiederherstellungsverfahren** für Ihre von PGO verwalteten PostgreSQL-Datenbanken. Verwenden Sie Funktionen von PGO oder Backup-Lösungen von Drittanbietern, die mit Kubernetes und Amazon EKS kompatibel sind.
+ **Richten Sie die Überwachung und Protokollierung** für Ihre PGO-Bereitstellung ein, um Leistung, Zustand und Ereignisse zu verfolgen. Verwenden Sie Tools wie Prometheus für die Überwachung von Metriken und Grafana für die Visualisierung. Konfigurieren Sie die Protokollierung, um PGO-Protokolle zur Fehlerbehebung und Prüfung zu erfassen.
+ **Konfigurieren Sie das Netzwerk** ordnungsgemäß, um die Kommunikation zwischen PGO, PostgreSQL-Instanzen und anderen Diensten in Ihrem Kubernetes-Cluster zu ermöglichen. Verwenden Sie Amazon VPC-Netzwerkfunktionen und Kubernetes-Netzwerk-Plugins wie Calico oder [Amazon VPC CNI](https://github.com/aws/amazon-vpc-cni-k8s) für die Durchsetzung von Netzwerkrichtlinien und die Isolierung des Datenverkehrs.
+ **Wählen Sie geeignete Speicheroptionen** für Ihre PostgreSQL-Datenbanken aus und berücksichtigen Sie dabei Faktoren wie Leistung, Haltbarkeit und Skalierbarkeit. Verwenden Sie Amazon Elastic Block Store (Amazon EBS) -Volumes oder AWS verwaltete Speicherdienste für persistenten Speicher. Weitere Informationen finden Sie unter [Speichern von Kubernetes-Volumes mit Amazon EBS in der Amazon EKS-Dokumentation](https://docs.aws.amazon.com/eks/latest/userguide/ebs-csi.html).
+ **Verwenden Sie Infrastructure-as-Code-Tools (IaC)** CloudFormation , um beispielsweise die Bereitstellung und Konfiguration von PGO auf Amazon EKS zu automatisieren. Definieren Sie Infrastrukturkomponenten — einschließlich des EKS-Clusters, der Netzwerk- und PGO-Ressourcen — als Code, um Konsistenz, Wiederholbarkeit und Versionskontrolle zu gewährleisten.
## Epen
### Erstellen einer IAM-Rolle
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine IAM-Rolle. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html) | AWS-Administrator |
### Amazon-EKS-Cluster erstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie einen Amazon-EKS-Cluster. | Wenn Sie bereits einen Cluster bereitgestellt haben, überspringen Sie diesen Schritt. Andernfalls stellen Sie einen Amazon EKS-Cluster in Ihrem aktuellen mithilfe AWS-Konto `eksctl` von Terraform oder bereit. CloudFormation Dieses Muster wird `eksctl` für die Cluster-Bereitstellung verwendet.Dieses Muster verwendet Amazon EC2 als Knotengruppe für Amazon EKS. Wenn Sie es verwenden möchten AWS Fargate, sehen Sie sich die `managedNodeGroups` Konfiguration in der [eksctl-Dokumentation](https://eksctl.io/usage/schema/#managedNodeGroups) an.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html) | AWS-Administrator, Terraform- oder eksctl-Administrator, Kubernetes-Administrator |
| Überprüfen Sie den Status des Clusters. | Führen Sie den folgenden Befehl aus, um den aktuellen Status der Knoten im Cluster zu überprüfen:kubectl get nodes
Wenn Sie auf Fehler stoßen, lesen Sie den [Abschnitt zur Fehlerbehebung](https://docs.aws.amazon.com/eks/latest/userguide/troubleshooting.html) in der Amazon EKS-Dokumentation. | AWS-Administrator, Terraform- oder eksctl-Administrator, Kubernetes-Administrator |
### Erstellen Sie einen OIDC-Identitätsanbieter
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Aktivieren Sie den IAM OIDC-Anbieter. | Als Voraussetzung für den Amazon EBS Container Storage Interface (CSI) -Treiber benötigen Sie einen vorhandenen IAM OpenID Connect (OIDC) -Anbieter für Ihren Cluster.Aktivieren Sie den IAM OIDC-Anbieter mit dem folgenden Befehl:eksctl utils associate-iam-oidc-provider --region={region} --cluster={YourClusterNameHere} --approveWeitere Informationen zu diesem Schritt finden Sie in der [Amazon EKS-Dokumentation](https://docs.aws.amazon.com/eks/latest/userguide/ebs-csi.html). | AWS-Administrator |
| Erstellen Sie eine IAM-Rolle für den Amazon EBS CSI-Treiber. | Verwenden Sie den folgenden `eksctl` Befehl, um die IAM-Rolle für den CSI-Treiber zu erstellen:eksctl create iamserviceaccount \
--region {RegionName} \
--name ebs-csi-controller-sa \
--namespace kube-system \
--cluster {YourClusterNameHere} \
--attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
--approve \
--role-only \
--role-name AmazonEKS_EBS_CSI_DriverRole
Wenn Sie verschlüsselte Amazon EBS-Laufwerke verwenden, müssen Sie die Richtlinie weiter konfigurieren. Anweisungen finden Sie in der [Amazon EBS SCI-Treiberdokumentation](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/blob/master/docs/install.md#installation-1). | AWS-Administrator |
| Fügen Sie den Amazon EBS CSI-Treiber hinzu. | Verwenden Sie den folgenden `eksctl` Befehl, um den Amazon EBS CSI-Treiber hinzuzufügen:eksctl create addon \
--name aws-ebs-csi-driver \
--cluster service-account-role-arn arn:aws:iam::$(aws sts get-caller-identity \
--query Account \
--output text):role/AmazonEKS_EBS_CSI_DriverRole \
--force
| AWS-Administrator |
### Installieren Sie PGO
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das PGO-Repository. | Klonen Sie das GitHub Repository für PGO:git clone https://github.com/CrunchyData/postgres-operator-examples.git
| AWS DevOps |
| Geben Sie die Rollendetails für die Erstellung des Dienstkontos an. | Um dem Amazon EKS-Cluster Zugriff auf die erforderlichen AWS Ressourcen zu gewähren, geben Sie den Amazon-Ressourcennamen (ARN) der OIDC-Rolle an, die Sie zuvor in der `service_account.yaml` Datei erstellt haben. Diese Datei befindet sich im [Namespace-Ordner des Repositorys](https://github.com/CrunchyData/postgres-operator-examples/tree/main/kustomize/install/rbac/namespace). cd postgres-operator-examples
---
metadata:
annotations:
eks.amazonaws.com/role-arn: arn:aws:iam:::role/ # Update the OIDC role ARN created earlier
| AWS-Administrator, Kubernetes-Administrator |
| Erstellen Sie den Namespace und die PGO-Voraussetzungen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html) | Kunernetes-Administrator |
| Überprüfen Sie die Erstellung von Pods. | Stellen Sie sicher, dass der Namespace und die Standardkonfiguration erstellt wurden:kubectl get pods -n postgres-operator
| AWS-Administrator, Kubernetes-Administrator |
| Verifizieren. PVCs | Verwenden Sie den folgenden Befehl, um Ansprüche auf persistente Volumes (PVCs) zu überprüfen:kubectl describe pvc -n postgres-operator
| AWS-Administrator, Kubernetes-Administrator |
### Erstellen Sie einen Operator und stellen Sie ihn bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie einen Operator. | Überarbeiten Sie den Inhalt der Datei unter`/kustomize/postgres/postgres.yaml`, sodass er den folgenden Kriterien entspricht:spec:
instances:
- name: pg-1
replicas: 3
patroni:
dynamicConfiguration:
postgresql:
pg_hba:
- "host all all 0.0.0.0/0 trust" # this line enabled logical replication with programmatic access
- "host all postgres 127.0.0.1/32 md5"
synchronous_mode: true
users:
- name: replicator
databases:
- testdb
options: "REPLICATION"
Diese Updates bewirken Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html) | AWS-Administrator, DBA, Kubernetes-Administrator |
| Stellen Sie den Operator bereit. | Stellen Sie den PGO-Operator bereit, um die Verwaltung und den Betrieb von PostgreSQL-Datenbanken in Kubernetes-Umgebungen zu optimieren:kubectl apply -k kustomize/postgres
| AWS-Administrator, DBA, Kubernetes-Administrator |
| Überprüfen Sie die Bereitstellung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html)Notieren Sie sich in der Befehlsausgabe das primäre Replikat (`primary_pod_name`) und das Lesereplikat (`read_pod_name`). Sie werden diese in den nächsten Schritten verwenden. | AWS-Administrator, DBA, Kubernetes-Administrator |
### Überprüfen Sie die Streaming-Replikation
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Schreiben Sie Daten in das primäre Replikat. | Verwenden Sie die folgenden Befehle, um eine Verbindung zum primären PostgreSQL-Replikat herzustellen und Daten in die Datenbank zu schreiben:kubectl exec -it bash -n postgres-operator
psql
CREATE TABLE customers (firstname text, customer_id serial, date_created timestamp);
\dt
| AWS-Administrator, Kubernetes-Administrator |
| Vergewissern Sie sich, dass die Read Replica dieselben Daten enthält. | Connect zur PostgreSQL-Read Replica her und überprüfen Sie, ob die Streaming-Replikation ordnungsgemäß funktioniert:kubectl exec -it {read_pod_name} bash -n postgres-operatorpsql
\dt
Die Read Replica sollte die Tabelle enthalten, die Sie im vorherigen Schritt im primären Replikat erstellt haben. | AWS-Administrator, Kubernetes-Administrator |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Der Pod startet nicht. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html) |
| Replikate liegen deutlich hinter der Primärdatenbank zurück. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html) |
| Sie haben keinen Einblick in die Leistung und den Zustand des PostgreSQL-Clusters. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html) |
| Die Replikation funktioniert nicht. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-postgresql-deployments-amazon-eks-pgo.html) |
## Zugehörige Ressourcen
+ [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/whitepapers/latest/overview-deployment-options/amazon-elastic-kubernetes-service.html) (*Überblick über Bereitstellungsoptionen auf AWS-Whitepaper*)
+ [CloudFormation](https://docs.aws.amazon.com/whitepapers/latest/overview-deployment-options/aws-cloudformation.html)(*Whitepaper über die Bereitstellungsoptionen auf AWS*)
+ [Erste Schritte mit Amazon EKS — eksctl](https://docs.aws.amazon.com/eks/latest/userguide/getting-started-eksctl.html) (*Amazon EKS-Benutzerhandbuch*)
+ [Kubectl und eksctl einrichten (*Amazon* EKS-Benutzerhandbuch](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html))
+ [Eine Rolle für den OpenID Connect-Verbund erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html) (*IAM-Benutzerhandbuch*)
+ [Konfiguration der Einstellungen für das AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) (*AWS CLI Benutzerhandbuch*)
+ [Dokumentation zu Crunchy Postgres für Kubernetes](https://access.crunchydata.com/documentation/postgres-operator/latest)
+ [Crunch & Learn: Crunchy Postgres für Kubernetes 5.0 (Video](https://www.youtube-nocookie.com/embed/IIf9WZO3K50))
# Vereinfachen Sie die Anwendungsauthentifizierung mit gegenseitigem TLS in Amazon ECS mithilfe von Application Load Balancer
*Olawale Olaleye und Shamanth Devagari, Amazon Web Services*
## Zusammenfassung
Dieses Muster hilft Ihnen dabei, Ihre Anwendungsauthentifizierung zu vereinfachen und Sicherheitsbelastungen mit gegenseitigem TLS in Amazon Elastic Container Service (Amazon ECS) mithilfe von [Application Load Balancer (](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html)ALB) zu entlasten. Mit ALB können Sie X.509-Client-Zertifikate von authentifizieren. AWS Private Certificate Authority Diese leistungsstarke Kombination trägt zu einer sicheren Kommunikation zwischen Ihren Diensten bei und reduziert so den Bedarf an komplexen Authentifizierungsmechanismen innerhalb Ihrer Anwendungen. Darüber hinaus verwendet das Muster Amazon Elastic Container Registry (Amazon ECR) zum Speichern von Container-Images.
Das Beispiel in diesem Muster verwendet Docker-Bilder aus einer öffentlichen Galerie, um die Beispiel-Workloads zunächst zu erstellen. Anschließend werden neue Docker-Images für die Speicherung in Amazon ECR erstellt. Ziehen Sie als Quelle ein Git-basiertes System wie GitHub, oder Bitbucket in Betracht GitLab, oder verwenden Sie Amazon Simple Storage Service Amazon S3 (Amazon S3). Für die Erstellung der Docker-Images sollten Sie die Verwendung AWS CodeBuild für die nachfolgenden Images in Betracht ziehen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein Aktiv AWS-Konto mit Zugriff auf die Bereitstellung von AWS CloudFormation Stacks. Stellen Sie sicher, dass Sie über AWS Identity and Access Management (IAM-) [Benutzer- oder Rollenberechtigungen für die Bereitstellung verfügen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/control-access-with-iam.html). CloudFormation
+ AWS Command Line Interface (AWS CLI) [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html). [Konfigurieren Sie](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) Ihre AWS Anmeldeinformationen auf Ihrem lokalen Computer oder in Ihrer Umgebung, indem Sie entweder die AWS CLI oder verwenden, indem Sie die Umgebungsvariablen in der `~/.aws/credentials` Datei festlegen.
+ OpenSSL [installiert](https://www.openssl.org/).
+ [Docker installiert.](https://www.docker.com/get-started/)
+ [Vertrautheit mit den AWS-Services unter Tools beschriebenen Funktionen.](#simplify-application-authentication-with-mutual-tls-in-amazon-ecs-tools)
+ Kenntnisse von Docker und NGINX.
**Einschränkungen**
+ Mutual TLS für Application Load Balancer unterstützt nur X.509v3-Clientzertifikate. X.509v1-Clientzertifikate werden nicht unterstützt.
+ Die CloudFormation Vorlage, die im Code-Repository dieses Musters bereitgestellt wird, beinhaltet nicht die Bereitstellung eines CodeBuild Projekts als Teil des Stacks.
+ Einige AWS-Services sind nicht in allen AWS-Regionen verfügbar. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter [AWS Dienste nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
**Produktversionen**
+ Docker-Version 27.3.1 oder höher
+ AWS CLI Version 2.14.5 oder höher
## Architektur
Das folgende Diagramm zeigt die Architekturkomponenten für dieses Muster.
![\[Workflow zur Authentifizierung mit Mutual TLS mithilfe von Application Load Balancer.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/a343fa4e-097f-416b-9c83-01a28eb57dc3/images/e1371297-b987-4487-9b13-8120933c921f.png)
Das Diagramm zeigt den folgenden Workflow:
1. Erstellen Sie ein Git-Repository und übertragen Sie den Anwendungscode in das Repository.
1. Erstellen Sie eine private Zertifizierungsstelle (CA) in AWS Private CA.
1. Erstellen Sie ein CodeBuild Projekt. Das CodeBuildproject wird durch Commit-Änderungen ausgelöst und erstellt das Docker-Image und veröffentlicht das erstellte Image in Amazon ECR.
1. Kopieren Sie die Zertifikatskette und den Zertifikatshauptteil von der CA und laden Sie das Zertifikatspaket auf Amazon S3 hoch.
1. Erstellen Sie einen Trust Store mit dem CA-Bundle, das Sie auf Amazon S3 hochgeladen haben. Ordnen Sie den Trust Store den gegenseitigen TLS-Listenern auf dem Application Load Balancer (ALB) zu.
1. Verwenden Sie die private CA, um Client-Zertifikate für die Container-Workloads auszustellen. Erstellen Sie auch ein privates TLS-Zertifikat mit AWS Private CA.
1. Importieren Sie das private TLS-Zertifikat in AWS Certificate Manager (ACM) und verwenden Sie es mit dem ALB.
1. Der Container-Workload in `ServiceTwo` verwendet das ausgestellte Client-Zertifikat, um sich bei der ALB zu authentifizieren, wenn er mit dem Container-Workload in kommuniziert. `ServiceOne`
1. Der Container-Workload in `ServiceOne` verwendet das ausgestellte Client-Zertifikat zur Authentifizierung bei der ALB, wenn er mit dem Container-Workload in kommuniziert. `ServiceTwo`
**Automatisierung und Skalierung**
Dieses Muster kann vollständig automatisiert werden CloudFormation, indem AWS Cloud Development Kit (AWS CDK) , oder API-Operationen aus einem SDK zur Bereitstellung der AWS Ressourcen verwendet werden.
Sie können AWS CodePipeline damit eine CI/CD-Pipeline (Continuous Integration and Continuous Deployment) implementieren, CodeBuild um den Prozess der Container-Image-Erstellung zu automatisieren und neue Versionen für die Amazon ECS-Cluster-Services bereitzustellen.
## Tools
**AWS-Services **
+ [AWS Certificate Manager (ACM)](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) unterstützt Sie bei der Erstellung, Speicherung und Erneuerung öffentlicher und privater SSL/TLS X.509-Zertifikate und -Schlüssel, die Ihre AWS Websites und Anwendungen schützen.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten AWS-Konten Lebenszyklus über und zu verwalten. AWS-Regionen
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)ist ein vollständig verwalteter Build-Service, der Ihnen hilft, Quellcode zu kompilieren, Komponententests durchzuführen und Artefakte zu erstellen, die sofort einsatzbereit sind.
+ [Amazon Elastic Container Registry (Amazon ECR)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) ist ein verwalteter Container-Image-Registry-Service, der sicher, skalierbar und zuverlässig ist.
+ [Amazon Elastic Container Service (Amazon ECS)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html) ist ein hoch skalierbarer, schneller Container-Management-Service zum Ausführen, Stoppen und Verwalten von Containern in einem Cluster. Sie können Ihre Aufgaben und Dienste auf einer serverlosen Infrastruktur ausführen, die von AWS Fargate verwaltet wird. Für mehr Kontrolle über Ihre Infrastruktur können Sie Ihre Aufgaben und Dienste alternativ auf einem Cluster von Amazon Elastic Compute Cloud (Amazon EC2) -Instances ausführen, die Sie verwalten.
+ [Amazon ECS Exec](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html) ermöglicht Ihnen die direkte Interaktion mit Containern, ohne zuerst mit dem Host-Container-Betriebssystem interagieren, eingehende Ports öffnen oder SSH-Schlüssel verwalten zu müssen. Sie können ECS Exec verwenden, um Befehle in einem Container auszuführen oder eine Shell für einen Container zu erhalten, der auf einer EC2 Amazon-Instance oder auf AWS Fargate einem läuft.
+ [Elastic Load Balancing (ELB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) verteilt eingehenden Anwendungs- oder Netzwerkverkehr auf mehrere Ziele. Sie können beispielsweise den Traffic auf EC2 Amazon-Instances, Container und IP-Adressen in einer oder mehreren Availability Zones verteilen. ELB überwacht den Zustand seiner registrierten Ziele und leitet den Datenverkehr nur an die fehlerfreien Ziele weiter. ELB skaliert Ihren Load Balancer, wenn sich Ihr eingehender Datenverkehr im Laufe der Zeit ändert. Es kann automatisch auf die meisten Workloads skaliert werden.
+ [AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/userguide/what-is-fargate.html)hilft Ihnen beim Betrieb von Containern, ohne Server oder EC2 Amazon-Instances verwalten zu müssen. Fargate ist sowohl mit Amazon ECS als auch mit Amazon Elastic Kubernetes Service (Amazon EKS) kompatibel. Sie können Ihre Amazon ECS-Aufgaben und -Services mit dem Starttyp Fargate oder einem Fargate-Kapazitätsanbieter ausführen. Verpacken Sie dazu Ihre Anwendung in Containern, geben Sie die CPU- und Speicheranforderungen an, definieren Sie Netzwerk- und IAM-Richtlinien und starten Sie die Anwendung. Jede Fargate-Aufgabe hat ihre eigene Isolationsgrenze und teilt den zugrunde liegenden Kernel, die CPU-Ressourcen, Speicherressourcen oder die elastic network interface nicht mit einer anderen Aufgabe.
+ [AWS Private Certificate Authority](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)ermöglicht die Erstellung von privaten Zertifizierungsstellenhierarchien (CA), einschließlich Stamm- und untergeordneter Zertifizierungsstellen CAs, ohne dass die Investitions- und Wartungskosten für den Betrieb einer lokalen Zertifizierungsstelle anfallen.
**Andere Tools******
+ [Docker](https://www.docker.com/) ist eine Reihe von Platform-as-a-Service (PaaS) -Produkten, die Virtualisierung auf Betriebssystemebene nutzen, um Software in Containern bereitzustellen.
+ [GitHub](https://docs.github.com/en/repositories/creating-and-managing-repositories/quickstart-for-repositories), [GitLab](https://docs.gitlab.com/ee/user/get_started/get_started_projects.html), und [Bitbucket](https://support.atlassian.com/bitbucket-cloud/docs/tutorial-learn-bitbucket-with-git/) sind einige der am häufigsten verwendeten Git-basierten Quellcodeverwaltungssysteme, um Quellcodeänderungen zu verfolgen.
+ [NGINX Open Source](https://nginx.org/en/docs/?_ga=2.187509224.1322712425.1699399865-405102969.1699399865) ist ein Open-Source-Loadbalancer, ein Inhalts-Cache und ein Webserver. Dieses Muster verwendet es als Webserver.
+ [OpenSSL](https://www.openssl.org/) ist eine Open-Source-Bibliothek, die Dienste bereitstellt, die von den OpenSSL-Implementierungen von TLS und CMS verwendet werden.
**Code-Repository**
Der Code für dieses Muster ist im Repository GitHub [MTLS-with-Application-Load-Balancer-In-Amazon-ECS](https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS) verfügbar.
## Best Practices
+ Verwenden Sie Amazon ECS Exec, um Befehle auszuführen oder eine Shell für einen Container abzurufen, der auf Fargate läuft. Sie können ECS Exec auch verwenden, um Diagnoseinformationen für das Debuggen zu sammeln.
+ Verwenden Sie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten (ACLs), um den eingehenden und ausgehenden Verkehr zwischen den Diensten zu kontrollieren. Fargate-Aufgaben erhalten eine IP-Adresse aus dem konfigurierten Subnetz in Ihrer Virtual Private Cloud (VPC).
## Epen
### Erstellen Sie das Repository
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Laden Sie den Quellcode herunter. | Um den Quellcode dieses Patterns herunterzuladen, forken oder klonen Sie das GitHub [MTLS-with-Application-Load-Balancer-In-Amazon-ECS-Repository](https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS). | DevOps Ingenieur |
| Erstellen Sie ein Git-Repository. | Gehen Sie wie folgt vor, um ein Git-Repository zu erstellen, das das Dockerfile und die `buildspec.yaml` Dateien enthält:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)`git clone https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS.git` | DevOps Ingenieur |
### CA erstellen und Zertifikate generieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine private CA in AWS Private CA. | Um eine private Zertifizierungsstelle (CA) zu erstellen, führen Sie die folgenden Befehle in Ihrem Terminal aus. Ersetzen Sie die Werte in den Beispielvariablen durch Ihre eigenen Werte. export AWS_DEFAULT_REGION="us-west-2"
export SERVICES_DOMAIN="www.example.com"
export ROOT_CA_ARN=`aws acm-pca create-certificate-authority \
--certificate-authority-type ROOT \
--certificate-authority-configuration \
"KeyAlgorithm=RSA_2048,
SigningAlgorithm=SHA256WITHRSA,
Subject={
Country=US,
State=WA,
Locality=Seattle,
Organization=Build on AWS,
OrganizationalUnit=mTLS Amazon ECS and ALB Example,
CommonName=${SERVICES_DOMAIN}}" \
--query CertificateAuthorityArn --output text`
Weitere Informationen finden Sie [AWS Private CA in der AWS Dokumentation unter Eine private Zertifizierungsstelle erstellen](https://docs.aws.amazon.com/privateca/latest/userguide/create-CA.html). | DevOps Ingenieur, AWS DevOps |
| Erstellen und installieren Sie Ihr privates CA-Zertifikat. | Um ein Zertifikat für Ihre private Root-CA zu erstellen und zu installieren, führen Sie die folgenden Befehle in Ihrem Terminal aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html) | AWS DevOps, DevOps Ingenieur |
| Fordern Sie ein verwaltetes Zertifikat an. | Verwenden Sie den folgenden Befehl AWS Certificate Manager , um ein privates Zertifikat zur Verwendung mit Ihrem privaten ALB anzufordern:export TLS_CERTIFICATE_ARN=`aws acm request-certificate \
--domain-name "*.${DOMAIN_DOMAIN}" \
--certificate-authority-arn ${ROOT_CA_ARN} \
--query CertificateArn --output text`
| DevOps Ingenieur, AWS DevOps |
| Verwenden Sie die private CA, um ein Client-Zertifikat auszustellen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)`openssl req -out client_csr1.pem -new -newkey rsa:2048 -nodes -keyout client_private-key1.pem``openssl req -out client_csr2.pem -new -newkey rsa:2048 -nodes -keyout client_private-key2.pem`Dieser Befehl gibt die CSR und den privaten Schlüssel für die beiden Dienste zurück. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)SERVICE_ONE_CERT_ARN=`aws acm-pca issue-certificate \
--certificate-authority-arn ${ROOT_CA_ARN} \
--csr fileb://client_csr1.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=5,Type="YEARS" --query CertificateArn --output text`
echo "SERVICE_ONE_CERT_ARN: ${SERVICE_ONE_CERT_ARN}"
aws acm-pca get-certificate \
--certificate-authority-arn ${ROOT_CA_ARN} \
--certificate-arn ${SERVICE_ONE_CERT_ARN} \
| jq -r '.Certificate' > client_cert1.cert
SERVICE_TWO_CERT_ARN=`aws acm-pca issue-certificate \
--certificate-authority-arn ${ROOT_CA_ARN} \
--csr fileb://client_csr2.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=5,Type="YEARS" --query CertificateArn --output text`
echo "SERVICE_TWO_CERT_ARN: ${SERVICE_TWO_CERT_ARN}"
aws acm-pca get-certificate \
--certificate-authority-arn ${ROOT_CA_ARN} \
--certificate-arn ${SERVICE_TWO_CERT_ARN} \
| jq -r '.Certificate' > client_cert2.cert
Weitere Informationen finden Sie in der AWS Dokumentation unter [Ausstellen von privaten Endentitätszertifikaten](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html). | DevOps Ingenieur, AWS DevOps |
### Bereitstellung von AWS-Services
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bereitstellung AWS-Services mit der CloudFormation Vorlage. | Verwenden Sie die Vorlage, um die Virtual Private Cloud (VPC), den Amazon ECS-Cluster, die Amazon ECS-Services, den Application Load Balancer und das Amazon Elastic Container Registry (Amazon ECR) bereitzustellen. CloudFormation | DevOps Ingenieur |
| Variablen abrufen. | Stellen Sie sicher, dass Sie über einen Amazon ECS-Cluster verfügen, auf dem zwei Dienste ausgeführt werden. Verwenden Sie die folgenden Befehle, um die Ressourcendetails abzurufen und als Variablen zu speichern:
export LoadBalancerDNS=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`LoadBalancerDNS`].OutputValue')
export ECRRepositoryUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryUri`].OutputValue')
export ECRRepositoryServiceOneUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceOneUri`].OutputValue')
export ECRRepositoryServiceTwoUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceTwoUri`].OutputValue')
export ClusterName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ClusterName`].OutputValue')
export BucketName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`BucketName`].OutputValue')
export Service1ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service1ListenerArn`].OutputValue')
export Service2ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service2ListenerArn`].OutputValue')
| DevOps Ingenieur |
| Erstellen Sie ein CodeBuild Projekt. | Gehen Sie wie folgt vor, um ein CodeBuild Projekt zur Erstellung der Docker-Images für Ihre Amazon ECS-Services zu verwenden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)Weitere Informationen finden Sie [AWS CodeBuild in der AWS Dokumentation unter Erstellen eines Build-Projekts](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project.html). | AWS DevOps, DevOps Ingenieur |
| Erstellen Sie die Docker-Images. | Sie können es verwenden CodeBuild , um den Image-Erstellungsprozess durchzuführen. CodeBuild benötigt Berechtigungen, um mit Amazon ECR zu interagieren und mit Amazon S3 zu arbeiten.Im Rahmen des Prozesses wird das Docker-Image erstellt und in die Amazon ECR-Registrierung übertragen. Einzelheiten zur Vorlage und zum Code finden Sie unter [Zusätzliche](#simplify-application-authentication-with-mutual-tls-in-amazon-ecs-additional) Informationen.(Optional) Verwenden Sie den folgenden Befehl, um lokal zu Testzwecken zu erstellen:# login to ECR
aws ecr get-login-password | docker login --username AWS --password-stdin $ECRRepositoryUri
# build image for service one
cd /service1
aws s3 cp s3://$BucketName/serviceone/ service1/ --recursive
docker build -t $ECRRepositoryServiceOneUri .
docker push $ECRRepositoryServiceOneUri
# build image for service two
cd ../service2
aws s3 cp s3://$BucketName/servicetwo/ service2/ --recursive
docker build -t $ECRRepositoryServiceTwoUri .
docker push $ECRRepositoryServiceTwoUri
| DevOps Ingenieur |
### Mutual TLS aktivieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Laden Sie das CA-Zertifikat auf Amazon S3 hoch. | Verwenden Sie den folgenden Beispielbefehl, um das CA-Zertifikat in den Amazon S3 S3-Bucket hochzuladen:`aws s3 cp ca-cert.pem s3://$BucketName/acm-trust-store/ ` | AWS DevOps, DevOps Ingenieur |
| Erstellen Sie den Trust Store. | Verwenden Sie den folgenden Beispielbefehl, um den Trust Store zu erstellen:TrustStoreArn=`aws elbv2 create-trust-store --name acm-pca-trust-certs \
--ca-certificates-bundle-s3-bucket $BucketName \
--ca-certificates-bundle-s3-key acm-trust-store/ca-cert.pem --query 'TrustStores[].TrustStoreArn' --output text`
| AWS DevOps, DevOps Ingenieur |
| Laden Sie Kundenzertifikate hoch. | Verwenden Sie den folgenden Beispielbefehl, um Client-Zertifikate für Docker-Images auf Amazon S3 hochzuladen:# for service one
aws s3 cp client_cert1.cert s3://$BucketName/serviceone/
aws s3 cp client_private-key1.pem s3://$BucketName/serviceone/
# for service two
aws s3 cp client_cert2.cert s3://$BucketName/servicetwo/
aws s3 cp client_private-key2.pem s3://$BucketName/servicetwo/
| AWS DevOps, DevOps Ingenieur |
| Ändern Sie den Listener. | Um Mutual TLS auf dem ALB zu aktivieren, ändern Sie die HTTPS-Listener mit den folgenden Befehlen:aws elbv2 modify-listener \
--listener-arn $Service1ListenerArn \
--certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
--ssl-policy ELBSecurityPolicy-2016-08 \
--protocol HTTPS \
--port 8080 \
--mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false
aws elbv2 modify-listener \
--listener-arn $Service2ListenerArn \
--certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
--ssl-policy ELBSecurityPolicy-2016-08 \
--protocol HTTPS \
--port 8090 \
--mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false
Weitere Informationen finden Sie in der AWS Dokumentation unter [Konfiguration von gegenseitigem TLS auf einem Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/configuring-mtls-with-elb.html). | AWS DevOps, DevOps Ingenieur |
### Aktualisieren Sie die Dienste
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Aktualisieren Sie die Amazon ECS-Aufgabendefinition. | Um die Amazon ECS-Aufgabendefinition zu aktualisieren, ändern Sie den `image` Parameter in der neuen Version.Um die Werte für die jeweiligen Services abzurufen, aktualisieren Sie die Aufgabendefinitionen mit dem neuen Docker-Images-URI, den Sie in den vorherigen Schritten erstellt haben: oder `echo $ECRRepositoryServiceOneUri` `echo $ECRRepositoryServiceTwoUri`
"containerDefinitions": [
{
"name": "nginx",
"image": "public.ecr.aws/nginx/nginx:latest", # <----- change to new Uri
"cpu": 0,
Weitere Informationen finden Sie in der AWS Dokumentation unter [Aktualisieren einer Amazon ECS-Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) mithilfe der Konsole. | AWS DevOps, DevOps Ingenieur |
| Aktualisieren Sie den Amazon ECS-Service. | Aktualisieren Sie den Service mit der neuesten Aufgabendefinition. Diese Aufgabendefinition ist der Entwurf für die neu erstellten Docker-Images und enthält das Client-Zertifikat, das für die gegenseitige TLS-Authentifizierung erforderlich ist. Gehen Sie wie folgt vor, um den Dienst zu aktualisieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)Wiederholen Sie die Schritte für den anderen Dienst. | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
### Greifen Sie auf die Anwendung zu
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Kopieren Sie die Anwendungs-URL. | Verwenden Sie die Amazon ECS-Konsole, um die Aufgabe anzusehen. Wenn der Aufgabenstatus auf Wird **ausgeführt** aktualisiert wurde, wählen Sie die Aufgabe aus. Kopieren Sie im Abschnitt **Aufgabe** die Aufgaben-ID. | AWS-Administrator, AWS DevOps |
| Testen Sie Ihre Anwendung. | Um Ihre Anwendung zu testen, verwenden Sie ECS Exec, um auf die Aufgaben zuzugreifen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html) | AWS-Administrator, AWS DevOps |
## Zugehörige Ressourcen
**Amazon ECS-Dokumentation**
+ [Erstellen einer Amazon ECS-Aufgabendefinition mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-task-definition.html)
+ [Erstellen eines Container-Images zur Verwendung auf Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-container-image.html)
+ [Amazon-ECS-Cluster](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/clusters.html)
+ [Amazon ECS für AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-container-image.html#create-container-image-next-steps)
+ [Bewährte Methoden für Amazon-ECS-Netzwerke](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/networking-best-practices.html)
+ [Parameter der Amazon ECS-Servicedefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service_definition_parameters.html)
**Andere AWS Ressourcen**
+ [Wie verwende ich AWS private CA, um mTLS auf dem Application Load Balancer zu konfigurieren?](https://repost.aws/knowledge-center/elb-alb-configure-private-ca-mtls) ()AWS re:Post
## Zusätzliche Informationen
**Das Dockerfile bearbeiten******
Der folgende Code zeigt die Befehle, die Sie im Dockerfile für Service 1 bearbeiten:
```
FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 1: Ok" > /usr/share/nginx/html/index.html
ADD client_cert1.cert client_private-key1.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/
```
Der folgende Code zeigt die Befehle, die Sie im Dockerfile für Dienst 2 bearbeiten:
```
FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 2: Ok" > /usr/share/nginx/html/index.html
ADD client_cert2.cert client_private-key2.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/
```
Wenn Sie die Docker-Images mit erstellen, verwendet die `buildspec` Datei die CodeBuild Build-Nummer CodeBuild, um Image-Versionen eindeutig als Tag-Wert zu identifizieren. Sie können die `buildspec` Datei an Ihre Anforderungen anpassen, wie im folgenden `buildspec ` benutzerdefinierten Code gezeigt:
```
version: 0.2
phases:
pre_build:
commands:
- echo Logging in to Amazon ECR...
- aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $ECR_REPOSITORY_URI
- COMMIT_HASH=$(echo $CODEBUILD_RESOLVED_SOURCE_VERSION | cut -c 1-7)
- IMAGE_TAG=${COMMIT_HASH:=latest}
build:
commands:
# change the S3 path depending on the service
- aws s3 cp s3://$YOUR_S3_BUCKET_NAME/serviceone/ $CodeBuild_SRC_DIR/ --recursive
- echo Build started on `date`
- echo Building the Docker image...
- docker build -t $ECR_REPOSITORY_URI:latest .
- docker tag $ECR_REPOSITORY_URI:latest $ECR_REPOSITORY_URI:$IMAGE_TAG
post_build:
commands:
- echo Build completed on `date`
- echo Pushing the Docker images...
- docker push $ECR_REPOSITORY_URI:latest
- docker push $ECR_REPOSITORY_URI:$IMAGE_TAG
- echo Writing image definitions file...
# for ECS deployment reference
- printf '[{"name":"%s","imageUri":"%s"}]' $CONTAINER_NAME $ECR_REPOSITORY_URI:$IMAGE_TAG > imagedefinitions.json
artifacts:
files:
- imagedefinitions.json
```
# Mehr Muster
**Topics**
+ [Automatisieren Sie das Löschen von AWS CloudFormation Stacks und zugehörigen Ressourcen](automate-deletion-cloudformation-stacks-associated-resources.md)
+ [Automatisieren Sie das dynamische Pipeline-Management für die Bereitstellung von Hotfix-Lösungen in Gitflow-Umgebungen mithilfe von und AWS Service Catalog AWS CodePipeline](automate-dynamic-pipeline-management-for-deploying-hotfix-solutions.md)
+ [Automatisches Erstellen von CI/CD Pipelines und Amazon ECS-Clustern für Microservices mithilfe von AWS CDK](automatically-build-ci-cd-pipelines-and-amazon-ecs-clusters-for-microservices-using-aws-cdk.md)
+ [Erstellen und übertragen Sie Docker-Images mithilfe von GitHub Actions und Terraform auf Amazon ECR](build-and-push-docker-images-to-amazon-ecr-using-github-actions-and-terraform.md)
+ [Containerisieren Sie Mainframe-Workloads, die von Blu Age modernisiert wurden](containerize-mainframe-workloads-that-have-been-modernized-by-blu-age.md)
+ [Erstellen Sie einen benutzerdefinierten Protokollparser für Amazon ECS mithilfe eines Firelens-Protokollrouters](create-a-custom-log-parser-for-amazon-ecs-using-a-firelens-log-router.md)
+ [Stellen Sie mithilfe von Terraform Agentensysteme auf Amazon Bedrock mit dem CrewAI-Framework bereit](deploy-agentic-systems-on-amazon-bedrock-with-the-crewai-framework.md)
+ [Stellen Sie mithilfe von Terraform eine Umgebung für containerisierte Blu Age-Anwendungen bereit](deploy-an-environment-for-containerized-blu-age-applications-by-using-terraform.md)
+ [Stellen Sie mithilfe einer Inferenz-Pipeline in Amazon Vorverarbeitungslogik in einem ML-Modell an einem einzigen Endpunkt bereit SageMaker](deploy-preprocessing-logic-into-an-ml-model-in-a-single-endpoint-using-an-inference-pipeline-in-amazon-sagemaker.md)
+ [Stellen Sie Workloads aus DevOps Azure-Pipelines auf private Amazon EKS-Cluster bereit](deploy-workloads-from-azure-devops-pipelines-to-private-amazon-eks-clusters.md)
+ [Implementieren Sie KI-gestützte Kubernetes-Diagnose und -Fehlerbehebung mit der Integration von K8SGPT und Amazon Bedrock](implement-ai-powered-kubernetes-diagnostics-and-troubleshooting-with-k8sgpt-and-amazon-bedrock-integration.md)
+ [Verwalten Sie blue/green Bereitstellungen von Microservices für mehrere Konten und Regionen mithilfe von AWS-Code-Services und AWS KMS-Schlüsseln für mehrere Regionen](manage-blue-green-deployments-of-microservices-to-multiple-accounts-and-regions-by-using-aws-code-services-and-aws-kms-multi-region-keys.md)
+ [Verwalten Sie lokale Containeranwendungen, indem Sie Amazon ECS Anywhere mit dem AWS CDK einrichten](manage-on-premises-container-applications-by-setting-up-amazon-ecs-anywhere-with-the-aws-cdk.md)
+ [Migrieren Sie von Oracle WebLogic zu Apache Tomcat (ToMEE) auf Amazon ECS](migrate-from-oracle-weblogic-to-apache-tomcat-tomee-on-amazon-ecs.md)
+ [Richten Sie einen nutzbaren Mindestdatenraum für die gemeinsame Nutzung von Daten zwischen Organisationen ein](minimum-viable-data-space-share-data-organizations.md)
+ [Modernisieren Sie ASP.NET Web Forms-Anwendungen auf AWS](modernize-asp-net-web-forms-applications-on-aws.md)
+ [Überwachen Sie Amazon ECR-Repositorys mit AWS und AWS CloudFormation Config auf Platzhalterberechtigungen](monitor-amazon-ecr-repositories-for-wildcard-permissions-using-aws-cloudformation-and-aws-config.md)
+ [Überwachen Sie die Anwendungsaktivität mithilfe von CloudWatch Logs Insights](monitor-application-activity-by-using-cloudwatch-logs-insights.md)
+ [Richten Sie mithilfe von AWS CDK eine CI/CD Pipeline für Hybrid-Workloads auf Amazon ECS Anywhere ein und GitLab](set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.md)
+ [Richten Sie die end-to-end Verschlüsselung für Anwendungen auf Amazon EKS mithilfe von cert-manager und Let's Encrypt ein](set-up-end-to-end-encryption-for-applications-on-amazon-eks-using-cert-manager-and-let-s-encrypt.md)
+ [Vereinfachen Sie die Bereitstellung von Amazon EKS-Anwendungen für mehrere Mandanten mithilfe von Flux](simplify-amazon-eks-multi-tenant-application-deployment-by-using-flux.md)
+ [Optimieren Sie mithilfe von SageMaker KI und Hydra Workflows für maschinelles Lernen — von der lokalen Entwicklung bis hin zu skalierbaren Experimenten](streamline-machine-learning-workflows-by-using-amazon-sagemaker.md)
+ [Strukturieren Sie ein Python-Projekt in hexagonaler Architektur mit AWS Lambda](structure-a-python-project-in-hexagonal-architecture-using-aws-lambda.md)
+ [Testen Sie die AWS Infrastruktur mithilfe LocalStack von Terraform-Tests](test-aws-infra-localstack-terraform.md)
+ [Koordinieren Sie die Ressourcenabhängigkeit und die Aufgabenausführung mithilfe des AWS Fargate WaitCondition Hook-Konstrukts](use-the-aws-fargate-waitcondition-hook-construct.md)
+ [Verwenden Sie Amazon Bedrock-Agenten, um die Erstellung von Zugriffskontrollen in Amazon EKS durch textbasierte Eingabeaufforderungen zu automatisieren](using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.md)
# Serverless
**Topics**
+ [Erstellen Sie mithilfe von AWS Amplify eine serverlose mobile React Native-App](build-a-serverless-react-native-mobile-app-by-using-aws-amplify.md)
+ [Mandanten für mehrere SaaS-Produkte auf einer einzigen Steuerebene verwalten](manage-tenants-across-multiple-saas-products-on-a-single-control-plane.md)
+ [Konsolidieren Sie die vorsignierte URL-Generierung und das Herunterladen von Objekten in Amazon S3 mithilfe eines Endpunkts, der statischen IP-Adressen zugeordnet ist](consolidate-amazon-s3-presigned-url-generation-and-object-downloads-by-using-an-endpoint-associated-with-static-ip-addresses.md)
+ [Erstellen Sie eine kontoübergreifende EventBridge Amazon-Verbindung in einer Organisation](create-cross-account-amazon-eventbridge-connection-organization.md)
+ [Stellen Sie DynamoDB-Datensätze mithilfe von Kinesis Data Streams und Firehose an Amazon S3 bereit mit AWS CDK](deliver-dynamodb-records-to-amazon-s3-using-kinesis-data-streams-and-amazon-data-firehose-with-aws-cdk.md)
+ [Implementieren Sie die pfadbasierte API-Versionierung mithilfe benutzerdefinierter Domains in Amazon API Gateway](implement-path-based-api-versioning-by-using-custom-domains.md)
+ [Importieren Sie die psycopg2-Bibliothek, AWS Lambda um mit Ihrer PostgreSQL-Datenbank zu interagieren](import-psycopg2-library-lambda.md)
+ [Integrieren Sie Amazon API Gateway mit Amazon SQS, um asynchrones REST zu handhaben APIs](integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.md)
+ [Ereignisse asynchron mit Amazon API Gateway und AWS Lambda verarbeiten](process-events-asynchronously-with-amazon-api-gateway-and-aws-lambda.md)
+ [Ereignisse asynchron mit Amazon API Gateway und Amazon DynamoDB Streams verarbeiten](processing-events-asynchronously-with-amazon-api-gateway-and-amazon-dynamodb-streams.md)
+ [Ereignisse asynchron mit Amazon API Gateway, Amazon SQS und AWS Fargate verarbeiten](process-events-asynchronously-with-amazon-api-gateway-amazon-sqs-and-aws-fargate.md)
+ [Führen Sie AWS Systems Manager Automation Automation-Aufgaben synchron über AWS Step Functions aus](run-aws-systems-manager-automation-tasks-synchronously-from-aws-step-functions.md)
+ [parallel Lesevorgänge von S3-Objekten mithilfe von Python in einer AWS Lambda Funktion ausführen](run-parallel-reads-of-s3-objects-by-using-python-in-an-aws-lambda-function.md)
+ [Senden Sie Telemetriedaten von AWS Lambda zu OpenSearch für Analysen und Visualisierungen in Echtzeit](send-telemetry-data-from-lambda-to-opensearch-for-analytics-visualization.md)
+ [Richten Sie einen serverlosen Mobilfunkrouter für eine zellenbasierte Architektur ein](serverless-cell-router-architecture.md)
+ [Richten Sie den privaten Zugriff auf einen Amazon S3 S3-Bucket über einen VPC-Endpunkt ein](set-up-private-access-to-an-amazon-s3-bucket-through-a-vpc-endpoint.md)
+ [Fehlerbehebung bei Zuständen mithilfe AWS Step Functions von Amazon Bedrock](troubleshooting-states-in-aws-step-functions.md)
+ [Mehr Muster](serverless-more-patterns-pattern-list.md)
# Erstellen Sie mithilfe von AWS Amplify eine serverlose mobile React Native-App
*Deekshitulu Pentakota, Amazon Web Services*
## Zusammenfassung
Dieses Muster zeigt, wie Sie mithilfe von AWS Amplify und den folgenden AWS-Services ein serverloses Backend für eine mobile React Native-App erstellen:
+ AWS AppSync
+ Amazon Cognito
+ Amazon DynamoDB
Nachdem Sie das Backend der App mithilfe von Amplify konfiguriert und bereitgestellt haben, authentifiziert Amazon Cognito App-Benutzer und autorisiert sie für den Zugriff auf die App. AWS interagiert AppSync dann mit der Frontend-App und mit einer DynamoDB-Backend-Tabelle, um Daten zu erstellen und abzurufen.
**Anmerkung**
Dieses Muster verwendet eine einfache "ToDoList" App als Beispiel, aber Sie können ein ähnliches Verfahren verwenden, um jede beliebige mobile React-Native-App zu erstellen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
+ [Amplify Command Line Interface (Amplify CLI)](https://docs.amplify.aws/cli/start/install/), installiert und konfiguriert
+ XCode (jede Version)
+ Microsoft Visual Studio (jede Version, jeder Code-Editor, jeder Texteditor)
+ Vertrautheit mit Amplify
+ Vertrautheit mit Amazon Cognito
+ Vertrautheit mit AWS AppSync
+ Vertrautheit mit DynamoDB
+ Vertrautheit mit Node.js
+ Vertrautheit mit npm
+ Vertrautheit mit React und React Native
+ Vertrautheit mit JavaScript und ECMAScript 6 () ES6
+ Vertrautheit mit GraphQL
## Architektur
Das folgende Diagramm zeigt eine Beispielarchitektur für die Ausführung des Backends einer mobilen React Native-App in der AWS-Cloud:
![\[Workflow für die Ausführung einer mobilen React-Native-App mit AWS-Services.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/c95e0150-5762-4c90-946c-efa3a22913e4/images/5beff5f9-9d14-49dc-a046-b74e5bfbd13f.png)
Das Diagramm zeigt die folgende Architektur:
1. Amazon Cognito authentifiziert App-Benutzer und autorisiert sie, auf die App zuzugreifen.
1. Um Daten zu erstellen und abzurufen, AppSync verwendet AWS eine GraphQL-API, um mit der Frontend-App und einer Backend-DynamoDB-Tabelle zu interagieren.
## Tools
**AWS-Services**
+ [AWS Amplify](https://docs.aws.amazon.com/amplify/latest/userguide/welcome.html) ist eine Reihe von speziell entwickelten Tools und Funktionen, mit denen Frontend-Web- und Mobilentwickler schnell Full-Stack-Anwendungen auf AWS erstellen können.
+ [AWS AppSync](https://docs.aws.amazon.com/appsync/latest/devguide/what-is-appsync.html) bietet eine skalierbare GraphQL-Schnittstelle, mit der Anwendungsentwickler Daten aus mehreren Quellen kombinieren können, darunter Amazon DynamoDB, AWS Lambda und HTTP. APIs
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Web- und mobile Apps.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
**Code**
Der Code für die Beispielanwendung, die in diesem Muster verwendet wird, ist im ios-todo-app Repository GitHub [aws-amplify-react-native-](https://github.com/aws-samples/aws-amplify-react-native-ios-todo-app) verfügbar. Um die Beispieldateien zu verwenden, folgen Sie den Anweisungen im Abschnitt **Epics** dieses Musters.
## Epen
### Erstelle deine React Native-App und führe sie aus
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie eine React Native-Entwicklungsumgebung ein. | Anweisungen finden Sie unter [Einrichten der Entwicklungsumgebung](https://reactnative.dev/docs/next/environment-setup) in der React Native-Dokumentation. | App-Developer |
| Erstellen Sie die mobile ToDoList React Native-App und führen Sie sie im iOS-Simulator aus. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html) | App-Developer |
### Initialisieren Sie eine neue Backend-Umgebung für die App
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die Backend-Dienste, die zur Unterstützung der App in Amplify erforderlich sind. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html)Wenden Sie für das in diesem Muster verwendete ToDoList App-Setup die folgende Beispielkonfiguration an.**Beispiel für die Konfiguration der React Native Amplify App**? Name: ToDoListAmplify
? Environment: dev
? Default editor: Visual Studio Code
? App type: javascript
? Javascript framework: react-native
? Source Directory Path: src
? Distribution Directory Path: /
? Build Command: npm run-script build
? Start Command: npm run-script start
? Select the authentication method you want to use: AWS profile
? Please choose the profile you want to use: default
Weitere Informationen finden Sie unter [Erstellen eines neuen Amplify-Backends in der Amplify](https://docs.amplify.aws/lib/project-setup/create-application/q/platform/js/#create-a-new-amplify-backend) Dev Center-Dokumentation.Der `amplify init` Befehl stellt mithilfe von [AWS die folgenden Ressourcen bereit CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html) | App-Developer |
### Fügen Sie Ihrer Amplify React Native-App die Amazon Cognito Cognito-Authentifizierung hinzu
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie einen Amazon Cognito Cognito-Authentifizierungsservice. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html)Wenden Sie für das in diesem Muster verwendete ToDoList App-Setup die folgende Beispielkonfiguration an.**Beispiel für Konfigurationseinstellungen für den Authentifizierungsdienst**? Do you want to use the default authentication and security configuration? \
Default configuration
? How do you want users to be able to sign in? \
Username
? Do you want to configure advanced settings? \
No, I am done
Der `amplify add auth` Befehl erstellt die erforderlichen Ordner, Dateien und Abhängigkeitsdateien in einem lokalen Ordner (**Amplify**) im Stammverzeichnis des Projekts. Für das in diesem Muster verwendete ToDoList App-Setup wird die **Datei aws-exports.js** zu diesem Zweck erstellt. | App-Developer |
| Stellen Sie den Amazon Cognito-Service in der AWS-Cloud bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html)Um die in Ihrem Projekt bereitgestellten Dienste zu sehen, rufen Sie die Amplify-Konsole auf, indem Sie den folgenden Befehl ausführen:`amplify console` | App-Developer |
| Installieren Sie die erforderlichen Amplify-Bibliotheken für React Native und die CocoaPods Abhängigkeiten für iOS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html) | App-Developer |
| Importieren und konfigurieren Sie den Amplify-Dienst. | Importieren und laden Sie in der Einstiegspunktdatei der App (z. B. **App.js**) die Konfigurationsdatei des Amplify-Dienstes, indem Sie die folgenden Codezeilen eingeben:import Amplify from 'aws-amplify'
import config from './src/aws-exports'
Amplify.configure(config)
Wenn Sie nach dem Import des Amplify-Dienstes in die Einstiegspunktdatei der App eine Fehlermeldung erhalten, beenden Sie die App. Öffnen XCode Sie dann die **ToDoListAmplifyDatei .xcworkspace** aus dem iOS-Ordner des Projekts, wählen Sie sie aus und führen Sie die App aus. | App-Developer |
| Aktualisieren Sie die Einstiegspunktdatei Ihrer App, um die WithAuthenticator-Komponente höherer Ordnung (HOC) zu verwenden. | Der `withAuthenticator` HOC bietet Workflows zum Anmelden, Registrieren und Vergessen von Passwörtern in Ihrer App, wobei nur wenige Codezeilen verwendet werden. Weitere Informationen finden Sie unter [Option 1: Verwenden Sie vorgefertigte UI-Komponenten](https://docs.amplify.aws/lib/auth/getting-started/q/platform/js/#option-1-use-pre-built-ui-components) im Amplify Dev Center. Außerdem [Komponenten höherer Ordnung](https://reactjs.org/docs/higher-order-components.html) in der React-Dokumentation.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html)**Beispiel für den WITHAuthenticator HOC-Code**import Amplify from 'aws-amplify'
import config from './src/aws-exports'
Amplify.configure(config)
import { withAuthenticator } from 'aws-amplify-react-native';
const App = () => {
return null;
};
export default withAuthenticator(App);
Im iOS-Simulator zeigt die App den Anmeldebildschirm an, der vom Amazon Cognito-Service bereitgestellt wird. | App-Developer |
| Testen Sie die Einrichtung des Authentifizierungsdienstes. | Gehen Sie im iOS-Simulator wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html)Sie können auch die [Amazon Cognito Cognito-Konsole](https://console.aws.amazon.com/cognito/) öffnen und überprüfen, ob ein neuer Benutzer im **Identity Pool** erstellt wurde oder nicht. | App-Developer |
### Eine AppSync AWS-API und eine DynamoDB-Datenbank mit der App Connect
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine AppSync AWS-API und eine DynamoDB-Datenbank. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html)Wenden Sie für das in diesem Muster verwendete ToDoList App-Setup die folgende Beispielkonfiguration an.**Beispiel für API- und Datenbankkonfigurationseinstellungen**? Please select from one of the below mentioned services: \
GraphQL
? Provide API name: todolistamplify
? Choose the default authorization type for the API \
Amazon Cognito User Pool
Do you want to use the default authentication and security configuration
? Default configuration How do you want users to be able to sign in? \
Username
Do you want to configure advanced settings? \
No, I am done.
? Do you want to configure advanced settings for the GraphQL API \
No, I am done.
? Do you have an annotated GraphQL schema? \
No
? Choose a schema template: \
Single object with fields (e.g., "Todo" with ID, name, description)
? Do you want to edit the schema now? \
Yes
**Beispiel für ein GraphQL-Schema** type Todo @model {
id: ID!
name: String!
description: String
} | App-Developer |
| Stellen Sie die AppSync AWS-API bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html)Wenden Sie für das in diesem Muster verwendete ToDoList App-Setup die folgende Beispielkonfiguration an.**Beispiel für AppSync AWS-API-Konfigurationseinstellungen**Die folgende Konfiguration erstellt die GraphQL-API in AWS AppSync und eine **Todo-Tabelle** in Dynamo DB. ? Are you sure you want to continue? Yes
? Do you want to generate code for your newly created GraphQL API Yes
? Choose the code generation language target javascript
? Enter the file name pattern of graphql queries, mutations and subscriptions src/graphql/**/*.js
? Do you want to generate/update all possible GraphQL operations - \
queries, mutations and subscriptions Yes
? Enter maximum statement depth \
[increase from default if your schema is deeply nested] 2
| App-Developer |
| Connect das Frontend der App mit der AppSync AWS-API. | Um die in diesem Muster bereitgestellte ToDoList Beispiel-App zu verwenden, kopieren Sie den Code aus der Datei **App.js** im ios-todo-app GitHub Repository [aws-amplify-react-native-](https://github.com/aws-samples/aws-amplify-react-native-ios-todo-app). Integrieren Sie dann den Beispielcode in Ihre lokale Umgebung.Der in der Datei **App.js** des Repositorys enthaltene Beispielcode bewirkt Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/build-a-serverless-react-native-mobile-app-by-using-aws-amplify.html) | App-Developer |
## Zugehörige Ressourcen
+ [AWS Amplify](https://aws.amazon.com/amplify/)
+ [Amazon Cognito](https://aws.amazon.com/cognito/)
+ [AWS AppSync](https://aws.amazon.com/appsync/)
+ [Amazon-DynamoDB](https://aws.amazon.com/dynamodb/)
+ [React (React-Dokumentation](https://reactjs.org/))
# Mandanten für mehrere SaaS-Produkte auf einer einzigen Steuerebene verwalten
*Ramanna Avancha, Kishan Kavala, Anusha Mandava und Jenifer Pascal, Amazon Web Services*
## Zusammenfassung
Dieses Muster zeigt, wie Mandantenlebenszyklen für mehrere SaaS-Produkte (Software as a Service) auf einer einzigen Steuerungsebene in der AWS-Cloud verwaltet werden. Die bereitgestellte Referenzarchitektur kann Unternehmen dabei helfen, die Implementierung redundanter, gemeinsam genutzter Funktionen in ihren einzelnen SaaS-Produkten zu reduzieren und die Governance-Effizienz in großem Umfang zu steigern.
Große Unternehmen können mehrere SaaS-Produkte in verschiedenen Geschäftsbereichen anbieten. Diese Produkte müssen häufig für die Nutzung durch externe Mandanten mit unterschiedlichen Abonnementstufen bereitgestellt werden. Ohne eine gemeinsame Mandantenlösung müssen IT-Administratoren Zeit damit verbringen, undifferenzierte Funktionen über mehrere SaaS hinweg zu verwalten APIs, anstatt sich auf die Entwicklung der Kernproduktfunktionen zu konzentrieren.
Die in diesem Muster bereitgestellte Common-Tenant-Lösung kann dazu beitragen, die Verwaltung vieler gemeinsam genutzter SaaS-Produktfunktionen eines Unternehmens zu zentralisieren, darunter die folgenden:
+ Sicherheit
+ Bereitstellung von Mandanten
+ Speicherung von Mieterdaten
+ Kommunikation mit Mietern
+ Produktmanagement
+ Protokollierung und Überwachung von Metriken
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
+ Kenntnisse über Amazon Cognito oder einen externen Identitätsanbieter (IdP)
+ Kenntnisse über Amazon API Gateway
+ Kenntnisse über AWS Lambda
+ Kenntnisse über Amazon DynamoDB
+ Kenntnisse in AWS Identity and Access Management (IAM)
+ Kenntnis von AWS Step Functions
+ Kenntnisse von AWS CloudTrail und Amazon CloudWatch
+ Kenntnisse von Python-Bibliotheken und Code
+ Kenntnisse über SaaS APIs, einschließlich der verschiedenen Benutzertypen (Organisationen, Mandanten, Administratoren und Anwendungsbenutzer), Abonnementmodelle und Modelle zur Mandantenisolierung
+ Kenntnis der SaaS-Anforderungen Ihres Unternehmens für mehrere Produkte und Mehrmandantenabonnements
**Einschränkungen**
+ Integrationen zwischen der Common-Tenant-Lösung und einzelnen SaaS-Produkten werden in diesem Muster nicht behandelt.
+ Dieses Muster stellt den Amazon Cognito-Service nur in einer einzigen AWS-Region bereit.
## Architektur
**Zieltechnologie-Stack**
+ Amazon API Gateway
+ Amazon Cognito
+ AWS CloudTrail
+ Amazon CloudWatch
+ Amazon DynamoDB
+ IAM
+ AWS Lambda
+ Amazon Simple Storage Service (Amazon-S3)
+ Amazon-Simple-Notification-Service (Amazon-SNS)
+ Funktionen von AWS Step
**Zielarchitektur**
Das folgende Diagramm zeigt einen Beispiel-Workflow für die Verwaltung von Mandantenlebenszyklen für mehrere SaaS-Produkte auf einer einzigen Steuerungsebene in der AWS-Cloud.
![\[Workflow für die Verwaltung der Lebenszyklen von Mandanten auf einer einzigen Kontrollebene.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/4306bc76-22a7-45ca-a107-43df6c6f7ac8/images/700faf4d-c28f-4814-96aa-2d895cdcb518.png)
Das Diagramm zeigt den folgenden Workflow:
1. Ein AWS-Benutzer initiiert die Mandantenbereitstellung, Produktbereitstellung oder verwaltungsbezogene Aktionen, indem er einen API-Gateway-Endpunkt aufruft.
1. Der Benutzer wird durch ein Zugriffstoken authentifiziert, das aus einem Amazon Cognito Cognito-Benutzerpool oder einem anderen IdP abgerufen wird.
1. Einzelne Bereitstellungs- oder Verwaltungsaufgaben werden von Lambda-Funktionen ausgeführt, die in API Gateway API-Endpunkte integriert sind.
1. APIs Bei der Verwaltung der gemeinsamen Mandantenlösung (für Mandanten, Produkte und Benutzer) werden alle erforderlichen Eingabeparameter, Header und Token erfasst. Dann APIs ruft die Administration die zugehörigen Lambda-Funktionen auf.
1. IAM-Berechtigungen sowohl für die Administration APIs als auch für die Lambda-Funktionen werden vom IAM-Dienst validiert.
1. Lambda-Funktionen speichern und rufen Daten aus den Katalogen (für Mandanten, Produkte und Benutzer) in DynamoDB und Amazon S3 ab.
1. Nachdem die Berechtigungen validiert wurden, wird ein AWS Step Functions Functions-Workflow aufgerufen, um eine bestimmte Aufgabe auszuführen. Das Beispiel im Diagramm zeigt einen Workflow zur Mandantenbereitstellung.
1. Einzelne AWS Step Functions Functions-Workflow-Aufgaben werden in einem vordefinierten Workflow (State Machine) ausgeführt.
1. Alle wichtigen Daten, die für die Ausführung der Lambda-Funktion benötigt werden, die jeder Workflow-Aufgabe zugeordnet ist, werden entweder von DynamoDB oder Amazon S3 abgerufen. Andere AWS-Ressourcen müssen möglicherweise mithilfe einer CloudFormation AWS-Vorlage bereitgestellt werden.
1. Bei Bedarf sendet der Workflow eine Anfrage zur Bereitstellung zusätzlicher AWS-Ressourcen für ein bestimmtes SaaS-Produkt an das AWS-Konto dieses Produkts.
1. Wenn die Anfrage erfolgreich ist oder fehlschlägt, veröffentlicht der Workflow die Statusaktualisierung als Nachricht zu einem Amazon SNS SNS-Thema.
1. Amazon SNS hat das Amazon SNS-Thema des Step Functions Functions-Workflows abonniert.
1. Amazon SNS sendet dann die Workflow-Status-Aktualisierung zurück an den AWS-Benutzer.
1. Protokolle der Aktionen der einzelnen AWS, einschließlich eines Prüfprotokolls mit API-Aufrufen, werden an gesendet CloudWatch. CloudWatch Für jeden Anwendungsfall können spezifische Regeln und Alarme konfiguriert werden.
1. Protokolle werden zu Prüfungszwecken in Amazon S3 S3-Buckets archiviert.
**Automatisierung und Skalierung**
Dieses Muster verwendet eine CloudFormation Vorlage, um die Bereitstellung der Common-Tenant-Lösung zu automatisieren. Die Vorlage kann Ihnen auch dabei helfen, die zugehörigen Ressourcen schnell nach oben oder unten zu skalieren.
Weitere Informationen finden Sie unter [Arbeiten mit CloudFormation AWS-Vorlagen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) im * CloudFormation AWS-Benutzerhandbuch*.
## Tools
**AWS-Services**
+ [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) unterstützt Sie bei der Erstellung, Veröffentlichung, Wartung, Überwachung und Sicherung von REST, HTTP und WebSocket APIs in jeder Größenordnung.
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Web- und mobile Apps.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) unterstützt Sie bei der Prüfung der Unternehmensführung, der Einhaltung von Vorschriften und des Betriebsrisikos Ihres AWS-Kontos.
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Metriken Ihrer AWS-Ressourcen und der Anwendungen, die Sie auf AWS ausführen, in Echtzeit zu überwachen.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Lambda-Funktionen und andere AWS-Services kombinieren können, um geschäftskritische Anwendungen zu erstellen.
## Best Practices
Die Lösung in diesem Muster verwendet eine einzige Steuerungsebene, um das Onboarding mehrerer Mandanten zu verwalten und den Zugriff auf mehrere SaaS-Produkte bereitzustellen. Die Steuerungsebene hilft administrativen Benutzern bei der Verwaltung von vier weiteren, funktionsspezifischen Ebenen:
+ Sicherheitsebene
+ Workflow-Ebene
+ Kommunikationsebene
+ Protokollierungs- und Überwachungsebene
## Epen
### Konfigurieren Sie die Sicherheitsebene
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Legen Sie die Anforderungen für Ihre Multi-Tenant-SaaS-Plattform fest. | Legen Sie detaillierte Anforderungen für Folgendes fest:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-tenants-across-multiple-saas-products-on-a-single-control-plane.html) | Cloud-Architekt, AWS-Systemadministrator |
| Richten Sie den Amazon Cognito-Service ein. | Folgen Sie den Anweisungen unter [Erste Schritte mit Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-getting-started.html) im *Amazon Cognito Developer Guide*. | Cloud-Architekt |
| Konfigurieren Sie die erforderlichen IAM-Richtlinien. | Erstellen Sie die erforderlichen IAM-Richtlinien für Ihren Anwendungsfall. Ordnen Sie dann die Richtlinien den IAM-Rollen in Amazon Cognito zu.Weitere Informationen finden Sie unter [Verwaltung des Zugriffs mithilfe von Richtlinien](https://docs.aws.amazon.com/cognito/latest/developerguide/security-iam.html#security_iam_access-manage) und [rollenbasierter Zugriffskontrolle](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) im *Amazon Cognito* Developer Guide. | Cloud-Administrator, Cloud-Architekt, AWS IAM-Sicherheit |
| Konfigurieren Sie die erforderlichen API-Berechtigungen. | Richten Sie API-Gateway-Zugriffsberechtigungen mithilfe von IAM-Rollen und -Richtlinien sowie Lambda-Autorisierern ein.Anweisungen finden Sie in den folgenden Abschnitten des *Amazon API Gateway Developer Guide*:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-tenants-across-multiple-saas-products-on-a-single-control-plane.html) | Cloud-Administrator, Cloud-Architekt |
### Konfigurieren Sie die Datenebene
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die erforderlichen Datenkataloge. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-tenants-across-multiple-saas-products-on-a-single-control-plane.html)Weitere Informationen finden Sie unter [Setting up DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/SettingUp.html) im *Amazon DynamoDB Developer Guide*. | DBA |
### Konfigurieren Sie die Steuerungsebene
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie Lambda-Funktionen und API Gateway APIs , um die erforderlichen Aufgaben auf der Steuerungsebene auszuführen. | Erstellen Sie separate Lambda-Funktionen und API Gateway, APIs um Folgendes hinzuzufügen, zu löschen und zu verwalten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-tenants-across-multiple-saas-products-on-a-single-control-plane.html)Weitere Informationen finden Sie unter [Using AWS Lambda with Amazon API Gateway](https://docs.aws.amazon.com/lambda/latest/dg/services-apigateway.html) im *AWS Lambda Developer Guide*. | App-Developer |
### Konfigurieren Sie die Workflow-Ebene
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Identifizieren Sie die Aufgaben, die AWS Step Functions Functions-Workflows ausführen müssen. | Identifizieren und dokumentieren Sie die detaillierten AWS Step Functions Functions-Workflow-Anforderungen für Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-tenants-across-multiple-saas-products-on-a-single-control-plane.html)Stellen Sie sicher, dass die wichtigsten Beteiligten die Anforderungen genehmigen. | Besitzer der App |
| Erstellen Sie die erforderlichen AWS Step Functions Functions-Workflows. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-tenants-across-multiple-saas-products-on-a-single-control-plane.html) | App-Entwickler, Lead aufbauen |
### Konfigurieren Sie die Kommunikationsebene
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie Amazon SNS SNS-Themen. | Erstellen Sie Amazon SNS SNS-Themen, um Benachrichtigungen zu folgenden Themen zu erhalten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-tenants-across-multiple-saas-products-on-a-single-control-plane.html)Weitere Informationen finden Sie unter dem [Thema Creating an SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) im *Amazon SNS Developer Guide*. | App-Besitzer, Cloud-Architekt |
| Abonnieren Sie Endpunkte für jedes Amazon SNS SNS-Thema. | Um Nachrichten zu erhalten, die zu einem Amazon SNS SNS-Thema veröffentlicht wurden, müssen Sie für jedes Thema einen Endpunkt abonnieren.Weitere Informationen finden Sie unter Amazon SNS [SNS-Abonnement im Amazon SNS *SNS-Entwicklerhandbuch*](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html). | App-Entwickler, Cloud-Architekt |
### Konfigurieren Sie die Protokollierungs- und Überwachungsebene
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Aktivieren Sie die Protokollierung für jede Komponente der Common-Tenant-Lösung. | Aktivieren Sie die Protokollierung auf Komponentenebene für jede Ressource in der Common Tenant-Lösung, die Sie erstellt haben.Detaillierte Informationen finden Sie hier:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-tenants-across-multiple-saas-products-on-a-single-control-plane.html)Mithilfe von IAM-Richtlinien können Sie Protokolle für jede Ressource in einem zentralen Protokollierungskonto konsolidieren. Weitere Informationen finden Sie unter [Zentralisierte Protokollierung und Sicherheitsvorkehrungen für mehrere Konten.](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/centralized-logging-and-multiple-account-security-guardrails.html) | App-Entwickler, AWS-Systemadministrator, Cloud-Administrator |
### Bereitstellung und Bereitstellung der Common-Tenant-Lösung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| CloudFormation Vorlagen erstellen. | Automatisieren Sie mithilfe von CloudFormation Vorlagen die Bereitstellung und Wartung der vollständigen Common-Tenant-Lösung und all ihrer Komponenten.Weitere Informationen finden Sie im [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html). | App-Entwickler, DevOps Ingenieur, CloudFormation Entwickler |
## Zugehörige Ressourcen
+ [Steuern Sie den Zugriff auf eine REST-API mithilfe von Amazon Cognito Cognito-Benutzerpools als Autorisierer](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html) (*Amazon API Gateway Developer Guide*)
+ [Verwenden Sie API Gateway Lambda-Autorisierer](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html) (*Amazon API Gateway* Developer Guide)
+ [Amazon Cognito Cognito-Benutzerpools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) (*Amazon Cognito Cognito-Entwicklerhandbuch*)
+ [Kontoübergreifende, regionsübergreifende CloudWatch Konsole](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) (* CloudWatch Amazon-Benutzerhandbuch*)
# Konsolidieren Sie die vorsignierte URL-Generierung und das Herunterladen von Objekten in Amazon S3 mithilfe eines Endpunkts, der statischen IP-Adressen zugeordnet ist
*Song Jin, Eunhye Jo und Jun Soung Lee, Amazon Web Services*
## Zusammenfassung
Dieses Muster vereinfacht den Zugriff auf Amazon Simple Storage Service (Amazon S3), indem sichere, benutzerdefinierte Vorlagen URLs für Objektdownloads erstellt werden. Die Lösung bietet einen einzigen Endpunkt mit einer eindeutigen Domain und statischen IP-Adressen. Es ist auf Kunden zugeschnitten, die eine Konsolidierung von API- und Amazon S3 S3-Endpunkten unter einer einheitlichen Domain mit statischen IP-Adressen benötigen. Bei diesem Anwendungsfall befolgen Benutzer eine Firewall-Richtlinie für IP-Adressen und Domain-Zulassungslisten, wodurch der API-Zugriff auf bestimmte Domänen und IP-Adressen beschränkt wird.
Die Architektur verwendet Schlüssel AWS-Services wie AWS Global Accelerator Amazon API Gateway AWS Lambda, Application Load Balancer und Amazon S3. AWS PrivateLink Dieses Design zentralisiert die API für die Generierung vorsignierter Endgeräte URLs und des Amazon S3 S3-Endpunkts unter einer einzigen Domain, die mit einem Accelerator mit zwei statischen IP-Adressen verknüpft ist. Folglich können Benutzer mühelos vorsignierte Amazon S3 S3-Objekte über einen einheitlichen Domain-Endpunkt mit statischen IP-Adressen anfordern URLs und herunterladen.
Diese Architektur ist besonders vorteilhaft für Kunden mit strengen Richtlinien oder Compliance-Anforderungen, z. B. im öffentlichen Sektor, im medizinischen Bereich und im Finanzsektor.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Eine öffentlich gehostete Zone für Ihren benutzerdefinierten Domainnamen
+ Eine in AWS Certificate Manager (ACM) importierte Domain in AWS-Region der Ihrer Wahl
**Einschränkungen**
+ Der Amazon S3 S3-Bucket-Name muss mit dem Domainnamen des Endpunkts übereinstimmen. Diese Anforderung soll sicherstellen, dass der Amazon S3 S3-Endpunkt über den einzigen API-Endpunkt bedient werden kann.
+ Der in API Gateway verwendete benutzerdefinierte Domainname sollte mit dem Domainnamen des einzelnen API-Endpunkts übereinstimmen.
+ Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter [AWS Dienste nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
## Architektur
Das folgende Diagramm zeigt die Zielarchitektur und den Arbeitsablauf für dieses Muster.
![\[Komponenten und Arbeitsablauf für die Generierung vorab signierter URLs und das Herunterladen von Objekten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e19ebcb5-2138-481e-952e-3cfee9ad9e97/images/effd197c-d4d7-4990-8b66-3eb1c64aab4c.png)
Das Diagramm veranschaulicht das folgende Konzept und den folgenden Arbeitsablauf:
1. Ein Benutzer initiiert eine Anforderung zur Generierung einer vorsignierten URL mithilfe des benutzerdefinierten Endpunkts AWS Global Accelerator, über den der benutzerdefinierte Domänenname und die zugehörigen IP-Adressen bereitgestellt wird.
1. Eine Lambda-Funktion generiert die vorsignierte URL, die auf den benutzerdefinierten Endpunkt verweist. Sie antwortet mit einer 301-Weiterleitung, die die generierte vorsignierte URL enthält. Über die umgeleitete vorsignierte URL lädt der Benutzer das Objekt automatisch herunter, indem er den benutzerdefinierten Endpunkt verwendet, der über Global Accelerator bereitgestellt wird.
Die Gesamtarchitektur für die Generierung vorsignierter URLs und den Workflow zum Herunterladen von Objekten besteht aus folgenden Komponenten:
+ Bereitstellung statischer IP-Adressen durch Global Accelerator.
+ Registrierung des Alias des Accelerators als A-Eintrag in der öffentlich gehosteten Zone von Amazon Route 53 mit dem benutzerdefinierten Domainnamen.
+ Erstellung eines Amazon S3 S3-Buckets mit einem Bucket-Namen, der dem registrierten benutzerdefinierten Domainnamen entspricht.
+ Erstellung von VPC-Endpunkten für API Gateway und den Amazon S3 S3-Service.
+ Konfiguration eines intern gerichteten Application Load Balancer für die Verbindung mit Global Accelerator.
+ Zuweisung eines benutzerdefinierten Domainnamens für API Gateway mit angehängtem ACM-Zertifikat.
+ Bereitstellung eines privaten API Gateway, das in eine Lambda-Funktion integriert ist.
+ Die Lambda-Funktion ist mit einer angehängten AWS Identity and Access Management (IAM-) Rolle (mit [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)Berechtigungen) ausgestattet.
## Tools
**AWS-Services**
+ [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) unterstützt Sie bei der Erstellung, Veröffentlichung, Wartung, Überwachung und Sicherung von REST, HTTP und WebSocket APIs in jeder Größenordnung.
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/) verteilen den eingehenden Anwendungsdatenverkehr auf mehrere Ziele, z. B. Amazon Elastic Compute Cloud (Amazon EC2) -Instances, in mehreren Availability Zones.
+ [AWS Certificate Manager (ACM)](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) unterstützt Sie bei der Erstellung, Speicherung und Erneuerung öffentlicher und privater SSL/TLS X.509-Zertifikate und -Schlüssel, die Ihre AWS Websites und Anwendungen schützen.
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/latest/guide/home.html)ist ein Softwareentwicklungs-Framework, das Ihnen hilft, AWS Cloud Infrastruktur im Code zu definieren und bereitzustellen.
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)ist ein globaler Dienst, der mehrere AWS-Regionen Endpunkte unterstützt. Sie können Beschleuniger erstellen, die den Datenverkehr über das globale Netzwerk an optimale Endpunkte weiterleiten. AWS Dies verbessert die Verfügbarkeit und Leistung Ihrer Internetanwendungen, die von einer globalen Zielgruppe verwendet werden.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)hilft Ihnen dabei, unidirektionale, private Verbindungen von Ihren virtuellen privaten Clouds (VPCs) zu Diensten außerhalb der VPC herzustellen.
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) ist ein hochverfügbarer und skalierbarer DNS-Web-Service.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
**Andere Tools**
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
**Code-Repository**
Sie können dieses Muster je nach Wunsch entweder mit AWS CDK oder mit Terraform bereitstellen. Der Abschnitt [Epics](#consolidate-amazon-s3-presigned-url-generation-and-object-downloads-by-using-an-endpoint-associated-with-static-ip-addresses-epics) enthält Anweisungen für beide Bereitstellungsmethoden. Der Code für dieses Muster ist in den folgenden GitHub Repositorys verfügbar:
+ **AWS CDK**— [s3- -cdk presignedurl-staticips-endpoint-with](https://github.com/aws-samples/s3-presignedurl-staticips-endpoint-with-cdk)
+ **[Terraform — s3- -Terraform presignedurl-staticips-endpoint-with](https://github.com/aws-samples/s3-presignedurl-staticips-endpoint-with-terraform)**
## Best Practices
+ Um die Sicherheit in der Produktionsumgebung zu erhöhen, ist es wichtig, Autorisierungsmechanismen wie [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) zu implementieren, um den Zugriff auf die `PresignedUrl` Generierungs-API einzuschränken.
+ Folgen Sie dem Prinzip der geringsten Rechte und gewähren Sie die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie in der IAM-Dokumentation unter [Gewährung der geringsten Rechte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) und [bewährte Methoden zur Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
## Epen
### Bereite die Umgebung vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Entscheiden Sie sich für einen Domainnamen. | Entscheiden Sie sich für einen öffentlichen Domainnamen für den einheitlichen Amazon S3 S3-Endpunkt. Der Domainname wird auch als Amazon S3 S3-Bucket-Name verwendet. | AWS-Administrator, Netzwerkadministrator |
| Erstellen Sie eine öffentliche gehostete Zone. | [Erstellen Sie eine öffentlich gehostete Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) in Amazon Route 53. Sein Domainname muss mit dem Domainnamen übereinstimmen, der in API Gateway verwendet wird. | AWS-Administrator, Netzwerkadministrator |
| Bereiten Sie ein SSL-Zertifikat vor. | Verwenden Sie AWS Certificate Manager (ACM), um ein SSL-Zertifikat für Ihre Webanwendungsdomäne [anzufordern](https://docs.aws.amazon.com/acm/latest/userguide/acm-public-certificates.html) oder zu [importieren](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html). | AWS-Administrator, Netzwerkadministrator |
### Stellen Sie das Muster mit Terraform bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie die Terraform-Entwicklungsumgebung ein. | Gehen Sie wie folgt vor, um die Entwicklungsumgebung einzurichten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/consolidate-amazon-s3-presigned-url-generation-and-object-downloads-by-using-an-endpoint-associated-with-static-ip-addresses.html) | AWS-Administrator, Cloud-Administrator |
| Ändern Sie die **`provider.tf`**Dateien `.tfvars` und. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/consolidate-amazon-s3-presigned-url-generation-and-object-downloads-by-using-an-endpoint-associated-with-static-ip-addresses.html)**Beachten Sie Folgendes:**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/consolidate-amazon-s3-presigned-url-generation-and-object-downloads-by-using-an-endpoint-associated-with-static-ip-addresses.html) | AWS-Administrator, Cloud-Administrator |
| Stellen Sie Netzwerkressourcen bereit. | Führen Sie die folgenden Befehle aus, um Netzwerkressourcen bereitzustellen:cd ./2.vpc_alb_ga
terraform init
terraform plan --var-file=apg.tfvars
terraform apply --var-file=apg.tfvars
Geben Sie bei der Ausführung des `apply ` Befehls **yes** ein, wenn Sie dazu aufgefordert werden. | AWS-Administrator, Cloud-Administrator |
| Stellen Sie API Gateway, Amazon S3 und Lambda bereit. | Verwenden Sie die folgenden Befehle, um Netzwerkressourcen bereitzustellen:cd ./2.apigw_s3_lambda
terraform init
terraform plan --var-file=apg.tfvars
terraform apply --var-file=apg.tfvars
| AWS-Administrator, Cloud-Administrator |
### Stellen Sie das Muster bereit mit AWS CDK
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie die AWS CDK Entwicklungsumgebung ein. | Gehen Sie wie folgt vor, um die Entwicklungsumgebung einzurichten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/consolidate-amazon-s3-presigned-url-generation-and-object-downloads-by-using-an-endpoint-associated-with-static-ip-addresses.html) | AWS-Administrator, Cloud-Administrator |
| Konfigurieren Sie die Domain-Einstellungen in der `config/index.ts` Datei. | Verwenden Sie die folgenden Befehle, um die Optionen der konstanten Variablen zu bearbeiten:export const options = {
certificateArn: '{arn of the acm which created before}',
dnsAttr: {
zoneName: '{public hosted zone name}',
hostedZoneId: 'hosted zone Id',
},
domainNamePrefix: '{Prefix for the domain}',
presignPath: 'presign',
objectsPath: 'objects',
};Ersetzen Sie in den Befehlen jeden Platzhalter durch Ihre eigenen Informationen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/consolidate-amazon-s3-presigned-url-generation-and-object-downloads-by-using-an-endpoint-associated-with-static-ip-addresses.html) | AWS-Administrator, Cloud-Administrator |
| Stellen Sie die Stacks bereit. | Verwenden Sie den folgenden Befehl, um zwei Stacks bereitzustellen, einen für die Virtual Private Cloud (VPC) und einen weiteren für die Anwendung:$ npm install
$ cdk synth
$ cdk deploy --all
| AWS-Administrator, Cloud-Administrator |
### Testen Sie das Muster
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie die IP-Adressen des Endpunkts. | Verwenden Sie den folgenden Befehl, um zu überprüfen, ob die Domäne für dieses Muster statische IP-Adressen hat:nslookup ${s3-bucket-prefix}.${domain} | Netzwerkadministrator |
| Laden Sie eine Testdatei hoch, die Sie später herunterladen können. | Laden Sie die Testdatei in den `'/objects'` Ordner im Amazon S3 S3-Bucket hoch. | AWS-Administrator, Cloud-Administrator |
| Rufen Sie die API auf, um eine vorsignierte URL zu generieren. | Um eine vorsignierte URL zu generieren, rufen Sie die URL in einem Browser oder API-Client (z. B. [Postman](https://www.postman.com/product/what-is-postman/)) im folgenden Format auf:https://${s3-bucket-prefix}.${domain}/presign/objects/${uploaded-filename}Ersetzen Sie die Platzhalterwerte in `${s3-bucket-prefix}` und `${domain}` durch die Werte, die Sie in den vorherigen Schritten festgelegt haben. | Besitzer der App |
| Überprüfe das Ergebnis. | Das erwartete Ergebnis ist, dass Sie einen Statuscode für die Weiterleitung 301 (dauerhaft verschoben) erhalten sollten. Diese Antwort enthält die vorsignierte URL, die den Download Ihrer Testdatei automatisch initiieren sollte. | Testingenieur |
### Mit Terraform aufräumen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Zerstören Sie API Gateway-, Amazon S3- und Lambda-Ressourcen. | Verwenden Sie die folgenden Befehle, um Ressourcen zu löschen:cd ./2.apigw_s3_lambda
terraform init
terraform plan --destroy --var-file=apg.tfvars
terraform destroy --var-file=apg.tfvars
| AWS-Administrator, Cloud-Administrator |
| Zerstören Sie Netzwerkressourcen. | Verwenden Sie die folgenden Befehle, um Netzwerkressourcen zu löschen:cd ./1.vpc_alb_ga
terraform init
terraform plan --destroy --var-file=apg.tfvars
terraform destroy --var-file=apg.tfvars
| AWS-Administrator, Cloud-Administrator |
### Aufräumen mit AWS CDK
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Zerstöre die Stapel. | Verwenden Sie den folgenden Befehl, um sowohl den VPC- als auch den Anwendungsstapel zu löschen:$ cdk destroy --all
| AWS-Administrator, Cloud-Administrator |
| Leeren und löschen Sie die Amazon S3 S3-Buckets. | [Leeren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/empty-bucket.html) und [löschen Sie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html) das Objekt Amazon S3 S3-Bucket und den Amazon S3 S3-Logs-Bucket, die nicht standardmäßig gelöscht werden.Die Amazon S3 S3-Bucket-Namen lauten `${s3-bucket-prefix}.${domain}` und`${s3-bucket-prefix}.${domain}-logs`.Wenn Sie es vorziehen, das [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) zum Löschen der Buckets zu verwenden, verwenden Sie die folgenden Befehle:$ aws s3 rm s3://${s3-bucket-prefix}.${domain} --recursive
$ aws s3 rb s3://${s3-bucket-prefix}.${domain} --force
$ aws s3 rm s3://${s3-bucket-prefix}.${domain}-logs --recursive
$ aws s3 rb s3://${s3-bucket-prefix}.${domain}-logs --forceErsetzen Sie `${s3-bucket-prefix}` und `${domain}` durch die Werte, die Sie in den vorherigen Schritten festgelegt haben. , /p> | AWS-Administrator, Cloud-Administrator |
## Zugehörige Ressourcen
**AWS Blogs**
+ [Zugriff auf ein Amazon API Gateway über statische IP-Adressen, bereitgestellt von AWS Global Accelerator](https://aws.amazon.com/blogs/networking-and-content-delivery/accessing-an-aws-api-gateway-via-static-ip-addresses-provided-by-aws-global-accelerator/)
+ [Generieren Sie eine vorsignierte URL in modularer Form AWS CDK JavaScript](https://aws.amazon.com/blogs/developer/generate-presigned-url-modular-aws-sdk-javascript/)
+ [Hosten interner statischer HTTPS-Websites mit ALB, S3 und PrivateLink](https://aws.amazon.com/blogs/networking-and-content-delivery/hosting-internal-https-static-websites-with-alb-s3-and-privatelink/)
# Erstellen Sie eine kontoübergreifende EventBridge Amazon-Verbindung in einer Organisation
*Sam Wilson und Robert Stone, Amazon Web Services*
## Zusammenfassung
Große verteilte Systeme verwenden Amazon EventBridge , um Statusänderungen zwischen verschiedenen Amazon Web Services (AWS) -Konten in einer AWS Organizations Organisation zu kommunizieren. EventBridge Ist jedoch in der Regel in der Lage, nur Endgeräte oder Verbraucher in derselben AWS-Konto Umgebung anzusprechen. Die Ausnahme ist ein Event-Bus in einem anderen Konto. Dieser Event-Bus ist ein gültiges Ziel. Um Ereignisse aus einem Event-Bus in einem anderen Konto zu verarbeiten, müssen die Ereignisse vom Event-Bus des Quellkontos in den Event-Bus des Zielkontos übertragen werden. Verwenden Sie den in diesem Muster beschriebenen empfohlenen Ansatz AWS-Konten, um Probleme bei der Verwaltung kritischer Ereignisse zwischen Anwendungen innerhalb verschiedener Anwendungen zu vermeiden.
Dieses Muster veranschaulicht, wie eine ereignisgesteuerte Architektur implementiert wird EventBridge , an der mehrere Personen AWS-Konten in einer AWS Organizations Organisation beteiligt sind. Das Muster verwendet AWS Cloud Development Kit (AWS CDK) Toolkit und. AWS CloudFormation
EventBridge bietet einen serverlosen Event-Bus, der Sie beim Empfangen, Filtern, Transformieren, Weiterleiten und Bereitstellen von Ereignissen unterstützt. Als wichtige Komponente ereignisgesteuerter Architekturen EventBridge unterstützt es die Trennung zwischen Nachrichtenproduzenten und Empfängern dieser Nachrichten. In einem einzigen Konto ist das ganz einfach. Bei einer Struktur mit mehreren Konten sind zusätzliche Überlegungen erforderlich, damit Ereignisse auf dem Event-Bus in einem Konto auf andere Konten innerhalb derselben Organisation übertragen werden können.
Informationen zu kontospezifischen Überlegungen für Produzenten und Verbraucher finden Sie im Abschnitt [Zusätzliche](#create-cross-account-amazon-eventbridge-connection-organization-additional) Informationen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine AWS Organizations Organisation, der mindestens zwei Personen angehören AWS-Konten
+ Eine AWS Identity and Access Management (IAM-) Rolle in beiden AWS-Konten , mit der Sie die Infrastruktur in beiden bereitstellen können, AWS-Konten indem Sie AWS CloudFormation
+ Git [lokal installiert](https://git-scm.com/book/en/v2/Getting-Started-Installing-Git)
+ AWS Command Line Interface (AWS CLI) [lokal installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ AWS CDK [lokal installiert](https://docs.aws.amazon.com/cdk/latest/guide/cli.html) und in [beiden Bootstrapping](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping-howto) AWS-Konten
**Produktversionen**
Dieses Muster wurde mit den folgenden Tools und Versionen erstellt und getestet:
+ AWS CDK Toolkit 2.126.0
+ Node.js 18.19.0
+ npm 10.2.3
+ Python 3.12
Dieses Muster sollte mit jeder Version von AWS CDK v2 oder npm funktionieren. Die Versionen 13.0.0 bis 13.6.0 von Node.js sind nicht kompatibel mit. AWS CDK
## Architektur
**Zielarchitektur**
Das folgende Diagramm zeigt den Architektur-Workflow für die Übertragung eines Ereignisses von einem Konto aus und dessen Verarbeitung in einem anderen Konto.
![\[Der dreistufige Prozess zum Verbinden des Quell-Produzentenkontos und des Ziel-Verbraucherkontos.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/34a5f3ae-511d-4636-999f-c73396770117/images/ccc4878a-6281-4a77-a483-4e6f299d7807.png)
Der Workflow umfasst die folgenden Schritte:
1. Die AWS Lambda Producer-Funktion im Quellkonto platziert ein Ereignis auf dem EventBridge Event-Bus des Kontos.
1. Die kontenübergreifende EventBridge Regel leitet das Ereignis an einen EventBridge Event-Bus im Zielkonto weiter.
1. Der EventBridge Eventbus im Zielkonto hat eine Lambda-Zielregel, die die Consumer-Lambda-Funktion aufruft.
Eine bewährte Methode ist die Verwendung einer [Dead Letter Queue (DLQ)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-dead-letter-queues.html) für die Behandlung fehlgeschlagener Aufrufe der Consumer-Lambda-Funktion. Aus Gründen der Übersichtlichkeit wurde die DLQ in dieser Lösung jedoch weggelassen. Weitere Informationen darüber, wie Sie eine DLQ in Ihren Workflows implementieren und die Fähigkeit Ihrer Workflows zur Wiederherstellung nach Fehlern verbessern können, finden Sie im Blogbeitrag [Implementieren von AWS Lambda Fehlerbehandlungsmustern](https://aws.amazon.com/blogs/compute/implementing-aws-lambda-error-handling-patterns/).
**Automatisierung und Skalierung**
AWS CDK stellt automatisch die erforderliche Architektur bereit. EventBridge kann je nach auf Tausende von Datensätzen pro Sekunde skaliert AWS-Region werden. Weitere Informationen finden Sie in der [Dokumentation zu EventBridge Amazon-Kontingenten](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-quota.html).
## Tools
**AWS-Services**
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)ist ein Softwareentwicklungs-Framework, das Sie bei der Definition und Bereitstellung von AWS Cloud Infrastruktur im Code unterstützt. Dieses Muster verwendet das [AWS CDK Toolkit](https://docs.aws.amazon.com/cdk/latest/guide/cli.html), ein Cloud-Entwicklungskit für die Befehlszeile, mit dem Sie mit Ihrer AWS CDK App interagieren können.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
**Andere Tools**
+ [Node.js](https://nodejs.org/en/docs/) ist eine ereignisgesteuerte JavaScript Laufzeitumgebung, die für die Erstellung skalierbarer Netzwerkanwendungen entwickelt wurde.
+ [npm](https://docs.npmjs.com/about-npm) ist eine Softwareregistrierung, die in einer Node.js -Umgebung ausgeführt wird und verwendet wird, um Pakete gemeinsam zu nutzen oder auszuleihen und die Bereitstellung von privaten Paketen zu verwalten.
+ [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache.
**Code-Repository**
Der Code für dieses Muster ist im Repository GitHub [cross-account-eventbridge-in-organization](https://github.com/aws-samples/aws-cdk-examples/tree/main/python/cross-account-eventbridge-in-organization) verfügbar.
## Best Practices
Bewährte Methoden für die Arbeit mit EventBridge finden Sie in den folgenden Ressourcen:
+ [Bewährte Methoden für EventBridge Amazon-Event-Muster](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-patterns-best-practices.html)
+ [Bewährte Methoden bei der Definition von Regeln in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules-best-practices.html)
## Epen
### Bereiten Sie Ihre lokale AWS CDK Bereitstellungsumgebung vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie lokale Anmeldeinformationen für das Quellkonto und das Zielkonto. | Lesen Sie [unter Neue Konfiguration und neue Anmeldeinformationen einrichten](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new) und verwenden Sie die Authentifizierungs- und Anmeldemethode, die für Ihre Umgebung am sinnvollsten ist.Stellen Sie sicher, dass Sie die Authentifizierung sowohl AWS CLI für das Quellkonto als auch für das Zielkonto konfigurieren.Bei diesen Anweisungen wird davon ausgegangen, dass Sie zwei AWS-Profile lokal konfiguriert haben: `sourceAccount` und`destinationAccount`. | App-Developer |
| Bootstrap für beide AWS-Konten. | Führen Sie die folgenden Befehle aus, um die Konten zu booten:cdk bootstrap --profile sourceAccount
cdk bootstrap --profile destinationAccount
| App-Developer |
| Klonen Sie den Mustercode. | Führen Sie den folgenden Befehl aus, um das Repository zu klonen:git clone git@github.com:aws-samples/aws-cdk-examples.git
Ändern Sie dann das Verzeichnis in den neu geklonten Projektordner:cd aws-cdk-examples/python/cross-account-eventbridge-in-organization
| App-Developer |
### Auf ProducerStack das Quellkonto bereitstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Ändern Sie `cdk.json` mit Ihren Daten AWS Organizations und Ihren Kontodaten. | Nehmen Sie im Stammordner des Projekts die folgenden Änderungen vor`cdk.json`:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-cross-account-amazon-eventbridge-connection-organization.html) | App-Developer |
| Stellen Sie die ProducerStack Ressourcen bereit. | Führen Sie den folgenden Befehl im Stammverzeichnis des Projekts aus:cdk deploy ProducerStack --profile sourceAccount
Wenn Sie dazu aufgefordert werden, akzeptieren Sie die neuen IAM-Rollen und andere sicherheitsrelevante Berechtigungen, die durch erstellt wurden. AWS CloudFormation | App-Developer |
| Stellen Sie sicher, dass die ProducerStack Ressourcen bereitgestellt wurden. | Gehen Sie wie folgt vor, um die Ressourcen zu überprüfen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-cross-account-amazon-eventbridge-connection-organization.html) | App-Developer |
### Auf ConsumerStack dem Zielkonto bereitstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie die ConsumerStack Ressourcen bereit. | Führen Sie den folgenden Befehl im Stammverzeichnis des Projekts aus:cdk deploy ConsumerStack --profile destinationAccount
Wenn Sie dazu aufgefordert werden, akzeptieren Sie die neuen IAM-Rollen und andere sicherheitsrelevante Berechtigungen, die durch erstellt wurden. CloudFormation | App-Developer |
| Stellen Sie sicher, dass die Ressourcen bereitgestellt wurden ConsumerStack | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-cross-account-amazon-eventbridge-connection-organization.html) | App-Developer |
### Ereignisse produzieren und nutzen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Rufen Sie die Producer Lambda-Funktion auf. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-cross-account-amazon-eventbridge-connection-organization.html) | App-Developer |
| Stellen Sie sicher, dass das Ereignis empfangen wurde. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-cross-account-amazon-eventbridge-connection-organization.html) | App-Developer |
### Bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Zerstöre die ConsumerStack Ressourcen. | Wenn Sie dieses Muster als Test verwenden, bereinigen Sie die bereitgestellten Ressourcen, um zusätzliche Kosten zu vermeiden.Führen Sie den folgenden Befehl im Stammverzeichnis des Projekts aus:cdk destroy ConsumerStack --profile destinationAccount
Sie werden aufgefordert, das Löschen des Stacks zu bestätigen. | App-Developer |
| Zerstöre die ProducerStack Ressourcen. | Führen Sie den folgenden Befehl im Stammverzeichnis des Projekts aus:cdk destroy ProducerStack --profile sourceAccount
Sie werden aufgefordert, das Löschen des Stacks zu bestätigen. | App-Developer |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Im Zielkonto wurde kein Ereignis empfangen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-cross-account-amazon-eventbridge-connection-organization.html) |
| Beim Aufrufen einer Lambda-Funktion von der Konsole aus wird der folgende Fehler zurückgegeben: `User: arn:aws:iam::123456789012:user/XXXXX is not authorized to perform: lambda:Invoke` | Wenden Sie sich an Ihren AWS-Konto Administrator, um die entsprechenden `lambda:Invoke` Aktionsberechtigungen für die `ProducerStack-ProducerLambdaXXXX` Lambda-Funktion zu erhalten. |
## Zugehörige Ressourcen
**Referenzen**
+ [AWS Organizations Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [ EventBridge Amazon-Ereignismuster](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)
+ [Regeln bei Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)
**Tutorials und Videos**
+ [Tutorial: Organisation erstellen und konfigurieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)
+ [AWS re:Invent 2023 — Fortgeschrittene ereignisgesteuerte Muster mit Amazon (01-R) EventBridge COM3](https://www.youtube.com/watch?v=6X4lSPkn4ps)
## Zusätzliche Informationen
**Regel des Produzenten**
Im Quellkonto wird ein EventBridge Event-Bus erstellt, der Nachrichten von Produzenten akzeptiert (wie im Abschnitt *Architektur* gezeigt). Für diesen Eventbus wird eine Regel mit zugehörigen IAM-Berechtigungen erstellt. Die Regeln zielen auf den EventBridge Event-Bus im Zielkonto ab und basieren auf der folgenden `cdk.json` Struktur:
```
"rules": [
{
"id": "CrossAccount",
"sources": ["Producer"],
"detail_types": ["TestType"],
"targets": [
{
"id": "ConsumerEventBus",
"arn": "arn:aws:events:us-east-2:012345678901:event-bus/CrossAccount"
}
]
}
]
```
Für jeden konsumierenden Event-Bus müssen das Ereignismuster und der Ziel-Event-Bus angegeben werden.
*Ereignismuster*
Mit [Ereignismustern](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) wird gefiltert, für welche Ereignisse diese Regel gilt. Für dieses Beispiel geben die Ereignisquellen und der Datensatz an, `detail_types` welche Ereignisse vom Ereignisbus des Quellkontos an den Ereignisbus des Zielkontos übertragen werden sollen.
*Ziel-Event-Bus*
Diese Regel zielt auf einen Eventbus ab, der in einem anderen Konto vorhanden ist. Der vollständige Name `arn` (Amazon-Ressourcenname) wird benötigt, um den Ziel-Event-Bus eindeutig zu identifizieren, und das `id` ist die [logische ID](https://docs.aws.amazon.com/cdk/v2/guide/identifiers.html#identifiers_logical_ids), die von verwendet wird AWS CloudFormation. Der Ziel-Event-Bus muss zum Zeitpunkt der Erstellung der Zielregel noch nicht vorhanden sein.
**Spezifische Überlegungen zum Zielkonto**
Im Zielkonto wird ein EventBridge Ereignisbus erstellt, um Nachrichten vom Ereignisbus des Quellkontos zu empfangen. Damit Ereignisse vom Quellkonto aus veröffentlicht werden können, müssen Sie eine [ressourcenbasierte](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) Richtlinie erstellen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowOrgToPutEvents",
"Effect": "Allow",
"Principal": "*",
"Action": "events:PutEvents",
"Resource": "arn:aws:events:us-east-2:012345678901:event-bus/CrossAccount",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-XXXXXXXXX"
}
}
}]
}
```
Es ist besonders wichtig, die `events:PutEvents` Erlaubnis zu erteilen, die es jedem anderen Konto in derselben Organisation ermöglicht, Ereignisse in diesem Event-Bus zu veröffentlichen. Wenn Sie `aws:PrincipalOrgId` die Organisations-ID angeben, werden die erforderlichen Berechtigungen gewährt.
**Muster des Ereignisses**
Sie können das enthaltene Ereignismuster an Ihren Anwendungsfall anpassen:
```
rule = events.Rule(
self,
self.id + 'Rule' + rule_definition['id'],
event_bus=event_bus,
event_pattern=events.EventPattern(
source=rule_definition['sources'],
detail_type=rule_definition['detail_types'],
)
)
```
Um unnötige Verarbeitung zu vermeiden, sollte im Ereignismuster festgelegt werden, dass nur Ereignisse, die vom Zielkonto verarbeitet werden sollen, an den Ereignisbus des Zielkontos übertragen werden.
*Ressourcenbasierte Richtlinie*
In diesem Beispiel wird anhand der Organisations-ID gesteuert, welche Konten Ereignisse auf den Event-Bus des Zielkontos übertragen dürfen. Erwägen Sie, eine restriktivere Richtlinie zu verwenden, z. B. die Angabe des Quellkontos.
*EventBridge Kontingente*
Beachten Sie die folgenden [Kontingente](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-quota.html):
+ 300 Regeln pro Event-Bus sind das Standardkontingent. Dies kann bei Bedarf erweitert werden, sollte aber für die meisten Anwendungsfälle geeignet sein.
+ Fünf Ziele pro Regel sind das zulässige Maximum. Wir empfehlen Anwendungsarchitekten, für jedes Zielkonto eine eigene Regel zu verwenden, um eine genaue Steuerung des Ereignismusters zu ermöglichen.
# Stellen Sie DynamoDB-Datensätze mithilfe von Kinesis Data Streams und Firehose an Amazon S3 bereit mit AWS CDK
*Shashank Shrivastava und Daniel Matuki da Cunha, Amazon Web Services*
## Zusammenfassung
Dieses Muster enthält Beispielcode und eine Anwendung für die Übermittlung von Datensätzen von Amazon DynamoDB an Amazon Simple Storage Service (Amazon S3) mithilfe von Amazon Kinesis Data Streams und Amazon Data Firehose. Der Ansatz des Musters verwendet [AWS Cloud Development Kit (AWS CDK) L3-Konstrukte](https://docs.aws.amazon.com/cdk/latest/guide/getting_started.html) und beinhaltet ein Beispiel dafür, wie eine Datentransformation durchgeführt wird, AWS Lambda bevor Daten an den Ziel-S3-Bucket in der Amazon Web Services (AWS) Cloud geliefert werden.
Kinesis Data Streams zeichnet Änderungen auf Elementebene in DynamoDB-Tabellen auf und repliziert sie in den erforderlichen Kinesis-Datenstrom. Ihre Anwendungen können auf den Kinesis Data Stream zugreifen und die Änderungen auf Elementebene nahezu in Echtzeit anzeigen. Kinesis Data Streams bietet auch Zugriff auf andere Amazon Kinesis Kinesis-Services wie Firehose und Amazon Managed Service für Apache Flink. Das bedeutet, dass Sie Anwendungen entwickeln können, die Echtzeit-Dashboards bereitstellen, Warnmeldungen generieren, dynamische Preisgestaltung und Werbung implementieren und anspruchsvolle Datenanalysen durchführen.
Sie können dieses Muster für Ihre Anwendungsfälle zur Datenintegration verwenden. Beispielsweise können Transportfahrzeuge oder Industrieanlagen große Datenmengen an eine DynamoDB-Tabelle senden. Diese Daten können dann transformiert und in einem in Amazon S3 gehosteten Data Lake gespeichert werden. Anschließend können Sie die Daten abfragen und verarbeiten und potenzielle Fehler vorhersagen, indem Sie serverlose Dienste wie Amazon Athena, Amazon Redshift Spectrum, Amazon Rekognition und verwenden. AWS Glue
## Voraussetzungen und Einschränkungen
*Voraussetzungen*
+ Ein aktiver. AWS-Konto
+ AWS Command Line Interface (AWS CLI), installiert und konfiguriert. Weitere Informationen finden Sie AWS CLI in [der AWS CLI Dokumentation unter Erste Schritte mit](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) dem.
+ Node.js (18.x\$1) und npm, installiert und konfiguriert. Weitere Informationen finden Sie in der Dokumentation unter [Node.js und npm herunterladen und installieren](https://docs.npmjs.com/downloading-and-installing-node-js-and-npm). `npm`
+ aws-cdk (2.x\$1), installiert und konfiguriert. Weitere Informationen finden Sie in der Dokumentation unter [Erste Schritte mit dem](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html). AWS CDK AWS CDK
+ Das GitHub [aws-dynamodb-kinesisfirehose-s3-Ingestion-Repository](https://github.com/aws-samples/aws-dynamodb-kinesisfirehose-s3-ingestion/), geklont und auf Ihrem lokalen Computer konfiguriert.
+ Bestehende Beispieldaten für die DynamoDB-Tabelle. Die Daten müssen das folgende Format haben: `{"SourceDataId": {"S": "123"},"MessageData":{"S": "Hello World"}}`
## Architektur
Das folgende Diagramm zeigt einen Beispiel-Workflow für die Übermittlung von Datensätzen von DynamoDB an Amazon S3 mithilfe von Kinesis Data Streams und Firehose.
![\[Ein Beispiel-Workflow für die Übermittlung von Datensätzen von DynamoDB an Amazon S3 mithilfe von Kinesis Data Streams und Firehose.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e2a9c412-312e-4900-9774-19a281c578e4/images/6e6df998-e6c2-4eaf-b263-ace752194689.png)
Das Diagramm zeigt den folgenden Workflow:
1. Daten werden mit Amazon API Gateway als Proxy für DynamoDB aufgenommen. Sie können auch jede andere Quelle verwenden, um Daten in DynamoDB aufzunehmen.
1. Änderungen auf Artikelebene werden nahezu in Echtzeit in Kinesis Data Streams generiert und an Amazon S3 übermittelt.
1. Kinesis Data Streams sendet die Datensätze zur Transformation und Bereitstellung an Firehose.
1. Eine Lambda-Funktion konvertiert die Datensätze von einem DynamoDB-Datensatzformat in das JSON-Format, das nur die Namen und Werte der Datensatzelementattribute enthält.
## Tools
*AWS-Services*
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/latest/guide/home.html)ist ein Softwareentwicklungs-Framework, das Sie bei der Definition und Bereitstellung der AWS-Cloud-Infrastruktur im Code unterstützt.
+ [AWS CDK Toolkit](https://docs.aws.amazon.com/cdk/latest/guide/cli.html) ist ein Cloud-Entwicklungskit für die Befehlszeile, mit dem Sie mit Ihrer AWS CDK App interagieren können.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über und zu verwalten. AWS-Konten AWS-Regionen
*Code-Repository*
Der Code für dieses Muster ist im GitHub [aws-dynamodb-kinesisfirehose-s3-Ingestion-Repository verfügbar.](https://github.com/aws-samples/aws-dynamodb-kinesisfirehose-s3-ingestion/)
## Epen
### Richten Sie den Beispielcode ein und konfigurieren Sie ihn
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie die Abhängigkeiten. | Installieren Sie auf Ihrem lokalen Computer die Abhängigkeiten aus den `package.json` Dateien in den `sample-application` Verzeichnissen `pattern/aws-dynamodb-kinesisstreams-s3` und, indem Sie die folgenden Befehle ausführen:cd /pattern/aws-dynamodb-kinesisstreams-s3
npm install && npm run build
cd /sample-application/
npm install && npm run build
| App-Entwickler, General AWS |
| Generieren Sie die CloudFormation Vorlage. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deliver-dynamodb-records-to-amazon-s3-using-kinesis-data-streams-and-amazon-data-firehose-with-aws-cdk.html) | App-Entwickler, General AWS, AWS DevOps |
### Stellen Sie die Ressourcen bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen und implementieren Sie die Ressourcen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deliver-dynamodb-records-to-amazon-s3-using-kinesis-data-streams-and-amazon-data-firehose-with-aws-cdk.html) | App-Entwickler, General AWS, AWS DevOps |
### Daten in die DynamoDB-Tabelle aufnehmen, um die Lösung zu testen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Nehmen Sie Ihre Beispieldaten in die DynamoDB-Tabelle auf. | Senden Sie eine Anfrage an Ihre DynamoDB-Tabelle, indem Sie den folgenden Befehl in ausführen: AWS CLI`aws dynamodb put-item --table-name --item '{"": {"S": ""},"MessageData":{"S": ""}}'`Beispiel:`aws dynamodb put-item --table-name SourceData_table --item '{"SourceDataId": {"S": "123"},"MessageData":{"S": "Hello World"}}'`Standardmäßig `put-item` gibt der keinen Wert als Ausgabe zurück, wenn der Vorgang erfolgreich ist. Wenn der Vorgang fehlschlägt, wird ein Fehler zurückgegeben. Die Daten werden in DynamoDB gespeichert und dann an Kinesis Data Streams und Firehose gesendet. Sie verwenden unterschiedliche Methoden, um Daten zu einer DynamoDB-Tabelle hinzuzufügen. Weitere Informationen finden Sie unter [Daten in Tabellen laden in](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/SampleData.LoadData.html) der DynamoDB-Dokumentation. | App-Developer |
| Stellen Sie sicher, dass ein neues Objekt im S3-Bucket erstellt wurde. | Melden Sie sich beim S3-Bucket an AWS-Managementkonsole und überwachen Sie den S3-Bucket, um sicherzustellen, dass mit den von Ihnen gesendeten Daten ein neues Objekt erstellt wurde. Weitere Informationen finden Sie [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)in der Amazon S3 S3-Dokumentation. | App-Entwickler, General AWS |
### Bereinigen von Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bereinigen Sie die Ressourcen. | Führen Sie den `cdk destroy` Befehl aus, um alle von diesem Muster verwendeten Ressourcen zu löschen. | App-Entwickler, General AWS |
## Zugehörige Ressourcen
+ [static-site-stacks3-.ts](https://github.com/awslabs/aws-solutions-constructs/blob/main/source/use_cases/aws-s3-static-website/lib/s3-static-site-stack.ts#L25) (GitHub Repository)
+ [aws-apigateway-dynamodb Modul](https://github.com/awslabs/aws-solutions-constructs/tree/main/source/patterns/%40aws-solutions-constructs/aws-apigateway-dynamodb) (GitHub Repositorium)
+ [aws-kinesisstreams-kinesisfirehose-s3-Modul](https://github.com/awslabs/aws-solutions-constructs/tree/main/source/patterns/%40aws-solutions-constructs/aws-kinesisstreams-kinesisfirehose-s3) (GitHub Repositorium)
+ [Erfassung von Änderungsdaten für DynamoDB Streams](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Streams.html) (DynamoDB-Dokumentation)
+ [Verwenden von Kinesis Data Streams zur Erfassung von Änderungen an DynamoDB (DynamoDB-Dokumentation](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/kds.html))
# Implementieren Sie die pfadbasierte API-Versionierung mithilfe benutzerdefinierter Domains in Amazon API Gateway
*Corey Schnedl, Marcelo Barbosa, Mario Lopez Martinez, Anbazhagan Ponnuswamy, Gaurav Samudra und Abhilash Vinod, Amazon Web Services*
## Zusammenfassung
Dieses Muster zeigt, wie Sie die [API-Zuordnungsfunktion](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mappings.html) von [benutzerdefinierten Domains](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html) verwenden können, um eine pfadbasierte API-Versionierungslösung für Amazon API Gateway zu implementieren.
Amazon API Gateway ist ein vollständig verwalteter Service, mit dem Sie in jeder Größenordnung etwas erstellen, veröffentlichen, verwalten, überwachen und sichern APIs können. Mithilfe der Funktion für benutzerdefinierte Domains des Services können Sie benutzerdefinierte Domainnamen erstellen, die einfacher und intuitiver URLs sind und Ihren API-Benutzern zur Verfügung stellen können. Sie können API-Zuordnungen verwenden, um API-Stufen mit einem benutzerdefinierten Domainnamen zu verbinden. Nachdem Sie einen Domainnamen erstellt und DNS-Einträge konfiguriert haben, verwenden Sie API-Zuordnungen, um Traffic APIs über Ihren benutzerdefinierten Domainnamen an Sie zu senden.
Sobald eine API öffentlich verfügbar ist, wird sie von Verbrauchern verwendet. Mit der Weiterentwicklung einer öffentlichen API wird auch ihr Servicevertrag weiterentwickelt, um neuen Funktionen und Fähigkeiten Rechnung zu tragen. Es ist jedoch unklug, bestehende Funktionen zu ändern oder zu entfernen. Alle grundlegenden Änderungen können sich auf die Anwendungen des Verbrauchers auswirken und diese zur Laufzeit beschädigen. Die API-Versionierung ist wichtig, um zu verhindern, dass die Abwärtskompatibilität beeinträchtigt wird und ein Vertrag verletzt wird.
Sie benötigen eine klare Strategie für die API-Versionierung, um den Verbrauchern zu helfen, sie zu übernehmen. Die pfadbasierte Versionierung APIs URLs ist der einfachste und am häufigsten verwendete Ansatz. Bei dieser Art der Versionierung werden Versionen explizit als Teil der API definiert. URIs Das folgende Beispiel URLs zeigt, wie ein Verbraucher den URI verwenden kann, um eine API-Version für seine Anfrage anzugeben:
`https://api.example.com/api/v1/orders `
`https://api.example.com/api/v2/orders `
`https://api.example.com/api/vX/orders`
Dieses Muster verwendet die, AWS Cloud Development Kit (AWS CDK) um eine Beispielimplementierung einer skalierbaren pfadbasierten Versionierungslösung für Ihre API zu erstellen, bereitzustellen und zu testen. AWS CDK ist ein Open-Source-Framework für die Softwareentwicklung, mit dem Sie Ihre Cloud-Anwendungsressourcen mithilfe vertrauter Programmiersprachen modellieren und bereitstellen können.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto.
+ Der Besitz einer Domain ist erforderlich, um das Beispiel-Repository dieses Musters und die benutzerdefinierte Domain-Funktionalität von Amazon API Gateway verwenden zu können. Sie können Amazon Route 53 verwenden, um Ihre Domains für Ihre Organisation zu erstellen und zu verwalten. Informationen zur Registrierung oder Übertragung einer Domain bei Route 53 finden Sie unter [Neue Domains registrieren](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register-update.html) in der Route 53-Dokumentation.
+ Bevor Sie einen benutzerdefinierten Domainnamen für eine API einrichten können, müssen Sie über ein [SSL/TLS-Zertifikat](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-specify-certificate-for-custom-domain-name.html) verfügen. AWS Certificate Manager
+ Sie müssen den Ressourceneintrag Ihres DNS-Anbieters erstellen oder aktualisieren, bevor Sie ihn dem API-Endpunkt zuweisen können. Ohne eine solche Zuordnung können API-Anfragen, die für den benutzerdefinierten Domainnamen gebunden sind, API Gateway nicht erreichen.
**Einschränkungen**
+ Ein benutzerdefinierter Domainname muss innerhalb eines Bereichs AWS-Region eindeutig sein AWS-Konten.
+ Sie müssen einen regionalen benutzerdefinierten Domainnamen verwenden und die Sicherheitsrichtlinie TLS 1.2 anwenden, um API-Zuweisungen mit mehreren Ebenen zu konfigurieren.
+ Bei einer API-Zuordnung APIs müssen der benutzerdefinierte Domainname und der zugeordnete Domainname identisch AWS-Konto sein.
+ API-Zuordnungen dürfen nur Buchstaben, Zahlen und die folgenden Zeichen enthalten: `$-_.+!*'()/`
+ Die maximale Länge für den Pfad in einer API-Zuweisung beträgt 300 Zeichen.
+ Es können 200 API-Zuweisungen mit mehreren Ebenen für jeden Domainnamen vorhanden sein.
+ Mit der Sicherheitsrichtlinie TLS 1.2 können Sie HTTP APIs nur einem regionalen benutzerdefinierten Domainnamen zuordnen.
+ Sie können nicht demselben benutzerdefinierten Domainnamen wie eine HTTP-API oder REST-API zuordnen. WebSocket APIs
+ Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter [AWS Dienste nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
**Produktversionen**
+ Diese Beispielimplementierung verwendet [AWS CDK in TypeScript](https://docs.aws.amazon.com/cdk/v2/guide/work-with-cdk-typescript.html) Version 2.149.0.
## Architektur
Das folgende Diagramm zeigt den Architektur-Workflow.
![\[Workflow mit API-Zuordnungen und benutzerdefinierten Domänen zur Implementierung einer pfadbasierten API-Versionierungslösung.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e1b32d2b-410f-4ace-967e-f0b8aaf0304c/images/fa9f04f1-efa6-4fb1-a541-ae3da4076b00.png)
Das Diagramm veranschaulicht folgende Vorgänge:
1. Der API-Benutzer sendet eine Anfrage mit einem benutzerdefinierten Domainnamen an Amazon API Gateway.
1. API Gateway leitet die Anfrage des Benutzers dynamisch an eine entsprechende Instanz und Phase von API Gateway weiter, basierend auf dem in der URL der Anfrage angegebenen Pfad. Die folgende Tabelle zeigt ein Beispiel dafür, wie die verschiedenen URL-basierten Pfade an bestimmte Stufen für verschiedene Instanzen von API Gateway weitergeleitet werden können.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-path-based-api-versioning-by-using-custom-domains.html)
1. Die API-Gateway-Zielinstanz verarbeitet die Anfrage und gibt das Ergebnis an den Benutzer zurück.
**Automatisierung und Skalierung**
Wir empfehlen, dass Sie für jede Version Ihrer API separate AWS CloudFormation Stacks verwenden. Mit diesem Ansatz können Sie eine vollständige Isolierung zwischen den Backends erreichen, zu APIs denen die benutzerdefinierte Domain-API-Zuordnungsfunktion weitergeleitet werden kann. Ein Vorteil dieses Ansatzes besteht darin, dass verschiedene Versionen Ihrer API unabhängig voneinander bereitgestellt oder entfernt werden können, ohne dass das Risiko besteht, dass eine andere API geändert wird. Dieser Ansatz erhöht die Widerstandsfähigkeit durch die Isolierung von CloudFormation Stacks. Außerdem bietet es Ihnen verschiedene Back-End-Optionen für Ihre API wie AWS Lambda, AWS Fargate, HTTP-Endpunkte und Aktionen von. AWS-Services
Du kannst Git-Branching-Strategien wie [Gitflow](https://docs.aws.amazon.com/prescriptive-guidance/latest/choosing-git-branch-approach/gitflow-branching-strategy.html) in Kombination mit isolierten CloudFormation Stacks verwenden, um den Quellcode zu verwalten, der in verschiedenen Versionen der API bereitgestellt wird. Mit dieser Option können Sie verschiedene Versionen Ihrer API verwalten, ohne den Quellcode für neue Versionen duplizieren zu müssen. Mit Gitflow kannst du Tags zu Commits in deinem Git-Repository hinzufügen, wenn Releases veröffentlicht werden. Als Ergebnis hast du einen vollständigen Überblick über den Quellcode, der sich auf eine bestimmte Version bezieht. Wenn Aktualisierungen durchgeführt werden müssen, können Sie den Code aus einer bestimmten Version auschecken, Aktualisierungen vornehmen und dann den aktualisierten Quellcode auf dem CloudFormation Stack bereitstellen, der der entsprechenden Hauptversion entspricht. Dieser Ansatz reduziert das Risiko, dass eine andere API-Version beschädigt wird, da jede Version der API über isolierten Quellcode verfügt und in separaten CloudFormation Stacks bereitgestellt wird.
## Tools
**AWS-Services**
+ [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) unterstützt Sie bei der Erstellung, Veröffentlichung, Wartung, Überwachung und Sicherung von REST, HTTP und WebSocket APIs in jeder Größenordnung.
+ [AWS Certificate Manager (ACM)](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) unterstützt Sie bei der Erstellung, Speicherung und Erneuerung öffentlicher und privater SSL/TLS X.509-Zertifikate und -Schlüssel, die Ihre AWS Websites und Anwendungen schützen.
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)ist ein Open-Source-Framework für die Softwareentwicklung, mit dem Sie Ihre Cloud-Infrastruktur im Code definieren und bereitstellen können. CloudFormation[Die Beispielimplementierung dieses Musters verwendet das in AWS CDK . TypeScript](https://docs.aws.amazon.com/cdk/v2/guide/work-with-cdk-typescript.html) Bei der Arbeit mit dem AWS CDK In werden vertraute Tools TypeScript verwendet, darunter der TypeScript Microsoft-Compiler (`tsc`), [Node.js](https://nodejs.org/) und der Node-Paketmanager (`npm`). Wenn Sie möchten, können Sie [Yarn](https://yarnpkg.com/) verwenden, obwohl die Beispiele in diesem Muster dies tun. `npm` Die Module, aus denen die [AWS Construct-Bibliothek](https://docs.aws.amazon.com/cdk/v2/guide/libraries.html#libraries-construct) besteht, werden über das `npm ` Repository [npmjs.org](https://docs.npmjs.com/) verteilt.
+ [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über und zu verwalten. AWS-Konten AWS-Regionen
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) ist ein hochverfügbarer und skalierbarer DNS-Web-Service.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)ist eine Firewall für Webanwendungen, mit der Sie HTTP- und HTTPS-Anfragen überwachen können, die an Ihre geschützten Webanwendungsressourcen weitergeleitet werden.
**Andere Tools**
+ [Bruno](https://www.usebruno.com/) ist ein Git-freundlicher Open-Source-API-Testclient.
+ [cdk-nag](https://github.com/cdklabs/cdk-nag) ist ein Open-Source-Hilfsprogramm, das AWS CDK Anwendungen mithilfe von Regelpaketen auf bewährte Verfahren überprüft.
**Code-Repository**
Der Code für dieses Muster ist im Repository GitHub [path-based-versioning-with-api-gateway](https://github.com/aws-samples/path-based-versioning-with-api-gateway) verfügbar.
## Best Practices
+ Verwenden Sie eine robuste CI/CD-Pipeline (Continuous Integration and Continuous Delivery), um das Testen und Bereitstellen Ihrer CloudFormation Stacks zu automatisieren, die mit dem erstellt wurden. AWS CDK Weitere Informationen zu dieser Empfehlung finden Sie in den [AWS Well-Architected Guidance DevOps ](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/devops-guidance.html).
+ AWS WAF ist eine verwaltete Firewall, die sich problemlos in Dienste wie Amazon API Gateway integrieren lässt. Es AWS WAF ist zwar keine notwendige Komponente, damit dieses Versionierungsmuster funktioniert, wir empfehlen jedoch aus Sicherheitsgründen, es in API Gateway AWS WAF zu integrieren.
+ Ermutigen Sie API-Nutzer, regelmäßig auf die neueste Version Ihrer API zu aktualisieren, damit ältere Versionen Ihrer API als veraltet gelten und effizient entfernt werden können.
+ Bevor Sie diesen Ansatz in einer Produktionsumgebung verwenden, implementieren Sie eine Firewall- und Autorisierungsstrategie für Ihre API.
+ Implementieren Sie den Zugriff auf die Verwaltung Ihrer AWS Ressourcen, AWS-Konto indem Sie das [Zugriffsmodell mit den geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) verwenden.
+ [Um bewährte Verfahren und Sicherheitsempfehlungen für Anwendungen durchzusetzen AWS CDK, die mit dem erstellt wurden, empfehlen wir die Verwendung des Dienstprogramms cdk-nag.](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/check-aws-cdk-applications-or-cloudformation-templates-for-best-practices-by-using-cdk-nag-rule-packs.html)
## Epen
### Bereite deine lokale Umgebung vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Führen Sie den folgenden Befehl aus, um das Beispielanwendungs-Repository zu klonen:git clone https://github.com/aws-samples/path-based-versioning-with-api-gateway
| App-Developer |
| Navigieren Sie zum geklonten Repository. | Führen Sie den folgenden Befehl aus, um zum Speicherort des geklonten Repository-Ordners zu navigieren: cd api-gateway-custom-domain-versioning
| App-Developer |
| Installieren Sie die erforderlichen Abhängigkeiten. | Führen Sie den folgenden Befehl aus, um die erforderlichen Abhängigkeiten zu installieren:npm install
| App-Developer |
### Stellen Sie den CloudFormation Routing-Stack bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Initiieren Sie die Bereitstellung des Routing-Stacks. | Um die Bereitstellung des CloudFormation Routing-Stacks zu initiieren`CustomDomainRouterStack`, führen Sie den folgenden Befehl aus und `example.com` ersetzen Sie ihn durch den Namen der Domain, der Sie gehören:npx cdk deploy CustomDomainRouterStack --parameters PrerequisiteDomainName=example.com
Die Stack-Bereitstellung ist erst erfolgreich, wenn die folgende Domain-DNS-Validierungsaufgabe erfolgreich ausgeführt wurde. | App-Developer |
### Überprüfen des Domäneneigentümers
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestätigen Sie die Inhaberschaft Ihrer Domain. | Das Zertifikat verbleibt im Status **Ausstehende Validierung**, bis Sie nachweisen, dass Sie Eigentümer der zugehörigen Domain sind. Um die Inhaberschaft nachzuweisen, fügen Sie CNAME-Einträge zur Hosting-Zone hinzu, die der Domain zugeordnet ist. Weitere Informationen finden Sie in der AWS Certificate Manager Dokumentation unter [DNS-Validierung](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html). Durch das Hinzufügen der entsprechenden Datensätze kann die `CustomDomainRouterStack` Bereitstellung erfolgreich abgeschlossen werden. | App-Entwickler, AWS-Systemadministrator, Netzwerkadministrator |
| Erstellen Sie einen Aliaseintrag, der auf Ihre benutzerdefinierte API Gateway Gateway-Domain verweist. | Nachdem das Zertifikat erfolgreich ausgestellt und validiert wurde, [erstellen Sie einen DNS-Eintrag](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-regional-api-custom-domain-create.html#apigateway-regional-api-custom-domain-dns-record), der auf Ihre benutzerdefinierte Amazon API Gateway Gateway-Domain-URL verweist. Die benutzerdefinierte Domain-URL wird durch die Bereitstellung der benutzerdefinierten Domain eindeutig generiert und als CloudFormation Ausgabeparameter angegeben. Es folgt ein [Beispiel für den Datensatz](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-values-basic.html): **Routing-Richtlinie**: Einfaches Routing**Name des Datensatzes**: `demo.api-gateway-custom-domain-versioning.example.com`**Alias**: Ja**Eintragstyp**: Ein DNS-Eintrag vom Typ „A“, der auf eine AWS Ressource verweist**Value (Wert)**: `d-xxxxxxxxxx.execute-api.xx-xxxx-x.amazonaws.com`**TTL (Sekunden)**: 300 | App-Entwickler, AWS-Systemadministrator, Netzwerkadministrator |
### Stellen Sie CloudFormation Stacks bereit und rufen Sie die API auf
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie den `ApiStackV1` Stack bereit. | Verwenden Sie den folgenden Befehl, um den `ApiStackV1` Stack bereitzustellen:npm run deploy-v1
Der folgende CDK-Code fügt die API-Zuordnung hinzu:var apiMapping = new CfnApiMapping(this, "ApiMapping", {
apiId: this.lambdaRestApi.restApiId,
domainName: props.customDomainName.domainName,
stage: "api",
apiMappingKey: "api/v1",
}); | App-Developer |
| Stellen Sie den `ApiStackV2` Stack bereit. | Verwenden Sie den folgenden Befehl, um den `ApiStackV2` Stack bereitzustellen:npm run deploy-v2
| App-Developer |
| Rufen Sie die API auf. | [Informationen zum Aufrufen der API und zum Testen der API-Endpunkte mithilfe von Bruno finden Sie in den Anweisungen unter Zusätzliche Informationen.](#implement-path-based-api-versioning-by-using-custom-domains-additional) | App-Developer |
### Bereinigen von Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bereinigen Sie die Ressourcen. | Verwenden Sie den folgenden Befehl, um die mit dieser Beispielanwendung verknüpften Ressourcen zu löschen:npx cdk destroy --all
Stellen Sie sicher, dass Sie alle Route 53-DNS-Einträge bereinigen, die manuell für die Überprüfung des Domainbesitzes hinzugefügt wurden. | App-Developer |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Bei der Bereitstellung von `CustomDomainRouterStack` Zeitüberschreitungen tritt ein Timeout auf, da das Zertifikat nicht validiert werden kann. | Stellen Sie sicher, dass Sie die richtigen CNAME-Einträge für die DNS-Validierung hinzugefügt haben, wie in der vorherigen Aufgabe beschrieben. Ihr neues Zertifikat zeigt nach dem Hinzufügen der **DNS-Validierungseinträge möglicherweise noch bis zu 30 Minuten den Status Ausstehende** Validierung an. Weitere Informationen finden Sie in der AWS Certificate Manager Dokumentation unter [DNS-Validierung](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html). |
## Zugehörige Ressourcen
+ [Implementierung der Header-basierten API-Gateway-Versionierung mit Amazon CloudFront](https://aws.amazon.com/blogs/compute/implementing-header-based-api-gateway-versioning-with-amazon-cloudfront/) — Dieser AWS Compute-Blogbeitrag bietet eine Header-basierte Versionierungsstrategie als Alternative zu der in diesem Muster beschriebenen pfadbasierten Versionierungsstrategie.
+ [AWS CDK Workshop](https://cdkworkshop.com/20-typescript.html) — Dieser Einführungsworkshop konzentriert sich auf das Erstellen und Bereitstellen von Anwendungen mithilfe von. AWS AWS Cloud Development Kit (AWS CDK) Dieser Workshop unterstützt Go, Python und TypeScript.
## Zusätzliche Informationen
**Testen Sie Ihre API mit Bruno**
Wir empfehlen Ihnen, [Bruno](https://www.usebruno.com/), ein Open-Source-API-Testtool, zu verwenden, um zu überprüfen, ob das pfadbasierte Routing für die Beispielanwendung ordnungsgemäß funktioniert. Dieses Muster bietet eine Beispielsammlung, um das Testen Ihrer Beispiel-API zu erleichtern.
Gehen Sie wie folgt vor, um Ihre API aufzurufen und zu testen:
1. [Installiere Bruno.](https://www.usebruno.com/downloads)
1. Öffne Bruno.
1. Wählen Sie im [Code-Repository](https://github.com/aws-samples/path-based-versioning-with-api-gateway) dieses Musters **Bruno/Sample-API- Gateway-Custom-Domain-Versioning ** aus und öffnen Sie die Sammlung.
1. Um das Drop-down-Menü **Umgebungen** oben rechts auf der Benutzeroberfläche (UI) zu sehen, wählen Sie eine beliebige Anfrage in der Sammlung aus.
1. **Wählen Sie im Drop-down-Menü **Umgebungen** die Option Konfigurieren aus.**
1. Ersetzen Sie den `REPLACE_ME_WITH_YOUR_DOMAIN` Wert durch Ihre benutzerdefinierte Domain.
1. Wählen Sie **Speichern** und schließen Sie dann den Abschnitt **Konfiguration**.
1. ****Vergewissern Sie sich, dass für **Sandbox Environment** die Option **Aktiv** ausgewählt ist.
1. Rufen Sie Ihre API auf, indem Sie die Schaltfläche **->** für die ausgewählte Anfrage verwenden.
1. Beachten Sie, wie die Validierung (Weitergabe von Werten, die keine Zahlen sind) in V1 im Vergleich zu V2 gehandhabt wird.
Screenshots eines Beispiel-API-Aufrufs und eines Vergleichs der V1- und V2-Validierung finden Sie unter **Testen Ihrer Beispiel-API** in der `README.md` Datei im [Code-Repository](https://github.com/aws-samples/path-based-versioning-with-api-gateway) dieses Musters.
# Importieren Sie die psycopg2-Bibliothek, AWS Lambda um mit Ihrer PostgreSQL-Datenbank zu interagieren
*Louis Hourcade, Amazon Web Services*
## Zusammenfassung
[Psycopg](https://www.psycopg.org/docs/) ist ein PostgresSQL-Datenbankadapter für Python. Entwickler verwenden die `psycopg2` Bibliothek, um Python-Anwendungen zu schreiben, die mit PostgreSQL-Datenbanken interagieren.
Auf Amazon Web Services (AWS) verwenden Entwickler auch, [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)um Code für Anwendungen oder Backend-Services auszuführen. Lambda ist ein serverloser, ereignisgesteuerter Rechendienst, der Code ausführt, ohne dass Server bereitgestellt oder verwaltet werden müssen.
Wenn Sie eine neue Funktion erstellen, die eine von Lambda [unterstützte Python-Laufzeit verwendet, wird die Lambda-Laufzeitumgebung](https://docs.aws.amazon.com/lambda/latest/dg/lambda-python.html) standardmäßig aus einem [Basis-Image für Lambda](https://github.com/aws/aws-lambda-base-images) erstellt, das von bereitgestellt wird. AWS Bibliotheken wie `pandas` oder `psycopg2` sind nicht im Basis-Image enthalten. Um eine Bibliothek zu verwenden, müssen Sie sie in einem benutzerdefinierten Paket bündeln und an Lambda anhängen.
Es gibt mehrere Möglichkeiten, eine Bibliothek zu bündeln und anzuhängen, darunter die folgenden:
+ Stellen Sie Ihre Lambda-Funktion aus einem [ZIP-Dateiarchiv](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-zip.html) bereit.
+ Stellen Sie Ihre Lambda-Funktion von einem benutzerdefinierten Container-Image aus bereit.
+ Erstellen Sie eine [Lambda-Schicht](https://docs.aws.amazon.com/lambda/latest/dg/chapter-layers.html#lambda-layer-versions) und fügen Sie sie Ihrer Lambda-Funktion hinzu.
Dieses Muster demonstriert die ersten beiden Optionen.
Mit einem ZIP-Bereitstellungspaket ist das Hinzufügen der `pandas` Bibliothek zu Ihrer Lambda-Funktion relativ einfach. Erstellen Sie einen Ordner auf Ihrem Linux-Computer, fügen Sie das Lambda-Skript zusammen mit der `pandas` Bibliothek und den Abhängigkeiten der Bibliothek zum Ordner hinzu, komprimieren Sie den Ordner und stellen Sie ihn als Quelle für Ihre Lambda-Funktion bereit.
Obwohl die Verwendung eines ZIP-Bereitstellungspakets eine gängige Praxis ist, funktioniert dieser Ansatz für die Bibliothek nicht. `psycopg2` Dieses Muster zeigt zunächst den Fehler, den Sie erhalten, wenn Sie ein ZIP-Bereitstellungspaket verwenden, um die `psycopg2` Bibliothek zu Ihrer Lambda-Funktion hinzuzufügen. Das Muster zeigt dann, wie Lambda aus einem Dockerfile bereitgestellt und das Lambda-Image bearbeitet wird, damit die Bibliothek funktioniert. `psycopg2`
[Informationen zu den drei Ressourcen, die das Muster bereitstellt, finden Sie im Abschnitt Zusätzliche Informationen.](#import-psycopg2-library-lambda-additional)
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein Aktiv AWS-Konto mit ausreichenden Berechtigungen, um die von diesem Muster verwendeten AWS Ressourcen bereitzustellen
+ AWS Cloud Development Kit (AWS CDK) wird global installiert, indem Folgendes ausgeführt wird `npm install -g aws-cdk`
+ Ein Git-Client
+ Python
+ Docker
**Einschränkungen**
+ Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie [AWS-Services unter Nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie auf der Seite [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
**Produktversionen**
+ Python-Laufzeitversion, die [von Lambda unterstützt wird](https://docs.aws.amazon.com/lambda/latest/dg/lambda-python.html)
+ Psycopg2 Version 2.9.3
+ Pandas versie 1.5.2
## Architektur
**Überblick über die Lösung**
Um die Herausforderungen zu veranschaulichen, denen Sie bei der Verwendung der `psycopg2` Bibliothek in Lambda begegnen könnten, stellt das Muster zwei Lambda-Funktionen bereit:
+ Eine Lambda-Funktion mit der Python-Runtime, die aus einer ZIP-Datei erstellt wurde. [Die `pandas` Bibliotheken `psycopg2` und werden in diesem .zip-Bereitstellungspaket mithilfe von pip installiert.](https://pypi.org/project/pip/)
+ Eine Lambda-Funktion mit der Python-Laufzeit, die aus einem Dockerfile erstellt wurde. Das Dockerfile installiert die `pandas` Bibliotheken `psycopg2` und im Lambda-Container-Image.
Die erste Lambda-Funktion installiert die `pandas` Bibliothek und ihre Abhängigkeiten in einer ZIP-Datei, und Lambda kann diese Bibliothek verwenden.
Die zweite Lambda-Funktion zeigt, dass Sie die `psycopg2` Bibliotheken `pandas` und in Lambda ausführen können, indem Sie ein Container-Image für Ihre Lambda-Funktion erstellen.
## Tools
**AWS-Services**
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)ist ein Softwareentwicklungs-Framework, das Sie bei der Definition und Bereitstellung der AWS-Cloud-Infrastruktur im Code unterstützt.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
**Andere Tools**
+ [Docker](https://www.docker.com/) ist eine Reihe von Platform-as-a-Service (PaaS) -Produkten, die Virtualisierung auf Betriebssystemebene nutzen, um Software in Containern bereitzustellen.
+ [pandas](https://pandas.pydata.org/) ist ein Python-basiertes Open-Source-Tool zur Datenanalyse und -manipulation.
+ [Psycopg](https://www.psycopg.org/docs/) ist ein PostgreSQL-Datenbankadapter für die Sprache Python, der für Multithread-Anwendungen entwickelt wurde. Dieses Muster verwendet Psycopg 2.
+ [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache.
**Code-Repository**
Der Code für dieses Muster ist im [import-psycopg2- in-lambda-to-interact -Repository](https://github.com/aws-samples/import-psycopg2-in-lambda-to-interact-with-postgres-database) unter verfügbar. with-postgres-database GitHub
## Best Practices
Dieses Muster bietet Ihnen ein funktionierendes Beispiel für die Erstellung einer Lambda-Funktion aus einem Dockerfile. AWS CDK Wenn Sie diesen Code in Ihrer Anwendung wiederverwenden, stellen Sie sicher, dass die bereitgestellten Ressourcen alle Sicherheitsanforderungen erfüllen. Verwenden Sie Tools wie [Checkov](https://www.checkov.io/), das Cloud-Infrastrukturkonfigurationen scannt, um Fehlkonfigurationen zu finden, bevor die Infrastruktur bereitgestellt wird.
## Epen
### Klonen Sie das Repository und konfigurieren Sie die Bereitstellung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Führen Sie die folgenden Befehle aus, um das GitHub Repository auf Ihrem lokalen Computer zu klonen:git clone https://github.com/aws-samples/import-psycopg2-in-lambda-to-interact-with-postgres-database.git
cd AWS-lambda-psycopg2
| Allgemeines AWS |
| Konfigurieren Sie Ihre Bereitstellung. | Bearbeiten Sie die `app.py` Datei mit Informationen zu Ihren AWS-Konto:aws_acccount = "AWS_ACCOUNT_ID"
region = "AWS_REGION"
# Select the CPU architecture you are using to build the image (ARM or X86)
architecture = "ARM"
| Allgemeines AWS |
### Starten Sie Ihr AWS-Konto und stellen Sie die Anwendung bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bootstrap dein AWS-Konto. | Wenn Sie [Ihre AWS-Umgebung noch nicht gebootet](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html) haben, führen Sie die folgenden Befehle mit den AWS Anmeldeinformationen Ihres AWS Kontos aus:cdk bootstrap aws:///
| Allgemeines AWS |
| Stellen Sie den Code bereit. | Führen Sie den folgenden Befehl aus, um die AWS CDK Anwendung bereitzustellen:cdk deploy AWSLambdaPyscopg2
| Allgemeines AWS |
### Testen Sie die Lambda-Funktionen von der AWS-Managementkonsole aus
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Testen Sie die Lambda-Funktion, die aus der ZIP-Datei erstellt wurde. | Gehen Sie wie folgt vor, um die Lambda-Funktion zu testen, die aus der ZIP-Datei erstellt wurde:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/import-psycopg2-library-lambda.html)Da Lambda die erforderlichen PostgreSQL-Bibliotheken im Standard-Image nicht findet, kann es die Bibliothek nicht verwenden. `psycopg2` | Allgemeines AWS |
| Testen Sie die Lambda-Funktion, die aus dem Dockerfile erstellt wurde. | Um die `psycopg2` Bibliothek in Ihrer Lambda-Funktion zu verwenden, müssen Sie das Lambda Amazon Machine Image (AMI) bearbeiten.Gehen Sie wie folgt vor, um die Lambda-Funktion zu testen, die aus dem Dockerfile erstellt wurde:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/import-psycopg2-library-lambda.html)Der folgende Code zeigt das Dockerfile, das die AWS CDK Vorlage erstellt:# Start from lambda Python3.13 image
FROM public.ecr.aws/lambda/python:3.13
# Copy the lambda code, together with its requirements
COPY lambda/requirements.txt ${LAMBDA_TASK_ROOT}
COPY lambda/lambda_code.py ${LAMBDA_TASK_ROOT}
# Install postgresql-devel in your image
RUN yum install -y gcc postgresql-devel
# install the requirements for the Lambda code
RUN pip3 install -r requirements.txt --target "${LAMBDA_TASK_ROOT}"
# Command can be overwritten by providing a different command in the template directly.
CMD ["lambda_code.handler"]
Das Dockerfile verwendet das AWS bereitgestellte Lambda-Image für die Python-Laufzeit und installiert [postgresql-devel](https://yum-info.contradodigital.com/view-package/updates/postgresql-devel/), das die Bibliotheken enthält, die zum Kompilieren von Anwendungen benötigt werden, die direkt mit dem PostgreSQL-Managementserver interagieren. Das Dockerfile installiert auch die Bibliotheken und, die in der Datei angegeben sind. `pandas` `psycopg2` `requirements.txt` | Allgemeines AWS |
## Zugehörige Ressourcen
+ [AWS CDK Dokumentation](https://docs.aws.amazon.com/cdk/v2/guide/home.html)
+ [AWS Lambda Dokumentation](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
## Zusätzliche Informationen
In diesem Muster stellt die AWS CDK Vorlage einen AWS Stapel mit drei Ressourcen bereit:
+ Eine [AWS Identity and Access Management (IAM-) Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) für die Lambda-Funktionen.
+ Eine Lambda-Funktion mit einer Python-Laufzeit. Die Funktion wird aus dem `Constructs/lambda/lambda_deploy.zip` Bereitstellungspaket bereitgestellt.
+ Eine Lambda-Funktion mit einer Python-Laufzeit. Die Funktion wird über das Dockerfile unter dem Ordner bereitgestellt `Constructs`
Das Skript für beide Lambda-Funktionen prüft, ob die `psycopg2` Bibliotheken `pandas` und erfolgreich importiert wurden:
```
import pandas
print("pandas successfully imported")
import psycopg2
print("psycopg2 successfully imported")
def handler(event, context):
"""Function that checks whether psycopg2 and pandas are successfully imported or not"""
return {"Status": "psycopg2 and pandas successfully imported"}
```
Das `lambda_deploy.zip` Bereitstellungspaket wird mit dem `Constructs/lambda/build.sh` Bash-Skript erstellt. Dieses Skript erstellt einen Ordner, kopiert das Lambda-Skript, installiert die `psycopg2` Bibliotheken `pandas` und und generiert die ZIP-Datei. Um die .zip-Datei selbst zu generieren, führen Sie dieses Bash-Skript aus und stellen Sie den Stack erneut bereit. AWS CDK
Das Dockerfile beginnt mit dem AWS bereitgestellten Basis-Image für Lambda mit einer Python-Laufzeit. Das Dockerfile installiert die `psycopg2` Bibliotheken `pandas` und über dem Standard-Image.
# Integrieren Sie Amazon API Gateway mit Amazon SQS, um asynchrones REST zu handhaben APIs
*Natalia Colantonio Favero und Gustavo Martim, Amazon Web Services*
## Zusammenfassung
Wenn Sie REST bereitstellen APIs, müssen Sie manchmal eine Nachrichtenwarteschlange bereitstellen, die Client-Anwendungen veröffentlichen können. Möglicherweise haben Sie Probleme mit der Latenz von Drittanbietern APIs und Verzögerungen bei den Antworten, oder Sie möchten die Antwortzeit von Datenbankabfragen vermeiden oder vermeiden, den Server zu skalieren, wenn eine große Anzahl gleichzeitiger APIs Server vorhanden ist. In diesen Szenarien müssen die Client-Anwendungen, die in der Warteschlange veröffentlichen, nur wissen, dass die API die Daten empfangen hat — nicht, was nach dem Empfang der Daten passiert.
Dieses Muster erstellt einen REST-API-Endpunkt, indem [Amazon API Gateway](https://aws.amazon.com/api-gateway/) verwendet wird, um eine Nachricht an [Amazon Simple Queue Service (Amazon SQS)](https://aws.amazon.com/sqs/) zu senden. Es schafft eine easy-to-implement Integration zwischen den beiden Diensten, wodurch ein direkter Zugriff auf die SQS-Warteschlange vermieden wird.
## Voraussetzungen und Einschränkungen
+ Ein [aktives Konto AWS](https://portal.aws.amazon.com/billing/signup/iam)
## Architektur
![\[Architektur für die Integration von API Gateway mit Amazon SQS\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/70984dee-e49f-4446-9d52-49ce826c3909/images/737ba0b2-da8f-4478-8c54-0a4835fd69f9.png)
Das Diagramm veranschaulicht diese Schritte:
1. Fordern Sie einen POST-REST-API-Endpunkt an, indem Sie ein Tool wie Postman, eine andere API oder andere Technologien verwenden.
1. API Gateway stellt eine Nachricht, die im Hauptteil der Anfrage empfangen wird, in die Warteschlange.
1. Amazon SQS empfängt die Nachricht und sendet eine Antwort mit einem Erfolgs- oder Fehlercode an API Gateway.
## Tools
+ [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) unterstützt Sie bei der Erstellung, Veröffentlichung, Wartung, Überwachung und Sicherung von REST, HTTP und WebSocket APIs in jeder Größenordnung.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [Amazon Simple Queue Service (Amazon SQS)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html) bietet eine sichere, dauerhafte und verfügbare gehostete Warteschlange, mit der Sie verteilte Softwaresysteme und -komponenten integrieren und entkoppeln können.
## Epen
### Erstellen Sie eine SQS-Warteschlange
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Warteschlange. | So erstellen Sie eine SQS-Warteschlange, die die Nachrichten von der REST-API empfängt:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Developer |
### Zugriff auf Amazon SQS bereitstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine IAM-Rolle. | Diese IAM-Rolle gewährt API Gateway Gateway-Ressourcen vollen Zugriff auf Amazon SQS.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Entwickler, AWS-Administrator |
### Erstellen Sie eine REST-API
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine REST-API. | Dies ist die REST-API, an die HTTP-Anfragen gesendet werden.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Developer |
| Connect API Gateway mit Amazon SQS. | Dieser Schritt ermöglicht es, dass die Nachricht aus dem Hauptteil der HTTP-Anfrage an Amazon SQS weitergeleitet wird.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Developer |
### Testen Sie die REST-API
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Testen Sie die REST-API. | Führen Sie einen Test durch, um zu überprüfen, ob die Konfiguration fehlt:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Developer |
| Ändern Sie die API-Integration, um die Anfrage ordnungsgemäß an Amazon SQS weiterzuleiten. | Vervollständigen Sie die Konfiguration, um den Integrationsfehler zu beheben:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Developer |
| Testen und validieren Sie die Nachricht in Amazon SQS. | Führen Sie einen Test durch, um zu bestätigen, dass der Test erfolgreich abgeschlossen wurde:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Developer |
| Testen Sie API Gateway mit einem Sonderzeichen. | Führen Sie einen Test aus, der Sonderzeichen (wie &) enthält, die in einer Nachricht nicht zulässig sind:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html)Das liegt daran, dass Sonderzeichen im Nachrichtentext standardmäßig nicht unterstützt werden. Im nächsten Schritt konfigurieren Sie API Gateway so, dass es Sonderzeichen unterstützt. Weitere Informationen zu Inhaltstypkonvertierungen finden Sie in der [API Gateway Gateway-Dokumentation](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-payload-encodings-workflow.html). | App-Developer |
| Ändern Sie die API-Konfiguration, sodass Sonderzeichen unterstützt werden. | Passen Sie die Konfiguration so an, dass Sonderzeichen in der Nachricht akzeptiert werden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html)Die neue Nachricht sollte das Sonderzeichen enthalten. | App-Developer |
### Stellen Sie die REST-API bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie die API bereit. | So stellen Sie die REST-API bereit:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Developer |
| Testen Sie mit einem externen Tool. | Führen Sie einen Test mit einem externen Tool durch, um zu bestätigen, dass die Nachricht erfolgreich empfangen wurde:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.html) | App-Developer |
### Bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie die API. | Wählen Sie in der [API Gateway Gateway-Konsole](https://console.aws.amazon.com/apigateway/) die API aus, die Sie erstellt haben, und klicken Sie dann auf **Löschen**. | App-Developer |
| Löschen Sie die IAM-Rolle. | **Wählen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) im Bereich **Rollen** die Option **AWSGatewayRoleForSQS** und dann Löschen aus.** | App-Developer |
| Löschen Sie die SQS-Warteschlange. | **Wählen Sie auf der [Amazon SQS SQS-Konsole](https://console.aws.amazon.com/sqs/) im Bereich **Warteschlangen** die SQS-Warteschlange aus, die Sie erstellt haben, und klicken Sie dann auf Löschen.** | App-Developer |
## Zugehörige Ressourcen
+ [SQS- SendMessage](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-develop-integrations-aws-services-reference.html#SQS-SendMessage) (API Gateway Gateway-Dokumentation)
+ [Inhaltstypkonvertierungen in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-payload-encodings-workflow.html) (API Gateway Gateway-Dokumentation)
+ [\$1util-Variablen](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-mapping-template-reference.html#util-template-reference) (API Gateway Gateway-Dokumentation)
+ [Wie integriere ich eine API Gateway Gateway-REST-API in Amazon SQS und behebe häufig auftretende Fehler?](https://repost.aws/knowledge-center/api-gateway-rest-api-sqs-errors) (AWS Re:POST-Artikel)
# Ereignisse asynchron mit Amazon API Gateway und AWS Lambda verarbeiten
*Andrea Meroni, Mariem Kthiri, Nadim Majed und Michael Wallner, Amazon Web Services*
## Zusammenfassung
[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) ist ein vollständig verwalteter Service, mit dem Entwickler in jeder Größenordnung erstellen, veröffentlichen, warten, überwachen und sichern APIs können. Er erledigt die Aufgaben, die mit der Annahme und Verarbeitung von bis zu Hunderttausenden von gleichzeitigen API-Aufrufen verbunden sind.
Eine wichtige Servicequote von API Gateway ist das Integrations-Timeout. Das Timeout ist die maximale Zeit, in der ein Backend-Dienst eine Antwort zurückgeben muss, bevor die REST-API einen Fehler zurückgibt. Das feste Limit von 29 Sekunden ist für synchrone Workloads im Allgemeinen akzeptabel. Dieses Limit stellt jedoch eine Herausforderung für Entwickler dar, die API Gateway mit asynchronen Workloads verwenden möchten.
Dieses Muster zeigt eine Beispielarchitektur für die asynchrone Verarbeitung von Ereignissen mithilfe von API Gateway und AWS Lambda. Die Architektur unterstützt die Ausführung von Verarbeitungsaufträgen mit einer Dauer von bis zu 15 Minuten und verwendet eine einfache REST-API als Schnittstelle.
[Projen](https://pypi.org/project/projen/) [wird verwendet, um die lokale Entwicklungsumgebung einzurichten und die Beispielarchitektur in Kombination mit dem [AWS Cloud Development Kit (AWS CDK) Toolkit AWS-Konto](https://docs.aws.amazon.com/cdk/v2/guide/cli.html), [Docker](https://docs.docker.com/get-docker/) und Node.js auf einem Ziel bereitzustellen.](https://nodejs.org/en/download/) Projen richtet automatisch eine virtuelle [Python-Umgebung](https://www.python.org/downloads/) mit [Pre-Commit](https://pre-commit.com/) und den Tools ein, die für die Qualitätssicherung des Codes, Sicherheitsscans und Unit-Tests verwendet werden. Weitere Informationen finden Sie im Abschnitt [Tools](#process-events-asynchronously-with-amazon-api-gateway-and-aws-lambda-tools).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Die folgenden Tools sind auf Ihrer Workstation installiert:
+ [AWS Cloud Development Kit (AWS CDK) Toolkit-Version](https://docs.aws.amazon.com/cdk/v2/guide/cli.html) 2.85.0
+ [Docker-Version 20.10.21](https://docs.docker.com/get-docker/)
+ [Node.js, Version 18.13.0](https://nodejs.org/en/download/)
+ Bewährte [Version 0.71.111](https://pypi.org/project/projen/)
+ [Python-Version](https://www.python.org/downloads/) 3.9.16
**Einschränkungen**
+ Die maximale Laufzeit eines Jobs ist durch die maximale Laufzeit für Lambda-Funktionen (15 Minuten) begrenzt.
+ Die maximale Anzahl gleichzeitiger Jobanfragen ist durch die reservierte Parallelität der Lambda-Funktion begrenzt.
## Architektur
Das folgende Diagramm zeigt die Interaktion der Jobs-API mit den Lambda-Funktionen zur Ereignisverarbeitung und Fehlerbehandlung, wobei Ereignisse in einem Amazon-Ereignisarchiv gespeichert werden. EventBridge
![\[AWS Cloud architecture showing user interaction with jobs API, Lambda functions, and EventBridge.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e027130c-44c1-41ab-bbe9-f196a49bd9ac/images/3c437b65-48e3-477d-aeea-6ff938cc3285.png)
Ein typischer Arbeitsablauf umfasst die folgenden Schritte:
1. Sie authentifizieren sich bei AWS Identity and Access Management (IAM) und erhalten Sicherheitsanmeldedaten.
1. Sie senden eine `POST` HTTP-Anfrage an den `/jobs` Jobs-API-Endpunkt und geben dabei die Jobparameter im Hauptteil der Anfrage an.
1. Die Jobs-API, bei der es sich um eine API-Gateway-REST-API handelt, gibt Ihnen eine HTTP-Antwort zurück, die die Job-ID enthält.
1. Die Jobs-API ruft asynchron die Lambda-Funktion zur Ereignisverarbeitung auf.
1. Die Funktion zur Ereignisverarbeitung verarbeitet das Ereignis und fügt dann die Auftragsergebnisse in die Amazon DynamoDB-Tabelle der Jobs ein.
1. Sie senden eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Job-API-Endpunkt mit der Job-ID aus Schritt 3 als. `{jobId}`
1. Die Jobs-API fragt die `jobs` DynamoDB-Tabelle ab, um die Auftragsergebnisse abzurufen.
1. Die Jobs-API gibt eine HTTP-Antwort zurück, die die Auftragsergebnisse enthält.
1. Wenn die Ereignisverarbeitung fehlschlägt, sendet die Ereignisverarbeitungsfunktion das Ereignis an die Fehlerbehandlungsfunktion.
1. Die Fehlerbehandlungsfunktion platziert die Jobparameter in der `jobs` DynamoDB-Tabelle.
1. Sie können die Job-Parameter abrufen, indem Sie eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Jobs-API-Endpunkt senden.
1. Wenn die Fehlerbehandlung fehlschlägt, sendet die Fehlerbehandlungsfunktion das Ereignis an ein EventBridge Ereignisarchiv.
Sie können die archivierten Ereignisse erneut abspielen, indem Sie. EventBridge
## Tools
**AWS-Services**
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/latest/guide/home.html)ist ein Softwareentwicklungs-Framework, das Ihnen hilft, AWS Cloud Infrastruktur im Code zu definieren und bereitzustellen.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel Lambda-Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
**Andere Tools**
+ [autopep8](https://github.com/hhatto/autopep8) formatiert Python-Code automatisch auf der Grundlage des Python Enhancement Proposal (PEP) 8-Styleguides.
+ [Bandit](https://bandit.readthedocs.io/en/latest/) scannt Python-Code, um häufig auftretende Sicherheitsprobleme zu finden.
+ [Commitizen](https://commitizen-tools.github.io/commitizen/) ist ein Git-Commit-Checker und -Generator. `CHANGELOG`
+ [cfn-lint ist ein Linter](https://github.com/aws-cloudformation/cfn-lint) AWS CloudFormation
+ [Checkov](https://github.com/bridgecrewio/checkov) ist ein statisches Code-Analyse-Tool, das Infrastructure as Code (IaC) auf Sicherheits- und Compliance-Fehlkonfigurationen überprüft.
+ [jq ist ein Befehlszeilentool](https://stedolan.github.io/jq/download/) zum Parsen von JSON.
+ [Postman](https://www.postman.com/) ist eine API-Plattform.
+ [pre-commit](https://pre-commit.com/) ist ein Git-Hooks-Manager.
+ [Projen](https://github.com/projen/projen) ist ein Projektgenerator.
+ [pytest](https://docs.pytest.org/en/7.2.x/index.html) ist ein Python-Framework zum Schreiben kleiner, lesbarer Tests.
**Code-Repository**
Dieser Beispielarchitekturcode befindet sich im Repository GitHub [Asynchronous Event Processing with API Gateway and Lambda](https://github.com/aws-samples/asynchronous-event-processing-api-gateway-lambda-cdk).
## Best Practices
+ Diese Beispielarchitektur beinhaltet keine Überwachung der bereitgestellten Infrastruktur. Wenn Ihr Anwendungsfall eine Überwachung erfordert, sollten Sie das Hinzufügen von [CDK Monitoring Constructs](https://constructs.dev/packages/cdk-monitoring-constructs) oder einer anderen Überwachungslösung in Betracht ziehen.
+ Diese Beispielarchitektur verwendet [IAM-Berechtigungen](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html), um den Zugriff auf die Jobs-API zu steuern. Jeder, der autorisiert ist, `JobsAPIInvokeRole` dies anzunehmen, kann die Jobs-API aufrufen. Daher ist der Zugriffskontrollmechanismus binär. Wenn Ihr Anwendungsfall ein komplexeres Autorisierungsmodell erfordert, sollten Sie es mit einem anderen [Zugriffskontrollmechanismus](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-to-api.html) testen.
+ Wenn ein Benutzer eine `POST` HTTP-Anfrage an den `/jobs` Jobs-API-Endpunkt sendet, werden die Eingabedaten auf zwei verschiedenen Ebenen validiert:
+ Amazon API Gateway ist für die erste [Anforderungsvalidierung](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-method-request-validation.html) verantwortlich.
+ Die Funktion zur Ereignisverarbeitung führt die zweite Anfrage durch.
Es wird keine Überprüfung durchgeführt, wenn der Benutzer eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Jobs-API-Endpunkt sendet. Wenn Ihr Anwendungsfall eine zusätzliche Eingabevalidierung und ein höheres Maß an Sicherheit erfordert, sollten Sie die [Verwendung von AWS WAF zum Schutz Ihrer API](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) in Betracht ziehen.
## Epen
### Richte die Umgebung ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Führen Sie den folgenden Befehl aus, um das Repository lokal zu klonen:git clone https://github.com/aws-samples/asynchronous-event-processing-api-gateway-lambda-cdk.git
| DevOps Ingenieur |
| Richten Sie das Projekt ein. | Ändern Sie das Verzeichnis in das Repository-Stammverzeichnis und richten Sie die virtuelle Python-Umgebung und alle Tools mithilfe von [Projen](https://github.com/projen/projen) ein:cd asynchronous-event-processing-api-gateway-api-gateway-lambda-cdk
npx projen
| DevOps Ingenieur |
| Installieren Sie Pre-Commit-Hooks. | Gehen Sie wie folgt vor, um Pre-Commit-Hooks zu installieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/process-events-asynchronously-with-amazon-api-gateway-and-aws-lambda.html) | DevOps Ingenieur |
### Stellen Sie die Beispielarchitektur bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bootstrap. AWS CDK | Um AWS CDK in Ihrem zu booten AWS-Konto, führen Sie den folgenden Befehl aus:AWS_PROFILE=$YOUR_AWS_PROFILE npx projen bootstrap
| AWS DevOps |
| Stellen Sie die Beispielarchitektur bereit. | Führen Sie den folgenden Befehl aus AWS-Konto, um die Beispielarchitektur in Ihrem bereitzustellen:AWS_PROFILE=$YOUR_AWS_PROFILE npx projen deploy
| AWS DevOps |
### Testen Sie die Architektur
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie die Testvoraussetzungen. | Installieren Sie auf Ihrer Workstation the [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html), [Postman](https://www.postman.com/downloads/) und [jq](https://jqlang.github.io/jq/).Die Verwendung von [Postman](https://www.postman.com/downloads/) zum Testen dieser Beispielarchitektur wird empfohlen, ist aber nicht zwingend erforderlich. Wenn Sie sich für ein alternatives API-Testtool entscheiden, stellen Sie sicher, dass es die [Authentifizierung mit AWS Signature Version 4](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) unterstützt, und beziehen Sie sich auf die exponierten API-Endpunkte, die durch [den Export der REST-API](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-export-api.html) überprüft werden können. | DevOps Ingenieur |
| Gehen Sie von der aus`JobsAPIInvokeRole`. | [Gehen Sie davon aus](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html)`JobsAPIInvokeRole`, dass das als Ausgabe des Befehls deploy gedruckt wurde:CREDENTIALS=$(AWS_PROFILE=$ aws sts assume-role \
--no-cli-pager \
--role-arn $ \
--role-session-name JobsAPIInvoke)
export AWS_ACCESS_KEY_ID=$(cat $CREDENTIALS | jq ‘.Credentials’’.AccessKeyId’)
export AWS_SECRET_ACCESS_KEY=$(cat $CREDENTIALS | jq ‘.Credentials’’.SecretAccessKey’)
export AWS_SESSION_TOKEN==$(cat $CREDENTIALS | jq ‘.Credentials’’.SessionToken’)
| AWS DevOps |
| Postman konfigurieren. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/process-events-asynchronously-with-amazon-api-gateway-and-aws-lambda.html) | AWS DevOps |
| Testen Sie die Beispielarchitektur. | Um die Beispielarchitektur zu testen, [senden Sie Anfragen an](https://learning.postman.com/docs/sending-requests/requests/#next-steps) die Jobs-API. Weitere Informationen finden Sie in der [Postman-Dokumentation](https://learning.postman.com/docs/getting-started/first-steps/sending-the-first-request/#send-an-api-request). | DevOps Ingenieur |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Die Zerstörung und anschließende erneute Bereitstellung der Beispielarchitektur schlägt fehl, da die [Amazon CloudWatch Logs-Protokollgruppe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) `/aws/apigateway/JobsAPIAccessLogs` bereits existiert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/process-events-asynchronously-with-amazon-api-gateway-and-aws-lambda.html) |
## Zugehörige Ressourcen
+ [API-Gateway-Zuordnungsvorlage und Referenz zur Zugriffsprotokollierungsvariablen](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-mapping-template-reference.html)
+ [Richten Sie den asynchronen Aufruf der Backend-Lambda-Funktion ein](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-lambda-integration-async.html)
# Ereignisse asynchron mit Amazon API Gateway und Amazon DynamoDB Streams verarbeiten
*Andrea Meroni, Mariem Kthiri, Nadim Majed, Alessandro Trisolini und Michael Wallner, Amazon Web Services*
## Zusammenfassung
[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) ist ein vollständig verwalteter Service, den Entwickler nutzen können, um sie in jeder Größenordnung zu erstellen, zu veröffentlichen, zu verwalten, APIs zu überwachen und zu sichern. Er erledigt die Aufgaben, die mit der Annahme und Verarbeitung von bis zu Hunderttausenden von gleichzeitigen API-Aufrufen verbunden sind.
Eine wichtige Servicequote von API Gateway ist das Integrations-Timeout. Das Timeout ist die maximale Zeit, in der ein Backend-Dienst eine Antwort zurückgeben muss, bevor die REST-API einen Fehler zurückgibt. Das feste Limit von 29 Sekunden ist für synchrone Workloads im Allgemeinen akzeptabel. Dieses Limit stellt jedoch eine Herausforderung für Entwickler dar, die API Gateway mit asynchronen Workloads verwenden möchten.
Dieses Muster zeigt eine Beispielarchitektur für die asynchrone Verarbeitung von Ereignissen mithilfe von API Gateway, Amazon DynamoDB Streams und. AWS Lambda Die Architektur unterstützt die Ausführung von Parallelverarbeitungsjobs mit denselben Eingabeparametern und verwendet eine grundlegende REST-API als Schnittstelle. In diesem Beispiel begrenzt die Verwendung von Lambda als Backend die Dauer von Jobs auf 15 Minuten. Sie können dieses Limit umgehen, indem Sie einen alternativen Dienst zur Verarbeitung eingehender Ereignisse verwenden (z. B. AWS Fargate).
[Projen](https://pypi.org/project/projen/) [wird verwendet, um die lokale Entwicklungsumgebung einzurichten und die Beispielarchitektur in Kombination mit dem [AWS Cloud Development Kit (AWS CDK) Toolkit AWS-Konto](https://docs.aws.amazon.com/cdk/v2/guide/cli.html), [Docker](https://docs.docker.com/get-docker/) und Node.js auf einem Ziel bereitzustellen.](https://nodejs.org/en/download/) Projen richtet automatisch eine virtuelle [Python-Umgebung](https://www.python.org/downloads/) mit [Pre-Commit](https://pre-commit.com/) und den Tools ein, die für die Qualitätssicherung des Codes, Sicherheitsscans und Unit-Tests verwendet werden. Weitere Informationen finden Sie im Abschnitt [Tools](#processing-events-asynchronously-with-amazon-api-gateway-and-amazon-dynamodb-streams-tools).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Die folgenden Tools sind auf Ihrer Workstation installiert:
+ [AWS Cloud Development Kit (AWS CDK) Toolkit-Version](https://docs.aws.amazon.com/cdk/v2/guide/cli.html) 2.85.0 oder höher
+ [Docker-Version 20.10.21](https://docs.docker.com/get-docker/) oder höher
+ [Node.js Version 18](https://nodejs.org/en/download/) oder höher
+ [Projen](https://pypi.org/project/projen/) Version 0.71.111 oder höher
+ [Python-Version](https://www.python.org/downloads/) 3.9.16 oder höher
**Einschränkungen**
+ Die empfohlene maximale Anzahl von Lesern für DynamoDB Streams ist zwei, um eine Drosselung zu vermeiden.
+ Die maximale Laufzeit eines Jobs ist durch die maximale Laufzeit für Lambda-Funktionen (15 Minuten) begrenzt.
+ Die maximale Anzahl gleichzeitiger Jobanfragen ist durch die reservierte Parallelität der Lambda-Funktionen begrenzt.
## Architektur
**Architektur**
Das folgende Diagramm zeigt die Interaktion der Jobs-API mit DynamoDB Streams und den Lambda-Funktionen zur Ereignisverarbeitung und Fehlerbehandlung mit Ereignissen, die in einem Amazon-Ereignisarchiv gespeichert sind. EventBridge
![\[Diagramm der Architektur und des Prozesses, wobei die Schritte nach dem Diagramm aufgeführt sind.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/68a46501-16e5-48e4-99c6-fc67a8b4133a/images/29fe6982-ad81-4099-9c65-08b17c96e78f.png)
Ein typischer Arbeitsablauf umfasst die folgenden Schritte:
1. Sie authentifizieren sich bei AWS Identity and Access Management (IAM) und erhalten Sicherheitsanmeldedaten.
1. Sie senden eine `POST` HTTP-Anfrage an den `/jobs` Jobs-API-Endpunkt und geben dabei die Jobparameter im Hauptteil der Anfrage an.
1. Die Jobs-API gibt Ihnen eine HTTP-Antwort zurück, die die Job-ID enthält.
1. Die Job-API platziert die Job-Parameter in der `jobs_table` Amazon DynamoDB-Tabelle.
1. Der `jobs_table` DynamoDB-Stream der DynamoDB-Tabelle ruft die Lambda-Funktionen zur Ereignisverarbeitung auf.
1. Die Lambda-Funktionen zur Ereignisverarbeitung verarbeiten das Ereignis und fügen dann die Auftragsergebnisse in die `jobs_table` DynamoDB-Tabelle ein. [Um konsistente Ergebnisse zu gewährleisten, implementieren die Funktionen zur Ereignisverarbeitung einen optimistischen Sperrmechanismus.](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DynamoDBMapper.OptimisticLocking.html)
1. Sie senden eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Job-API-Endpunkt mit der Job-ID aus Schritt 3 als. `{jobId}`
1. Die Jobs-API fragt die `jobs_table` DynamoDB-Tabelle ab, um die Auftragsergebnisse abzurufen.
1. Die Jobs-API gibt eine HTTP-Antwort zurück, die die Auftragsergebnisse enthält.
1. Wenn die Ereignisverarbeitung fehlschlägt, sendet die Quellenzuordnung der Ereignisverarbeitungsfunktion das Ereignis an das Thema Amazon Simple Notification Service (Amazon SNS) zur Fehlerbehandlung.
1. Das SNS-Thema zur Fehlerbehandlung überträgt das Ereignis asynchron an die Fehlerbehandlungsfunktion.
1. Die Fehlerbehandlungsfunktion platziert die Jobparameter in der `jobs_table` DynamoDB-Tabelle.
Sie können die Job-Parameter abrufen, indem Sie eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Jobs-API-Endpunkt senden.
1. Wenn die Fehlerbehandlung fehlschlägt, sendet die Fehlerbehandlungsfunktion das Ereignis an ein EventBridge Amazon-Archiv.
Sie können die archivierten Ereignisse erneut abspielen, indem Sie EventBridge
## Tools
**AWS-Services**
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)ist ein Softwareentwicklungs-Framework, das Sie bei der Definition und Bereitstellung der AWS-Cloud-Infrastruktur im Code unterstützt.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS-Lambda-Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen AWS-Konten.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
**Andere Tools**
+ [autopep8](https://github.com/hhatto/autopep8) formatiert Python-Code automatisch auf der Grundlage des Python Enhancement Proposal (PEP) 8-Styleguides.
+ [Bandit](https://bandit.readthedocs.io/en/latest/) scannt Python-Code, um häufig auftretende Sicherheitsprobleme zu finden.
+ [Commitizen](https://commitizen-tools.github.io/commitizen/) ist ein Git-Commit-Checker und -Generator. `CHANGELOG`
+ [cfn-lint ist ein Linter](https://github.com/aws-cloudformation/cfn-lint) AWS CloudFormation
+ [Checkov](https://github.com/bridgecrewio/checkov) ist ein statisches Code-Analyse-Tool, das Infrastructure as Code (IaC) auf Sicherheits- und Compliance-Fehlkonfigurationen überprüft.
+ [jq ist ein Befehlszeilentool](https://stedolan.github.io/jq/download/) zum Parsen von JSON.
+ [Postman](https://www.postman.com/) ist eine API-Plattform.
+ [pre-commit](https://pre-commit.com/) ist ein Git-Hooks-Manager.
+ [Projen](https://github.com/projen/projen) ist ein Projektgenerator.
+ [pytest](https://docs.pytest.org/en/7.2.x/index.html) ist ein Python-Framework zum Schreiben kleiner, lesbarer Tests.
**Code-Repository**
Dieser Beispielarchitekturcode befindet sich im Repository GitHub [Asynchronous Processing with API Gateway und DynamoDB Streams](https://github.com/aws-samples/asynchronous-event-processing-api-gateway-dynamodb-streams-cdk).
## Best Practices
+ Diese Beispielarchitektur beinhaltet keine Überwachung der bereitgestellten Infrastruktur. Wenn Ihr Anwendungsfall eine Überwachung erfordert, sollten Sie das Hinzufügen von [CDK Monitoring Constructs](https://constructs.dev/packages/cdk-monitoring-constructs) oder einer anderen Überwachungslösung in Betracht ziehen.
+ Diese Beispielarchitektur verwendet [IAM-Berechtigungen](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html), um den Zugriff auf die Jobs-API zu steuern. Jeder, der autorisiert ist, `JobsAPIInvokeRole` dies anzunehmen, kann die Jobs-API aufrufen. Daher ist der Zugriffskontrollmechanismus binär. Wenn Ihr Anwendungsfall ein komplexeres Autorisierungsmodell erfordert, sollten Sie es mit einem anderen [Zugriffskontrollmechanismus](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-to-api.html) testen.
+ Wenn ein Benutzer eine `POST` HTTP-Anfrage an den `/jobs` Jobs-API-Endpunkt sendet, werden die Eingabedaten auf zwei verschiedenen Ebenen validiert:
+ API Gateway ist für die erste [Anforderungsvalidierung](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-method-request-validation.html) verantwortlich.
+ Die Funktion zur Ereignisverarbeitung führt die zweite Anfrage aus.
Es wird keine Überprüfung durchgeführt, wenn der Benutzer eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Jobs-API-Endpunkt sendet. Wenn Ihr Anwendungsfall eine zusätzliche Eingabevalidierung und ein erhöhtes Sicherheitsniveau erfordert, sollten Sie den [Einsatz AWS WAF zum Schutz Ihrer API in Betracht ziehen](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html).
+ Um eine Drosselung zu vermeiden, rät die [DynamoDB Streams-Dokumentation](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Streams.html#Streams.Processing) Benutzern davon ab, mit mehr als zwei Verbrauchern vom Shard desselben Streams zu lesen. Um die Anzahl der Verbraucher zu erhöhen, empfehlen wir die Verwendung von [Amazon Kinesis Data Streams](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/kds.html).
+ In diesem Beispiel wurde [optimistisches Sperren](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DynamoDBMapper.OptimisticLocking.html) verwendet, um sicherzustellen, dass Elemente in der `jobs_table` DynamoDB-Tabelle konsistent aktualisiert werden. Je nach Anforderung des Anwendungsfalls müssen Sie möglicherweise zuverlässigere Sperrmechanismen implementieren, z. B. pessimistisches Sperren.
## Epen
### Richte die Umgebung ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Führen Sie den folgenden Befehl aus, um das Repository lokal zu klonen:git clone https://github.com/aws-samples/asynchronous-event-processing-api-gateway-dynamodb-streams-cdk.git
| DevOps Ingenieur |
| Richten Sie das Projekt ein. | Ändern Sie das Verzeichnis in das Repository-Stammverzeichnis und richten Sie die virtuelle Python-Umgebung und alle Tools mithilfe von [Projen](https://github.com/projen/projen) ein:cd asynchronous-event-processing-api-gateway-api-gateway-dynamodb-streams-cdk
npx projen
| DevOps Ingenieur |
| Installieren Sie Pre-Commit-Hooks. | Gehen Sie wie folgt vor, um Pre-Commit-Hooks zu installieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/processing-events-asynchronously-with-amazon-api-gateway-and-amazon-dynamodb-streams.html) | DevOps Ingenieur |
### Stellen Sie die Beispielarchitektur bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bootstrap. AWS CDK | Um [AWS CDK](https://aws.amazon.com/cdk/)in Ihrem zu booten AWS-Konto, führen Sie den folgenden Befehl aus:AWS_PROFILE=$YOUR_AWS_PROFILE npx projen bootstrap
| AWS DevOps |
| Stellen Sie die Beispielarchitektur bereit. | Führen Sie den folgenden Befehl aus AWS-Konto, um die Beispielarchitektur in Ihrem bereitzustellen:AWS_PROFILE=$YOUR_AWS_PROFILE npx projen deploy
| AWS DevOps |
### Testen Sie die Architektur
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie die Testvoraussetzungen. | Installieren Sie auf Ihrer Workstation the [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html), [Postman](https://www.postman.com/downloads/) und [jq](https://jqlang.github.io/jq/).Die Verwendung von [Postman](https://www.postman.com/downloads/) zum Testen dieser Beispielarchitektur wird empfohlen, ist aber nicht zwingend erforderlich. Wenn Sie sich für ein alternatives API-Testtool entscheiden, stellen Sie sicher, dass es die [AWS Signature Version 4-Authentifizierung](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) unterstützt, und verweisen Sie auf die exponierten API-Endpunkte, die durch [Exportieren der REST-API](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-export-api.html) überprüft werden können. | DevOps Ingenieur |
| Gehen Sie von der aus`JobsAPIInvokeRole`. | [Gehen Sie davon aus](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html)`JobsAPIInvokeRole`, dass das als Ausgabe des `deploy` Befehls gedruckt wurde:CREDENTIALS=$(AWS_PROFILE=$ aws sts assume-role \
--no-cli-pager \
--role-arn $ \
--role-session-name JobsAPIInvoke)
export AWS_ACCESS_KEY_ID=$(cat $CREDENTIALS | jq ‘.Credentials’’.AccessKeyId’)
export AWS_SECRET_ACCESS_KEY=$(cat $CREDENTIALS | jq ‘.Credentials’’.SecretAccessKey’)
export AWS_SESSION_TOKEN==$(cat $CREDENTIALS | jq ‘.Credentials’’.SessionToken’)
| AWS DevOps |
| Postman konfigurieren. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/processing-events-asynchronously-with-amazon-api-gateway-and-amazon-dynamodb-streams.html) | AWS DevOps |
| Testen Sie die Beispielarchitektur. | Um die Beispielarchitektur zu testen, senden Sie Anfragen an die Jobs-API. Weitere Informationen finden Sie in der [Postman-Dokumentation](https://learning.postman.com/docs/getting-started/first-steps/sending-the-first-request/#send-an-api-request). | DevOps Ingenieur |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Die Zerstörung und anschließende erneute Bereitstellung der Beispielarchitektur schlägt fehl, da die [Amazon CloudWatch Logs-Protokollgruppe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) `/aws/apigateway/JobsAPIAccessLogs` bereits existiert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/processing-events-asynchronously-with-amazon-api-gateway-and-amazon-dynamodb-streams.html) |
## Zugehörige Ressourcen
+ [API-Gateway-Zuordnungsvorlage und Referenz zur Zugriffsprotokollierungsvariablen](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-mapping-template-reference.html)
+ [Erfassung von Änderungsdaten für DynamoDB Streams](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Streams.html)
+ [Optimistisches Sperren mit Versionsnummer](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DynamoDBMapper.OptimisticLocking.html)
+ [Verwenden von Kinesis Data Streams zur Erfassung von Änderungen an DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/kds.html)
# Ereignisse asynchron mit Amazon API Gateway, Amazon SQS und AWS Fargate verarbeiten
*Andrea Meroni, Mariem Kthiri, Nadim Majed, Alessandro Trisolini und Michael Wallner, Amazon Web Services*
## Zusammenfassung
[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) ist ein vollständig verwalteter Service, den Entwickler nutzen können, um sie in jeder Größenordnung zu erstellen, zu veröffentlichen, zu verwalten, APIs zu überwachen und zu sichern. Er erledigt die Aufgaben, die mit der Annahme und Verarbeitung von bis zu Hunderttausenden von gleichzeitigen API-Aufrufen verbunden sind.
Eine wichtige Servicequote von API Gateway ist das Integrations-Timeout. Das Timeout ist die maximale Zeit, in der ein Backend-Dienst eine Antwort zurückgeben muss, bevor die REST-API einen Fehler zurückgibt. Das feste Limit von 29 Sekunden ist für synchrone Workloads im Allgemeinen akzeptabel. Dieses Limit stellt jedoch eine Herausforderung für Entwickler dar, die API Gateway mit asynchronen Workloads verwenden möchten.
Dieses Muster zeigt eine Beispielarchitektur für die asynchrone Verarbeitung von Ereignissen mithilfe von API Gateway, Amazon Simple Queue Service (Amazon SQS) und. AWS Fargate Die Architektur unterstützt die Ausführung von Verarbeitungsaufträgen ohne zeitliche Einschränkungen und verwendet eine einfache REST-API als Schnittstelle.
[Projen](https://pypi.org/project/projen/) [wird verwendet, um die lokale Entwicklungsumgebung einzurichten und die Beispielarchitektur in Kombination mit [Docker](https://docs.docker.com/get-docker/) und Node.js [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/cli.html)auf einem Ziel AWS-Konto bereitzustellen.](https://nodejs.org/en/download/) Projen richtet automatisch eine virtuelle [Python-Umgebung](https://www.python.org/downloads/) mit [Pre-Commit](https://pre-commit.com/) und den Tools ein, die für die Qualitätssicherung des Codes, Sicherheitsscans und Unit-Tests verwendet werden. Weitere Informationen finden Sie im Abschnitt [Tools](#process-events-asynchronously-with-amazon-api-gateway-amazon-sqs-and-aws-fargate-tools).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Die folgenden Tools sind auf Ihrer Workstation installiert:
+ [AWS Cloud Development Kit (AWS CDK) Toolkit-Version](https://docs.aws.amazon.com/cdk/v2/guide/cli.html) 2.85.0 oder höher
+ [Docker-Version 20.10.21](https://docs.docker.com/get-docker/) oder höher
+ [Node.js Version 18](https://nodejs.org/en/download/) oder höher
+ [Projen](https://pypi.org/project/projen/) Version 0.71.111 oder höher
+ [Python-Version](https://www.python.org/downloads/) 3.9.16 oder höher
**Einschränkungen**
+ Gleichzeitige Jobs sind auf 500 Aufgaben pro Minute begrenzt. Dies ist die maximale Anzahl von Aufgaben, die Fargate bereitstellen kann.
## Architektur
Das folgende Diagramm zeigt die Interaktion der Jobs-API mit der `jobs` Amazon DynamoDB-Tabelle, dem Fargate-Dienst zur Ereignisverarbeitung und der Fehlerbehandlungsfunktion. AWS Lambda Ereignisse werden in einem EventBridge Amazon-Eventarchiv gespeichert.
![\[Architekturdiagramm mit einer Beschreibung, die dem Diagramm folgt.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/8a03149c-8f34-4593-84d5-accc1800a0a2/images/5e1071aa-4fbc-495c-bc22-8e62a32a136b.png)
Ein typischer Arbeitsablauf umfasst die folgenden Schritte:
1. Sie authentifizieren sich bei AWS Identity and Access Management (IAM) und erhalten Sicherheitsanmeldedaten.
1. Sie senden eine `POST` HTTP-Anfrage an den `/jobs` Jobs-API-Endpunkt und geben dabei die Jobparameter im Hauptteil der Anfrage an.
1. Die Jobs-API, bei der es sich um eine API-Gateway-REST-API handelt, gibt Ihnen eine HTTP-Antwort zurück, die die Job-ID enthält.
1. Die Jobs-API sendet eine Nachricht an die SQS-Warteschlange.
1. Fargate ruft die Nachricht aus der SQS-Warteschlange ab, verarbeitet das Ereignis und fügt dann die Auftragsergebnisse in die `jobs` DynamoDB-Tabelle ein.
1. Sie senden eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Job-API-Endpunkt mit der Job-ID aus Schritt 3 als. `{jobId}`
1. Die Jobs-API fragt die `jobs` DynamoDB-Tabelle ab, um die Auftragsergebnisse abzurufen.
1. Die Jobs-API gibt eine HTTP-Antwort zurück, die die Auftragsergebnisse enthält.
1. Wenn die Ereignisverarbeitung fehlschlägt, sendet die SQS-Warteschlange das Ereignis an die Dead-Letter-Warteschlange (DLQ).
1. Ein EventBridge Ereignis initiiert die Fehlerbehandlungsfunktion.
1. Die Fehlerbehandlungsfunktion platziert die Jobparameter in der `jobs` DynamoDB-Tabelle.
1. Sie können die Job-Parameter abrufen, indem Sie eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Job-API-Endpunkt senden.
1. Wenn die Fehlerbehandlung fehlschlägt, sendet die Fehlerbehandlungsfunktion das Ereignis an ein EventBridge Archiv.
Sie können die archivierten Ereignisse erneut abspielen, indem Sie EventBridge
## Tools
**AWS-Services**
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)ist ein Softwareentwicklungs-Framework, das Ihnen hilft, AWS Cloud Infrastruktur im Code zu definieren und bereitzustellen.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
+ [AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/userguide/what-is-fargate.html)hilft Ihnen dabei, Container auszuführen, ohne Server oder Amazon Elastic Compute Cloud (Amazon EC2) -Instances verwalten zu müssen. Es wird in Verbindung mit Amazon Elastic Container Service (Amazon ECS) verwendet.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel Lambda-Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Queue Service (Amazon SQS)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html) bietet eine sichere, dauerhafte und verfügbare gehostete Warteschlange, mit der Sie verteilte Softwaresysteme und -komponenten integrieren und entkoppeln können.
**Andere Tools**
+ [autopep8](https://github.com/hhatto/autopep8) formatiert Python-Code automatisch auf der Grundlage des Python Enhancement Proposal (PEP) 8-Styleguides.
+ [Bandit](https://bandit.readthedocs.io/en/latest/) scannt Python-Code, um häufig auftretende Sicherheitsprobleme zu finden.
+ [Commitizen](https://commitizen-tools.github.io/commitizen/) ist ein Git-Commit-Checker und -Generator. `CHANGELOG`
+ [cfn-lint ist ein Linter](https://github.com/aws-cloudformation/cfn-lint) AWS CloudFormation
+ [Checkov](https://github.com/bridgecrewio/checkov) ist ein statisches Code-Analyse-Tool, das Infrastructure as Code (IaC) auf Sicherheits- und Compliance-Fehlkonfigurationen überprüft.
+ [jq ist ein Befehlszeilentool](https://stedolan.github.io/jq/download/) zum Parsen von JSON.
+ [Postman](https://www.postman.com/) ist eine API-Plattform.
+ [pre-commit](https://pre-commit.com/) ist ein Git-Hooks-Manager.
+ [Projen](https://github.com/projen/projen) ist ein Projektgenerator.
+ [pytest](https://docs.pytest.org/en/7.2.x/index.html) ist ein Python-Framework zum Schreiben kleiner, lesbarer Tests.
**Code-Repository**
Dieser Beispielarchitekturcode befindet sich im Repository GitHub [Asynchronous Processing with API Gateway und SQS.](https://github.com/aws-samples/asynchronous-event-processing-api-gateway-sqs-cdk)
## Best Practices
+ Diese Beispielarchitektur beinhaltet keine Überwachung der bereitgestellten Infrastruktur. Wenn Ihr Anwendungsfall eine Überwachung erfordert, sollten Sie das Hinzufügen von [CDK Monitoring Constructs](https://constructs.dev/packages/cdk-monitoring-constructs) oder einer anderen Überwachungslösung in Betracht ziehen.
+ Diese Beispielarchitektur verwendet [IAM-Berechtigungen](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html), um den Zugriff auf die Jobs-API zu steuern. Jeder, der autorisiert ist, `JobsAPIInvokeRole` dies anzunehmen, kann die Jobs-API aufrufen. Daher ist der Zugriffskontrollmechanismus binär. Wenn Ihr Anwendungsfall ein komplexeres Autorisierungsmodell erfordert, sollten Sie es mit einem anderen [Zugriffskontrollmechanismus](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-to-api.html) testen.
+ Wenn ein Benutzer eine `POST` HTTP-Anfrage an den `/jobs` Jobs-API-Endpunkt sendet, werden die Eingabedaten auf zwei verschiedenen Ebenen validiert:
+ API Gateway ist für die erste [Anforderungsvalidierung](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-method-request-validation.html) verantwortlich.
+ Die Funktion zur Ereignisverarbeitung führt die zweite Anfrage aus.
Es wird keine Überprüfung durchgeführt, wenn der Benutzer eine `GET` HTTP-Anfrage an den `/jobs/{jobId}` Jobs-API-Endpunkt sendet. Wenn Ihr Anwendungsfall eine zusätzliche Eingabevalidierung und ein erhöhtes Sicherheitsniveau erfordert, sollten Sie den [Einsatz AWS WAF zum Schutz Ihrer API in Betracht ziehen](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html).
## Epen
### Richte die Umgebung ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Führen Sie den folgenden Befehl aus, um das Repository lokal zu klonen:git clone https://github.com/aws-samples/asynchronous-event-processing-api-gateway-sqs-cdk.git
| DevOps Ingenieur |
| Richten Sie das Projekt ein. | Ändern Sie das Verzeichnis in das Repository-Stammverzeichnis und richten Sie die virtuelle Python-Umgebung und alle Tools mithilfe von [Projen](https://github.com/projen/projen) ein:cd asynchronous-event-processing-api-gateway-api-gateway-sqs-cdk
npx projen
| DevOps Ingenieur |
| Installieren Sie Pre-Commit-Hooks. | Gehen Sie wie folgt vor, um Pre-Commit-Hooks zu installieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/process-events-asynchronously-with-amazon-api-gateway-amazon-sqs-and-aws-fargate.html) | DevOps Ingenieur |
### Stellen Sie die Beispielarchitektur bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bootstrap. AWS CDK | Um [AWS CDK](https://aws.amazon.com/cdk/)in Ihrem zu booten AWS-Konto, führen Sie den folgenden Befehl aus:AWS_PROFILE=$YOUR_AWS_PROFILE npx projen bootstrap
| AWS DevOps |
| Stellen Sie die Beispielarchitektur bereit. | Führen Sie den folgenden Befehl aus AWS-Konto, um die Beispielarchitektur in Ihrem bereitzustellen:AWS_PROFILE=$YOUR_AWS_PROFILE npx projen deploy
| AWS DevOps |
### Testen Sie die Architektur
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie die Testvoraussetzungen. | Installieren Sie auf Ihrer Workstation the [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html), [Postman](https://www.postman.com/downloads/) und [jq](https://jqlang.github.io/jq/).Die Verwendung von [Postman](https://www.postman.com/downloads/) zum Testen dieser Beispielarchitektur wird empfohlen, ist aber nicht zwingend erforderlich. Wenn Sie sich für ein alternatives API-Testtool entscheiden, stellen Sie sicher, dass es die [Authentifizierung mit AWS Signature Version 4](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) unterstützt, und beziehen Sie sich auf die exponierten API-Endpunkte, die durch [den Export der REST-API](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-export-api.html) überprüft werden können. | DevOps Ingenieur |
| Gehen Sie von der aus`JobsAPIInvokeRole`. | [Gehen Sie davon aus](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html)`JobsAPIInvokeRole`, dass das als Ausgabe des `deploy` Befehls gedruckt wurde:CREDENTIALS=$(AWS_PROFILE=$ aws sts assume-role \
--no-cli-pager \
--role-arn $ \
--role-session-name JobsAPIInvoke)
export AWS_ACCESS_KEY_ID=$(cat $CREDENTIALS | jq ‘.Credentials’’.AccessKeyId’)
export AWS_SECRET_ACCESS_KEY=$(cat $CREDENTIALS | jq ‘.Credentials’’.SecretAccessKey’)
export AWS_SESSION_TOKEN==$(cat $CREDENTIALS | jq ‘.Credentials’’.SessionToken’)
| AWS DevOps |
| Postman konfigurieren. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/process-events-asynchronously-with-amazon-api-gateway-amazon-sqs-and-aws-fargate.html) | AWS DevOps |
| Testen Sie die Beispielarchitektur. | Um die Beispielarchitektur zu testen, senden Sie Anfragen an die Jobs-API. Weitere Informationen finden Sie in der [Postman-Dokumentation](https://learning.postman.com/docs/getting-started/first-steps/sending-the-first-request/#send-an-api-request). | DevOps Ingenieur |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Die Zerstörung und anschließende erneute Bereitstellung der Beispielarchitektur schlägt fehl, da die [Amazon CloudWatch Logs-Protokollgruppe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) `/aws/apigateway/JobsAPIAccessLogs` bereits existiert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/process-events-asynchronously-with-amazon-api-gateway-amazon-sqs-and-aws-fargate.html) |
| Die Zerstörung und anschließende erneute Bereitstellung der Beispielarchitektur schlägt fehl, da die [Protokollgruppe CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) `/aws/ecs/EventProcessingServiceLogs` bereits vorhanden ist. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/process-events-asynchronously-with-amazon-api-gateway-amazon-sqs-and-aws-fargate.html) |
## Zugehörige Ressourcen
+ [API-Gateway-Zuordnungsvorlage und Referenz zur Zugriffsprotokollierungsvariablen](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-mapping-template-reference.html)
+ [Wie integriere ich eine API Gateway Gateway-REST-API in Amazon SQS und behebe häufig auftretende Fehler?](https://aws.amazon.com/premiumsupport/knowledge-center/api-gateway-rest-api-sqs-errors/)
# Führen Sie AWS Systems Manager Automation Automation-Aufgaben synchron über AWS Step Functions aus
*Elie El Khoury, Amazon Web Services*
## Zusammenfassung
Dieses Muster erklärt, wie die Integration AWS Step Functions mit erfolgt. AWS Systems Manager Es verwendet AWS SDK-Dienstintegrationen, um die Systems Manager **startAutomationExecution**Manager-API mit einem Task-Token aus einem State-Machine-Workflow aufzurufen, und pausiert, bis das Token mit einem erfolgreichen oder fehlerhaften Aufruf zurückkehrt. Um die Integration zu demonstrieren, implementiert dieses Muster einen Wrapper für Automatisierungsdokumente (Runbook) um das `AWS-RunPowerShellScript` OR-Dokument und wird verwendet`.waitForTaskToken`, um `AWS-RunShellScript` oder synchron aufzurufen. `AWS-RunShellScript` `AWS-RunPowerShellScript` Weitere Informationen zu AWS SDK-Dienstintegrationen in Step Functions finden Sie im [AWS Step Functions Entwicklerhandbuch](https://docs.aws.amazon.com/step-functions/latest/dg/supported-services-awssdk.html).
Step Functions**** ist ein visueller Workflow-Dienst mit geringem Programmieraufwand, mit dem Sie mithilfe von Diensten verteilte Anwendungen erstellen, IT- und Geschäftsprozesse automatisieren und Daten- und Machine-Learning-Pipelines erstellen können. AWS Workflows verwalten Fehler, Wiederholungen, Parallelisierung, Serviceintegrationen und Beobachtbarkeit, sodass Sie sich auf die wertvollere Geschäftslogik konzentrieren können.
Automatisierung, eine Funktion von AWS Systems Manager, vereinfacht allgemeine Wartungs-, Bereitstellungs- und Problembehebungsaufgaben für AWS-Services Amazon Elastic Compute Cloud (Amazon EC2), Amazon Relational Database Service (Amazon RDS), Amazon Redshift und Amazon Simple Storage Service (Amazon S3). Durch die Automatisierung haben Sie eine detaillierte Kontrolle über die Parallelität Ihrer Automatisierungen. Sie können beispielsweise angeben, auf wie viele Ressourcen gleichzeitig zugegriffen werden soll und wie viele Fehler auftreten können, bevor eine Automatisierung gestoppt wird.
Einzelheiten zur Implementierung, einschließlich Runbook-Schritten, Parametern und Beispielen, finden Sie im Abschnitt [Zusätzliche Informationen](#run-aws-systems-manager-automation-tasks-synchronously-from-aws-step-functions-additional).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives Konto AWS
+ AWS Identity and Access Management (IAM) -Berechtigungen für den Zugriff auf Step Functions und Systems Manager
+ Eine EC2 Instanz, auf der Systems Manager Agent (SSM Agent) [installiert](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html) ist
+ [Ein IAM-Instanzprofil für Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html), das an die Instance angehängt ist, auf der Sie das Runbook ausführen möchten
+ Eine Step Functions Functions-Rolle mit den folgenden IAM-Berechtigungen (die dem Prinzip der geringsten Rechte folgen):
```
{
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": "*"
}
```
**Produktversionen**
+ SSM-Dokumentschema Version 0.3 oder höher
+ SSM Agent Version 2.3.672.0 oder höher
## Architektur
**Zieltechnologie-Stack**
+ AWS Step Functions
+ AWS Systems Manager -Automatisierung
**Zielarchitektur**
![\[Architektur für die synchrone Ausführung von Systems Manager Manager-Automatisierungsaufgaben über Step Functions\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/47c19e4f-d68d-4f91-bb68-202098757529/images/2d248aae-d858-4565-8af2-593cde0da780.png)
**Automatisierung und Skalierung**
+ Dieses Muster bietet eine AWS CloudFormation Vorlage, mit der Sie die Runbooks auf mehreren Instanzen bereitstellen können. (Weitere Informationen finden Sie im [Implementierungs-Repository von GitHub Step Functions und Systems Manager](https://github.com/aws-samples/amazon-stepfunctions-ssm-waitfortasktoken).)
## Tools
**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus regionsübergreifend AWS-Konten zu verwalten.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, sie zu verwenden.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Funktionen und andere Funktionen kombinieren können, um geschäftskritische Anwendungen AWS-Services zu erstellen.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)hilft Ihnen bei der Verwaltung Ihrer Anwendungen und Infrastruktur, die in der ausgeführt werden. AWS Cloud Es vereinfacht das Anwendungs- und Ressourcenmanagement, verkürzt die Zeit für die Erkennung und Lösung betrieblicher Probleme und hilft Ihnen, Ihre AWS Ressourcen sicher und in großem Umfang zu verwalten.
**Code**
Der Code für dieses Muster ist im [Implementierungs-Repository von GitHub Step Functions und Systems Manager](https://github.com/aws-samples/amazon-stepfunctions-ssm-waitfortasktoken) verfügbar.
## Epen
### Runbooks erstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Laden Sie die CloudFormation Vorlage herunter. | Laden Sie die `ssm-automation-documents.cfn.json` Vorlage aus dem `cloudformation ` Ordner des GitHub Repositorys herunter. | AWS DevOps |
| Runbooks erstellen. | Melden Sie sich bei der an AWS-Managementkonsole, öffnen Sie die [CloudFormation Konsole](https://console.aws.amazon.com/cloudformation/) und stellen Sie die Vorlage bereit. Weitere Informationen zum Bereitstellen von CloudFormation Vorlagen finden Sie in der CloudFormation Dokumentation unter [Erstellen eines Stacks auf der CloudFormation Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). Die CloudFormation Vorlage stellt drei Ressourcen bereit:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/run-aws-systems-manager-automation-tasks-synchronously-from-aws-step-functions.html) | AWS DevOps |
### Erstellen Sie eine Beispiel-Zustandsmaschine
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Teststatus-Maschine. | Folgen Sie den Anweisungen im [AWS Step Functions Entwicklerhandbuch](https://docs.aws.amazon.com/step-functions/latest/dg/getting-started-with-sfn.html), um eine Zustandsmaschine zu erstellen und auszuführen. Verwenden Sie für die Definition den folgenden Code. Achten Sie darauf, den `InstanceIds` Wert mit der ID einer gültigen Systems Manager-fähigen Instanz in Ihrem Konto zu aktualisieren.{
"Comment": "A description of my state machine",
"StartAt": "StartAutomationWaitForCallBack",
"States": {
"StartAutomationWaitForCallBack": {
"Type": "Task",
"Resource": "arn:aws:states:::aws-sdk:ssm:startAutomationExecution.waitForTaskToken",
"Parameters": {
"DocumentName": "SfnRunCommandByInstanceIds",
"Parameters": {
"InstanceIds": [
"i-1234567890abcdef0"
],
"taskToken.$": "States.Array($$.Task.Token)",
"workingDirectory": [
"/home/ssm-user/"
],
"Commands": [
"echo \"This is a test running automation waitForTaskToken\" >> automation.log",
"sleep 100"
],
"executionTimeout": [
"10800"
],
"deliveryTimeout": [
"30"
],
"shell": [
"Shell"
]
}
},
"End": true
}
}
}Dieser Code ruft das Runbook auf, um zwei Befehle auszuführen, die den `waitForTaskToken` Aufruf von Systems Manager Automation demonstrieren.Der `shell` Parameterwert (`Shell`oder`PowerShell`) bestimmt, ob das Automatisierungsdokument ausgeführt wird `AWS-RunShellScript` oder`AWS-RunPowerShellScript`.Die Aufgabe schreibt „Dies ist ein waitForTask Automatisierungstoken für die Testausführung“ in die `/home/ssm-user/automation.log` Datei und ruht dann 100 Sekunden lang, bevor sie mit dem Aufgabentoken antwortet und die nächste Aufgabe im Workflow freigibt.Wenn Sie stattdessen das `SfnRunCommandByTargets` Runbook aufrufen möchten, ersetzen Sie den `Parameters` Abschnitt des vorherigen Codes durch den folgenden:"Parameters": {
"Targets": [
{
"Key": "InstanceIds",
"Values": [
"i-02573cafcfEXAMPLE",
"i-0471e04240EXAMPLE"
]
}
], | AWS DevOps |
| Aktualisieren Sie die IAM-Rolle für den State Machine. | Im vorherigen Schritt wird automatisch eine dedizierte IAM-Rolle für den State Machine erstellt. Es gewährt jedoch keine Berechtigungen zum Aufrufen des Runbooks. Aktualisieren Sie die Rolle, indem Sie die folgenden Berechtigungen hinzufügen:{
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": "*"
} | AWS DevOps |
| Validieren Sie die synchronen Aufrufe. | Führen Sie die Zustandsmaschine aus, um den synchronen Aufruf zwischen Step Functions und Systems Manager Automation zu validieren. Eine Beispielausgabe finden Sie im Abschnitt [Zusätzliche Informationen](#run-aws-systems-manager-automation-tasks-synchronously-from-aws-step-functions-additional). | AWS DevOps |
## Zugehörige Ressourcen
+ [Erste Schritte mit AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/getting-started-with-sfn.html) (*AWS Step Functions Entwicklerhandbuch*)
+ [Warten Sie auf einen Rückruf mit dem Task-Token](https://docs.aws.amazon.com/step-functions/latest/dg/connect-to-resource.html#connect-wait-token) (*AWS Step Functions Developer Guide*, Service Integration Patterns)
+ [API-Aufrufe send\$1task\$1success und [send\$1task\$1failure](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/stepfunctions/client/send_task_failure.html)](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/stepfunctions/client/send_task_success.html) (Boto3-Dokumentation)
+ [AWS Systems Manager Automatisierung AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) *(Benutzerhandbuch*)
## Zusätzliche Informationen
**Implementierungsinformationen**
Dieses Muster stellt eine CloudFormation Vorlage bereit, die zwei Systems Manager Manager-Runbooks bereitstellt:
+ `SfnRunCommandByInstanceIds`führt den `AWS-RunPowerShellScript` Befehl `AWS-RunShellScript` or mithilfe einer Instanz aus. IDs
+ `SfnRunCommandByTargets`führt den `AWS-RunPowerShellScript` Befehl `AWS-RunShellScript` or mithilfe von Zielen aus.
Jedes Runbook implementiert vier Schritte, um einen synchronen Aufruf zu erreichen, wenn die `.waitForTaskToken` Option in Step Functions verwendet wird.
|
|
| Schritt | Action | Description |
| --- |--- |--- |
| **1** | `Branch` | Prüft den `shell` Parameterwert (`Shell`oder`PowerShell`), um zu entscheiden, ob die Ausführung `AWS-RunShellScript` für Linux oder `AWS-RunPowerShellScript` für Windows erfolgen soll. |
| **2** | `RunCommand_Shell` oder `RunCommand_PowerShell` | Nimmt mehrere Eingaben entgegen und führt den `RunPowerShellScript` Befehl `RunShellScript` oder aus. Weitere Informationen finden Sie auf der Registerkarte **Details** für das Dokument `RunCommand_Shell` oder `RunCommand_PowerShell` Automation in der Systems Manager Manager-Konsole. |
| **3** | `SendTaskFailure` | Wird ausgeführt, wenn Schritt 2 abgebrochen oder abgebrochen wird. Es ruft die Step Functions [send\$1task\$1failure](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/stepfunctions/client/send_task_failure.html) API auf, die drei Parameter als Eingabe akzeptiert: das von der Zustandsmaschine übergebene Token, den Fehlerfehler und eine Beschreibung der Fehlerursache. |
| **4** | `SendTaskSuccess` | Wird ausgeführt, wenn Schritt 2 erfolgreich ist. Es ruft die Step Functions [send\$1task\$1success](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/stepfunctions/client/send_task_success.html) API auf, die das von der Zustandsmaschine übergebene Token als Eingabe akzeptiert. |
**Runbook-Parameter**
`SfnRunCommandByInstanceIds`Runbook:
|
|
| Parametername | Typ | Optional oder erforderlich | Description |
| --- |--- |--- |--- |
| `shell` | Zeichenfolge | Erforderlich | Die Instanz-Shell, um zu entscheiden, ob sie `AWS-RunShellScript` für Linux oder `AWS-RunPowerShellScript` für Windows ausgeführt werden sollen. |
| `deliveryTimeout` | Ganzzahl | Optional | Die Wartezeit in Sekunden, bis ein Befehl an den SSM-Agenten auf einer Instance übermittelt wird. Dieser Parameter hat einen Mindestwert von 30 (0,5 Minuten) und einen Höchstwert von 2592000 (720 Stunden). |
| `executionTimeout` | Zeichenfolge | Optional | Die Zeit in Sekunden, die ein Befehl bis zum Abschluss benötigt, bevor er als fehlgeschlagen betrachtet wird. Der Standardwert ist 3600 (1 Stunde). Der Höchstwert ist 172800 (48 Stunden). |
| `workingDirectory` | Zeichenfolge | Optional | Der Pfad zum Arbeitsverzeichnis auf der Instance. |
| `Commands` | StringList | Erforderlich | Das auszuführende Shell-Skript oder der auszuführende Befehl. |
| `InstanceIds` | StringList | Erforderlich | Die IDs Instanzen, in denen Sie den Befehl ausführen möchten. |
| `taskToken` | Zeichenfolge | Erforderlich | Das Task-Token, das für Rückrufantworten verwendet werden soll. |
`SfnRunCommandByTargets`Runbook:
|
|
| Name | Typ | Optional oder erforderlich | Description |
| --- |--- |--- |--- |
| `shell` | Zeichenfolge | Erforderlich | Die Instanz-Shell, um zu entscheiden, ob sie `AWS-RunShellScript` für Linux oder `AWS-RunPowerShellScript` für Windows ausgeführt werden sollen. |
| `deliveryTimeout` | Ganzzahl | Optional | Die Wartezeit in Sekunden, bis ein Befehl an den SSM-Agenten auf einer Instance übermittelt wird. Dieser Parameter hat einen Mindestwert von 30 (0,5 Minuten) und einen Höchstwert von 2592000 (720 Stunden). |
| `executionTimeout` | Ganzzahl | Optional | Die Zeit in Sekunden, die ein Befehl bis zum Abschluss benötigt, bevor er als fehlgeschlagen betrachtet wird. Der Standardwert ist 3600 (1 Stunde). Der Höchstwert ist 172800 (48 Stunden). |
| `workingDirectory` | Zeichenfolge | Optional | Der Pfad zum Arbeitsverzeichnis auf der Instance. |
| `Commands` | StringList | Erforderlich | Das auszuführende Shell-Skript oder der auszuführende Befehl. |
| `Targets` | MapList | Erforderlich | Eine Reihe von Suchkriterien, die Instanzen anhand von Schlüssel-Wert-Paaren identifizieren, die Sie angeben. Beispiel: `[{"Key":"InstanceIds","Values":["i-02573cafcfEXAMPLE","i-0471e04240EXAMPLE"]}]` |
| `taskToken` | Zeichenfolge | Erforderlich | Das Task-Token, das für Rückrufantworten verwendet werden soll. |
**Beispielausgabe**
Die folgende Tabelle enthält ein Beispiel für die Ausgabe der Step-Funktion. Sie zeigt, dass die Gesamtlaufzeit zwischen Schritt 5 (`TaskSubmitted`) und Schritt 6 (`TaskSucceeded`) über 100 Sekunden beträgt. Dies zeigt, dass die Step-Funktion auf die Beendigung des `sleep 100` Befehls gewartet hat, bevor sie zur nächsten Aufgabe im Workflow überging.
|
|
| ID (ID) | Typ | Schritt | Ressource | Verstrichene Zeit (ms) | Zeitstempel |
| --- |--- |--- |--- |--- |--- |
| **1** | `ExecutionStarted` | | - | 0 | 11. März 2022 14:50:34.303 Uhr |
| **2** | `TaskStateEntered` | `StartAutomationWaitForCallBack` | - | 40 | 11. März 2022 14:50:34,343 Uhr |
| **3** | `TaskScheduled` | `StartAutomationWaitForCallBack` | - | 40 | 11. März 2022 14:50:34,343 Uhr |
| **4** | `TaskStarted` | `StartAutomationWaitForCallBack` | - | 154 | 11. März 2022 14:50:34.457 Uhr |
| **5** | `TaskSubmitted` | `StartAutomationWaitForCallBack` | - | 657 | 11. März 2022 14:50:34.960 Uhr |
| **6** | `TaskSucceeded` | `StartAutomationWaitForCallBack` | - | 10:3835 | 11. März 2022 14:52:18.138 Uhr |
| **7** | `TaskStateExited` | `StartAutomationWaitForCallBack` | - | 1038 60 | 11. März 2022 14:52:18.163 Uhr |
| **8** | `ExecutionSucceeded` | | - | 103 897 | 11. März 2022 14:52:18.200 Uhr |
# parallel Lesevorgänge von S3-Objekten mithilfe von Python in einer AWS Lambda Funktion ausführen
*Eduardo Bortoluzzi, Amazon Web Services*
## Zusammenfassung
Sie können dieses Muster verwenden, um eine Liste von Dokumenten aus Amazon Simple Storage Service (Amazon S3) -Buckets in Echtzeit abzurufen und zusammenzufassen. Das Muster bietet Beispielcode zum parallel Lesen von Objekten aus S3-Buckets auf Amazon Web Services (AWS). Das Muster zeigt, wie I/O gebundene Aufgaben mit AWS Lambda Funktionen unter Verwendung von Python effizient ausgeführt werden können.
Ein Finanzunternehmen verwendete dieses Muster in einer interaktiven Lösung, um korrelierte Finanztransaktionen manuell in Echtzeit zu genehmigen oder abzulehnen. Die Dokumente zu Finanztransaktionen wurden in einem marktbezogenen S3-Bucket gespeichert. Ein Mitarbeiter wählte eine Liste von Dokumenten aus dem S3-Bucket aus, analysierte den Gesamtwert der Transaktionen, die die Lösung berechnete, und entschied, den ausgewählten Stapel zu genehmigen oder abzulehnen.
I/O-gebundene Aufgaben unterstützen mehrere Threads. In diesem Beispielcode die Datei [concurrent.futures. ThreadPoolExecutor](https://docs.python.org/3.13/library/concurrent.futures.html#concurrent.futures.ThreadPoolExecutor)wird mit maximal 30 Threads gleichzeitig verwendet, obwohl Lambda-Funktionen bis zu 1.024 Threads unterstützen (wobei einer dieser Threads Ihr Hauptprozess ist). Dieses Limit ist darauf zurückzuführen, dass zu viele Threads aufgrund von Kontextwechsel und Nutzung von Rechenressourcen zu Latenzproblemen führen. Sie müssen auch die maximale Anzahl an Poolverbindungen erhöhen, `botocore` damit alle Threads den S3-Objektdownload gleichzeitig durchführen können.
Der Beispielcode verwendet ein 8,3-KB-Objekt mit JSON-Daten in einem S3-Bucket. Das Objekt wird mehrfach gelesen. Nachdem die Lambda-Funktion das Objekt gelesen hat, werden die JSON-Daten in ein Python-Objekt dekodiert. Im Dezember 2024 wurden nach der Ausführung dieses Beispiels 1.000 Lesevorgänge in 2,3 Sekunden und 10.000 Lesevorgänge in 27 Sekunden mithilfe einer Lambda-Funktion, die mit 2.304 MB Speicher konfiguriert war, verarbeitet. AWS Lambda unterstützt Speicherkonfigurationen von 128 MB bis 10.240 MB (10 GB), obwohl eine Erhöhung des Lambda-Speichers über 2.304 MB nicht dazu beigetragen hat, die Zeit für die Ausführung dieser speziellen I/O-bezogenen Aufgabe zu verkürzen.
Das [AWS Lambda Power Tuning-Tool](https://github.com/alexcasalboni/aws-lambda-power-tuning) wurde verwendet, um verschiedene Lambda-Speicherkonfigurationen zu testen und das beste performance-to-cost Verhältnis für die Aufgabe zu überprüfen. Die Testergebnisse finden Sie im Abschnitt [Zusätzliche Informationen](#run-parallel-reads-of-s3-objects-by-using-python-in-an-aws-lambda-function-additional).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Kenntnisse in der Python-Entwicklung
**Einschränkungen**
+ Eine Lambda-Funktion kann maximal [1.024 Ausführungsprozesse oder](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html#function-configuration-deployment-and-execution) Threads haben.
+ Neue AWS-Konten haben ein Lambda-Speicherlimit von 3.008 MB. Passen Sie das AWS Lambda Power Tuning Tool entsprechend an. Weitere Informationen finden Sie im Abschnitt [Problembehandlung](#run-parallel-reads-of-s3-objects-by-using-python-in-an-aws-lambda-function-troubleshooting).
+ Amazon S3 hat ein Limit von [5.500 GET/HEAD Anfragen pro Sekunde pro partitioniertem](https://docs.aws.amazon.com/AmazonS3/latest/userguide/optimizing-performance.html) Präfix.
**Produktversionen**
+ Python 3.9 oder höher
+ AWS Cloud Development Kit (AWS CDK) v2
+ AWS Command Line Interface (AWS CLI) Ausführung 2
+ AWS Lambda Power Tuning 4.3.6 (optional)
## Architektur
**Zieltechnologie-Stack**
+ AWS Lambda
+ Amazon S3
+ AWS Step Functions (wenn AWS Lambda Power Tuning eingesetzt wird)
**Zielarchitektur**
Das folgende Diagramm zeigt eine Lambda-Funktion, die Objekte parallel aus einem S3-Bucket liest. Das Diagramm enthält auch einen Step Functions Functions-Workflow für das AWS Lambda Power Tuning-Tool zur Feinabstimmung des Lambda-Funktionsspeichers. Diese Feinabstimmung trägt dazu bei, ein ausgewogenes Verhältnis zwischen Kosten und Leistung zu erreichen.
![\[Diagramm mit Lambda-Funktion, S3-Bucket und AWS Step Functions.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/b46e9b16-9842-4291-adfa-3ef012b89aec/images/828696e2-6df7-4536-9205-951c99449f4e.png)
**Automatisierung und Skalierung**
Die Lambda-Funktionen skalieren bei Bedarf schnell. Um 503 Slow-Down-Fehler von Amazon S3 bei hoher Nachfrage zu vermeiden, empfehlen wir, der Skalierung einige Grenzen zu setzen.
## Tools
**AWS-Services**
+ [AWS Cloud Development Kit (AWS CDK) v2](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html) ist ein Softwareentwicklungs-Framework, das Ihnen hilft, AWS Cloud Infrastruktur im Code zu definieren und bereitzustellen. Die Beispielinfrastruktur wurde für die Bereitstellung mit erstellt AWS CDK.
+ [AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können. In diesem Muster wird AWS CLI Version 2 verwendet, um eine JSON-Beispieldatei hochzuladen.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Storage Service Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, mit dem Sie beliebige Datenmengen speichern, schützen und abrufen können.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Funktionen und andere AWS-Services kombinieren können, um geschäftskritische Anwendungen zu erstellen.
**Andere Tools**
+ [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache. Die [Wiederverwendung inaktiver Worker-Threads](https://docs.python.org/3.8/library/concurrent.futures.html#concurrent.futures.ThreadPoolExecutor) wurde in Python-Version 3.8 eingeführt, und der Lambda-Funktionscode in diesem Muster wurde für Python-Version 3.9 und höher erstellt.
**Code-Repository**
Der Code für dieses Muster ist im [aws-lambda-parallel-download](https://github.com/aws-samples/aws-lambda-parallel-download) GitHub Repository verfügbar.
## Best Practices
+ Dieses AWS CDK Konstrukt stützt sich auf Ihre AWS-Konto Benutzerberechtigungen zur Bereitstellung der Infrastruktur. [Wenn Sie AWS CDK Pipelines oder kontoübergreifende Bereitstellungen verwenden möchten, finden Sie weitere Informationen unter Stack-Synthesizer.](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping-synthesizers)
+ Für diese Beispielanwendung sind die Zugriffsprotokolle im S3-Bucket nicht aktiviert. Es hat sich bewährt, Zugriffsprotokolle im Produktionscode zu aktivieren.
## Epen
### Bereiten Sie die Entwicklungsumgebung vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie die installierte Python-Version. | Dieser Code wurde speziell auf Python 3.9 und Python 3.13 getestet und sollte auf allen Versionen zwischen diesen Versionen funktionieren. Um Ihre Python-Version zu überprüfen, führen Sie es `python3 -V` in Ihrem Terminal aus und installieren Sie bei Bedarf eine neuere Version.Führen Sie den Befehl aus, um zu überprüfen, ob die erforderlichen Module installiert sind`python3 -c "import pip, venv"`. Keine Fehlermeldung bedeutet, dass die Module ordnungsgemäß installiert sind und Sie bereit sind, dieses Beispiel auszuführen. | Cloud-Architekt |
| Installieren AWS CDK. | Um das zu installieren, AWS CDK falls es noch nicht installiert ist, folgen Sie den Anweisungen unter [Erste Schritte mit dem AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html). Um zu überprüfen, ob es sich bei der installierten AWS CDK Version um Version 2.0 oder höher handelt, führen Sie den Befehl aus`cdk –version`. | Cloud-Architekt |
| Bootstrap für Ihre Umgebung. | Um Ihre Umgebung zu booten, folgen Sie, falls dies noch nicht geschehen ist, den Anweisungen unter [Bootstrapping Ihrer Umgebung zur Verwendung](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping-env.html) mit dem. AWS CDK | Cloud-Architekt |
### Klonen Sie das Beispiel-Repository
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Führen Sie den folgenden Befehl aus, um die neueste Version des Repositorys zu klonen:git clone --depth 1 --branch v1.2.0 \
git@github.com:aws-samples/aws-lambda-parallel-download.git
| Cloud-Architekt |
| Ändern Sie das Arbeitsverzeichnis in das geklonte Repository. | Führen Sie den folgenden Befehl aus:cd aws-lambda-parallel-download
| Cloud-Architekt |
| Erstellen Sie die virtuelle Python-Umgebung. | Führen Sie den folgenden Befehl aus, um eine virtuelle Python-Umgebung zu erstellen:python3 -m venv .venv
| Cloud-Architekt |
| Aktivieren Sie die virtuelle Umgebung. | Führen Sie den folgenden Befehl aus, um die virtuelle Umgebung zu aktivieren:source .venv/bin/activate
| Cloud-Architekt |
| Installieren Sie die Abhängigkeiten. | Führen Sie den `pip` folgenden Befehl aus, um die Python-Abhängigkeiten zu installieren:pip install -r requirements.txt
| Cloud-Architekt |
| Durchsuchen Sie den Code. | (Optional) Der Beispielcode, der ein Objekt aus dem S3-Bucket herunterlädt, befindet sich unter`resources/parallel.py`.Der Infrastrukturcode befindet sich im `parallel_download` Ordner. | Cloud-Architekt |
### Stellen Sie die App bereit und testen Sie sie
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie die Anwendung bereit. | Führen Sie `cdk deploy`.Schreiben Sie die AWS CDK Ergebnisse auf:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/run-parallel-reads-of-s3-objects-by-using-python-in-an-aws-lambda-function.html) | Cloud-Architekt |
| Laden Sie eine JSON-Beispieldatei hoch. | Das Repository enthält eine JSON-Beispieldatei mit einer Größe von etwa 9 KB. Führen Sie den folgenden Befehl aus, um die Datei in den S3-Bucket des erstellten Stacks hochzuladen:aws s3 cp sample.json s3://
``Ersetzen Sie durch den entsprechenden Wert aus der AWS CDK Ausgabe. | Cloud-Architekt |
| Führen Sie die App aus. | Gehen Sie wie folgt vor, um die App auszuführen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/run-parallel-reads-of-s3-objects-by-using-python-in-an-aws-lambda-function.html) | Cloud-Architekt |
| Fügen Sie die Anzahl der Downloads hinzu. | (Optional) Um 1.500 Get-Object-Aufrufe auszuführen, verwenden Sie den folgenden JSON-Code im **Event-JSON** des `Test` Parameters:{"repeat": 1500, "objectKey": "sample.json"} | Cloud-Architekt |
### Optional: Führen Sie AWS Lambda Power Tuning aus
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Führen Sie das AWS Lambda Power Tuning-Tool aus. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/run-parallel-reads-of-s3-objects-by-using-python-in-an-aws-lambda-function.html)Am Ende des Laufs wird das Ergebnis auf der Registerkarte **Eingabe und Ausgabe der Ausführung** angezeigt. | Cloud-Architekt |
| Sehen Sie sich die AWS Lambda Power Tuning-Ergebnisse in einem Diagramm an. | Kopieren Sie auf der Registerkarte **Eingabe und Ausgabe der Ausführung** den `visualization` Eigenschaftenlink und fügen Sie ihn in eine neue Browser-Registerkarte ein. | Cloud-Architekt |
### Bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Entfernen Sie die Objekte aus dem S3-Bucket. | Bevor Sie die bereitgestellten Ressourcen zerstören, entfernen Sie alle Objekte aus dem S3-Bucket:aws s3 rm s3:// \
--recursive
Denken Sie daran, `` durch den Wert aus den AWS CDK Ausgaben zu ersetzen. | Cloud-Architekt |
| Zerstöre die Ressourcen. | Führen Sie den folgenden Befehl aus, um alle Ressourcen zu löschen, die für dieses Pilotprojekt erstellt wurden:cdk destroy
| Cloud-Architekt |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| `'MemorySize' value failed to satisfy constraint: Member must have value less than or equal to 3008` | Für neue Konten können Sie möglicherweise nicht mehr als 3.008 MB in Ihren Lambda-Funktionen konfigurieren. Um mit AWS Lambda Power Tuning zu testen, fügen Sie der Eingabe-JSON die folgende Eigenschaft hinzu, wenn Sie die Ausführung von Step Functions starten:"powerValues": [
512,
1024,
1536,
2048,
2560,
3008
]
|
## Zugehörige Ressourcen
+ [Python — konkurrierende.Futures. ThreadPoolExecutor](https://docs.python.org/3/library/concurrent.futures.html#concurrent.futures.ThreadPoolExecutor)
+ [Lambda-Kontingente — Konfiguration, Bereitstellung und Ausführung von Funktionen](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html#function-configuration-deployment-and-execution)
+ [Arbeiten mit dem AWS CDK in Python](https://docs.aws.amazon.com/cdk/v2/guide/work-with-cdk-python.html)
+ [Profilierungsfunktionen mit AWS Lambda Power Tuning](https://docs.aws.amazon.com/lambda/latest/operatorguide/profile-functions.html)
## Zusätzliche Informationen
**Code**
Der folgende Codeausschnitt führt die I/O Parallelverarbeitung durch:
```
with ThreadPoolExecutor(max_workers=MAX_WORKERS) as executor:
for result in executor.map(a_function, (the_arguments)):
...
```
Der `ThreadPoolExecutor` verwendet die Threads wieder, sobald sie verfügbar sind.
**Tests und Ergebnisse**
Diese Tests wurden im Dezember 2024 durchgeführt.
Beim ersten Test wurden 2.500 Objektlesevorgänge verarbeitet, mit dem folgenden Ergebnis.
![\[Mit steigendem Arbeitsspeicher sinken die Aufrufzeit und die Aufrufkosten steigen.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/b46e9b16-9842-4291-adfa-3ef012b89aec/images/f6743412-1e52-4c4c-a51c-ac0f75b3b998.png)
Ab 3.009 MB blieb die Verarbeitungszeit bei jeder Speichererweiterung fast gleich, aber die Kosten stiegen mit zunehmender Speichergröße.
In einem weiteren Test wurde der Bereich zwischen 1.536 MB und 3.072 MB Arbeitsspeicher untersucht, wobei Werte verwendet wurden, die ein Vielfaches von 256 MB waren, und es wurden 10.000 Objektlesevorgänge verarbeitet. Dabei wurden die folgenden Ergebnisse erzielt.
![\[Der Unterschied zwischen sinkender Aufrufzeit und steigenden Aufrufkosten wurde verringert.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/b46e9b16-9842-4291-adfa-3ef012b89aec/images/c75d4443-74d8-4b93-9b4d-b2640869381e.png)
Das beste performance-to-cost Verhältnis wurde mit der Lambda-Konfiguration mit 2.304 MB Speicher erzielt.
Zum Vergleich: Ein sequentieller Prozess mit 2.500 Objektlesevorgängen dauerte 47 Sekunden. Der parallel Vorgang mit der Lambda-Konfiguration mit 2.304 MB dauerte 7 Sekunden, was 85 Prozent weniger ist.
![\[Diagramm, das die Verkürzung der Zeit beim Wechsel von sequentieller zur parallel Verarbeitung zeigt.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/b46e9b16-9842-4291-adfa-3ef012b89aec/images/f3dcc44d-ac20-4b75-897d-1d71f0d59781.png)
# Senden Sie Telemetriedaten von AWS Lambda zu OpenSearch für Analysen und Visualisierungen in Echtzeit
*Tabby Ward, Guy Bachar und David Kilzer, Amazon Web Services*
## Zusammenfassung
Moderne Anwendungen werden zunehmend verteilt und ereignisgesteuert, was die Notwendigkeit von Überwachung und Beobachtbarkeit in Echtzeit verstärkt. AWS Lambda ist ein serverloser Computerdienst, der eine entscheidende Rolle beim Aufbau skalierbarer und ereignisgesteuerter Architekturen spielt. Die Überwachung und Fehlerbehebung von Lambda-Funktionen kann jedoch schwierig sein, wenn Sie sich ausschließlich auf Amazon CloudWatch Logs verlassen, was zu Latenz und begrenzten Aufbewahrungsfristen führen kann.
Um dieser Herausforderung zu begegnen, AWS wurde die Lambda Telemetry API eingeführt, die es Lambda-Funktionen ermöglicht, Telemetriedaten direkt an Überwachungs- und Beobachtungstools von Drittanbietern zu senden. Diese API unterstützt das Echtzeit-Streaming von Protokollen, Metriken und Traces und bietet einen umfassenden und zeitnahen Überblick über die Leistung und den Zustand Ihrer Lambda-Funktionen.
Dieses Muster erklärt, wie die Lambda-Telemetrie-API [OpenSearch](https://opensearch.org/docs/latest/), eine verteilte Open-Source-Such- und Analyse-Engine, integriert werden kann. OpenSearch bietet eine leistungsstarke und skalierbare Plattform für die Aufnahme, Speicherung und Analyse großer Datenmengen und ist damit die ideale Wahl für Lambda-Telemetriedaten. Insbesondere zeigt dieses Muster, wie Logs von einer in Python geschriebenen Lambda-Funktion direkt an einen OpenSearch Cluster gesendet werden, indem eine Lambda-Erweiterung verwendet wird, die von bereitgestellt wird. AWS Diese Lösung ist flexibel und anpassbar, sodass Sie Ihre eigene Lambda-Erweiterung erstellen oder den Beispielquellcode ändern können, um das Ausgabeformat nach Wunsch zu ändern.
Das Muster erklärt, wie die Lambda-Telemetrie-API-Integration eingerichtet und konfiguriert wird OpenSearch, und enthält bewährte Methoden für Sicherheit, Kostenoptimierung und Skalierbarkeit. Ziel ist es, Ihnen zu helfen, tiefere Einblicke in Ihre Lambda-Funktionen zu gewinnen und die allgemeine Beobachtbarkeit Ihrer serverlosen Anwendungen zu verbessern.
|
|
| Hinweis: Dieses Muster konzentriert sich auf die Integration der Lambda-Telemetrie-API mit Managed. OpenSearch Die besprochenen Prinzipien und Techniken gelten jedoch auch für Self-Managed OpenSearch und Elasticsearch. |
| --- |
## Voraussetzungen und Einschränkungen
Bevor Sie mit dem Integrationsprozess beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
**AWS-Konto**: Eine aktive AWS-Konto Person mit den entsprechenden Berechtigungen zum Erstellen und Verwalten der folgenden AWS Ressourcen:
+ AWS Lambda
+ AWS Identity and Access Management (ICH BIN)
+ Amazon OpenSearch Service (wenn Sie einen verwalteten OpenSearch Cluster verwenden)
**OpenSearch Cluster**:
+ Sie können einen vorhandenen selbstverwalteten OpenSearch Cluster oder einen verwalteten Dienst wie OpenSearch Service verwenden.
+ Wenn Sie OpenSearch Service verwenden, richten Sie Ihren OpenSearch Cluster ein, indem Sie den Anweisungen unter [Erste Schritte mit Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/gsg.html) in der OpenSearch Service-Dokumentation folgen.
+ Stellen Sie sicher, dass der OpenSearch Cluster über Ihre Lambda-Funktion zugänglich ist und dass er mit den erforderlichen Sicherheitseinstellungen wie Zugriffsrichtlinien, Verschlüsselung und Authentifizierung konfiguriert ist.
+ Konfigurieren Sie den OpenSearch Cluster mit den erforderlichen Indexzuordnungen und Einstellungen, um die Lambda-Telemetriedaten aufzunehmen. Weitere Informationen finden Sie in der Servicedokumentation unter [Laden von Streaming-Daten in Amazon OpenSearch OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/integrations.html).
**Netzwerkkonnektivität**:
+ Stellen Sie sicher, dass Ihre Lambda-Funktion über die erforderliche Netzwerkkonnektivität für den Zugriff auf den OpenSearch Cluster verfügt. Anleitungen zur Konfiguration der Virtual Private Cloud (VPC) -Einstellungen finden Sie in der Servicedokumentation unter [Starten Ihrer Amazon OpenSearch Service-Domains innerhalb einer VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html). OpenSearch
**IAM-Rollen** und -Richtlinien:
+ Erstellen Sie eine IAM-Rolle mit den erforderlichen Berechtigungen für Ihre Lambda-Funktion, um auf den OpenSearch Cluster und auf Ihre darin gespeicherten Anmeldeinformationen zuzugreifen. AWS Secrets Manager
+ Fügen Sie der Rolle die entsprechenden IAM-Richtlinien hinzu, z. B. die `AWSLambdaBasicExecutionRole` Richtlinie und alle zusätzlichen Berechtigungen, die für die Interaktion erforderlich sind. OpenSearch
+ Stellen Sie sicher, dass die Ihrer Lambda-Funktion erteilten IAM-Berechtigungen das Schreiben von Daten in den OpenSearch Cluster ermöglichen. Informationen zur Verwaltung von IAM-Berechtigungen finden Sie unter [Definieren von Lambda-Funktionsberechtigungen mit einer Ausführungsrolle](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) in der Lambda-Dokumentation.
Kenntnisse in **Programmiersprachen**:
+ Sie benötigen Grundkenntnisse in Python (oder der Programmiersprache Ihrer Wahl), um den Beispielcode für die Lambda-Funktion und die Lambda-Erweiterung zu verstehen und zu ändern.
**Entwicklungsumgebung**:
+ Richten Sie eine lokale Entwicklungsumgebung mit den erforderlichen Tools und Abhängigkeiten für die Erstellung und Bereitstellung von Lambda-Funktionen und -Erweiterungen ein.
**AWS CLI oder AWS-Managementkonsole**:
+ Installieren und konfigurieren Sie das [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) oder verwenden Sie das AWS-Managementkonsole mit den entsprechenden Anmeldeinformationen, um mit den erforderlichen zu interagieren AWS-Services.
**Überwachung und Protokollierung**:
+ Machen Sie sich mit bewährten Methoden zur Überwachung und Protokollierung vertraut AWS, einschließlich Diensten wie Amazon CloudWatch und AWS CloudTrail zu Überwachungs- und Prüfungszwecken.
+ Überprüfen Sie die CloudWatch Logs für Ihre Lambda-Funktion, um Fehler oder Ausnahmen im Zusammenhang mit der Lambda-Telemetrie-API-Integration zu identifizieren. Anleitungen zur Fehlerbehebung finden Sie in der [Lambda Telemetry API-Dokumentation](https://docs.aws.amazon.com/lambda/latest/dg/telemetry-api.html).
## Architektur
Dieses Muster verwendet OpenSearch Service, um Protokolle und Telemetriedaten zu speichern, die von Lambda-Funktionen generiert werden. Mit diesem Ansatz können Sie Protokolle schnell direkt in Ihren OpenSearch Cluster streamen, wodurch die Latenz und die Kosten reduziert werden, die mit der Verwendung von CloudWatch Logs als Vermittler verbunden sind.
|
|
| Ihr Lambda-Erweiterungscode kann Telemetrie entweder direkt über die OpenSearch API oder über eine [OpenSearch Clientbibliothek](https://opensearch.org/docs/latest/clients/index/) an den OpenSearch Service weiterleiten. Die Lambda-Erweiterung kann die von der OpenSearch API unterstützten Massenoperationen verwenden, um Telemetrieereignisse zu bündeln und sie in einer einzigen Anfrage an den OpenSearch Service zu senden. |
| --- |
Das folgende Workflow-Diagramm veranschaulicht den Log-Workflow für Lambda-Funktionen, wenn Sie einen OpenSearch Cluster als Endpunkt verwenden.
![\[Workflow zum Senden von Telemetriedaten an einen OpenSearch Cluster.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/57fe8796-9f36-46cf-8304-f506242b9f04/images/283ccdcd-a0e1-40a2-a95a-3bd046bfa8ca.png)
Die Architektur umfasst die folgenden Komponenten:
+ Lambda-Funktion: Die serverlose Funktion, die während der Ausführung Protokolle und Telemetriedaten generiert.
+ Lambda-Erweiterung: Eine Python-basierte Erweiterung, die die Lambda-Telemetrie-API verwendet, um direkt in den Cluster zu integrieren. OpenSearch Diese Erweiterung läuft zusammen mit der Lambda-Funktion in derselben Ausführungsumgebung.
+ Lambda-Telemetrie-API: Die API, die es Lambda-Erweiterungen ermöglicht, Telemetriedaten, einschließlich Logs, Metriken und Traces, direkt an Überwachungs- und Beobachtungstools von Drittanbietern zu senden.
+ Amazon OpenSearch Service-Cluster: Ein verwalteter OpenSearch Cluster, der auf gehostet wird AWS. Dieser Cluster ist für die Aufnahme, Speicherung und Indizierung der Protokolldaten verantwortlich, die von der Lambda-Funktion über die Lambda-Erweiterung gestreamt werden.
Der Workflow besteht aus den folgenden Schritten:
1. Die Lambda-Funktion wird aufgerufen und generiert während ihrer Ausführung Protokolle und Telemetriedaten.
1. Die Lambda-Erweiterung wird zusammen mit der Funktion zur Erfassung der Protokolle und Telemetriedaten mithilfe der Lambda-Telemetrie-API ausgeführt.
1. Die Lambda-Erweiterung stellt eine sichere Verbindung mit dem OpenSearch Service-Cluster her und streamt die Protokolldaten in Echtzeit.
1. Der OpenSearch Service-Cluster erfasst, indexiert und speichert die Protokolldaten, um sie mithilfe von Tools wie Kibana oder anderen kompatiblen Anwendungen für die Suche, Analyse und Visualisierung verfügbar zu machen.
Durch die Umgehung von CloudWatch Logs und das direkte Senden von Protokolldaten an den OpenSearch Cluster bietet diese Lösung mehrere Vorteile:
+ Protokollstreaming und -analyse in Echtzeit ermöglichen eine schnellere Fehlerbehebung und verbesserte Beobachtbarkeit.
+ Geringere Latenz und potenzielle Aufbewahrungsbeschränkungen im Zusammenhang mit CloudWatch Protokollen.
+ Flexibilität, um die Lambda-Erweiterung anzupassen oder Ihre eigene Erweiterung für bestimmte Ausgabeformate oder zusätzliche Verarbeitung zu erstellen.
+ Integration mit den Such-, Analyse- und Visualisierungsfunktionen von OpenSearch Service für die Protokollanalyse und -überwachung.
Der Abschnitt [Epics](#send-telemetry-data-from-lambda-to-opensearch-for-analytics-visualization-epics) enthält step-by-step Anweisungen zur Einrichtung der Lambda-Erweiterung, zur Konfiguration der Lambda-Funktion und zur Integration in den OpenSearch Service-Cluster. [Sicherheitsüberlegungen, Strategien zur Kostenoptimierung und Tipps zur Überwachung und Fehlerbehebung der Lösung finden Sie im Abschnitt Bewährte Methoden.](#send-telemetry-data-from-lambda-to-opensearch-for-analytics-visualization-best-practices)
## Tools
**AWS-Services**
+ [AWS Lambda](https://aws.amazon.com/lambda/) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch – von einigen Anforderungen pro Tag bis zu Tausenden pro Sekunde.
+ [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) ist ein vollständig verwalteter Service von AWS , der die Bereitstellung, den Betrieb und die Skalierung von OpenSearch Clustern in der Cloud vereinfacht.
+ [Lambda-Erweiterungen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-extensions.html) erweitern die Funktionalität Ihrer Lambda-Funktionen, indem sie zusätzlich benutzerdefinierten Code ausführen. Sie können Lambda-Erweiterungen verwenden, um Lambda in verschiedene Überwachungs-, Beobachtungs-, Sicherheits- und Governance-Tools zu integrieren.
+ AWS Lambda Mit der [Telemetrie-API](https://docs.aws.amazon.com/lambda/latest/dg/telemetry-api.html) können Sie Erweiterungen verwenden, um erweiterte Überwachungs- und Beobachtbarkeitsdaten direkt von Lambda zu erfassen und an ein Ziel Ihrer Wahl zu senden.
+ [CloudFormation](https://aws.amazon.com/cloudformation/)hilft Ihnen dabei, Ihre AWS Ressourcen zu modellieren und einzurichten, sodass Sie weniger Zeit mit der Verwaltung dieser Ressourcen verbringen und sich mehr auf Ihre Anwendungen konzentrieren können.
**Code-Repositorien**
+ [AWS Lambda Extensions](https://github.com/aws-samples/aws-lambda-extensions) umfasst Demos und Beispielprojekte von AWS und AWS Partnern, die Ihnen den Einstieg in die Erstellung Ihrer eigenen Erweiterungen erleichtern.
+ Example [Lambda Telemetry Integrations for OpenSearch bietet ein Beispiel für](https://github.com/aws-samples/aws-lambda-extensions/tree/main/python-example-telemetry-opensearch-extension) eine Lambda-Erweiterung, die zeigt, wie Logs von einer Lambda-Funktion an einen Cluster gesendet werden. OpenSearch
**Andere Tools**
+ [OpenSearch](https://opensearch.org/faq/)ist eine verteilte Open-Source-Such- und Analysemaschine, die eine leistungsstarke Plattform für die Erfassung, Speicherung und Analyse großer Datenmengen bietet.
+ Kibana ist ein Open-Source-Tool zur Datenvisualisierung und -erkundung, das Sie mit verwenden können. OpenSearch Beachten Sie, dass die Implementierung von Visualisierung und Analyse den Rahmen dieses Musters sprengen würde. Weitere Informationen finden Sie in der [Kibana-Dokumentation](https://www.elastic.co/guide/en/kibana/current/index.html) und in anderen Ressourcen.
## Best Practices
Beachten Sie bei der Integration der Lambda-Telemetrie-API die folgenden bewährten Methoden. OpenSearch
**Sicherheit und Zugriffskontrolle**
+ **Sichere Kommunikation**: Verschlüsseln Sie die gesamte Kommunikation zwischen Ihren Lambda-Funktionen und dem OpenSearch Cluster mithilfe von HTTPS. Konfigurieren Sie die erforderlichen SSL/TLS Einstellungen in Ihrer Lambda-Erweiterung und OpenSearch -Konfiguration.
+ **IAM-Berechtigungen:**
+ Erweiterungen werden in derselben Ausführungsumgebung wie die Lambda-Funktion ausgeführt, sodass sie dieselbe Zugriffsebene auf Ressourcen wie Dateisystem-, Netzwerk- und Umgebungsvariablen erben.
+ Gewähren Sie Ihren Lambda-Funktionen die mindestens erforderlichen IAM-Berechtigungen, um auf die Lambda-Telemetrie-API zuzugreifen und Daten in den Cluster zu schreiben. OpenSearch Verwenden Sie das [Prinzip der geringsten Rechte, um den Umfang der Berechtigungen](https://docs.aws.amazon.com/lambda/latest/operatorguide/least-privilege.html) einzuschränken.
+ **OpenSearch Zugriffskontrolle**: Implementieren Sie eine differenzierte Zugriffskontrolle in Ihrem OpenSearch Cluster, um den Zugriff auf sensible Daten zu beschränken. Verwenden Sie die integrierten Sicherheitsfunktionen wie Benutzerauthentifizierung, rollenbasierte Zugriffskontrolle und Berechtigungen auf Indexebene in. OpenSearch
+ **Vertrauenswürdige Erweiterungen**: Installieren Sie immer nur Erweiterungen aus einer vertrauenswürdigen Quelle. Verwenden Sie Infrastructure-as-Code-Tools (IaC) CloudFormation , um beispielsweise das Anhängen derselben Erweiterungskonfiguration, einschließlich IAM-Berechtigungen, an mehrere Lambda-Funktionen zu vereinfachen. IaC-Tools bieten auch ein Auditprotokoll der zuvor verwendeten Erweiterungen und Versionen.
+ **Umgang mit sensiblen Daten**: Vermeiden Sie beim Erstellen von Erweiterungen die Protokollierung sensibler Daten. Bereinigen Sie Payloads und Metadaten, bevor Sie sie protokollieren oder zu Prüfungszwecken speichern.
**Kostenoptimierung**
+ **Überwachung und Alarmierung**: Richten Sie Überwachungs- und Warnmechanismen ein, um die Datenmenge zu verfolgen, an die Ihre OpenSearch Lambda-Funktionen gesendet werden. Auf diese Weise können Sie potenzielle Kostenüberschreitungen erkennen und beheben.
+ **Aufbewahrung von Daten**: Überlegen Sie sich sorgfältig, welche Aufbewahrungsfrist für Ihre Lambda-Telemetriedaten angemessen ist. OpenSearch Längere Aufbewahrungsfristen können die Speicherkosten in die Höhe treiben. Bringen Sie also Ihre Anforderungen an die Beobachtbarkeit mit der Kostenoptimierung in Einklang.
+ **Komprimierung und Indizierung**: Aktivieren Sie die Datenkomprimierung und optimieren Sie Ihre OpenSearch Indexierungsstrategie, um den Speicherbedarf Ihrer Lambda-Telemetriedaten zu reduzieren.
+ **Geringere Abhängigkeit** von CloudWatch: Durch die direkte Integration der Lambda-Telemetrie-API können Sie Ihre Abhängigkeit von CloudWatch Protokollen potenziell reduzieren, was zu Kosteneinsparungen führen kann. OpenSearch Dies liegt daran, dass Sie mit der Lambda-Telemetrie-API Protokolle direkt an senden können OpenSearch, sodass die Daten nicht gespeichert und verarbeitet werden müssen. CloudWatch
**Skalierbarkeit und Zuverlässigkeit**
+ **Asynchrone Verarbeitung**: Verwenden Sie asynchrone Verarbeitungsmuster wie Amazon Simple Queue Service (Amazon SQS) oder Amazon Kinesis, um die Ausführung der Lambda-Funktion von der Datenaufnahme zu entkoppeln. OpenSearch Dies trägt dazu bei, die Reaktionsfähigkeit Ihrer Lambda-Funktionen aufrechtzuerhalten und die allgemeine Zuverlässigkeit des Systems zu verbessern.
+ **OpenSearch Cluster-Skalierung**: Überwachen Sie die Leistung und die Ressourcennutzung Ihres OpenSearch Clusters und skalieren Sie ihn nach Bedarf nach oben oder unten, um das zunehmende Volumen an Lambda-Telemetrie-Daten zu bewältigen.
+ **Failover und Disaster Recovery**: Implementieren Sie eine robuste Notfallwiederherstellungsstrategie für Ihren OpenSearch Cluster, einschließlich regelmäßiger Backups und der Möglichkeit, Daten im Falle eines Ausfalls schnell wiederherzustellen.
**Beobachtbarkeit und Überwachung**
+ **Dashboards und Visualisierungen**: Verwenden Sie Kibana oder andere Dashboard-Tools, um benutzerdefinierte Dashboards und Visualisierungen zu erstellen, die auf der Grundlage der enthaltenen Telemetriedaten Einblicke in die Leistung und den Zustand Ihrer Lambda-Funktionen bieten. OpenSearch
+ **Warnmeldungen und Benachrichtigungen**: Richten Sie Warnmeldungen und Benachrichtigungen ein, um Ihre Lambda-Funktionen proaktiv auf Anomalien, Fehler oder Leistungsprobleme zu überwachen. Integrieren Sie diese Warnungen und Benachrichtigungen in Ihre bestehenden Incident-Management-Prozesse.
+ **Rückverfolgung und Korrelation**: Stellen Sie sicher, dass Ihre Lambda-Telemetriedaten relevante Tracing-Informationen wie Anfrage IDs oder Korrelation enthalten IDs, um die end-to-end Beobachtbarkeit und Fehlerbehebung in Ihren verteilten serverlosen Anwendungen zu ermöglichen.
Wenn Sie diese bewährten Methoden befolgen, können Sie sicherstellen, dass Ihre Integration der Lambda-Telemetrie-API sicher, kostengünstig und skalierbar OpenSearch ist und umfassende Beobachtbarkeit für Ihre serverlosen Anwendungen bietet.
## Epen
### Erstellen und implementieren Sie die Lambda-Erweiterungsebene
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Laden Sie den Quellcode herunter. | Laden Sie die Beispielerweiterungen aus dem [AWS Lambda Extensions](https://github.com/aws-samples/aws-lambda-extensions) Repository herunter. | App-Entwickler, Cloud-Architekt |
| Navigieren Sie zum Verzeichnis `python-example-telemetry-opensearch-extension`. | Das [AWS Lambda Erweiterungs-Repository](https://github.com/aws-samples/aws-lambda-extensions), das Sie heruntergeladen haben, enthält zahlreiche Beispiele für verschiedene Anwendungsfälle und Sprachlaufzeiten. Navigieren Sie zum Ordner [python-example-telemetry-opensearch-extension](https://github.com/aws-samples/aws-lambda-extensions/tree/main/python-example-telemetry-opensearch-extension), um die OpenSearch Python-Erweiterung zu verwenden, an die Protokolle gesendet OpenSearch werden. | App-Entwickler, Cloud-Architekt |
| Fügen Sie Berechtigungen hinzu, um den Erweiterungsendpunkt auszuführen. | Führen Sie den folgenden Befehl aus, um den Erweiterungsendpunkt ausführbar zu machen:chmod +x python-example-telemetry-opensearch-extension/extension.py
| App-Entwickler, Cloud-Architekt |
| Installieren Sie die Abhängigkeiten der Erweiterungen lokal. | Führen Sie den folgenden Befehl aus, um lokale Abhängigkeiten für den Python-Code zu installieren:pip3 install -r python-example-telemetry-opensearch-extension/requirements.txt -t ./python-example-telemetry-opensearch-extension/
Diese Abhängigkeiten werden zusammen mit dem Erweiterungscode bereitgestellt. | App-Entwickler, Cloud-Architekt |
| Erstellen Sie ein ZIP-Paket für die Erweiterung, um sie als Ebene bereitzustellen. | Die Erweiterung.zip-Datei sollte ein Stammverzeichnis mit dem Namen`extensions/`, in dem sich die ausführbare Datei der Erweiterung befindet, und ein weiteres Stammverzeichnis mit dem Namen enthalten`python-example-telemetry-opensearch-extension/`, in dem sich die Kernlogik der Erweiterung und ihre Abhängigkeiten befinden.Erstellen Sie das ZIP-Paket für die Erweiterung:chmod +x extensions/python-example-telemetry-opensearch-extension
zip -r extension.zip extensions python-example-telemetry-opensearch-extension
| App-Entwickler, Cloud-Architekt |
| Stellen Sie die Erweiterung als Lambda-Schicht bereit. | Veröffentlichen Sie den Layer mithilfe Ihrer Erweiterung.zip-Datei und dem folgenden Befehl:aws lambda publish-layer-version \
--layer-name "python-example-telemetry-opensearch-extension" \
--zip-file "fileb://extension.zip"
| App-Entwickler, Cloud-Architekt |
### Integrieren Sie die Erweiterung in Ihre Funktion
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Fügen Sie die Ebene zu Ihrer Funktion hinzu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/send-telemetry-data-from-lambda-to-opensearch-for-analytics-visualization.html)Weitere Informationen zum Hinzufügen einer Ebene zu Ihrer Lambda-Funktion finden Sie in der [Lambda-Dokumentation](https://docs.aws.amazon.com/lambda/latest/dg/adding-layers.html). | App-Entwickler, Cloud-Architekt |
| Legen Sie die Umgebungsvariablen für die Funktion fest. | Wählen Sie auf der Funktionsseite die Registerkarte **Konfiguration** und fügen Sie Ihrer Funktion die folgenden Umgebungsvariablen hinzu:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/send-telemetry-data-from-lambda-to-opensearch-for-analytics-visualization.html) | App-Entwickler, Cloud-Architekt |
### Fügen Sie Protokollierungsanweisungen hinzu und testen Sie Ihre Funktion
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Fügen Sie Ihrer Funktion Protokollierungsanweisungen hinzu. | Fügen Sie Ihrer Funktion Protokollierungsanweisungen hinzu, indem Sie einen der [integrierten Protokollierungsmechanismen](https://docs.aws.amazon.com/lambda/latest/dg/python-logging.html) oder das Logging-Modul Ihrer Wahl verwenden. Hier sind Beispiele für das Protokollieren von Nachrichten in Python:print("Your Log Message Here")
logger = logging.getLogger(__name__)
logger.info("Test Info Log.")
logger.error("Test Error Log.") | App-Entwickler, Cloud-Architekt |
| Testen Sie Ihre Funktion. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/send-telemetry-data-from-lambda-to-opensearch-for-analytics-visualization.html)Wenn alles ordnungsgemäß funktioniert, sollte die Meldung „**Funktion ausgeführt: erfolgreich**“ angezeigt werden. | App-Entwickler, Cloud-Architekt |
### Sehen Sie sich Ihre Logs an OpenSearch
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Fragen Sie Ihre Indizes ab. | Führen Sie in OpenSearch den folgenden Befehl aus, um Ihre Indizes abzufragen:SELECT * FROM index-name
Ihre Protokolle sollten in den Abfrageergebnissen angezeigt werden. | Cloud-Architekt |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Probleme mit der Verbindung | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/send-telemetry-data-from-lambda-to-opensearch-for-analytics-visualization.html) |
| Fehler bei der Datenaufnahme | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/send-telemetry-data-from-lambda-to-opensearch-for-analytics-visualization.html) |
## Zugehörige Ressourcen
+ [Beispiel für Lambda-Telemetrie-Integrationen für OpenSearch](https://github.com/aws-samples/aws-lambda-extensions/tree/main/python-example-telemetry-opensearch-extension) (Repository) GitHub
+ [Erweitern Sie Lambda-Funktionen mithilfe von Lambda-Erweiterungen (Lambda-Dokumentation](https://docs.aws.amazon.com/lambda/latest/dg/lambda-extensions.html))
+ [Lambda-Telemetrie-API](https://docs.aws.amazon.com/lambda/latest/dg/telemetry-api.html) (Lambda-Dokumentation)
+ [Vorstellung der AWS Lambda Telemetrie-API](https://aws.amazon.com/blogs/compute/introducing-the-aws-lambda-telemetry-api/) (Blogbeitrag)AWS
+ [Integration der AWS Lambda Telemetrie-API mit Prometheus und OpenSearch (Blogbeitrag](https://aws.amazon.com/blogs/opensource/integrating-the-aws-lambda-telemetry-api-with-prometheus-and-opensearch))AWS
## Zusätzliche Informationen
**Änderung der Protokollstruktur**
Die Erweiterung sendet Protokolle standardmäßig als verschachteltes Dokument OpenSearch an. Auf diese Weise können Sie verschachtelte Abfragen ausführen, um einzelne Spaltenwerte abzurufen.
Wenn die Standard-Protokollausgabe nicht Ihren spezifischen Anforderungen entspricht, können Sie sie anpassen, indem Sie den Quellcode der Lambda-Erweiterung ändern, die von bereitgestellt wird AWS. AWS ermutigt Kunden, die Ausgabe an ihre Geschäftsanforderungen anzupassen. Um die Protokollausgabe zu ändern, suchen Sie die `dispatch_to_opensearch` Funktion in der `telemetry_dispatcher.py` Datei im Quellcode der Erweiterung und nehmen Sie die erforderlichen Änderungen vor.
# Richten Sie einen serverlosen Mobilfunkrouter für eine zellenbasierte Architektur ein
*Mian Tariq und Ioannis Lioupras, Amazon Web Services*
## Zusammenfassung
Als Einstiegspunkt in das System einer globalen zellbasierten Anwendung ist der Mobilfunkrouter dafür verantwortlich, Benutzer effizient den entsprechenden Zellen zuzuweisen und den Benutzern die Endpunkte zur Verfügung zu stellen. Der Mobilfunkrouter übernimmt Funktionen wie das Speichern von user-to-cell Zuordnungen, die Überwachung der Zellkapazität und das Anfordern neuer Zellen bei Bedarf. Es ist wichtig, die Funktionalität des Mobilfunkrouters bei möglichen Störungen aufrechtzuerhalten.
Das Design-Framework für Mobilfunkrouter in diesem Muster konzentriert sich auf Stabilität, Skalierbarkeit und allgemeine Leistungsoptimierung. Das Muster verwendet statisches Routing, bei dem Clients Endpunkte bei der ersten Anmeldung zwischenspeichern und direkt mit Zellen kommunizieren. Diese Entkopplung erhöht die Ausfallsicherheit des Systems, indem sie dazu beiträgt, die unterbrechungsfreie Funktionalität der zellbasierten Anwendung bei einem Ausfall des Mobilfunkrouters sicherzustellen.
Dieses Muster verwendet eine AWS CloudFormation Vorlage für die Bereitstellung der Architektur. Einzelheiten dazu, was die Vorlage bereitstellt, oder dazu, wie dieselbe Konfiguration mithilfe von bereitgestellt wird AWS-Managementkonsole, finden Sie im Abschnitt [Zusätzliche Informationen](#serverless-cell-router-architecture-additional).
**Wichtig**
Die Demonstration, der Code und die CloudFormation Vorlage in diesem Muster dienen nur zur Erläuterung. Das zur Verfügung gestellte Material dient ausschließlich der Veranschaulichung des Entwurfsmusters und der Verständlichkeit. Die Demo und der Code sind nicht produktionsbereit und sollten nicht für Live-Produktionsaktivitäten verwendet werden. Von jedem Versuch, den Code oder die Demo in einer Produktionsumgebung zu verwenden, wird dringend abgeraten und erfolgt auf eigenes Risiko. Wir empfehlen, sich mit geeigneten Fachleuten in Verbindung zu setzen und gründliche Tests durchzuführen, bevor Sie dieses Muster oder eine seiner Komponenten in einer Produktionsumgebung implementieren.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives Amazon Web Services (AWS) -Konto
+ Die neueste Version von [AWS Command Line Interface (AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html))
+ [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) mit den erforderlichen Berechtigungen zum Erstellen des CloudFormation Stacks, der AWS Lambda Funktionen und der zugehörigen Ressourcen
**Produktversionen**
+ Python 3.12
## Architektur
Das folgende Diagramm zeigt ein allgemeines Design des Mobilfunkrouters.
![\[Der fünfstufige Prozess des Mobilfunkrouters.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/fd2fbf9d-9ae4-4c27-bc32-cf117350137a/images/feb90b51-dd91-483b-b5a3-b0a5359686e3.png)
Das Diagramm durchläuft den folgenden Arbeitsablauf:
1. Der Benutzer kontaktiert Amazon API Gateway, das als Schnittstelle für die Mobilfunk-Router-API-Endpunkte dient.
1. Amazon Cognito kümmert sich um die Authentifizierung und Autorisierung.
1. Der AWS Step Functions Workflow besteht aus den folgenden Komponenten:
+ **Orchestrator** ‒ Wird `Orchestrator` verwendet AWS Step Functions , um einen Workflow oder eine Zustandsmaschine zu erstellen. Der Workflow wird durch die Cell-Router-API ausgelöst. Der `Orchestrator` führt Lambda-Funktionen basierend auf dem Ressourcenpfad aus.
+ **Dispatcher** ‒ Die `Dispatcher` Lambda-Funktion identifiziert und weist jedem registrierten neuen Benutzer eine statische Zelle zu. Die Funktion sucht nach der Zelle mit der geringsten Anzahl von Benutzern, weist sie dem Benutzer zu und gibt die Endpunkte zurück.
+ **Mapper** ‒ Der `Mapper` Vorgang verarbeitet die user-to-cell Zuordnungen innerhalb der `RoutingDB` Amazon DynamoDB DynamoDB-Datenbank, die mit der Vorlage erstellt wurde. CloudFormation Wenn die `Mapper` Funktion ausgelöst wird, stellt sie den bereits zugewiesenen Benutzern ihre Endpunkte zur Verfügung.
+ **Scaler** ‒ Die `Scaler` Funktion verfolgt die Zellbelegung und die verfügbare Kapazität. Bei Bedarf kann die `Scaler` Funktion über Amazon Simple Queue Service (Amazon SQS) eine Anfrage an die Bereitstellungs- und Bereitstellungsebene senden, um neue Zellen anzufordern.
+ **Validator** ‒ Die `Validator` Funktion validiert die Zellenendpunkte und erkennt mögliche Probleme.
1. Die `RoutingDB` speichert Zellinformationen und Attribute (API-Endpunkte, Status AWS-Region, Metriken).
1. Wenn die verfügbare Kapazität von Zellen einen Schwellenwert überschreitet, fordert der Mobilfunkrouter Bereitstellungs- und Bereitstellungsdienste über Amazon SQS an, um neue Zellen zu erstellen.
Wenn neue Zellen erstellt werden, `RoutingDB` wird es aus der Bereitstellungs- und Bereitstellungsebene aktualisiert. Dieser Prozess würde jedoch den Rahmen dieses Musters sprengen. Einen Überblick über die Voraussetzungen für den Entwurf zellenbasierter Architekturen und Einzelheiten zum in diesem Muster verwendeten Mobilfunkrouter-Design finden Sie im Abschnitt [Zusätzliche](#serverless-cell-router-architecture-additional) Informationen.
## Tools
**AWS-Services**
+ [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) unterstützt Sie bei der Erstellung, Veröffentlichung, Wartung, Überwachung und Sicherung von REST, HTTP und WebSocket APIs in jeder Größenordnung.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und zu verwalten AWS-Regionen.
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Web- und mobile Apps.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
+ [Amazon Simple Queue Service (Amazon SQS)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html) bietet eine sichere, dauerhafte und verfügbare gehostete Warteschlange, mit der Sie verteilte Softwaresysteme und -komponenten integrieren und entkoppeln können.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein serverloser Orchestrierungsservice, mit dem Sie Lambda-Funktionen und andere Funktionen kombinieren können, um geschäftskritische Anwendungen AWS-Services zu erstellen.
**Andere Tools**
+ [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache.
**Code-Repository**
Der Code für dieses Muster ist im GitHub [Serverless-Cell-Router-Repository](https://github.com/aws-samples/Serverless-Cell-Router/) verfügbar.
## Best Practices
Bewährte Methoden für den Aufbau zellenbasierter Architekturen finden Sie in der folgenden AWS Well-Architected-Anleitung:
+ [Verringerung des Ausmaßes der Auswirkungen durch zellenbasierte Architektur](https://docs.aws.amazon.com/wellarchitected/latest/reducing-scope-of-impact-with-cell-based-architecture/reducing-scope-of-impact-with-cell-based-architecture.html)
+ [AWS Säule der Zuverlässigkeit von Well-Architected Frameworks: REL1 0-BP04 Verwenden Sie Schottarchitekturen, um das Ausmaß der Auswirkungen zu begrenzen](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)
## Epen
### Bereiten Sie die Quelldateien vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Beispielcode-Repository. | Verwenden Sie den folgenden Befehl, um das Serverless-Cell-Router GitHub Repository auf Ihren Computer zu klonen:git clone https://github.com/aws-samples/Serverless-Cell-Router/
| Developer |
| Richten Sie AWS CLI temporäre Anmeldeinformationen ein. | Konfigurieren Sie die AWS CLI mit Anmeldeinformationen für Ihre AWS-Konto. In dieser exemplarischen Vorgehensweise werden temporäre Anmeldeinformationen verwendet, die über die AWS IAM Identity **Center-Befehlszeile oder die programmatische** Zugriffsoption bereitgestellt werden. Dadurch werden den `AWS_SESSION_TOKEN` AWS Umgebungsvariablen `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, und die entsprechenden Anmeldeinformationen für die Verwendung mit dem zugewiesen. AWS CLI | Developer |
| Erstellen Sie einen S3-Bucket. | Erstellen Sie einen S3-Bucket, der zum Speichern und Zugreifen auf die Serverless-Cell-Router Lambda-Funktionen für die Bereitstellung durch die CloudFormation Vorlage verwendet wird. Verwenden Sie den folgenden Befehl, um den S3-Bucket zu erstellen: aws s3api create-bucket --bucket --region eu-central-1 --create-bucket-configuration LocationConstraint=eu-central-1
| Developer |
| Erstellen Sie ZIP-Dateien. | Erstellen Sie eine ZIP-Datei für jede Lambda-Funktion, die sich im Verzeichnis [Functions](https://github.com/aws-samples/Serverless-Cell-Router/tree/main/Functions) befindet. Diese ZIP-Dateien werden zur Bereitstellung der Lambda-Funktionen verwendet. Verwenden Sie auf einem Mac die folgenden Befehle: `zip`zip -j mapper-scr.zip Functions/Mapper.py
zip -j dispatcher-scr.zip Functions/Dispatcher.py
zip -j scaler-scr.zip Functions/Scaler.py
zip -j cp validator-scr.zip Functions/Validator.py
zip -j dynamodbDummyData-scr.zip Functions/DynamodbDummyData.py
| Developer |
| Kopieren Sie die ZIP-Dateien in den S3-Bucket. | Verwenden Sie die folgenden Befehle, um alle ZIP-Dateien der Lambda-Funktion in den S3-Bucket zu kopieren:aws s3 cp mapper-scr.zip s3://
aws s3 cp dispatcher-scr.zip s3://
aws s3 cp scaler-scr.zip s3://
aws s3 cp validator-scr.zip s3://
aws s3 cp dynamodbDummyData-scr.zip s3://
| Developer |
### Erstellen Sie den Stack CloudFormation
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie die CloudFormation Vorlage bereit. | Führen Sie den folgenden AWS CLI Befehl aus, um die CloudFormation Vorlage bereitzustellen:aws cloudformation create-stack --stack-name serverless.cell-router \
--template-body file://Serverless-Cell-Router-Stack-v10.yaml \
--capabilities CAPABILITY_IAM \
--parameters ParameterKey=LambdaFunctionMapperS3KeyParameterSCR,ParameterValue=mapper-scr.zip \
ParameterKey=LambdaFunctionDispatcherS3KeyParameterSCR,ParameterValue=dispatcher-scr.zip \
ParameterKey=LambdaFunctionScalerS3KeyParameterSCR,ParameterValue=scaler-scr.zip \
ParameterKey=LambdaFunctionAddDynamoDBDummyItemsS3KeyParameterSCR,ParameterValue=dynamodbDummyData-scr.zip \
ParameterKey=LambdaFunctionsS3BucketParameterSCR,ParameterValue= \
ParameterKey=CognitoDomain,ParameterValue= \
--region
| Developer |
| Überprüfen Sie den Fortschritt. | Melden Sie sich bei der an AWS-Managementkonsole, öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation/]()und überprüfen Sie den Fortschritt der Stack-Entwicklung. Wenn der Status lautet`CREATE_COMPLETE`, wurde der Stack erfolgreich bereitgestellt. | Developer |
### Beurteilen und verifizieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Weisen Sie dem Benutzer Zellen zu. | Um das zu initiieren`Orchestrator`, führen Sie den folgenden curl-Befehl aus:curl -X POST \
-H "Authorization: Bearer {User id_token}" \
https://xxxxxx.execute-api.eu-central-1.amazonaws.com/Cell_Router_Development/cells
Der `Orchestrator` löst die Ausführung der `Dispatcher` Funktion aus. Das `Dispatcher` wiederum überprüft die Existenz des Benutzers. Wenn der Benutzer gefunden wird, `Dispatcher` gibt der die zugehörige Zellen-ID und den zugehörigen Endpunkt URLs zurück. Wenn der Benutzer nicht gefunden wird, `Dispatcher` weist der dem Benutzer eine Zelle zu und sendet die Zellen-ID an die `Scaler` Funktion zur Bewertung der Restkapazität der zugewiesenen Zelle.Die Antwort der `Scaler` Funktion lautet wie folgt:`"cellID : cell-0002 , endPoint_1 : https://xxxxx.execute-api.eu-north-1.amazonaws.com/ , endPoint_2 : https://xxxxxxx.execute-api.eu-central-1.amazonaws.com/"` | Developer |
| Ruft Benutzerzellen ab. | Führen Sie `Orchestrator` den folgenden Befehl aus, um die `Mapper` Funktion auszuführen:curl -X POST \
-H "Authorization: Bearer {User id_token}" \
https://xxxxxxxxx.execute-api.eu-central-1.amazonaws.com/Cell_Router_Development/mapper
Das `Orchestrator` sucht nach der Zelle, die dem Benutzer zugewiesen ist, und gibt die Zellen-ID und URLs die folgende Antwort zurück:`"cellID : cell-0002 , endPoint_1 : https://xxxxx.execute-api.eu-north-1.amazonaws.com/ , endPoint_2 : https://xxxxxxx.execute-api.eu-central-1.amazonaws.com/"` | Developer |
### Bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bereinigen Sie die Ressourcen. | Gehen Sie wie folgt vor, um zusätzliche Gebühren auf Ihrem Konto zu vermeiden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/serverless-cell-router-architecture.html) | App-Developer |
## Zugehörige Ressourcen
**Referenzen**
+ [Statische Stabilität mithilfe von Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)
+ [Grenzen der AWS-Fehlerisolierung: Statische Stabilität](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/static-stability.html)
**Video**
[Physalia: Zellenbasierte Architektur für höhere Verfügbarkeit auf Amazon EBS](https://www.youtube.com/watch?v=6IknqRZMFic)
[https://www.youtube-nocookie.com/embed/RZMFic6 Ich weiß es? Steuerungen = 0](https://www.youtube-nocookie.com/embed/6IknqRZMFic?controls=0)
## Zusätzliche Informationen
**Prämissen für den Entwurf zellbasierter Architektur**
Dieses Muster konzentriert sich zwar auf den Mobilfunkrouter, es ist jedoch wichtig, die gesamte Umgebung zu verstehen. Die Umgebung ist in drei separate Schichten gegliedert:
+ Die Routing-Schicht oder dünne Schicht, die den Mobilfunkrouter enthält
+ Die Zellschicht, bestehend aus verschiedenen Zellen
+ Die Bereitstellungs- und Bereitstellungsebene, die Zellen bereitstellt und die Anwendung bereitstellt
Jede Schicht behält ihre Funktionalität auch bei Beeinträchtigungen anderer Schichten bei. AWS-Konten dienen als Grenze zur Fehlerisolierung.
Das folgende Diagramm zeigt die Schichten auf einer hohen Ebene. Die Zellschicht und die Bereitstellungs- und Bereitstellungsschicht fallen nicht in den Geltungsbereich dieses Musters.
![\[Die Routing-Ebene, die Zellenebene mit mehreren Zellkonten und die Bereitstellungs- und Bereitstellungsschicht.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/fd2fbf9d-9ae4-4c27-bc32-cf117350137a/images/137ac34d-43c3-42b6-95de-a365ff611ce8.png)
Weitere Informationen zur zellenbasierten Architektur finden Sie unter [Reduzierung des Wirkungsbereichs durch zellenbasierte Architektur: Zellenrouting](https://docs.aws.amazon.com/wellarchitected/latest/reducing-scope-of-impact-with-cell-based-architecture/cell-routing.html).
**Entwurfsmuster für Mobilfunkrouter**
Der Mobilfunkrouter ist eine von allen Zellen gemeinsam genutzte Komponente. Um mögliche Auswirkungen zu minimieren, ist es wichtig, dass die Routing-Ebene ein vereinfachtes und horizontal skalierbares Design verwendet, das so dünn wie möglich ist. Die Routing-Schicht dient als Einstiegspunkt des Systems und besteht nur aus den Komponenten, die für die effiziente Zuweisung von Benutzern zu den entsprechenden Zellen erforderlich sind. Komponenten innerhalb dieser Ebene sind nicht an der Verwaltung oder Erstellung von Zellen beteiligt.
Dieses Muster verwendet statisches Routing, was bedeutet, dass der Client die Endpunkte bei der ersten Anmeldung zwischenspeichert und anschließend eine direkte Kommunikation mit der Zelle herstellt. Regelmäßige Interaktionen zwischen dem Client und dem Mobilfunkrouter werden initiiert, um den aktuellen Status zu bestätigen oder Aktualisierungen abzurufen. Diese gezielte Entkopplung ermöglicht bestehenden Benutzern einen unterbrechungsfreien Betrieb bei einem Ausfall des Mobilfunkrouters und sorgt für kontinuierliche Funktionalität und Stabilität innerhalb des Systems.
In diesem Muster unterstützt der Mobilfunkrouter die folgenden Funktionen:
+ Abrufen von Zellendaten aus der Zellendatenbank in der Bereitstellungs- und Bereitstellungsschicht und Speichern oder Aktualisieren der lokalen Datenbank.
+ Zuweisen einer Zelle zu jedem neuen registrierten Benutzer der Anwendung mithilfe des Zellenzuweisungsalgorithmus.
+ Speichern der user-to-cells Zuordnung in der lokalen Datenbank.
+ Überprüfung der Kapazität der Zellen während der Benutzerzuweisung und Auslösen eines Ereignisses für den Automaten in der Bereitstellungs- und Bereitstellungsebene, um Zellen zu erstellen.
+ Verwendung des Algorithmus für Kriterien zur Zellenerstellung, um diese Funktionalität bereitzustellen.
+ Beantwortung der neu registrierten Benutzeranfragen durch Bereitstellung URLs der statischen Zellen. Diese URLs werden auf dem Client mit einer Gültigkeitsdauer (TTL) zwischengespeichert.
+ Beantwortung vorhandener Benutzeranfragen nach einer ungültigen URL durch Angabe einer neuen oder aktualisierten URL.
Sehen Sie sich die folgenden Komponenten und Schritte an, um mehr über den Demonstrations-Cellrouter zu erfahren, der anhand der CloudFormation Vorlage eingerichtet wurde:
1. Richten Sie den Amazon Cognito Cognito-Benutzerpool ein und konfigurieren Sie ihn.
1. Richten Sie die API Gateway für den Mobilfunkrouter ein und konfigurieren Sie sie.
1. Erstellen Sie eine DynamoDB-Tabelle.
1. Erstellen und konfigurieren Sie eine SQS-Warteschlange.
1. Implementieren Sie die`Orchestrator`.
1. Implementieren Sie die Lambda-Funktionen:`Dispatcher`,`Scaler`,`Mapper`,`Validator`.
1. Beurteilt und verifiziert.
Voraussetzung ist, dass die Bereitstellungs- und Bereitstellungsschicht bereits eingerichtet ist. Ihre Implementierungsdetails würden den Rahmen dieses Artefakts sprengen.
Da diese Komponenten anhand einer CloudFormation Vorlage eingerichtet und konfiguriert werden, werden die folgenden Schritte anschaulich und allgemein dargestellt. Es wird davon ausgegangen, dass Sie über die erforderlichen AWS Fähigkeiten verfügen, um die Einrichtung und Konfiguration abzuschließen.
*1. Einrichtung und Konfiguration des Amazon Cognito Cognito-Benutzerpools*
Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon Cognito Cognito-Konsole unter [https://console.aws.amazon.com/cognito/](). Richten Sie einen Amazon Cognito Cognito-Benutzerpool mit dem Namen`CellRouterPool`, mit App-Integration, gehosteter Benutzeroberfläche und den erforderlichen Berechtigungen ein und konfigurieren Sie ihn.
*2. Richten Sie die API Gateway für den Mobilfunkrouter ein und konfigurieren Sie sie*
Öffnen Sie die API Gateway Gateway-Konsole unter [https://console.aws.amazon.com/apigateway/](). Richten Sie mithilfe eines Amazon Cognito-Autorisierers`CellRouter`, der in den Amazon Cognito-Benutzerpool integriert ist, eine API mit dem Namen, ein und konfigurieren Sie sie. `CellRouterPool` Implementieren Sie die folgenden Elemente:
+ `CellRouter`API-Ressourcen, einschließlich `POST` Methoden
+ Integration mit dem in Schritt 5 implementierten Step Functions-Workflow
+ Autorisierung durch den Amazon Cognito Cognito-Autorisierer
+ Zuordnungen von Integrationsanfragen und Antworten
+ Zuweisung der erforderlichen Berechtigungen
*3. Erstellen Sie eine DynamoDB-Tabelle*
Öffnen Sie die DynamoDB-Konsole unter und erstellen Sie eine Standard-DynamoDB-Tabelle [https://console.aws.amazon.com/dynamodb/](), die `tbl_router` mit der folgenden Konfiguration aufgerufen wird:
+ **Partitionsschlüssel** ‒ `marketId`
+ **Schlüssel sortieren** ‒ `cellId`
+ **Kapazitätsmodus** ‒ Bereitgestellt
+ **Point-in-time Wiederherstellung (PITR) ‒ Aus**
Erstellen Sie auf der Registerkarte **Indizes** einen globalen sekundären Index mit dem Namen. `marketId-currentCapacity-index` Die `Scaler` Lambda-Funktion verwendet den Index, um effizient nach der Zelle mit der niedrigsten Anzahl zugewiesener Benutzer zu suchen.
Erstellen Sie die Tabellenstruktur mit den folgenden Attributen:
+ `marketId`‒ Europa
+ `cellId`‒ cell-0002
+ `currentCapacity`‒ 2
+ `endPoint_1`‒
+ `endPoint_2`‒
+ `IsHealthy`‒ Stimmt
+ `maxCapacity`‒ 10
+ `regionCode_1` ‒ `eu-north-1`
+ `regionCode_2` ‒ `eu-central-1`
+ `userIds`‒
*4 Erstellen und konfigurieren Sie eine SQS-Warteschlange*
Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/]()und erstellen Sie eine Standard-SQS-Warteschlange namens `CellProvisioning` konfiguriert mit **Amazon SQS SQS-Schlüsselverschlüsselung**.
*5. Implementieren Sie den Orchestrator*
Entwickeln Sie einen Step Functions Functions-Workflow, der als `Orchestrator` Grundlage für den Router dient. Der Workflow kann über die Cell-Router-API aufgerufen werden. Der Workflow führt die angegebenen Lambda-Funktionen basierend auf dem Ressourcenpfad aus. Integrieren Sie die Step-Funktion in die API-Gateway-API für den Mobilfunkrouter `CellRouter` und konfigurieren Sie die erforderlichen Berechtigungen zum Aufrufen der Lambda-Funktionen.
Das folgende Diagramm zeigt den Arbeitsablauf. Der Auswahlstatus ruft eine der Lambda-Funktionen auf. Wenn die Lambda-Funktion erfolgreich ist, endet der Workflow. Wenn die Lambda-Funktion fehlschlägt, wird fail state aufgerufen.
![\[Ein Diagramm des Workflows mit den vier Funktionen, der mit einem Fehlerstatus endet.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/fd2fbf9d-9ae4-4c27-bc32-cf117350137a/images/cfe8d029-6f30-49a1-aaad-cad503bdcbae.png)
*6. Implementieren Sie die Lambda-Funktionen*
Implementieren Sie die `Validator` Funktionen `Dispatcher` `Mapper``Scaler`,, und. Wenn Sie jede Funktion in der Demonstration einrichten und konfigurieren, definieren Sie eine Rolle für die Funktion und weisen Sie die erforderlichen Berechtigungen für die Ausführung der erforderlichen Operationen in der DynamoDB-Tabelle zu. `tbl_router` Integrieren Sie zusätzlich jede Funktion in den Workflow. `Orchestrator`
*Dispatcher-Funktion*
Die `Dispatcher` Funktion ist dafür verantwortlich, jedem neuen registrierten Benutzer eine einzelne statische Zelle zu identifizieren und zuzuweisen. Wenn sich ein neuer Benutzer bei der globalen Anwendung registriert, wird die Anfrage an die `Dispatcher` Funktion weitergeleitet. Die Funktion verarbeitet die Anfrage anhand vordefinierter Bewertungskriterien wie den folgenden:
1. **Region** ‒ Wählen Sie die Zelle auf dem Markt aus, in der sich der Benutzer befindet. Wenn der Benutzer beispielsweise von Europa aus auf die globale Anwendung zugreift, wählen Sie eine Zelle aus, die AWS-Regionen in Europa verwendet wird.
1. **Nähe oder Latenz** ‒ Wählen Sie die Zelle aus, die dem Benutzer am nächsten ist. Wenn der Benutzer beispielsweise von Holland aus auf die Anwendung zugreift, berücksichtigt die Funktion eine Zelle, die Frankfurt und Irland verwendet. Die Entscheidung, welche Zelle sich am nächsten befindet, basiert auf Kennzahlen wie der Latenz zwischen dem Standort des Benutzers und den Zellenregionen. Bei diesem Beispielmuster werden die Informationen statisch aus der Bereitstellungs- und Bereitstellungsebene eingespeist.
1. **Health** ‒ Die `Dispatcher` Funktion überprüft anhand des angegebenen Zellstatus (Gesund = wahr oder falsch), ob die ausgewählte Zelle gesund ist.
1. **Kapazität** ‒ Die Benutzerverteilung basiert auf der *geringsten Anzahl von Benutzern in einer Zellenlogik*, sodass der Benutzer der Zelle mit der geringsten Benutzeranzahl zugewiesen wird.
**Anmerkung**
Diese Kriterien dienen lediglich der Erläuterung dieses Beispielmusters. Für eine realitätsnahe Implementierung eines Mobilfunkrouters können Sie verfeinerte und anwendungsfallorientierte Kriterien definieren.
`Orchestrator`Ruft die Dispatcher-Funktion auf, um Zellen Benutzer zuzuweisen. In dieser Demofunktion ist der Marktwert ein statischer Parameter, der als definiert ist. `europe`
Die `Dispatcher` Funktion bewertet, ob dem Benutzer bereits eine Zelle zugewiesen ist. Wenn die Zelle bereits zugewiesen ist, gibt die `Dispatcher` Funktion die Endpunkte der Zelle zurück. Wenn dem Benutzer keine Zelle zugewiesen ist, sucht die Funktion nach der Zelle mit der geringsten Anzahl von Benutzern, weist sie dem Benutzer zu und gibt die Endpunkte zurück. Die Effizienz der Zellensuchanfrage wird durch die Verwendung des globalen sekundären Indexes optimiert.
*Mapper-Funktion*
Die `Mapper` Funktion überwacht die Speicherung und Wartung von user-to-cell Zuordnungen in der Datenbank. Jedem registrierten Benutzer wird eine einzelne Zelle zugewiesen. Jede Zelle hat zwei unterschiedliche URLs — eine für jede AWS-Region. Diese dienen als API-Endpunkte, die auf API Gateway gehostet werden, und URLs fungieren als eingehende Punkte für die globale Anwendung.
Wenn die `Mapper` Funktion eine Anfrage von der Client-Anwendung empfängt, führt sie eine Abfrage in der DynamoDB-Tabelle aus, `tbl_router` um die user-to-cell Zuordnung abzurufen, die der angegebenen E-Mail-ID zugeordnet ist. Wenn sie eine zugewiesene Zelle findet, stellt die `Mapper` Funktion umgehend die beiden Zellen der Zelle bereit. URLs Die `Mapper` Funktion überwacht außerdem aktiv Änderungen an der Zelle URLs und veranlasst Benachrichtigungen oder Aktualisierungen der Benutzereinstellungen.
*Scaler-Funktion*
Die `Scaler` Funktion verwaltet die Restkapazität der Zelle. Bei jeder neuen Benutzerregistrierungsanfrage bewertet die `Scaler` Funktion die verfügbare Kapazität der Zelle, der die `Dispatcher` Funktion dem Benutzer zugewiesen hat. Wenn die Zelle ihr vorgegebenes Limit gemäß den angegebenen Bewertungskriterien erreicht hat, initiiert die Funktion eine Anfrage über eine Amazon SQS SQS-Warteschlange an die Bereitstellungs- und Bereitstellungsebene und fordert die Bereitstellung und Bereitstellung neuer Zellen an. Die Skalierung von Zellen kann auf der Grundlage einer Reihe von Bewertungskriterien wie den folgenden durchgeführt werden:
1. **Maximale Benutzeranzahl** ‒ Jede Zelle kann eine maximale Anzahl von 500 Benutzern haben.
1. **Pufferkapazität** ‒ Die Pufferkapazität jeder Zelle beträgt 20 Prozent, was bedeutet, dass jeder Zelle jederzeit 400 Benutzern zugewiesen werden kann. Die verbleibenden 20 Prozent der Pufferkapazität sind für future Anwendungsfälle und die Behandlung unerwarteter Szenarien reserviert (z. B. wenn die Dienste zur Zellenerstellung und -bereitstellung nicht verfügbar sind).
1. **Zellenerstellung** ‒ Sobald eine bestehende Zelle 70 Prozent der Kapazität erreicht, wird eine Anforderung zur Erstellung einer zusätzlichen Zelle ausgelöst.
**Anmerkung**
Diese Kriterien dienen nur zur Erläuterung dieses Beispielmusters. Für eine realitätsnahe Implementierung eines Mobilfunkrouters können Sie verfeinerte und anwendungsfallorientierte Kriterien definieren.
Der `Scaler` Demonstrationscode wird ausgeführt, `Orchestrator` nachdem der dem neu registrierten Benutzer `Dispatcher` erfolgreich eine Zelle zugewiesen hat. Nach Erhalt der Zellen-ID von bewertet der anhand vordefinierter Bewertungskriterien`Dispatcher`, ob die angegebene Zelle über ausreichend Kapazität für weitere Benutzer verfügt. `Scaler` Wenn die Kapazität der Zelle nicht ausreicht, sendet die `Scaler` Funktion eine Nachricht an den Amazon SQS-Service. Diese Nachricht wird vom Service innerhalb der Bereitstellungs- und Bereitstellungsebene abgerufen, wodurch die Bereitstellung einer neuen Zelle eingeleitet wird.
**Validator-Funktion**
Die `Validator` Funktion identifiziert und behebt Probleme im Zusammenhang mit dem Zellzugriff. Wenn sich ein Benutzer bei der globalen Anwendung anmeldet, ruft die Anwendung die Zellen URLs aus den Benutzerprofileinstellungen ab und leitet Benutzeranfragen an eine der beiden zugewiesenen Regionen innerhalb der Zelle weiter. Wenn auf sie nicht zugegriffen URLs werden kann, kann die Anwendung eine validierte URL-Anfrage an den Mobilfunkrouter senden. Der Mobilfunkrouter ruft die `Orchestrator` auf. `Validator` Das `Validator` initiiert den Validierungsprozess. Die Validierung kann neben anderen Prüfungen Folgendes umfassen:
+ Querverweise auf die URLs in der Datenbank URLs gespeicherte Zelle in der Anfrage, um mögliche Aktualisierungen zu identifizieren und zu verarbeiten
+ Durchführung einer gründlichen Zustandsprüfung (z. B. eine `HTTP GET` Anfrage an den Endpunkt der Zelle)
Abschließend liefert die `Validator` Funktion Antworten auf Anfragen von Kundenanwendungen und gibt den Validierungsstatus sowie alle erforderlichen Korrekturmaßnahmen an.
Die wurde `Validator` entwickelt, um die Benutzererfahrung zu verbessern. Stellen Sie sich ein Szenario vor, in dem bestimmte Benutzer Schwierigkeiten haben, auf die globale Anwendung zuzugreifen, weil aufgrund eines Vorfalls Zellen vorübergehend nicht verfügbar sind. Anstatt generische Fehler anzuzeigen, kann die `Validator` Funktion aufschlussreiche Schritte zur Problembehebung bereitstellen. Diese Schritte können die folgenden Aktionen beinhalten:
+ Informieren Sie die Benutzer über den Vorfall.
+ Geben Sie eine ungefähre Wartezeit bis zur Verfügbarkeit des Dienstes an.
+ Geben Sie eine Support-Kontaktnummer an, um weitere Informationen zu erhalten.
Der Demo-Code für die `Validator` Funktion überprüft, ob die vom Benutzer angegebene Zelle URLs in der Anfrage mit den in der Tabelle gespeicherten Datensätzen übereinstimmt. `tbl_router` Die `Validator` Funktion überprüft auch, ob die Zellen gesund sind.
# Richten Sie den privaten Zugriff auf einen Amazon S3 S3-Bucket über einen VPC-Endpunkt ein
*Martin Maritsch, Nicolas Jacob Baer, Gabriel Rodriguez Garcia, Shukhrat Khodjaev, Mohan Gowda Purushothama und Joaquin Rinaudo, Amazon Web Services*
## Zusammenfassung
In Amazon Simple Storage Service (Amazon S3) können Sie mit Presigned URLs Dateien beliebiger Größe für Zielbenutzer freigeben. Standardmäßig URLs sind vorsignierte Amazon S3 innerhalb eines Ablaufzeitfensters über das Internet zugänglich, sodass sie bequem zu verwenden sind. In Unternehmensumgebungen ist jedoch häufig der Zugriff auf Amazon S3 erforderlich, der so vorkonfiguriert ist URLs , dass er nur auf ein privates Netzwerk beschränkt ist.
Dieses Muster stellt eine serverlose Lösung für die sichere Interaktion mit S3-Objekten dar, indem vorsignierte Daten URLs aus einem privaten Netzwerk ohne Internetdurchquerung verwendet werden. In der Architektur greifen Benutzer über einen internen Domainnamen auf einen Application Load Balancer zu. Der Datenverkehr wird intern über Amazon API Gateway und einen Virtual Private Cloud (VPC) -Endpunkt für den S3-Bucket geleitet. Die AWS Lambda Funktion generiert vorsignierte URLs Dateidownloads über den privaten VPC-Endpunkt, wodurch die Sicherheit und der Datenschutz für sensible Daten verbessert werden.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine VPC, die ein Subnetz umfasst AWS-Konto , das in einem mit dem Unternehmensnetzwerk verbunden ist (z. B. über AWS Direct Connect).
**Einschränkungen**
+ Der S3-Bucket muss denselben Namen wie die Domain haben. Wir empfehlen daher, die [Amazon S3 S3-Bucket-Namensregeln zu überprüfen.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)
+ Diese Beispielarchitektur beinhaltet keine Überwachungsfunktionen für die bereitgestellte Infrastruktur. Wenn Ihr Anwendungsfall eine Überwachung erfordert, sollten Sie das Hinzufügen von [AWS Überwachungsdiensten](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html) in Betracht ziehen.
+ Diese Beispielarchitektur beinhaltet keine Eingabevalidierung. Wenn Ihr Anwendungsfall eine Eingabevalidierung und ein erhöhtes Sicherheitsniveau erfordert, sollten Sie dies [AWS WAF zum Schutz Ihrer API](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) in Betracht ziehen.
+ Diese Beispielarchitektur beinhaltet keine Zugriffsprotokollierung mit dem Application Load Balancer. Wenn Ihr Anwendungsfall eine Zugriffsprotokollierung erfordert, sollten Sie die Aktivierung der [Load Balancer-Zugriffsprotokolle](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html) in Betracht ziehen.
**Versionen**
+ Python-Version 3.11 oder höher
+ Terraform Version 1.6 oder höher
## Architektur
**Zieltechnologie-Stack**
Die folgenden AWS-Services werden im Zieltechnologie-Stack verwendet:
+ **Amazon S3** ist der zentrale Speicherservice, der für das sichere Hochladen, Herunterladen und Speichern von Dateien verwendet wird.
+ **Amazon API Gateway** stellt Ressourcen und Endpunkte für die Interaktion mit dem S3-Bucket zur Verfügung. Dieser Service spielt eine Rolle bei der Generierung von Daten, die URLs für das Herunterladen oder Hochladen vorkonfiguriert sind.
+ **AWS Lambda**generiert vorsignierte Dateien URLs für das Herunterladen von Dateien von Amazon S3. Die Lambda-Funktion wird von API Gateway aufgerufen.
+ **Amazon VPC** stellt Ressourcen innerhalb einer VPC bereit, um das Netzwerk zu isolieren. Die VPC umfasst Subnetze und Routingtabellen zur Steuerung des Datenverkehrs.
+ Der **Application Load Balancer** leitet eingehenden Datenverkehr entweder an API Gateway oder an den VPC-Endpunkt des S3-Buckets weiter. Es ermöglicht Benutzern aus dem Unternehmensnetzwerk den internen Zugriff auf Ressourcen.
+ Der **VPC-Endpunkt für Amazon S3** ermöglicht die direkte, private Kommunikation zwischen Ressourcen in der VPC und Amazon S3, ohne das öffentliche Internet zu durchqueren.
+ **AWS Identity and Access Management (IAM)** steuert den Zugriff auf Ressourcen. AWS Berechtigungen werden eingerichtet, um sichere Interaktionen mit der API und anderen Diensten zu gewährleisten.
**Zielarchitektur**
![\[Einrichtung eines privaten Zugriffs auf einen S3-Bucket über einen VPC-Endpoint\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/683ca6a1-789c-4444-bcbf-e4e80d253df3/images/1ca7ee17-d346-4eb9-bf61-ccf42528a401.png)
Das Diagramm veranschaulicht folgende Vorgänge:
1. Benutzer aus dem Unternehmensnetzwerk können über einen internen Domainnamen auf den Application Load Balancer zugreifen. Wir gehen davon aus, dass eine Verbindung zwischen dem Unternehmensnetzwerk und dem Intranet-Subnetz im besteht AWS-Konto (z. B. über eine Direct Connect Verbindung).
1. Der Application Load Balancer leitet eingehenden Datenverkehr entweder an API Gateway weiter, um Daten zu generieren, die für das Herunterladen oder Hochladen von Daten auf Amazon S3 vorsigniert URLs sind, oder an den VPC-Endpunkt des S3-Buckets. In beiden Szenarien werden Anfragen intern weitergeleitet und müssen nicht über das Internet geleitet werden.
1. API Gateway stellt Ressourcen und Endpunkte für die Interaktion mit dem S3-Bucket zur Verfügung. In diesem Beispiel stellen wir einen Endpunkt zum Herunterladen von Dateien aus dem S3-Bucket bereit. Dieser könnte jedoch erweitert werden, um auch Upload-Funktionen bereitzustellen.
1. Die Lambda-Funktion generiert die vorsignierte URL zum Herunterladen einer Datei von Amazon S3, indem sie den Domainnamen des Application Load Balancer anstelle der öffentlichen Amazon S3 S3-Domain verwendet.
1. Der Benutzer erhält die vorsignierte URL und verwendet sie, um die Datei mithilfe des Application Load Balancer von Amazon S3 herunterzuladen. Der Load Balancer enthält eine Standardroute, um Traffic, der nicht für die API bestimmt ist, an den VPC-Endpunkt des S3-Buckets zu senden.
1. Der VPC-Endpunkt leitet die vorsignierte URL mit dem benutzerdefinierten Domainnamen an den S3-Bucket weiter. Der S3-Bucket muss denselben Namen wie die Domain haben.
**Automatisierung und Skalierung**
Dieses Muster verwendet Terraform, um die Infrastruktur aus dem Code-Repository in einem bereitzustellen. AWS-Konto
## Tools
**Tools**
+ [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache.
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer AWS Befehlszeilen-Shell mit Diensten interagieren können.
**Code-Repository**
Der Code für dieses Muster ist in einem GitHub Repository unter [https://github.com/aws-samples/private-s3-vpce](https://github.com/aws-samples/private-s3-vpce) verfügbar.
## Best Practices
Die Beispielarchitektur für dieses Muster verwendet [IAM-Berechtigungen, um den Zugriff auf die API zu steuern](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html). Jeder, der über gültige IAM-Anmeldeinformationen verfügt, kann die API aufrufen. Wenn Ihr Anwendungsfall ein komplexeres Autorisierungsmodell erfordert, möchten Sie möglicherweise [einen anderen Zugriffskontrollmechanismus verwenden](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-to-api.html).
## Epen
### Stellen Sie die Lösung in einem bereit AWS-Konto
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Besorgen Sie sich AWS Anmeldeinformationen. | Überprüfen Sie Ihre AWS Anmeldeinformationen und Ihren Zugang zu Ihrem Konto. Anweisungen finden Sie in der AWS CLI Dokumentation unter [Konfiguration und Einstellungen für die Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html). | AWS DevOps, Allgemeines AWS |
| Klonen Sie das Repository | Klonen Sie das mit diesem Muster bereitgestellte GitHub Repository:git clone https://github.com/aws-samples/private-s3-vpce
| AWS DevOps, Allgemeines AWS |
| Variablen konfigurieren. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-private-access-to-an-amazon-s3-bucket-through-a-vpc-endpoint.html) | AWS DevOps, Allgemeines AWS |
| Lösung bereitstellen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-private-access-to-an-amazon-s3-bucket-through-a-vpc-endpoint.html) | AWS DevOps, Allgemeines AWS |
### Testen der Lösung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Testdatei. | Laden Sie eine Datei auf Amazon S3 hoch, um ein Testszenario für den Dateidownload zu erstellen. Sie können die [Amazon S3 S3-Konsole](https://console.aws.amazon.com/s3/) oder den folgenden AWS CLI Befehl verwenden:aws s3 cp /path/to/testfile s3://your-bucket-name/testfile
| AWS DevOps, Allgemeines AWS |
| Testen Sie die Funktionalität vordefinierter URLs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-private-access-to-an-amazon-s3-bucket-through-a-vpc-endpoint.html) | AWS DevOps, Allgemeines AWS |
| Bereinigen Sie. | Stellen Sie sicher, dass Sie die Ressourcen entfernen, wenn sie nicht mehr benötigt werden:terraform destroy
| AWS DevOps, Allgemeines AWS |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| S3-Objektschlüsselnamen mit Sonderzeichen wie Nummernzeichen (\$1) unterbrechen URL-Parameter und führen zu Fehlern. | Codieren Sie die URL-Parameter ordnungsgemäß und stellen Sie sicher, dass der Name des S3-Objektschlüssels den [Amazon S3 S3-Richtlinien entspricht](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-keys.html). |
## Zugehörige Ressourcen
Amazon S3:
+ [Objekte mit vorsignierten teilen URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ShareObjectPreSignedURL.html)
+ [Steuern des Zugriffs von VPC-Endpunkten aus mit Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html)
Amazon API Gateway:
+ [Verwenden Sie VPC-Endpunktrichtlinien für private Zwecke APIs in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-vpc-endpoint-policies.html)
Application Load Balancer:
+ [Hosten interner statischer HTTPS-Websites mit ALB, S3 und PrivateLink](https://aws.amazon.com/blogs/networking-and-content-delivery/hosting-internal-https-static-websites-with-alb-s3-and-privatelink/) (AWS Blogbeitrag)
# Fehlerbehebung bei Zuständen mithilfe AWS Step Functions von Amazon Bedrock
*Aniket Kurzadkar und Sangam Kushwaha, Amazon Web Services*
## Zusammenfassung
AWS Step Functions Funktionen zur Fehlerbehandlung können Ihnen helfen, einen Fehler zu erkennen, der während eines bestimmten Status in einem [Workflow](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-statemachines.html) auftritt, aber es kann dennoch schwierig sein, die Ursache eines Fehlers zu finden und zu debuggen. Dieses Muster adressiert diese Herausforderung und zeigt, wie Amazon Bedrock Ihnen helfen kann, Fehler zu beheben, die während Status in Step Functions auftreten.
Step Functions bietet Workflow-Orchestrierung und erleichtert es Entwicklern, Prozesse zu automatisieren. Step Functions bietet auch Funktionen zur Fehlerbehandlung, die folgende Vorteile bieten:
+ Entwickler können robustere Anwendungen entwickeln, die nicht komplett ausfallen, wenn etwas schief geht.
+ Workflows können bedingte Logik enthalten, um verschiedene Arten von Fehlern unterschiedlich zu behandeln.
+ Das System kann fehlgeschlagene Operationen automatisch wiederholen, möglicherweise mit exponentiellem Backoff.
+ Für Fehlerszenarien können alternative Ausführungspfade definiert werden, sodass der Workflow angepasst und die Verarbeitung fortgesetzt werden kann.
Wenn in einem Step Functions-Workflow ein Fehler auftritt, zeigt dieses Muster, wie die Fehlermeldung und der Kontext an ein Foundation Model (FM) wie Claude 3 gesendet werden können, das von Step Functions unterstützt wird. Das FM kann den Fehler analysieren, ihn kategorisieren und mögliche Schritte zur Behebung vorschlagen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Grundlegendes Verständnis von [AWS Step Functions und Arbeitsabläufen](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-statemachines.html)
+ Amazon Bedrock [API-Konnektivität](https://docs.aws.amazon.com/bedrock/latest/userguide/getting-started-api.html)
**Einschränkungen**
+ Sie können den Ansatz dieses Musters für verschiedene AWS-Services Zwecke verwenden. Die Ergebnisse können jedoch je nach der von AWS Lambda Amazon Bedrock erstellten Aufforderung variieren.
+ Einige AWS-Services sind nicht in allen AWS-Regionen verfügbar. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter [AWS-Services nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Service-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Service aus.
## Architektur
Das folgende Diagramm zeigt den Workflow und die Architekturkomponenten für dieses Muster.
![\[Workflow für die Fehlerbehandlung und Benachrichtigung mit Step Functions, Amazon Bedrock und Amazon SNS.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/78f86c74-c9de-4562-adcc-105b87a77a54/images/d8eda499-ea1d-45e5-8a36-e04a44ad5c4b.png)
Das Diagramm zeigt den automatisierten Workflow für die Fehlerbehandlung und Benachrichtigung in einer Step Functions Functions-Zustandsmaschine:
1. Der Entwickler startet die Ausführung einer Zustandsmaschine.
1. Die Step Functions Functions-Zustandsmaschine beginnt mit der Verarbeitung ihrer Zustände. Es gibt zwei mögliche Ergebnisse:
+ (a) Wenn alle Staaten erfolgreich ausgeführt wurden, wird der Workflow direkt an Amazon SNS weitergeleitet, wo eine E-Mail-Erfolgsmeldung gesendet wird.
+ (b) Wenn ein Status ausfällt, wechselt der Workflow zur Lambda-Funktion zur Fehlerbehandlung.
1. Im Falle eines Fehlers passiert Folgendes:
+ (a) Die Lambda-Funktion (Fehlerhandler) wird ausgelöst. Die Lambda-Funktion extrahiert die Fehlermeldung aus den Ereignisdaten, die ihr von der Step Functions Functions-Zustandsmaschine übergeben wurden. Anschließend bereitet die Lambda-Funktion eine Aufforderung auf der Grundlage dieser Fehlermeldung vor und sendet die Aufforderung an Amazon Bedrock. In der Aufforderung werden Lösungen und Vorschläge für den spezifischen aufgetretenen Fehler angefordert.
+ (b) Amazon Bedrock, das das generative KI-Modell hostet, verarbeitet die Eingabeaufforderung. (Dieses Muster verwendet das Anthropic Claude 3 Foundation Model (FM), eines von vielen, FMs die Amazon Bedrock unterstützt.) Das KI-Modell analysiert den Fehlerkontext. Anschließend generiert das Modell eine Antwort, die Erklärungen zur Ursache des Fehlers, mögliche Lösungen zur Behebung des Fehlers und Vorschläge zur Vermeidung future Fehler enthalten kann.
Amazon Bedrock gibt seine KI-generierte Antwort an die Lambda-Funktion zurück. Die Lambda-Funktion verarbeitet die Antwort und formatiert sie möglicherweise oder extrahiert wichtige Informationen. Dann sendet die Lambda-Funktion die Antwort an die Ausgabe der Zustandsmaschine.
1. Nach der Fehlerbehandlung oder erfolgreicher Ausführung wird der Workflow abgeschlossen, indem Amazon SNS veranlasst wird, eine E-Mail-Benachrichtigung zu senden.
## Tools
**AWS-Services**
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) ist ein vollständig verwalteter Service, der Ihnen leistungsstarke Basismodelle (FMs) von führenden KI-Startups und Amazon über eine einheitliche API zur Verfügung stellt.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Funktionen und andere Funktionen kombinieren können, um geschäftskritische Anwendungen AWS-Services zu erstellen.
## Best Practices
+ Angesichts der Tatsache, dass Amazon Bedrock ein generatives KI-Modell ist, das aus trainierten Daten lernt, verwendet es diese Daten auch, um Kontext zu trainieren und zu generieren. Es hat sich bewährt, alle privaten Informationen zu verbergen, die zu Problemen mit Datenlecks führen könnten.
+ Obwohl generative KI wertvolle Erkenntnisse liefern kann, sollten kritische Entscheidungen zur Fehlerbehandlung immer noch unter menschlicher Aufsicht getroffen werden, insbesondere in Produktionsumgebungen.
## Epen
### Erstellen Sie eine Zustandsmaschine für Ihren Workflow
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie einen -Zustandsautomaten. | Gehen Sie wie folgt vor, um eine Zustandsmaschine zu erstellen, die für Ihren Workflow geeignet ist:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/troubleshooting-states-in-aws-step-functions.html) | AWS DevOps |
### Erstellen einer Lambda-Funktion
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Lambda-Funktion. | Gehen Sie wie folgt vor, um eine Lambda-Funktion zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/troubleshooting-states-in-aws-step-functions.html) | AWS DevOps |
| Richten Sie die erforderliche Logik im Lambda-Code ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/troubleshooting-states-in-aws-step-functions.html)client = boto3.client(
service_name="bedrock-runtime", region_name="selected-region"
)
# Invoke Claude 3 with the text prompt
model_id = "your-model-id" # Select your Model ID, Based on the Model Id, Change the body format
try:
response = client.invoke_model(
modelId=model_id,
body=json.dumps(
{
"anthropic_version": "bedrock-2023-05-31",
"max_tokens": 1024,
"messages": [
{
"role": "user",
"content": [{"type": "text", "text": prompt}],
}
],
}
),
)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/troubleshooting-states-in-aws-step-functions.html) | AWS DevOps |
### Integrieren Sie Step Functions mit Lambda
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie Lambda für die Behandlung von Fehlern in Step Functions ein. | Gehen Sie wie folgt vor, um Step Functions so einzurichten, dass Fehler behandelt werden, ohne den Arbeitsablauf zu unterbrechen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/troubleshooting-states-in-aws-step-functions.html) | AWS DevOps |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Lambda kann nicht auf die Amazon Bedrock API zugreifen (nicht zur Ausführung autorisiert) | Dieser Fehler tritt auf, wenn die Lambda-Rolle nicht berechtigt ist, auf die Amazon Bedrock-API zuzugreifen. Um dieses Problem zu beheben, fügen Sie die `AmazonBedrockFullAccess` Richtlinie für die Lambda-Rolle hinzu. Weitere Informationen finden Sie [AmazonBedrockFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.* |
| Lambda-Timeout-Fehler | Manchmal kann es je nach Aufforderung mehr als 30 Sekunden dauern, bis eine Antwort generiert und zurückgesendet wird. Erhöhen Sie die Konfigurationszeit, um dieses Problem zu beheben. Weitere Informationen finden [Sie unter Configure Lambda function timeout](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html) im *AWS Lambda Developer* Guide. |
## Zugehörige Ressourcen
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html)
+ [Amazon Bedrock API-Zugriff](https://docs.aws.amazon.com/bedrock/latest/userguide/getting-started-api.html)
+ [Erstellen Sie Ihre erste Lambda-Funktion](https://docs.aws.amazon.com/lambda/latest/dg/getting-started.html)
+ [Entwicklung von Workflows mit Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/developing-workflows.html#development-run-debug)
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
# Mehr Muster
**Topics**
+ [Mit Athena auf Amazon DynamoDB-Tabellen zugreifen, diese abfragen und verbinden](access-query-and-join-amazon-dynamodb-tables-using-athena.md)
+ [Automatisieren Sie CodeGuru Amazon-Rezensionen für AWS CDK Python-Anwendungen mithilfe von GitHub Aktionen](automate-amazon-codeguru-reviews-for-aws-cdk-python-applications.md)
+ [Automatisieren Sie die AWS-Ressourcenbewertung](automate-aws-resource-assessment.md)
+ [Automatisieren Sie die Bereitstellung verschachtelter Anwendungen mit AWS SAM](automate-deployment-of-nested-applications-using-aws-sam.md)
+ [Automatisieren Sie die Bereitstellung von AWS Supply Chain Data Lakes in einem Multi-Repository-Setup mithilfe von GitHub Actions, Artifactory und Terraform](automate-the-deployment-of-aws-supply-chain-data-lakes.md)
+ [Automatisieren Sie die Replikation von Amazon RDS-Instances auf AWS-Konten](automate-the-replication-of-amazon-rds-instances-across-aws-accounts.md)
+ [Automatisches Archivieren von Elementen in Amazon S3 mithilfe von DynamoDB TTL](automatically-archive-items-to-amazon-s3-using-dynamodb-ttl.md)
+ [Automatische Erkennung von Änderungen und Initiierung verschiedener CodePipeline Pipelines für ein Monorepo in CodeCommit](automatically-detect-changes-and-initiate-different-codepipeline-pipelines-for-a-monorepo-in-codecommit.md)
+ [Erstellen Sie eine serverlose Architektur mit mehreren Mandanten in Amazon Service OpenSearch](build-a-multi-tenant-serverless-architecture-in-amazon-opensearch-service.md)
+ [Erstellen Sie einen fortschrittlichen Mainframe-Dateiviewer in der AWS-Cloud](build-an-advanced-mainframe-file-viewer-in-the-aws-cloud.md)
+ [Value at Risk (VaR) mithilfe von AWS-Services berechnen](calculate-value-at-risk-var-by-using-aws-services.md)
+ [Kopieren Sie AWS Service Catalog-Produkte zwischen verschiedenen AWS-Konten und AWS-Regionen](copy-aws-service-catalog-products-across-different-aws-accounts-and-aws-regions.md)
+ [Automatisches Erstellen dynamischer CI-Pipelines für Java- und Python-Projekte](create-dynamic-ci-pipelines-for-java-and-python-projects-automatically.md)
+ [Zerlegen Sie Monolithen mithilfe von CQRS und Event Sourcing in Microservices](decompose-monoliths-into-microservices-by-using-cqrs-and-event-sourcing.md)
+ [Stellen Sie eine React-basierte Einzelseitenanwendung auf Amazon S3 bereit und CloudFront](deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.md)
+ [Stellen Sie eine Amazon API Gateway Gateway-API auf einer internen Website mithilfe von privaten Endpunkten und einem Application Load Balancer bereit](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Bereitstellen und verwalten Sie einen serverlosen Data Lake in der AWS-Cloud, indem Sie Infrastruktur als Code verwenden](deploy-and-manage-a-serverless-data-lake-on-the-aws-cloud-by-using-infrastructure-as-code.md)
+ [Stellen Sie mithilfe AWS von Terraform und Amazon Bedrock einen RAG-Anwendungsfall bereit](deploy-rag-use-case-on-aws.md)
+ [Entwickeln Sie mithilfe von Amazon Bedrock-Agenten und Wissensdatenbanken einen vollautomatischen Chat-basierten Assistenten](develop-a-fully-automated-chat-based-assistant-by-using-amazon-bedrock-agents-and-knowledge-bases.md)
+ [Entwickeln Sie mithilfe von RAG und Prompting fortschrittliche, auf KI basierende Chat-Assistenten ReAct](develop-advanced-generative-ai-chat-based-assistants-by-using-rag-and-react-prompting.md)
+ [Dynamisches Generieren einer IAM-Richtlinie mit IAM Access Analyzer mithilfe von Step Functions](dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.md)
+ [Integrieren Sie visuelle Komponenten von Amazon Quick Sight mithilfe von Amazon Cognito und IaC-Automatisierung in Webanwendungen](embed-quick-sight-visual-components-into-web-apps-cognito-iac.md)
+ [Stellen Sie sicher, dass die Amazon EMR-Protokollierung bei Amazon S3 beim Start aktiviert ist](ensure-amazon-emr-logging-to-amazon-s3-is-enabled-at-launch.md)
+ [Schätzen Sie die Kosten einer DynamoDB-Tabelle für On-Demand-Kapazität](estimate-the-cost-of-a-dynamodb-table-for-on-demand-capacity.md)
+ [Generieren Sie mit Amazon Personalize personalisierte und neu eingestufte Empfehlungen](generate-personalized-and-re-ranked-recommendations-using-amazon-personalize.md)
+ [Generieren Sie Testdaten mit einem AWS Glue Glue-Job und Python](generate-test-data-using-an-aws-glue-job-and-python.md)
+ [Implementieren Sie SHA1 Hashing für PII-Daten bei der Migration von SQL Server zu PostgreSQL](implement-sha1-hashing-for-pii-data-when-migrating-from-sql-server-to-postgresql.md)
+ [Implementieren Sie das serverlose Saga-Muster mithilfe von AWS Step Functions](implement-the-serverless-saga-pattern-by-using-aws-step-functions.md)
+ [Verbessern Sie die Betriebsleistung, indem Sie Amazon DevOps Guru in mehreren AWS-Regionen, Konten und OUs mit dem AWS CDK aktivieren](improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.md)
+ [Starten Sie mithilfe von Step Functions und einer Lambda-Proxyfunktion ein CodeBuild Projekt für alle AWS-Konten](launch-a-codebuild-project-across-aws-accounts-using-step-functions-and-a-lambda-proxy-function.md)
+ [Migrieren Sie Apache Cassandra-Workloads mithilfe von AWS Glue zu Amazon Keyspaces](migrate-apache-cassandra-workloads-to-amazon-keyspaces-by-using-aws-glue.md)
+ [Überwachen Sie die Nutzung eines gemeinsam genutzten Amazon Machine Image über mehrere AWS-Konten](monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.md)
+ [Optimieren Sie serverlose Bereitstellungen mit mehreren Konten mithilfe der AWS CDK Workflows und Aktionen GitHub](optimize-multi-account-serverless-deployments.md)
+ [Orchestrieren Sie eine ETL-Pipeline mit Validierung, Transformation und Partitionierung mit AWS Step Functions](orchestrate-an-etl-pipeline-with-validation-transformation-and-partitioning-using-aws-step-functions.md)
+ [Abfragen von Amazon DynamoDB-Tabellen mit SQL mithilfe von Amazon Athena](query-amazon-dynamodb-tables-sql-amazon-athena.md)
+ [Führen Sie ereignisgesteuerte und geplante Workloads in großem Umfang mit AWS Fargate aus](run-event-driven-and-scheduled-workloads-at-scale-with-aws-fargate.md)
+ [Senden Sie benutzerdefinierte Attribute an Amazon Cognito und fügen Sie sie in Token ein](send-custom-attributes-cognito.md)
+ [Statische Inhalte in einem Amazon S3 S3-Bucket über eine VPC mithilfe von Amazon bereitstellen CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Optimieren Sie die Entwicklung und Bereitstellung von Amazon Lex Lex-Bot mithilfe eines automatisierten Workflows](streamline-amazon-lex-bot-development-and-deployment-using-an-automated-workflow.md)
+ [Strukturieren Sie ein Python-Projekt in hexagonaler Architektur mit AWS Lambda](structure-a-python-project-in-hexagonal-architecture-using-aws-lambda.md)
+ [Translate natürliche Sprache in Abfragen, DSL für OpenSearch und Elasticsearch-Abfragen](translate-natural-language-query-dsl-opensearch-elasticsearch.md)
+ [Daten aus einem Amazon Redshift Redshift-Cluster kontenübergreifend nach Amazon S3 entladen](unload-data-from-amazon-redshift-cross-accounts-to-amazon-s3.md)
+ [Koordinieren Sie die Ressourcenabhängigkeit und die Aufgabenausführung mithilfe des AWS Fargate WaitCondition Hook-Konstrukts](use-the-aws-fargate-waitcondition-hook-construct.md)
+ [Verwenden Sie Amazon Bedrock-Agenten, um die Erstellung von Zugriffskontrollen in Amazon EKS durch textbasierte Eingabeaufforderungen zu automatisieren](using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.md)
# Netzwerk
**Topics**
+ [Automatisieren Sie die Einrichtung von regionsübergreifendem Peering mit AWS Transit Gateway](automate-the-setup-of-inter-region-peering-with-aws-transit-gateway.md)
+ [Zentralisieren Sie die Netzwerkkonnektivität mit AWS Transit Gateway](centralize-network-connectivity-using-aws-transit-gateway.md)
+ [Konfigurieren Sie die HTTPS-Verschlüsselung für Oracle JD Edwards EnterpriseOne auf Oracle WebLogic mithilfe eines Application Load Balancer](configure-https-encryption-for-oracle-jd-edwards-enterpriseone-on-oracle-weblogic-by-using-an-application-load-balancer.md)
+ [Stellen Sie über ein privates Netzwerk eine Connect zu Daten- und Steuerungsebenen des Application Migration Service her](connect-to-application-migration-service-data-and-control-planes-over-a-private-network.md)
+ [Erstellen Sie Infoblox-Objekte mithilfe von CloudFormation benutzerdefinierten AWS-Ressourcen und Amazon SNS](create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.md)
+ [Erstellen Sie mithilfe von Terraform eine hierarchische IPAM-Architektur mit mehreren Regionen AWS](multi-region-ipam-architecture.md)
+ [Passen Sie CloudWatch Amazon-Benachrichtigungen an für AWS Network Firewall](customize-amazon-cloudwatch-alerts-for-aws-network-firewall.md)
+ [Bereitstellen von Ressourcen in einer AWS Wavelength Zone mithilfe von Terraform](deploy-resources-wavelength-zone-using-terraform.md)
+ [Massenmigrieren von DNS-Einträgen in eine private gehostete Zone von Amazon Route 53](migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.md)
+ [Ändern Sie HTTP-Header, wenn Sie von F5 zu einem Application Load Balancer auf AWS migrieren](modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.md)
+ [Erstellen Sie einen Bericht mit den Ergebnissen von Network Access Analyzer für eingehenden Internetzugang in mehreren AWS-Konten](create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.md)
+ [Richten Sie die DNS-Auflösung für Hybridnetzwerke in einer Umgebung mit mehreren Konten AWS ein](set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.md)
+ [Stellen Sie sicher, dass ELB-Load Balancer eine TLS-Terminierung erfordern](verify-that-elb-load-balancers-require-tls-termination.md)
+ [AWS-Netzwerk-Firewall-Protokolle und -Metriken mithilfe von Splunk anzeigen](view-aws-network-firewall-logs-and-metrics-by-using-splunk.md)
+ [Mehr Muster](networking-more-patterns-pattern-list.md)
# Automatisieren Sie die Einrichtung von regionsübergreifendem Peering mit AWS Transit Gateway
*Ram Kandaswamy, Amazon Web Services*
## Zusammenfassung
AWS Transit Gateway verbindet virtuelle private Clouds (VPCs) und lokale Netzwerke über einen zentralen Hub. Der Transit Gateway Gateway-Verkehr bleibt immer auf dem globalen Amazon Web Services (AWS) -Backbone und durchquert nicht das öffentliche Internet, wodurch Bedrohungsvektoren wie häufige Exploits und verteilte Denial-of-Service (DDoS) -Angriffe reduziert werden.
Wenn Sie zwischen zwei oder mehr AWS-Regionen kommunizieren müssen, können Sie regionsübergreifendes Transit Gateway Gateway-Peering verwenden, um Peering-Verbindungen zwischen Transit-Gateways in verschiedenen Regionen herzustellen. Die manuelle Konfiguration von regionsübergreifendem Peering mit Transit Gateway kann jedoch ein zeitaufwändiger Vorgang sein, der mehrere Schritte umfasst. Dieses Muster bietet einen automatisierten Prozess zum Entfernen dieser manuellen Schritte, indem das Peering mithilfe von Code durchgeführt wird. Sie können diesen Ansatz verwenden, wenn Sie während der Einrichtung einer Organisation mit mehreren Regionen wiederholt mehrere Regionen und AWS-Konten konfigurieren müssen.
Dieses Muster verwendet einen CloudFormation AWS-Stack, der den AWS Step Functions-Workflow, AWS Lambda Lambda-Funktionen, AWS Identity and Access Management (IAM) -Rollen und Protokollgruppen in Amazon CloudWatch Logs umfasst. Anschließend können Sie eine Step Functions Functions-Ausführung starten und die regionsübergreifende Peering-Verbindung für Ihre Transit-Gateways erstellen. Informationen zur manuellen Einrichtung von regionsübergreifendem Peering finden Sie unter [Peer VPCs in verschiedenen AWS-Regionen mithilfe von AWS Transit Gateway](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/peer-vpcs-different-regions-transit-gateway.html).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto.
+ Ein vorhandener Amazon Simple Storage Service (Amazon S3) -Bucket.
+ Transit-Gateways, die in der anfordernden Region und den akzeptierenden Regionen erstellt und konfiguriert wurden. Aus der Region des *Anforderers* *stammt eine Peering-Anfrage, und die akzeptierenden Regionen akzeptieren* die Peering-Anfrage. Weitere Informationen dazu finden Sie unter [Erstellen und Akzeptieren einer VPC-Peering-Verbindung](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html) in der Amazon VPC-Dokumentation.
+ VPCs, wurde in den Regionen Acceptor und Requester installiert und konfiguriert. Schritte zum Erstellen einer VPC finden Sie unter [Erstellen der VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html#getting-started-create-vpc) von [Get Started with Amazon VPC in der Amazon VPC-Dokumentation](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html).
+ Sie VPCs müssen das Tag und den `addToTransitGateway` Wert verwenden. `true`
+ Sicherheitsgruppen und Netzwerkzugriffskontrolllisten (ACLs) für Sie VPCs, konfiguriert nach Ihren Anforderungen. Weitere Informationen dazu finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) und Ihr [Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) in der Amazon VPC-Dokumentation.
**AWS-Regionen und Einschränkungen**
+ Nur bestimmte AWS-Regionen unterstützen regionsübergreifendes Peering. Eine vollständige Liste der Regionen, die regionsübergreifendes Peering unterstützen, finden Sie im [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/faqs/). FAQs
+ Im beigefügten Beispielcode wird davon ausgegangen, dass die Region des Anforderers und die Region des Akzeptors dies ist. `us-east-2` `us-west-2` Wenn Sie verschiedene Regionen konfigurieren möchten, müssen Sie diese Werte in allen Python-Dateien bearbeiten. Um ein komplexeres Setup zu implementieren, das mehr als zwei Regionen umfasst, können Sie die Step-Funktion so ändern, dass die Regions als Parameter an die Lambda-Funktion übergeben und die Funktion für jede Kombination ausgeführt werden.
## Architektur
![\[Die Step Functions Functions-Zustandsmaschine verwendet die Lambda-Funktion, um eine Peering-Verbindung für Transit-Gateways herzustellen.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/b678bb87-c7b9-4f7b-b26e-eaac650e5d1b/images/d58f0586-659d-4111-b3a8-2fe23d578fef.png)
Das Diagramm zeigt einen Workflow mit den folgenden Schritten:
1. Der Benutzer erstellt einen CloudFormation AWS-Stack.
1. AWS CloudFormation erstellt eine Step Functions Functions-Zustandsmaschine, die eine Lambda-Funktion verwendet. Weitere Informationen dazu finden Sie in der AWS [Step Functions Step Functions-Dokumentation unter Erstellen einer Step Functions-Zustandsmaschine, die Lambda verwendet](https://docs.aws.amazon.com/step-functions/latest/dg/tutorial-creating-lambda-state-machine.html).
1. Step Functions ruft eine Lambda-Funktion für das Peering auf.
1. Die Lambda-Funktion stellt eine Peering-Verbindung zwischen Transit-Gateways her.
1. Step Functions ruft eine Lambda-Funktion für Änderungen an Routentabellen auf.
1. Die Lambda-Funktion ändert die Routentabellen, indem sie den CIDR-Block (Classless Inter-Domain Routing) von hinzufügt. VPCs
**Arbeitsablauf für Step Functions**
![\[Step Functions Functions-Workflow zum Aufrufen der Lambda-Funktion zur Änderung von Routentabellen für Transit-Gateway-Peering.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/b678bb87-c7b9-4f7b-b26e-eaac650e5d1b/images/2f235f47-5d68-492c-b954-7dc170939cae.png)
Das Diagramm zeigt den folgenden Step Functions Functions-Arbeitsablauf:
1. Der Step Functions Functions-Workflow ruft die Lambda-Funktion für das Transit-Gateway-Peering auf.
1. Es erfolgt ein Timer-Anruf, um eine Minute zu warten.
1. Der Peering-Status wird abgerufen und an den Condition-Block gesendet. Der Block ist für das Looping verantwortlich.
1. Wenn die Erfolgsbedingung nicht erfüllt ist, ist der Workflow so codiert, dass er in die Timer-Phase übergeht.
1. Wenn die Erfolgsbedingung erfüllt ist, wird eine Lambda-Funktion aufgerufen, um die Routentabellen zu ändern. Nach diesem Aufruf endet der Step Functions Functions-Workflow.
## Tools
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) — AWS CloudFormation ist ein Service, der Sie bei der Modellierung und Einrichtung Ihrer AWS-Ressourcen unterstützt.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) — CloudWatch Logs hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS-Services, die Sie verwenden, zu zentralisieren.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — IAM ist ein Webservice zur sicheren Steuerung des Zugriffs auf AWS-Services.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) — Lambda führt Ihren Code auf einer hochverfügbaren Recheninfrastruktur aus und übernimmt die gesamte Verwaltung der Rechenressourcen.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) — Step Functions macht es einfach, die Komponenten verteilter Anwendungen als eine Reihe von Schritten in einem visuellen Workflow zu koordinieren.
## Epen
### Automatisieren Sie das Peering
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Laden Sie die angehängten Dateien in Ihren S3-Bucket hoch. | Melden Sie sich bei der AWS-Managementkonsole an, öffnen Sie die Amazon S3 S3-Konsole und laden Sie dann die (angehängten) `get-transit-gateway-peering-status.zip` Dateien `modify-transit-gateway-routes.zip``peer-transit-gateway.zip`, und in Ihren S3-Bucket hoch. | Allgemeines AWS |
| Erstellen Sie den CloudFormation AWS-Stack. | Führen Sie den folgenden Befehl aus, um mithilfe der `transit-gateway-peering.json` Datei (angehängt) einen CloudFormation AWS-Stack zu erstellen:`aws cloudformation create-stack --stack-name myteststack --template-body file://sampletemplate.json`Der CloudFormation AWS-Stack erstellt den Step Functions Functions-Workflow, die Lambda-Funktionen, IAM-Rollen und CloudWatch Protokollgruppen.Stellen Sie sicher, dass sich die CloudFormation AWS-Vorlage auf den S3-Bucket bezieht, der die zuvor hochgeladenen Dateien enthält.Sie können einen Stack auch mithilfe der CloudFormation AWS-Konsole erstellen. Weitere Informationen dazu finden Sie in der CloudFormation AWS-Dokumentation unter [Erstellen eines Stacks auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | DevOps Ingenieur |
| Starten Sie eine neue Ausführung in Step Functions. | Öffnen Sie die Step Functions Functions-Konsole und starten Sie eine neue Ausführung. Step Functions ruft die Lambda-Funktion auf und erstellt die Peering-Verbindung für die Transit-Gateways. Sie benötigen keine JSON-Eingabedatei. Stellen Sie sicher, dass ein Anhang verfügbar ist und ob der Verbindungstyp **Peering** ist.Weitere Informationen dazu finden Sie unter [Starten einer neuen Ausführung](https://docs.aws.amazon.com/step-functions/latest/dg/getting-started.html#start-new-execution) unter [Erste Schritte mit AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/getting-started.html) in der Dokumentation zu AWS Steps Functions. | DevOps Ingenieur, General AWS |
| Überprüfen Sie die Routen in den Routentabellen. | Zwischen den Transit-Gateways wird regionsübergreifendes Peering eingerichtet. Die Routentabellen werden mit dem CIDR-Blockbereich der VPC der Peer-Region aktualisiert. IPv4 Öffnen Sie die Amazon VPC-Konsole und wählen Sie in der Routentabelle, die dem Transit-Gateway-Anhang entspricht, die Registerkarte **Verknüpfungen** aus. Überprüfen Sie den VPC-CIDR-Blockbereich der Peering-Regionen. Ausführliche Schritte und Anweisungen finden Sie unter [Zuordnen einer Transit-Gateway-Routentabelle](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html#associate-tgw-route-table) in der Amazon VPC-Dokumentation. | Netzwerkadministrator |
## Zugehörige Ressourcen
+ [Ausführungen in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-state-machine-executions.html)
+ [Peering-Anlagen für Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html)
+ [Peer VPCs in verschiedenen AWS-Regionen mithilfe von AWS Transit Gateway](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/peer-vpcs-different-regions-transit-gateway.html)
+ [Verbindung zwischen VPCs AWS-Regionen mithilfe von AWS Transit Gateway herstellen — Demo](https://www.youtube.com/watch?v=cj1rQqLxXU8) (Video)
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/b678bb87-c7b9-4f7b-b26e-eaac650e5d1b/attachments/attachment.zip)
# Zentralisieren Sie die Netzwerkkonnektivität mit AWS Transit Gateway
*Mydhili Palagummi und Nikhil Marrapu, Amazon Web Services*
## Zusammenfassung
Dieses Muster beschreibt die einfachste Konfiguration, in der AWS Transit Gateway verwendet werden kann, um ein lokales Netzwerk mit virtuellen privaten Clouds (VPCs) in mehreren AWS-Konten innerhalb einer AWS-Region zu verbinden. Mit diesem Setup können Sie ein Hybridnetzwerk einrichten, das mehrere VPC-Netzwerke in einer Region und ein lokales Netzwerk verbindet. Dies wird durch die Verwendung eines Transit-Gateways und einer VPN-Verbindung (Virtual Private Network) zum lokalen Netzwerk erreicht.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein Konto für das Hosten von Netzwerkdiensten, das als Mitgliedskonto einer Organisation in AWS Organizations verwaltet wird
+ VPCs in mehreren AWS-Konten, ohne sich überlappende Classless Inter-Domain Routing (CIDR) -Blöcke
**Einschränkungen**
Dieses Muster unterstützt nicht die Isolierung des Datenverkehrs zwischen bestimmten Netzwerken VPCs oder dem lokalen Netzwerk. Alle an das Transit-Gateway angeschlossenen Netzwerke können sich gegenseitig erreichen. Um den Verkehr zu isolieren, müssen Sie benutzerdefinierte Routentabellen auf dem Transit-Gateway verwenden. Dieses Muster verbindet das Netzwerk VPCs und das lokale Netzwerk nur mithilfe einer einzigen Standard-Routentabelle für das Transit-Gateway, was die einfachste Konfiguration darstellt.
## Architektur
**Zieltechnologie-Stack**
+ AWS Transit Gateway
+ Site-to-SiteAWS-VPN
+ VPC
+ AWS Resource Access Manager (AWS RAM)
**Zielarchitektur**
![\[AWS Transit Gateway verbindet das lokale Netzwerk mit mehreren AWS-Konten innerhalb einer Region. VPCs\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e23f5faf-e75e-42a3-80e3-142516a2db4e/images/1ecf7e04-bbf8-4304-88c8-6aceb7271d1e.jpeg)
## Tools
**AWS-Services**
+ Mit [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) können Sie Ihre Ressourcen sicher über Ihre AWS-Konten, Organisationseinheiten oder Ihre gesamte Organisation von AWS Organizations aus teilen.
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) ist ein zentraler Hub, der virtuelle private Clouds (VPCs) und lokale Netzwerke verbindet.
## Epen
### Erstellen Sie ein Transit-Gateway im Netzwerkdienstkonto
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie ein Transit-Gateway. | Erstellen Sie in dem AWS-Konto, in dem Sie Netzwerkdienste hosten möchten, ein Transit-Gateway in der AWS-Zielregion. Anweisungen finden Sie unter [Ein Transit-Gateway erstellen](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw). Beachten Sie Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-network-connectivity-using-aws-transit-gateway.html) | Netzwerkadministrator |
### Connect das Transit-Gateway mit Ihrem lokalen Netzwerk
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie ein Kunden-Gateway-Gerät für die VPN-Verbindung ein. | Das Kunden-Gateway-Gerät ist an der lokalen Seite der Site-to-Site VPN-Verbindung zwischen dem Transit-Gateway und Ihrem lokalen Netzwerk angeschlossen. Weitere Informationen finden Sie in der Site-to-Site AWS-VPN-Dokumentation unter [Ihr Kunden-Gateway-Gerät](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html). Identifizieren oder starten Sie ein unterstütztes lokales Kundengerät und notieren Sie sich dessen öffentliche IP-Adresse. Die VPN-Konfiguration wird zu einem späteren Zeitpunkt in diesem Epos abgeschlossen. | Netzwerkadministrator |
| Erstellen Sie im Netzwerkdienstkonto einen VPN-Anhang zum Transit-Gateway. | Um eine Verbindung einzurichten, erstellen Sie einen VPN-Anhang für das Transit-Gateway. Anweisungen finden Sie unter [VPN-Anlagen für das Transit-Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html). | Netzwerkadministrator |
| Konfigurieren Sie das VPN auf dem Kunden-Gateway-Gerät in Ihrem lokalen Netzwerk. | Laden Sie die Konfigurationsdatei für die Site-to-Site VPN-Verbindung herunter, die dem Transit-Gateway zugeordnet ist, und konfigurieren Sie die VPN-Einstellungen auf dem Kunden-Gateway-Gerät. Anweisungen finden Sie unter [Laden Sie die Konfigurationsdatei](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-download-config) herunter. | Netzwerkadministrator |
### Teilen Sie das Transit-Gateway im Netzwerk-Services-Konto mit anderen AWS-Konten oder Ihrer Organisation
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Aktivieren Sie im Verwaltungskonto von AWS Organizations die Option Teilen. | Um das Transit-Gateway mit Ihrer Organisation oder mit bestimmten Organisationseinheiten zu teilen, aktivieren Sie die gemeinsame Nutzung in AWS Organizations. Andernfalls müssten Sie das Transit-Gateway für jedes Konto einzeln teilen. Anweisungen finden Sie unter [Aktivieren der gemeinsamen Nutzung von Ressourcen innerhalb von AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs). | AWS-Systemadministrator |
| Erstellen Sie die Transit-Gateway-Ressourcenfreigabe im Netzwerkdienstkonto. | VPCs Damit andere AWS-Konten innerhalb Ihrer Organisation eine Verbindung zum Transit-Gateway herstellen können, verwenden Sie im Netzwerk-Services-Konto die AWS-RAM-Konsole, um die Transit-Gateway-Ressource gemeinsam zu nutzen. Anweisungen finden Sie unter [Eine gemeinsame Nutzung von Ressourcen erstellen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create). | AWS-Systemadministrator |
### Connect VPCs zum Transit-Gateway her
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie VPC-Anhänge in einzelnen Konten. | Erstellen Sie in den Konten, für die das Transit-Gateway gemeinsam genutzt wurde, Transit-Gateway-VPC-Anlagen. Anweisungen finden Sie unter [Erstellen eines Transit-Gateway-Anhangs zu einer VPC](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#create-vpc-attachment). | Netzwerkadministrator |
| Akzeptieren Sie die VPC-Anhangsanfragen. | Akzeptieren Sie im Netzwerkdienstkonto die VPC-Anhangsanforderungen des Transit-Gateways. Anweisungen finden Sie unter [Akzeptieren eines gemeinsamen Anhangs](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-accept-shared-attachment). | Netzwerkadministrator |
### Routing konfigurieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie Routen in einem individuellen Konto VPCs. | Fügen Sie in jeder einzelnen Konto-VPC Routen zum lokalen Netzwerk und zu anderen VPC-Netzwerken hinzu, wobei Sie das Transit-Gateway als Ziel verwenden. Anweisungen finden [Sie unter Hinzufügen und Entfernen von Routen aus einer Routentabelle](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes). | Netzwerkadministrator |
| Konfigurieren Sie Routen in der Transit-Gateway-Routentabelle. | Routen von VPCs und die VPN-Verbindung sollten weitergegeben werden und in der Standardroutentabelle des Transit-Gateways erscheinen. Erstellen Sie bei Bedarf statische Routen (ein Beispiel sind statische Routen für die statische VPN-Verbindung) in der Standardroutentabelle des Transit-Gateways. Anweisungen finden Sie unter [Erstellen einer statischen Route](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html#tgw-create-static-route). | Netzwerkadministrator |
| Fügen Sie Regeln für Sicherheitsgruppen und Netzwerkzugriffskontrolllisten (Network Access Control List, ACL) hinzu. | Stellen Sie für die EC2 Instances und andere Ressourcen in der VPC sicher, dass die Sicherheitsgruppenregeln und die Netzwerk-ACL-Regeln den Datenverkehr sowohl zwischen dem lokalen Netzwerk VPCs als auch zwischen dem lokalen Netzwerk zulassen. Anweisungen finden Sie unter [Steuern des Datenverkehrs zu Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules) und [Hinzufügen und Löschen von Regeln aus einer ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#Rules). | Netzwerkadministrator |
### Testen Sie die Konnektivität
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Testen Sie die Konnektivität zwischen VPCs. | Stellen Sie sicher, dass Netzwerk-ACL und Sicherheitsgruppen ICMP-Verkehr (Internet Control Message Protocol) zulassen, und pingen Sie dann von Instances in einer VPC an eine andere VPC, die ebenfalls mit dem Transit-Gateway verbunden ist. | Netzwerkadministrator |
| Testen Sie die Konnektivität zwischen VPCs und dem lokalen Netzwerk. | Stellen Sie sicher, dass Netzwerk-ACL-Regeln, Sicherheitsgruppenregeln und alle Firewalls ICMP-Verkehr zulassen, und pingen Sie dann zwischen dem lokalen Netzwerk und den EC2 Instanzen im. VPCs Die Netzwerkkommunikation muss zuerst vom lokalen Netzwerk aus initiiert werden, um die VPN-Verbindung in den Status zu versetzen. `UP` | Netzwerkadministrator |
## Zugehörige Ressourcen
+ [Aufbau einer skalierbaren und sicheren AWS-Netzwerkinfrastruktur mit mehreren VPC](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf) (AWS-Whitepaper)
+ [Arbeiten mit gemeinsam genutzten Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/working-with.html) (AWS-RAM-Dokumentation)
+ [Arbeiten mit Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html) (AWS Transit Gateway Gateway-Dokumentation)
# Konfigurieren Sie die HTTPS-Verschlüsselung für Oracle JD Edwards EnterpriseOne auf Oracle WebLogic mithilfe eines Application Load Balancer
*Thanigaivel Thirumalai, Amazon Web Services*
## Zusammenfassung
Dieses Muster erklärt, wie die HTTPS-Verschlüsselung für SSL-Offloading in Oracle JD Edwards auf Oracle-Workloads konfiguriert wird. EnterpriseOne WebLogic Bei diesem Ansatz wird der Datenverkehr zwischen dem Browser des Benutzers und einem Load Balancer verschlüsselt, um die Server von der Verschlüsselungslast zu entlasten. EnterpriseOne
Viele Benutzer skalieren die Stufe der EnterpriseOne JAVA Virtual Machine (JVM) horizontal mithilfe eines [AWS Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html).Der Load Balancer dient als zentrale Anlaufstelle für Kunden und verteilt den eingehenden Datenverkehr auf mehrere. JVMs Optional kann der Load Balancer den Datenverkehr auf mehrere Availability Zones verteilen und die Verfügbarkeit von erhöhen. EnterpriseOne
Der in diesem Muster beschriebene Prozess konfiguriert die Verschlüsselung zwischen dem Browser und dem Load Balancer, anstatt den Datenverkehr zwischen dem Load Balancer und dem zu verschlüsseln. EnterpriseOne JVMs *Dieser Ansatz wird als SSL-Offloading bezeichnet.* Die Auslagerung des SSL-Entschlüsselungsprozesses vom EnterpriseOne Web- oder Anwendungsserver auf den Application Load Balancer reduziert die Belastung der Anwendungsseite. Nach der SSL-Terminierung am Load Balancer wird der unverschlüsselte Datenverkehr an die Anwendung auf AWS weitergeleitet.
[Oracle JD Edwards EnterpriseOne](https://www.oracle.com/applications/jd-edwards-enterpriseone/) ist eine ERP-Lösung (Enterprise Resource Planning) für Unternehmen, die Produkte oder Sachanlagen herstellen, konstruieren, vertreiben, warten oder verwalten. JD Edwards EnterpriseOne unterstützt verschiedene Hardware, Betriebssysteme und Datenbankplattformen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
+ Eine AWS Identity and Access Management (IAM) -Rolle, die berechtigt ist, AWS-Serviceanrufe zu tätigen und AWS-Ressourcen zu verwalten
+ Ein SSL-Zertifikat
**Produktversionen**
+ Dieses Muster wurde mit Oracle WebLogic 12c getestet, Sie können aber auch andere Versionen verwenden.
## Architektur
Es gibt mehrere Ansätze, um SSL-Offloading durchzuführen. Dieses Muster verwendet einen Application Load Balancer und einen Oracle HTTP Server (OHS), wie in der folgenden Abbildung dargestellt.
![\[SSL-Offloading mit einem Load Balancer und OHS\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/c62b976b-31e4-42ca-b7e8-13f7c9d9a187/images/2ae2d0eb-b9f3-41f8-ad86-9af3aade7072.png)
Das folgende Diagramm zeigt das JVM-Layout von JD Edwards EnterpriseOne, Application Load Balancer und Java Application Server (JAS).
![\[EnterpriseOne, Load Balancer und JAS JVM-Layout\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/c62b976b-31e4-42ca-b7e8-13f7c9d9a187/images/72ea35b0-2907-48b3-aeb7-0c5d9a3b831b.png)
## Tools
**AWS-Services**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/) verteilen den eingehenden Anwendungsdatenverkehr auf mehrere Ziele, z. B. Amazon Elastic Compute Cloud ( EC2 Amazon-Instances), in mehreren Availability Zones.
+ [AWS Certificate Manager (ACM)](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) unterstützt Sie bei der Erstellung, Speicherung und Erneuerung öffentlicher und privater SSL/TLS X.509-Zertifikate und -Schlüssel, die Ihre AWS-Websites und -Anwendungen schützen.
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) ist ein hochverfügbarer und skalierbarer DNS-Web-Service.
## Best Practices
+ [Bewährte Methoden für ACM finden Sie in der ACM-Dokumentation.](https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html)
## Epen
### Einrichtung WebLogic und Arbeitsschutz
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren und konfigurieren Sie Oracle-Komponenten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-https-encryption-for-oracle-jd-edwards-enterpriseone-on-oracle-weblogic-by-using-an-application-load-balancer.html) | JDE CNC, Administrator WebLogic |
| Aktivieren Sie das WebLogic Plugin auf Domainebene. | Das WebLogic Plugin ist für den Lastenausgleich erforderlich. Um das Plugin zu aktivieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-https-encryption-for-oracle-jd-edwards-enterpriseone-on-oracle-weblogic-by-using-an-application-load-balancer.html) | JDE CNC, Administrator WebLogic |
| Bearbeiten Sie die Konfigurationsdatei. | Die `mod_wl_ohs.conf` Datei konfiguriert Proxy-Anfragen von OHS an. WebLogic[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-https-encryption-for-oracle-jd-edwards-enterpriseone-on-oracle-weblogic-by-using-an-application-load-balancer.html)
WLSRequest On
SetHandler weblogic-handler
WebLogicHost localhost
WebLogicPort 8000
WLProxySSL On
WLProxySSLPassThrough On
| JDE CNC, Administrator WebLogic |
| Starten Sie OHS mit dem Enterprise Manager. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-https-encryption-for-oracle-jd-edwards-enterpriseone-on-oracle-weblogic-by-using-an-application-load-balancer.html) | JDE CNC, Administrator WebLogic |
### Den Application Load Balancer konfigurieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie eine Zielgruppe ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-https-encryption-for-oracle-jd-edwards-enterpriseone-on-oracle-weblogic-by-using-an-application-load-balancer.html)Eine ausführliche Anleitung finden Sie in der [Elastic Load Balancing Balancing-Dokumentation](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html). | AWS-Administrator |
| Richten Sie den Load Balancer ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-https-encryption-for-oracle-jd-edwards-enterpriseone-on-oracle-weblogic-by-using-an-application-load-balancer.html) | AWS-Administrator |
| Fügen Sie einen Route 53 53-Eintrag (DNS) hinzu. | (Optional) Sie können einen Amazon Route 53 53-DNS-Eintrag für die Subdomain hinzufügen. Dieser Datensatz würde auf Ihren Application Load Balancer verweisen. Anweisungen finden Sie in der [Dokumentation zu Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) | AWS-Administrator |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Der HTTP-Server wird nicht angezeigt. | Wenn der **HTTP-Server** nicht in der **Zielnavigationsliste** der Enterprise Manager-Konsole erscheint, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-https-encryption-for-oracle-jd-edwards-enterpriseone-on-oracle-weblogic-by-using-an-application-load-balancer.html)Wenn die Instanz erstellt und die Änderungen aktiviert wurden, können Sie den HTTP-Server im **Zielnavigationsbereich** sehen. |
## Zugehörige Ressourcen
**AWS-Dokumentation**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Arbeiten mit öffentlich gehosteten Zonen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/AboutHZWorkingWith.html)
+ [Arbeiten mit privaten Hosting-Zonen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html)
**Oracle-Dokumentation:**
+ [Überblick über das Oracle WebLogic Server Proxy Plug-In](https://docs.oracle.com/middleware/1221/webtier/develop-plugin/overview.htm#PLGWL391)
+ [ WebLogic Server mit dem Infrastructure Installer installieren](https://www.oracle.com/webfolder/technetwork/tutorials/obe/fmw/wls/12c/12_2_1/02-01-004-InstallWLSInfrastructure/installweblogicinfrastructure.html)
+ [Installation und Konfiguration von Oracle HTTP Server](https://docs.oracle.com/middleware/1221/core/install-ohs/toc.htm)
# Stellen Sie über ein privates Netzwerk eine Connect zu Daten- und Steuerungsebenen des Application Migration Service her
*Dipin Jain und Mike Kuznetsov, Amazon Web Services*
## Zusammenfassung
Dieses Muster erklärt, wie Sie mithilfe von VPC-Schnittstellen-Endpunkten eine Verbindung zu einer AWS Application Migration Service Daten- und Steuerungsebene in einem privaten, sicheren Netzwerk herstellen können.
Der Application Migration Service ist eine hochautomatisierte lift-and-shift (Rehost-) Lösung, die die Migration von Anwendungen nach vereinfacht, beschleunigt und die Kosten senkt. AWS Es ermöglicht Unternehmen, eine große Anzahl von physischen, virtuellen oder Cloud-Servern ohne Kompatibilitätsprobleme, Leistungsunterbrechungen oder lange Umstellungsfenster neu zu hosten. Der Anwendungsmigrationsdienst ist verfügbar unter. AWS-Managementkonsole Dies ermöglicht eine nahtlose Integration mit anderen AWS-Services Anbietern wie AWS CloudTrail Amazon CloudWatch und AWS Identity and Access Management (IAM).
Sie können über eine private Verbindung eine Verbindung von einem Quelldatencenter zu einer Datenebene herstellen, d. h. zu einem Subnetz, das als Staging-Bereich für die Datenreplikation in der Ziel-VPC dient AWS Direct Connect, indem Sie Site-to-Site VPN Dienste oder VPC-Peering im Application Migration Service verwenden. Sie können auch [Schnittstellen-VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) verwenden, AWS PrivateLink um über ein privates Netzwerk eine Verbindung zu einer Application Migration Service-Kontrollebene herzustellen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ **Subnetz für den Staging-Bereich** — Bevor Sie den Application Migration Service einrichten, erstellen Sie ein Subnetz, das als Staging-Bereich für Daten verwendet werden soll, auf die von Ihren Quellservern repliziert werden AWS (d. h. auf eine Datenebene). Sie müssen dieses Subnetz in der [Vorlage für die Replikationseinstellungen](https://docs.aws.amazon.com/mgn/latest/ug/template-vs-server.html) angeben, wenn Sie zum ersten Mal auf die Application Migration Service-Konsole zugreifen. Sie können dieses Subnetz für bestimmte Quellserver in der Vorlage für Replikationseinstellungen überschreiben. Sie können zwar ein vorhandenes Subnetz in Ihrem verwenden AWS-Konto, wir empfehlen jedoch, zu diesem Zweck ein neues, dediziertes Subnetz zu erstellen.
+ **Netzwerkanforderungen** — Die Replikationsserver, die vom Application Migration Service in Ihrem Staging-Bereich-Subnetz gestartet werden, müssen in der Lage sein, Daten an den API-Endpunkt des Application Migration Service zu senden`https://mgn..amazonaws.com/`, auf den AWS-Region Sie replizieren (z. B.). `` `https://mgn.us-east-1.amazonaws.com` Zum Herunterladen der Application Migration Service-Software ist der Amazon Simple Storage Service URLs (Amazon S3) -Service erforderlich.
+ Das AWS Replication Agent-Installationsprogramm sollte Zugriff auf die Amazon Simple Storage Service (Amazon S3) -Bucket-URL haben, die AWS-Region Sie mit dem Application Migration Service verwenden.
+ Das Staging-Area-Subnetz sollte Zugriff auf Amazon S3 haben.
+ Die Quellserver, auf denen der AWS Replication Agent installiert ist, müssen in der Lage sein, Daten an die Replikationsserver im Staging-Bereich-Subnetz und an den API-Endpunkt des Application Migration Service unter zu senden. `https://mgn..amazonaws.com/`
In der folgenden Tabelle sind die erforderlichen Ports aufgeführt.
|
|
| Quelle | Ziel | Port | Die Ausgabe des obigen Befehls sieht in etwa folgendermaßen aus (JSON format). |
| --- |--- |--- |--- |
| Quellrechenzentrum | Amazon S3 S3-Dienst URLs | 443 (TCP) | [Kommunikation über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Quellrechenzentrum | AWS-Region-spezifische Konsolenadresse für den Application Migration Service | 443 (TCP) | [Kommunikation zwischen den Quellservern und dem Application Migration Service über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Source-Manager-TCP-443) |
| Quellrechenzentrum | Subnetz für den Bereitstellungsbereich | 1500 (TCP) | [Kommunikation zwischen den Quellservern und dem Staging-Area-Subnetz über TCP-Port 1500](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-1500) |
| Subnetz des Staging-Bereichs | AWS-Region-spezifische Konsolenadresse für den Application Migration Service | 443 (TCP) | [Kommunikation zwischen dem Staging-Area-Subnetz und dem Application Migration Service über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-443-Staging) |
| Subnetz des Staging-Bereichs | Amazon S3 S3-Dienst URLs | 443 (TCP) | [Kommunikation über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Subnetz des Staging-Bereichs | Amazon Elastic Compute Cloud (Amazon EC2) -Endpunkt des Subnetzes AWS-Region | 443 (TCP) | [Kommunikation über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
**-Einschränkungen**
Der Anwendungsmigrationsdienst ist derzeit nicht in allen AWS-Regionen Betriebssystemen verfügbar.
+ [Unterstützt AWS-Regionen](https://docs.aws.amazon.com/mgn/latest/ug/supported-regions.html)
+ [Unterstützte Betriebssysteme](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
## Architektur
Das folgende Diagramm zeigt die Netzwerkarchitektur für eine typische Migration. Weitere Informationen zu dieser Architektur finden Sie in der [Dokumentation zum Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/Network-Settings-Video.html) und im [Video zur Architektur und Netzwerkarchitektur des Application Migration Service](https://youtu.be/ao8geVzmmRo).
![\[Netzwerkarchitektur für Application Migration Service für eine typische Migration\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/546598b2-8026-4849-a441-eaa2bc2bf6bb.png)
Die folgende detaillierte Ansicht zeigt die Konfiguration der Schnittstellen-VPC-Endpunkte im Staging-Bereich VPC zur Verbindung von Amazon S3 und Application Migration Service.
![\[Netzwerkarchitektur für den Application Migration Service für eine typische Migration — detaillierte Ansicht\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/bd0dfd42-4ab0-466f-b696-804dedcf4513.png)
## Tools
+ [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)vereinfacht, beschleunigt und reduziert die Kosten für das Rehosten von Anwendungen auf. AWS
+ Mit [Schnittstellen-VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) können Sie eine Verbindung zu Diensten herstellen, die von bereitgestellt werden, AWS PrivateLink ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung erforderlich ist. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit den Ressourcen in dem Service zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht.
## Epen
### Endpunkte für Application Migration Service EC2, Amazon und Amazon S3 erstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie den Schnittstellenendpunkt für den Application Migration Service. | Das Quellrechenzentrum und die Staging-Bereichs-VPC stellen über den Schnittstellenendpunkt, den Sie in der Ziel-Staging-Bereichs-VPC erstellen, eine private Verbindung mit der Application Migration Service-Kontrollebene her. So erstellen Sie den Endpunkt:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Weitere Informationen finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Schnittstellen-Endpunkts in der Amazon VPC-Dokumentation](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). | Leiter der Migration |
| Konfigurieren Sie den Schnittstellenendpunkt für Amazon EC2. | Die Staging-Bereichs-VPC stellt über den Schnittstellenendpunkt, den Sie in der Ziel-Staging-Bereichs-VPC erstellen, eine private Verbindung zur EC2 Amazon-API her. Folgen Sie den Anweisungen in der vorherigen Geschichte, um den Endpunkt zu erstellen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html) | Leiter der Migration |
| Konfigurieren Sie den Schnittstellenendpunkt für Amazon S3. | Das Quellrechenzentrum und die Staging-Bereichs-VPC stellen über den Schnittstellenendpunkt, den Sie in der Ziel-Staging-Bereichs-VPC erstellen, privat eine Verbindung zur Amazon S3 S3-API her. Folgen Sie den Anweisungen in der ersten Geschichte, um den Endpunkt zu erstellen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Sie verwenden einen Schnittstellenendpunkt, da Gateway-Endpunktverbindungen nicht von einer VPC aus erweitert werden können. (Einzelheiten finden Sie in der [AWS PrivateLink Dokumentation](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html).) | Leiter der Migration |
| Konfigurieren Sie den Amazon S3 Gateway-Endpunkt. | Während der Konfigurationsphase muss der Replikationsserver eine Verbindung zu einem S3-Bucket herstellen, um die Softwareupdates des AWS Replication Servers herunterzuladen. Amazon S3 S3-Schnittstellenendpunkte unterstützen jedoch keine privaten DNS-Namen*, und es gibt keine Möglichkeit,* einem Replikationsserver einen Amazon S3 S3-Endpunkt-DNS-Namen zur Verfügung zu stellen. Um dieses Problem zu beheben, erstellen Sie einen Amazon S3 S3-Gateway-Endpunkt in der VPC, zu der das Staging-Bereichs-Subnetz gehört, und aktualisieren die Routing-Tabellen des Staging-Subnetzes mit den entsprechenden Routen. Weitere Informationen finden Sie in der Dokumentation unter Einen [Gateway-Endpunkt erstellen](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3). AWS PrivateLink | Cloud-Administrator |
| Konfigurieren Sie lokales DNS, um private DNS-Namen für Endgeräte aufzulösen. | Die Schnittstellenendpunkte für Application Migration Service und Amazon EC2 haben private DNS-Namen, die in der VPC aufgelöst werden können. Sie müssen jedoch auch lokale Server konfigurieren, um private DNS-Namen für diese Schnittstellenendpunkte aufzulösen.Es gibt mehrere Möglichkeiten, diese Server zu konfigurieren. In diesem Muster haben wir diese Funktionalität getestet, indem wir lokale DNS-Abfragen an den Amazon Route 53 Resolver eingehenden Endpunkt im Staging-Bereich VPC weitergeleitet haben. Weitere Informationen finden Sie unter [Auflösen von DNS-Abfragen zwischen VPCs und Ihrem Netzwerk](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) in der Route 53-Dokumentation. | Ingenieur für Migration |
### Stellen Sie über eine private Connect eine Verbindung zur Kontrollebene des Application Migration Service her
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie AWS Replication Agent mithilfe von AWS PrivateLink. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Hier ist ein Beispiel für Linux:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Nachdem Sie Ihre Verbindung mit Application Migration Service hergestellt und den AWS Replication Agent installiert haben, folgen Sie den Anweisungen in der [Dokumentation zum Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html), um Ihre Quellserver auf Ihre Ziel-VPC und Ihr Zielsubnetz zu migrieren. | Migrationsingenieur |
## Zugehörige Ressourcen
**Dokumentation zum Anwendungsmigrationsdienst**
+ [Konzepte](https://docs.aws.amazon.com/mgn/latest/ug/CloudEndure-Concepts.html)
+ [Arbeitsablauf bei der Migration](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html)
+ [Schnellstartanleitung](https://docs.aws.amazon.com/mgn/latest/ug/quick-start-guide-gs.html)
+ [HÄUFIG GESTELLTE FRAGEN](https://docs.aws.amazon.com/mgn/latest/ug/FAQ.html)
+ [Fehlersuche](https://docs.aws.amazon.com/mgn/latest/ug/troubleshooting.html)
**Weitere Ressourcen**
+ [Rehosten Ihrer Anwendungen in einer Architektur mit mehreren Konten unter Verwendung AWS von VPC-Schnittstellenendpunkten](https://docs.aws.amazon.com/prescriptive-guidance/latest/rehost-multi-account-architecture-interface-endpoints/) (AWS Prescriptive Guidance Guide Guide)
+ [AWS Application Migration Service — Eine technische Einführung](https://www.aws.training/Details/eLearning?id=71732) (Komplettlösung für Schulung und Zertifizierung)AWS
+ [AWS Application Migration Service Architektur und Netzwerkarchitektur](https://youtu.be/ao8geVzmmRo) (Video)
## Zusätzliche Informationen
**Problembehandlung bei *AWS *****Replication Agent-Installationen auf Linux-Servern**
Wenn Sie auf einem Amazon Linux-Server einen **gcc-Fehler** erhalten, konfigurieren Sie das Paket-Repository und verwenden Sie den folgenden Befehl:
```
## sudo yum groupinstall "Development Tools"
```
# Erstellen Sie Infoblox-Objekte mithilfe von CloudFormation benutzerdefinierten AWS-Ressourcen und Amazon SNS
*Tim Sutton, Amazon Web Services*
## Zusammenfassung
**Hinweis**: AWS Cloud9 ist für Neukunden nicht mehr verfügbar. Bestandskunden von AWS Cloud9 können den Service weiterhin wie gewohnt nutzen. [Weitere Informationen](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Mit dem Infoblox Domain Name System (DNS), dem Dynamic Host Configuration Protocol (DHCP) und der IP-Adressverwaltung ([Infoblox DDI](https://www.infoblox.com/products/ddi/)) können Sie eine komplexe Hybridumgebung zentralisieren und effizient steuern. Mit Infoblox DDI können Sie alle Netzwerkressourcen in einer autoritativen IP-Adressverwaltungsdatenbank (IPAM) ermitteln und aufzeichnen. Darüber hinaus können Sie DNS vor Ort und in der Amazon Web Services (AWS) Cloud verwalten, indem Sie dieselben Appliances verwenden.
Dieses Muster beschreibt, wie eine CloudFormation benutzerdefinierte AWS-Ressource verwendet wird, um Infoblox-Objekte (z. B. DNS-Einträge oder IPAM-Objekte) zu erstellen, indem die Infoblox WAPI-API aufgerufen wird. [Weitere Informationen zur Infoblox-WAPI finden Sie in der WAPI-Dokumentation in der Infoblox-Dokumentation.](https://www.infoblox.com/wp-content/uploads/infoblox-deployment-infoblox-rest-api.pdf)
Durch die Verwendung des Ansatzes dieses Musters erhalten Sie eine einheitliche Ansicht der DNS-Einträge und IPAM-Konfigurationen für Ihre AWS- und lokalen Umgebungen. Außerdem müssen Sie keine manuellen Prozesse mehr durchführen, die Datensätze erstellen und Ihre Netzwerke bereitstellen. Sie können den Ansatz dieses Musters für die folgenden Anwendungsfälle verwenden:
+ Hinzufügen eines A-Eintrags nach dem Erstellen einer Amazon Elastic Compute Cloud (Amazon EC2) -Instanz
+ Hinzufügen eines CNAME-Eintrags nach der Erstellung eines Application Load Balancer
+ Hinzufügen eines Netzwerkobjekts nach dem Erstellen einer Virtual Private Cloud (VPC)
+ Bereitstellung des nächsten Netzwerkbereichs und Verwendung dieses Bereichs zur Erstellung von Subnetzen
Sie können dieses Muster auch erweitern und andere Infoblox-Gerätefunktionen verwenden, z. B. das Hinzufügen verschiedener DNS-Eintragstypen oder die Konfiguration von Infoblox vDiscovery.
Das Muster verwendet ein hub-and-spoke Design, bei dem der Hub Konnektivität zur Infoblox-Appliance in der AWS-Cloud oder vor Ort benötigt und AWS Lambda verwendet, um die Infoblox-API aufzurufen. Der Spoke befindet sich in demselben oder einem anderen Konto in derselben Organisation in AWS Organizations und ruft die Lambda-Funktion mithilfe einer CloudFormation benutzerdefinierten AWS-Ressource auf.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine bestehende Infoblox-Appliance oder ein Infoblox-Grid, das in der AWS-Cloud, vor Ort oder in beiden installiert und mit einem Admin-Benutzer konfiguriert ist, der IPAM- und DNS-Aktionen verwalten kann. Weitere Informationen dazu finden Sie unter [Über Administratorkonten](https://docs.infoblox.com/display/nios86/About+Admin+Accounts) in der Infoblox-Dokumentation.
+ Eine bestehende autoritative DNS-Zone, der Sie Datensätze auf der Infoblox-Appliance hinzufügen möchten. Weitere Informationen dazu finden Sie unter [Konfiguration autoritativer Zonen](https://docs.infoblox.com/display/nios86/Configuring+Authoritative+Zones) in der Infoblox-Dokumentation.
+ Zwei aktive AWS-Konten in AWS Organizations. Ein Konto ist das Hub-Konto und das andere Konto ist das Spoke-Konto.
+ Die Hub- und Spoke-Konten müssen sich in derselben AWS-Region befinden.
+ Die VPC des Hub-Kontos muss eine Verbindung zur Infoblox-Appliance herstellen, beispielsweise mithilfe von AWS Transit Gateway oder VPC-Peering.
+ [AWS Serverless Application Model (AWS SAM),](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) lokal installiert und konfiguriert mit AWS Cloud9 oder AWS. CloudShell
+ Die `ClientTest.yaml` Dateien `Infoblox-Hub.zip` und (angehängt), die in die lokale Umgebung heruntergeladen wurden, die AWS SAM enthält.
**Einschränkungen**
+ Das Service-Token der CloudFormation benutzerdefinierten AWS-Ressource muss aus derselben Region stammen, in der der Stack erstellt wurde. Wir empfehlen, dass Sie in jeder Region ein Hub-Konto verwenden, anstatt in einer Region ein Amazon Simple Notification Service (Amazon SNS) -Thema zu erstellen und die Lambda-Funktion in einer anderen Region aufzurufen.
**Produktversionen**
+ Infoblox WAPI-Version 2.7
## Architektur
Die folgenden Diagramme zeigen den Arbeitsablauf dieses Musters.
![\[Erstellen von Infoblox-Objekten mithilfe von CloudFormation benutzerdefinierten AWS-Ressourcen und Amazon SNS.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/8d609d3f-6f5e-4084-849f-ca191db8055e/images/3594a064-e103-4211-84b7-da67c41ebb15.png)
Das Diagramm zeigt die folgenden Komponenten für die Lösung dieses Musters:
1. Mit CloudFormation benutzerdefinierten AWS-Ressourcen können Sie benutzerdefinierte Bereitstellungslogik in Vorlagen schreiben, die AWS CloudFormation ausführt, wenn Sie Stacks erstellen, aktualisieren oder löschen. Wenn Sie einen Stack erstellen, CloudFormation sendet AWS eine `create` Anfrage an ein SNS-Thema, das von einer Anwendung überwacht wird, die auf einer EC2 Instance ausgeführt wird.
1. Die Amazon SNS SNS-Benachrichtigung von der CloudFormation benutzerdefinierten AWS-Ressource wird mit einem bestimmten AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt, und der Zugriff ist auf Konten in Ihrer Organisation in Organizations beschränkt. Das SNS-Thema initiiert die Lambda-Ressource, die die Infoblox WAPI-API aufruft.
1. Amazon SNS ruft die folgenden Lambda-Funktionen auf, die die Infoblox-WAPI-URL, den Benutzernamen und das Passwort AWS Secrets Manager Amazon Resource Names () als Umgebungsvariablen verwenden: ARNs
+ `dnsapi.lambda_handler`— Empfängt die `DNSName` `DNSType` ,- und `DNSValue` -Werte von der CloudFormation benutzerdefinierten AWS-Ressource und verwendet diese, um DNS-A-Einträge und CNAMES zu erstellen.
+ `ipaddr.lambda_handler`— Empfängt die`VPCCIDR`, `Type``SubnetPrefix`, und `Network Name` Werte von der CloudFormation benutzerdefinierten AWS-Ressource und verwendet diese, um die Netzwerkdaten zur Infoblox IPAM-Datenbank hinzuzufügen oder die benutzerdefinierte Ressource mit dem nächsten verfügbaren Netzwerk bereitzustellen, das zum Erstellen neuer Subnetze verwendet werden kann.
+ `describeprefixes.lambda_handler`— Ruft die `describe_managed_prefix_lists` AWS-API auf, indem der `"com.amazonaws."+Region+".s3"` Filter verwendet wird, um die erforderlichen Daten abzurufen`prefix ID`.
**Wichtig**
Diese Lambda-Funktionen sind in Python geschrieben und ähneln sich, rufen aber unterschiedlich APIs auf.
1. Sie können das Infoblox-Grid als physische, virtuelle oder cloudbasierte Netzwerk-Appliances bereitstellen. Es kann vor Ort oder als virtuelle Appliance mithilfe einer Reihe von Hypervisoren bereitgestellt werden, darunter Microsoft Hyper-V VMware ESXi, Linux KVM und Xen. Sie können das Infoblox-Grid auch mit einem Amazon Machine Image (AMI) in der AWS-Cloud bereitstellen.
1. Das Diagramm zeigt eine Hybridlösung für das Infoblox-Grid, die DNS und IPAM für Ressourcen in der AWS-Cloud und vor Ort bereitstellt.
**Technologie-Stack**
+ AWS CloudFormation
+ IAM
+ AWS KMS
+ AWS Lambda
+ AWS SAM
+ AWS Secrets Manager
+ Amazon SNS
+ Amazon VPC
## Tools
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und Regionen hinweg zu verwalten.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) unterstützt Sie bei der Erstellung und Kontrolle kryptografischer Schlüssel, um Ihre Daten zu schützen.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer Organisation konsolidieren können, die Sie erstellen und zentral verwalten.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) hilft Ihnen dabei, hartcodierte Anmeldeinformationen in Ihrem Code, einschließlich Passwörter, durch einen API-Aufruf an Secrets Manager zu ersetzen, um das Geheimnis programmgesteuert abzurufen.
+ Das [AWS Serverless Application Model (AWS SAM)](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) ist ein Open-Source-Framework, mit dem Sie serverlose Anwendungen in der AWS-Cloud erstellen können.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der skalierbaren Infrastruktur von AWS.
**Code**
Sie können die `ClientTest.yaml` CloudFormation AWS-Beispielvorlage (beigefügt) verwenden, um den Infoblox-Hub zu testen. Sie können die CloudFormation AWS-Vorlage so anpassen, dass sie die benutzerdefinierten Ressourcen aus der folgenden Tabelle enthält.
| |
| --- |
| Erstellen Sie einen A-Datensatz mithilfe der benutzerdefinierten Infoblox-Spoke-Ressource | Rückgabewerte: `infobloxref `— Infoblox-ReferenzenBeispielressource:
```
ARECORDCustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxDNSFunction
DNSName: 'arecordtest.company.com'
DNSType: 'ARecord'
DNSValue: '10.0.0.1'
``` |
| --- |--- |
| Erstellen Sie einen CNAME-Eintrag mit der benutzerdefinierten Infoblox Spoke-Ressource | **Rückgabewerte:** `infobloxref `— Infoblox-Referenzen**Beispielressource:**CNAMECustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfoblox
DNSFunction
DNSName: 'cnametest.company.com'
DNSType: 'cname'
DNSValue: 'aws.amazon.com'
|
| Erstellen Sie ein Netzwerkobjekt mithilfe der benutzerdefinierten Infoblox Spoke-Ressource | **Rückgabewerte:**`infobloxref `— Infoblox-Referenzen`network`— Netzwerkreichweite (dieselbe wie) `VPCCIDR`**Beispielressource:**VPCCustomResource:
Type: 'Custom::InfobloxAPI'
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: VPC
NetworkName: My-VPC
|
| Rufen Sie das nächste verfügbare Subnetz mithilfe der benutzerdefinierten Infoblox-Spoke-Ressource ab | **Rückgabewerte:**`infobloxref`— Infoblox-Referenzen`network `— Die Netzwerkreichweite des Subnetzes**Beispielressource:**Subnet1CustomResource:
Type: 'Custom::InfobloxAPI'
DependsOn: VPCCustomResource
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: Subnet
SubnetPrefix: !Ref SubnetPrefix
NetworkName: My-Subnet
|
## Epen
### Erstellen und konfigurieren Sie die VPC des Hub-Kontos
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine VPC mit einer Verbindung zur Infoblox-Appliance. | Melden Sie sich bei der AWS-Managementkonsole für Ihr Hub-Konto an und erstellen Sie eine VPC, indem Sie den Schritten in der [Referenzbereitstellung Amazon VPC on the AWS Cloud Quick Start](https://aws-quickstart.github.io/quickstart-aws-vpc/) von AWS Quick Starts folgen.Die VPC muss über eine HTTPS-Konnektivität zur Infoblox-Appliance verfügen. Wir empfehlen, für diese Verbindung ein privates Subnetz zu verwenden. | Netzwerkadministrator, Systemadministrator |
| (Optional) Erstellen Sie die VPC-Endpoints für private Subnetze. | VPC-Endpunkte bieten Konnektivität zu öffentlichen Diensten für Ihre privaten Subnetze. Die folgenden Endpunkte sind erforderlich:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html)Weitere Informationen zum Erstellen von Endpunkten für private Subnetze finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) in der Amazon VPC-Dokumentation. | Netzwerkadministrator, Systemadministrator |
### Stellen Sie den Infoblox-Hub bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die AWS-SAM-Vorlage. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html) | Entwickler, Systemadministrator |
| Stellen Sie die AWS-SAM-Vorlage bereit. | Der `sam deploy` Befehl verwendet die erforderlichen Parameter und speichert sie in der `samconfig.toml` Datei, speichert die CloudFormation AWS-Vorlage und die Lambda-Funktionen in einem S3-Bucket und stellt dann die CloudFormation AWS-Vorlage in Ihrem Hub-Konto bereit. Der folgende Beispielcode zeigt, wie die AWS-SAM-Vorlage bereitgestellt wird:$ sam deploy --guided
Configuring SAM deploy
======================
Looking for config file [samconfig.toml] : Found
Reading default arguments : Success
Setting default arguments for 'sam deploy'
=========================================
Stack Name [Infoblox-Hub]:
AWS Region [eu-west-1]:
Parameter InfobloxUsername:
Parameter InfobloxPassword:
Parameter InfobloxIPAddress [xxx.xxx.xx.xxx]:
Parameter AWSOrganisationID [o-xxxxxxxxx]:
Parameter VPCID [vpc-xxxxxxxxx]:
Parameter VPCCIDR [xxx.xxx.xxx.xxx/16]:
Parameter VPCSubnetID1 [subnet-xxx]:
Parameter VPCSubnetID2 [subnet-xxx]:
Parameter VPCSubnetID3 [subnet-xxx]:
Parameter VPCSubnetID4 []:
#Shows you resources changes to be deployed and require a 'Y' to initiate deploy
Confirm changes before deploy [Y/n]: y
#SAM needs permission to be able to create roles to connect to the resources in your template
Allow SAM CLI IAM role creation [Y/n]: n
Capabilities [['CAPABILITY_NAMED_IAM']]:
Save arguments to configuration file [Y/n]: y
SAM configuration file [samconfig.toml]:
SAM configuration environment [default]:
Sie müssen die `--guided` Option jedes Mal verwenden, da die Infoblox-Anmeldeinformationen nicht in der Datei gespeichert sind. `samconfig.toml` | Entwickler, Systemadministrator |
## Zugehörige Ressourcen
+ [Erste Schritte mit der WAPIs Verwendung von Postman](https://blogs.infoblox.com/community/getting-started-with-wapis-using-postman/) (Infoblox Blog)
+ [Bereitstellung von VNIOs für AWS mithilfe des BYOL-Modells (Infoblox-Dokumentation](https://docs.infoblox.com/display/NAIG/Provisioning+vNIOS+for+AWS+Using+the+BYOL+Model))
+ [quickstart-aws-vpc](https://github.com/aws-quickstart/quickstart-aws-vpc)(GitHub Repo)
+ [describe\$1managed\$1prefix\$1lists](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ec2.html#EC2.Client.describe_managed_prefix_lists) (Dokumentation zum AWS-SDK für Python)
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/8d609d3f-6f5e-4084-849f-ca191db8055e/attachments/attachment.zip)
# Erstellen Sie mithilfe von Terraform eine hierarchische IPAM-Architektur mit mehreren Regionen AWS
*Donny Schreiber, Amazon Web Services*
## Zusammenfassung
Die *IP-Adressverwaltung (IPAM)* ist eine wichtige Komponente des Netzwerkmanagements und wird mit der Skalierung ihrer Cloud-Infrastruktur immer komplexer. Ohne richtiges IPAM riskieren Unternehmen IP-Adresskonflikte, verschwendeten Adressraum und komplexe Problemlösungen, die zu Ausfällen und Anwendungsausfällen führen können. Dieses Muster zeigt, wie Sie mithilfe von Terraform eine umfassende IPAM-Lösung für AWS Unternehmensumgebungen implementieren können. HashiCorp [Es hilft Unternehmen dabei, eine hierarchische IPAM-Architektur mit mehreren Regionen zu erstellen, die eine zentralisierte IP-Adressverwaltung für alle Bereiche einer Organisation ermöglicht. AWS-KontenAWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organization-structure)
Dieses Muster hilft Ihnen bei der Implementierung von [Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) mit einer ausgeklügelten vierstufigen Poolhierarchie: Pool der obersten Ebene, regionale Pools, Geschäftsbereichspools und umgebungsspezifische Pools. Diese Struktur unterstützt die ordnungsgemäße Verwaltung von IP-Adressen und ermöglicht gleichzeitig die Delegierung der IP-Verwaltung an die entsprechenden Teams innerhalb der Organisation. Die Lösung verwendet AWS Resource Access Manager (AWS RAM) für die nahtlose gemeinsame Nutzung von IP Address Manager-Pools im gesamten Unternehmen. AWS RAM zentralisiert und standardisiert die IPAM-Spezifikationen, auf die Teams bei allen verwalteten Konten aufbauen können.
Dieses Muster kann Ihnen dabei helfen, Folgendes zu erreichen:
+ Automatisieren Sie die Zuweisung von IP-Adressen für verschiedene AWS-Regionen Geschäftsbereiche und Umgebungen.
+ Setzen Sie die Netzwerkrichtlinien Ihres Unternehmens durch programmatische Validierung durch.
+ Skalieren Sie die Netzwerkinfrastruktur effizient, wenn sich die Geschäftsanforderungen weiterentwickeln.
+ Reduzieren Sie den betrieblichen Aufwand durch die zentrale Verwaltung von IP-Adressräumen.
+ Beschleunigen Sie Cloud-native Workload-Bereitstellungen mit Self-Service-CIDR-Bereichszuweisung.
+ Vermeiden Sie Adresskonflikte durch richtlinienbasierte Kontrollen und Validierungen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine oder mehrere AWS-Konten, die als Organisation verwaltet werden in. AWS Organizations
+ Ein Netzwerk-Hub oder ein Netzwerkverwaltungskonto, das als delegierter IP Address Manager-Administrator dient.
+ AWS Command Line Interface (AWS CLI), [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ [Terraform Version 1.5.0 oder höher, installiert.](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli)
+ AWS [Anbieter für Terraform, konfiguriert.](https://registry.terraform.io/providers/hashicorp/aws/latest/docs)
+ Berechtigungen zur Verwaltung von [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) und [virtuellen privaten Clouds (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), konfiguriert in AWS Identity and Access Management (IAM). [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam.html)
**Einschränkungen**
+ IP Address Manager unterliegt [Dienstkontingenten](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html). Das Standarddienstkontingent für Pools beträgt 50 pro Bereich. Wenn diese Bereitstellung für 6 Regionen, 2 Geschäftsbereiche und 4 Umgebungen ausgeführt würde, würden 67 Pools entstehen. Daher könnte eine Erhöhung des Kontingents erforderlich sein.
+ Das Ändern oder Löschen von IP Address Manager-Pools nach der Zuweisung von Ressourcen kann zu Abhängigkeitsproblemen führen. Sie müssen [die Zuweisung freigeben](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html), bevor Sie den Pool löschen können.
+ In IP Address Manager kann es bei der [Ressourcenüberwachung](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) zu leichten Verzögerungen kommen, wenn Ressourcenänderungen berücksichtigt werden. Diese Verzögerung kann etwa 20 Minuten betragen.
+ IP Address Manager kann nicht automatisch die Eindeutigkeit von IP-Adressen in verschiedenen Bereichen erzwingen.
+ Benutzerdefinierte Tags müssen den Best Practices für [AWS Tagging](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) entsprechen. Beispielsweise muss jeder Schlüssel einzigartig sein und darf nicht mit `aws:` beginnen.
+ Bei der Integration von IP Address Manager mit Konten außerhalb Ihrer Organisation gibt es [Überlegungen und Einschränkungen](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam-outside-org-considerations.html).
## Architektur
**Zielarchitektur**
*Konfiguration und Poolhierarchie von IP Address Manager*
Das folgende Diagramm zeigt die logischen Konstrukte der Zielarchitektur. Ein *Bereich* ist der Container der höchsten Ebene in IP Address Manager. Jeder Bereich stellt den IP-Adressraum für ein einzelnes Netzwerk dar. Die *Pools* sind Sammlungen zusammenhängender IP-Adressbereiche (oder CIDR-Bereiche) innerhalb des Bereichs. Pools helfen Ihnen dabei, Ihre IP-Adressen entsprechend Ihren Routing- und Sicherheitsanforderungen zu organisieren. Dieses Diagramm zeigt vier hierarchische Ebenen von Pools: einen Pool der obersten Ebene, regionale Pools, Geschäftsbereichspools und Umgebungspools.
![\[Ein privater Bereich und vier Ebenen von Pools in einer einzigen AWS-Region in einem Netzwerkkonto.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/1e23b2a7-a274-4a19-9097-61d8a31dfbf8.png)
Diese Lösung erstellt eine klare Hierarchie von IP Address Manager-Pools:
1. Der Pool der obersten Ebene umfasst den gesamten IP-Adressraum der Organisation, z. B. `10.176.0.0/12`
1. Die regionalen Pools sind für regionsspezifische Zuweisungen vorgesehen, z. B. für. `10.176.0.0/15` `us-east-1`
1. Bei den Pools der Geschäftsbereiche handelt es sich um domänenspezifische Zuweisungen innerhalb der einzelnen Geschäftsbereiche. AWS-Region Das könnte beispielsweise die Finanzabteilung in der `us-east-1` Region getan haben. `10.176.0.0/16`
1. Bei den Umgebungspools handelt es sich um zweckspezifische Zuweisungen für verschiedene Umgebungen. Die Finanzabteilung in der `us-east-1` Region könnte beispielsweise `10.176.0.0/18` für eine Produktionsumgebung zuständig sein.
Diese Bereitstellungstopologie verteilt die Ressourcen von IP Address Manager geografisch und gewährleistet gleichzeitig die zentrale Steuerung. Im Folgenden sind ihre Funktionen aufgeführt:
+ IP Address Manager wird in einem einzigen Primärserver bereitgestellt AWS-Region.
+ Zusätzliche Regionen sind als [Betriebsregionen](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-region.html) registriert, in denen IP Address Manager Ressourcen verwalten kann.
+ Jede Betriebsregion erhält einen eigenen Adresspool aus dem Pool der obersten Ebene.
+ Ressourcen in allen Betriebsregionen werden zentral über den IP Address Manager in der primären Region verwaltet.
+ Jeder regionale Pool verfügt über eine Gebietsschemaeigenschaft, die mit seiner Region verknüpft ist, sodass Sie Ressourcen ordnungsgemäß zuweisen können.
*Erweiterte Validierung des CIDR-Bereichs*
Diese Lösung wurde entwickelt, um die Bereitstellung ungültiger Konfigurationen zu verhindern. Wenn Sie die Pools über Terraform bereitstellen, wird Folgendes während der Terraform-Planphase validiert:
+ Überprüft, ob alle CIDR-Bereiche der Umgebung in den CIDR-Bereichen der übergeordneten Geschäftseinheit enthalten sind
+ Bestätigt, dass alle CIDR-Bereiche der Geschäftseinheit in den CIDR-Bereichen der übergeordneten Region enthalten sind
+ Überprüft, ob alle regionalen CIDR-Bereiche in den CIDR-Bereichen der obersten Ebene enthalten sind
+ Prüft auf überlappende CIDR-Bereiche innerhalb derselben Hierarchieebene
+ Überprüft die korrekte Zuordnung der Umgebungen zu ihren jeweiligen Geschäftsbereichen
*CIDR-Bereichszuweisung*
Das folgende Diagramm zeigt ein Beispiel dafür, wie Entwickler oder Administratoren neue IP-Adressen erstellen VPCs und ihnen aus den Poolebenen zuweisen können.
![\[Ein privater Bereich und vier Ebenen von Pools in einer einzigen AWS-Region in einem Netzwerkkonto.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/7c3de2e3-e71b-4fc0-abcd-7e88cfab5c87.png)
Das Diagramm zeigt den folgenden Workflow:
1. Über die AWS-Managementkonsole AWS CLI, die oder über Infrastructure as Code (IaC) fordert ein Entwickler oder Administrator den nächsten verfügbaren CIDR-Bereich im `AY3` Umgebungspool an.
1. IP Address Manager weist der VPC den nächsten verfügbaren CIDR-Bereich in diesem Pool zu. `AY3-4` Dieser CIDR-Bereich kann nicht mehr verwendet werden.
**Automatisierung und Skalierung**
Diese Lösung ist auf folgende Skalierbarkeit ausgelegt:
+ **Regionale Erweiterung** — Fügen Sie neue Regionen hinzu, indem Sie die Terraform-Konfiguration um zusätzliche regionale Pooleinträge erweitern.
+ **Wachstum von Geschäftsbereichen** — Support Sie neue Geschäftsbereiche, indem Sie sie zur BU-Konfigurationsübersicht hinzufügen.
+ **Flexibilität der Umgebung** — Konfigurieren Sie verschiedene Umgebungstypen, z. B. Entwicklung oder Produktion, auf der Grundlage der organisatorischen Anforderungen.
+ **Unterstützung mehrerer Konten** — Teilen Sie Pools über alle Konten in Ihrer Organisation. AWS RAM
+ **Automatisierte VPC-Bereitstellung** — Integrieren Sie in VPC-Bereitstellungs-Workflows, um die CIDR-Bereichszuweisung zu automatisieren.
Die hierarchische Struktur ermöglicht auch verschiedene Ebenen der Delegierung und Kontrolle, wie z. B. die folgenden:
+ Netzwerkadministratoren können die Pools der obersten Ebene und die regionalen Pools verwalten.
+ IT-Teams der Geschäftsbereiche haben möglicherweise die Kontrolle über ihre jeweiligen Pools delegiert.
+ Anwendungsteams verwenden möglicherweise IP-Adressen aus ihren zugewiesenen Umgebungspools.
**Anmerkung**
Sie können diese Lösung auch in [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) integrieren. Weitere Informationen finden Sie unter *Integration mit AFT* im Abschnitt [Zusätzliche Informationen](#multi-region-ipam-architecture-additional) dieses Musters.
## Tools
**AWS-Services**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) hilft Ihnen dabei, Ihre Ressourcen sicher gemeinsam zu nutzen AWS-Konten , um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS. [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) ist eine Funktion von Amazon VPC. Es hilft Ihnen bei der Planung, Nachverfolgung und Überwachung von IP-Adressen für Ihre AWS Workloads.
**Andere Tools**
+ [HashiCorp Terraform](https://www.terraform.io/docs) ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können.
**Code-Repository**
Der Code für dieses Muster ist in der [Terraform-Beispielimplementierung für Hierarchical IPAM](https://github.com/aws-samples/sample-amazon-vpc-ipam-terraform) im Repository on verfügbar. AWS** GitHub** Die Repository-Struktur umfasst:
+ **Root-Modul** — Orchestrierung der Bereitstellung und Eingabevariablen.
+ **IPAM-Modul** — Kernimplementierung der in diesem Muster beschriebenen Architektur.
+ **Tags-Modul** — Standardisiertes Tagging für alle Ressourcen.
## Best Practices
Beachten Sie die folgenden bewährten Methoden für die Netzwerkplanung:
+ **Planen Sie zuerst** — Planen Sie Ihren IP-Adressraum vor der Bereitstellung gründlich. Weitere Informationen finden Sie unter [Plan für die Bereitstellung von IP-Adressen](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html).
+ **Vermeiden Sie überlappende CIDR-Bereiche** — Stellen Sie sicher, dass sich die CIDR-Bereiche auf jeder Ebene nicht überschneiden.
+ **Reservieren Sie Pufferspeicher** — Ordnen Sie immer größere CIDR-Bereiche zu, als sofort benötigt werden, um dem Wachstum Rechnung zu tragen.
+ **Dokumentieren Sie die IP-Adresszuweisung** — Bewahren Sie die Dokumentation Ihrer IP-Adresszuweisungsstrategie auf.
Beachten Sie die folgenden bewährten Bereitstellungsmethoden:
+ **Beginnen Sie mit Nichtproduktionsumgebungen** — Stellen Sie die Lösung zunächst in Umgebungen außerhalb der Produktion bereit.
+ **Verwenden Sie die Terraform-Statusverwaltung** — Implementieren Sie die Speicherung und Sperrung von Zuständen aus der Ferne. Weitere Informationen finden Sie unter [State Storage and Locking](https://developer.hashicorp.com/terraform/language/state/backends) in der Terraform-Dokumentation.
+ Versionskontrolle **implementieren — Versionskontrolle** für den gesamten Terraform-Code.
+ ** CI/CD Integration implementieren** — Verwenden Sie CI/CD-Pipelines (Continuous Integration und Continuous Delivery) für wiederholbare Bereitstellungen.
Beachten Sie die folgenden bewährten Methoden für den Betrieb:
+ **Automatischen Import aktivieren** — Konfigurieren Sie einen IP Address Manager-Pool, um vorhandene Ressourcen automatisch zu erkennen und zu importieren. Folgen Sie den Anweisungen unter [Einen IPAM-Pool bearbeiten](https://docs.aws.amazon.com/vpc/latest/ipam/mod-pool-ipam.html), um den automatischen Import zu aktivieren.
+ **IP-Adressnutzung überwachen** — Richten Sie Alarme für Schwellenwerte für die IP-Adressnutzung ein. Weitere Informationen finden Sie unter [Überwachen von IPAM mit Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html).
+ **Regelmäßige Prüfung** — Prüfen Sie regelmäßig die Nutzung von IP-Adressen und deren Einhaltung. Weitere Informationen finden Sie unter [Nachverfolgung der IP-Adressnutzung in IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html).
+ **Ungenutzte Zuweisungen bereinigen — Geben** Sie IP-Adresszuweisungen frei, wenn Ressourcen außer Betrieb genommen werden. Weitere Informationen finden Sie unter [Deprovision CIDRs ](https://docs.aws.amazon.com/vpc/latest/ipam/depro-pool-cidr-ipam.html) aus einem Pool.
Beachten Sie die folgenden bewährten Sicherheitsmethoden:
+ **Implementieren Sie die geringsten Rechte** — Verwenden Sie IAM-Rollen mit den erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie unter [Bewährte Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) und [Identitäts- und Zugriffsmanagement in](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) IPAM.
+ **Dienststeuerungsrichtlinien verwenden** — Implementieren Sie Dienststeuerungsrichtlinien (SCPs), um die Verwendung von IP Address Manager in Ihrem Unternehmen durchzusetzen. Weitere Informationen finden Sie unter [IPAM-Verwendung für die VPC-Erstellung erzwingen](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) mit. SCPs
+ **Steuern Sie die gemeinsame Nutzung von Ressourcen** — Verwalten Sie den Umfang der gemeinsamen Nutzung von IP Address Manager-Ressourcen sorgfältig in. AWS RAM Weitere Informationen finden Sie unter [Einen IPAM-Pool gemeinsam nutzen mit AWS RAM](https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html).
+ **Tagging erzwingen** — Implementieren Sie obligatorisches Tagging für alle Ressourcen im Zusammenhang mit IP Address Manager. Weitere Informationen finden Sie unter *Tagging-Strategie im Abschnitt* [Zusätzliche](#multi-region-ipam-architecture-additional) Informationen.
## Epen
### Richten Sie ein delegiertes Administratorkonto für IP Address Manager ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| AWS Organizations Funktionen aktivieren. | Stellen Sie sicher, AWS Organizations dass alle Funktionen aktiviert sind. Anweisungen finden Sie AWS Organizations in der AWS Organizations Dokumentation unter [Alle Funktionen für eine Organisation aktivieren mit](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html). | AWS-Administrator |
| Aktivieren Sie die gemeinsame Nutzung von Ressourcen in AWS RAM. | Geben Sie mit dem den folgenden Befehl ein AWS CLI, um die gemeinsame Nutzung von AWS RAM Ressourcen für Ihre Organisation zu aktivieren:aws ram enable-sharing-with-aws-organization
Weitere Informationen finden Sie AWS Organizations in der AWS RAM Dokumentation unter [Aktivieren der gemeinsamen Nutzung von Ressourcen innerhalb](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs). | AWS-Administrator |
| Benennen Sie einen Administrator für IP Address Manager. | Geben Sie im Verwaltungskonto der Organisation mit dem den AWS CLI folgenden Befehl ein. Dabei `123456789012` handelt es sich um die ID des Kontos, das IP Address Manager verwalten soll:aws ec2 enable-ipam-organization-admin-account \
--delegated-admin-account-id 123456789012
In der Regel wird ein Netzwerk- oder Netzwerk-Hub-Konto als delegierter Administrator für IP Address Manager verwendet.Weitere Informationen finden Sie unter [Integrieren von IPAM mit Konten in einer AWS Organisation in](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) der IP Address Manager-Dokumentation. | AWS-Administrator |
### Stellen Sie die Infrastruktur bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Definieren Sie die Netzwerkarchitektur. | Definieren und dokumentieren Sie Ihre Netzwerkarchitektur, einschließlich der CIDR-Bereiche für Regionen, Geschäftsbereiche und Umgebungen. Weitere Informationen finden Sie unter [Plan für die IP-Adressbereitstellung](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html) in der IP Address Manager-Dokumentation. | Netzwerkingenieur |
| Klonen Sie das Repository | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | DevOps Ingenieur |
| Konfigurieren Sie die Variablen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Netzwerkingenieur, Terraform |
| Stellen Sie die Ressourcen des IP Address Managers bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Terraform |
| Bestätigen Sie die Bereitstellung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Allgemein AWS, Netzwerktechniker |
### Überwachung erstellen VPCs und einrichten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine VPC. | Folgen Sie den Schritten unter [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) in der Amazon VPC-Dokumentation. Wenn Sie den Schritt zur Auswahl eines CIDR-Bereichs für die VPC erreicht haben, weisen Sie den nächsten verfügbaren aus einem Ihrer Regional-, Geschäftsbereichs- und Umgebungspools zu. | Allgemein AWS, Netzwerkadministrator, Netzwerkingenieur |
| Überprüfen Sie die CIDR-Bereichszuweisung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Allgemein AWS, Netzwerkadministrator, Netzwerkingenieur |
| Überwachen Sie den IP-Adressmanager. | Konfigurieren Sie die Überwachung und Alarme im Zusammenhang mit der Zuweisung von IP Address Manager-Ressourcen. Weitere Informationen und Anweisungen finden Sie unter [Überwachen von IPAM mit Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html) und [Überwachen der CIDR-Nutzung nach Ressourcen](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) in der IP Address Manager-Dokumentation. | Allgemeines AWS |
| Erzwingen Sie die Verwendung von IP Address Manager. | Erstellen Sie eine Service Control Policy (SCP) AWS Organizations , nach der Mitglieder in Ihrer Organisation IP Address Manager verwenden müssen, wenn sie eine VPC erstellen. Anweisungen finden Sie unter [IPAM-Verwendung für die VPC-Erstellung erzwingen mit SCPs](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) in der IP Address Manager-Dokumentation. | Allgemein AWS, AWS-Administrator |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Terraform schlägt fehl, da die IP Address Manager-Ressource nicht gefunden wurde | Stellen Sie sicher, dass das IP Address Manager-Administratorkonto ordnungsgemäß delegiert wurde und dass Ihr AWS Anbieter für dieses Konto authentifiziert ist. |
| Die CIDR-Bereichszuweisung schlägt fehl | Stellen Sie sicher, dass der angeforderte CIDR-Bereich in den verfügbaren Bereich des IP Address Manager-Pools passt und sich nicht mit vorhandenen Zuweisungen überschneidet. |
| AWS RAM Probleme teilen | Stellen Sie sicher, dass die gemeinsame Nutzung von Ressourcen für Ihre AWS Organisation aktiviert ist. Stellen Sie sicher, dass der richtige Prinzipal, der Amazon Resource Name (ARN) der Organisation, in der AWS RAM Freigabe verwendet wird. |
| Fehler bei der Validierung der Poolhierarchie | Stellen Sie sicher, dass die CIDR-Bereiche des untergeordneten Pools ordnungsgemäß in den CIDR-Bereichen des übergeordneten Pools enthalten sind und sich nicht mit gleichgeordneten Pools überschneiden. |
| Das Kontingentlimit für IP Address Manager wurde überschritten | Fordern Sie eine Erhöhung des Kontingents für IP Address Manager-Pools an. Weitere Informationen finden Sie unter [Beantragen einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Service-Quotas-Benutzerhandbuch*. |
## Zugehörige Ressourcen
**AWS-Service Dokumentation**
+ [Dokumentation zu Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [AWS Resource Access Manager Dokumentation](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ [AWS Organizations Dokumentation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
**AWS Blog-Beiträge**
+ [Verwaltung von IP-Pools über Regionen hinweg VPCs mit Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)
+ [Verwaltung und Prüfung von Netzwerkadressen in großem Umfang mit Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/aws/network-address-management-and-auditing-at-scale-with-amazon-vpc-ip-address-manager/)
**Videos und Anleitungen**
+ [AWS re:Invent 2022: Bewährte Methoden für Amazon VPC-Design und IPAM (0) NET31](https://www.youtube.com/watch?v=XrEHsy_8RYs)
+ [AWS re:Invent 2022: Fortschrittliches VPC-Design und neue Funktionen (01) NET4](https://www.youtube.com/watch?v=tbXTVpwx87o)
## Zusätzliche Informationen
**Integration mit AFT**
Sie können diese Lösung in AWS Control Tower Account Factory for Terraform (AFT) integrieren, um sicherzustellen, dass neu bereitgestellte Konten automatisch die richtigen Netzwerkkonfigurationen erhalten. Durch die Bereitstellung dieser IPAM-Lösung in Ihrem Netzwerk-Hub-Konto können neue Konten, die über AFT erstellt wurden, bei der Erstellung auf die gemeinsam genutzten IP Address Manager-Pools verweisen. VPCs
Das folgende Codebeispiel veranschaulicht die AFT-Integration in eine Kontoanpassung mithilfe von AWS Systems Manager Parameter Store:
```
# Get the IP Address Manager pool ID from Parameter Store
data "aws_ssm_parameter" "dev_ipam_pool_id" {
name = "/org/network/ipam/finance/dev/pool-id"
}
# Create a VPC using the IP Address Manager pool
resource "aws_vpc" "this" {
ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value
ipv4_netmask_length = 24
tags = {
Name = "aft-account-vpc"
}
}
```
**Strategie zur Kennzeichnung**
Die Lösung implementiert eine umfassende Tagging-Strategie, um das Ressourcenmanagement zu vereinfachen. Das folgende Codebeispiel zeigt, wie es verwendet wird:
```
# Example tag configuration
module "tags" {
source = "./modules/tags"
# Required tags
product_name = "enterprise-network"
feature_name = "ipam"
org_id = "finance"
business_unit = "network-operations"
owner = "network-team"
environment = "prod"
repo = "https://github.com/myorg/ipam-terraform"
branch = "main"
cost_center = "123456"
dr_tier = "tier1"
# Optional tags
optional_tags = {
"project" = "network-modernization"
"stack_role" = "infrastructure"
}
}
```
Diese Tags werden automatisch auf alle IP Address Manager-Ressourcen angewendet. Dies ermöglicht eine konsistente Steuerung, Kostenzuweisung und Ressourcenverwaltung.
# Passen Sie CloudWatch Amazon-Benachrichtigungen an für AWS Network Firewall
*Jason Owens, Amazon Web Services*
## Zusammenfassung
Das Muster hilft Ihnen dabei, die CloudWatch Amazon-Benachrichtigungen anzupassen, die von generiert werden AWS Network Firewall. Sie können vordefinierte Regeln verwenden oder benutzerdefinierte Regeln erstellen, die die Nachricht, die Metadaten und den Schweregrad der Benachrichtigungen bestimmen. Sie können dann auf diese Benachrichtigungen reagieren oder die Antworten anderer Amazon-Dienste wie Amazon automatisieren EventBridge.
In diesem Muster generieren Sie Suricata-kompatible Firewall-Regeln. [Suricata](https://suricata.io/) ist eine Open-Source-Engine zur Erkennung von Bedrohungen. Sie erstellen zunächst einfache Regeln und testen sie dann, um sicherzustellen, dass die CloudWatch Warnungen generiert und protokolliert wurden. Nachdem Sie die Regeln erfolgreich getestet haben, ändern Sie sie, um benutzerdefinierte Meldungen, Metadaten und Schweregrade zu definieren. Anschließend testen Sie erneut, um die Aktualisierungen zu bestätigen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto.
+ AWS Command Line Interface (AWS CLI) auf Ihrer Linux-, macOS- oder Windows-Workstation installiert und konfiguriert. Weitere Informationen finden Sie unter [Installieren oder Aktualisierung auf die neueste Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall für die Verwendung von CloudWatch Logs installiert und konfiguriert. Weitere Informationen finden Sie unter [Protokollieren des Netzwerkverkehrs von AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance in einem privaten Subnetz einer Virtual Private Cloud (VPC), die durch eine Network Firewall geschützt ist.
**Produktversionen**
+ Verwenden Sie für Version 1 von AWS CLI 1.18.180 oder höher. Verwenden Sie für Version 2 von AWS CLI 2.1.2 oder höher.
+ Die Datei classification.config aus Suricata Version 5.0.2. [Eine Kopie dieser Konfigurationsdatei finden Sie im Abschnitt Zusätzliche Informationen.](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional)
## Architektur
![\[Eine EC2 Instanzanforderung generiert eine Warnung in der Network Firewall, die die Warnung weiterleitet an CloudWatch\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)
Das Architekturdiagramm zeigt den folgenden Arbeitsablauf:
1. [Eine EC2 Amazon-Instance in einem privaten Subnetz stellt eine Anfrage entweder mit [curl](https://curl.se/) oder Wget.](https://www.gnu.org/software/wget/)
1. Die Network Firewall verarbeitet den Datenverkehr und generiert eine Warnung.
1. Die Network Firewall sendet die protokollierten Warnungen an CloudWatch Logs.
## Tools
**AWS-Services**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme und Anwendungen zu zentralisieren, AWS-Services sodass Sie sie überwachen und sicher archivieren können.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)ist ein zustandsorientierter, verwalteter Dienst zur Netzwerk-Firewall sowie zur Erkennung und Verhinderung von Eindringlingen für virtuelle private Clouds () in der. VPCs AWS Cloud
**Andere Tools**
+ [curl](https://curl.se/) ist ein Open-Source-Befehlszeilentool und eine Bibliothek.
+ [GNU Wget](https://www.gnu.org/software/wget/) ist ein kostenloses Befehlszeilentool.
## Epen
### Erstellen Sie die Firewallregeln und die Regelgruppe
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen von Regeln. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator, Netzwerkadministrator |
| Erstellen Sie die Regelgruppe. | Geben Sie in der AWS CLI den folgenden Befehl ein. Dadurch wird die Regelgruppe erstellt.❯ aws network-firewall create-rule-group \
--rule-group-name custom --type STATEFUL \
--capacity 10 --rules file://custom.rules \
--tags Key=environment,Value=development
Im Folgenden finden Sie eine Beispielausgabe. Notieren Sie sich die`RuleGroupArn`, die Sie in einem späteren Schritt benötigen.{
"UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
} | AWS-Systemadministrator |
### Aktualisieren Sie die Firewall-Richtlinie
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Rufen Sie den ARN der Firewall-Richtlinie ab. | Geben Sie im AWS CLI den folgenden Befehl ein. Dadurch wird der Amazon-Ressourcenname (ARN) der Firewall-Richtlinie zurückgegeben. Notieren Sie den ARN für die spätere Verwendung in diesem Muster.❯ aws network-firewall describe-firewall \
--firewall-name aws-network-firewall-anfw \
--query 'Firewall.FirewallPolicyArn'
Im Folgenden finden Sie ein Beispiel für einen ARN, der von diesem Befehl zurückgegeben wird."arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"
| AWS-Systemadministrator |
| Aktualisieren Sie die Firewall-Richtlinie. | Kopieren Sie in einem Texteditor den folgenden Code und fügen Sie ihn ein. Ersetze ihn `` durch den Wert, den du im vorherigen Epos aufgezeichnet hast. Speichern Sie die Datei als `firewall-policy-anfw.json`.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": ""
}
]
}Geben Sie den folgenden Befehl in die ein AWS CLI. Für diesen Befehl ist ein [Aktualisierungstoken](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) erforderlich, um die neuen Regeln hinzuzufügen. Das Token wird verwendet, um zu bestätigen, dass sich die Richtlinie seit dem letzten Abruf nicht geändert hat.UPDATETOKEN=(`aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--output text --query UpdateToken`)
aws network-firewall update-firewall-policy \
--update-token $UPDATETOKEN \
--firewall-policy-name firewall-policy-anfw \
--firewall-policy file://firewall-policy-anfw.json
| AWS-Systemadministrator |
| Bestätigen Sie die Richtlinienaktualisierungen. | (Optional) Wenn Sie überprüfen möchten, ob die Regeln hinzugefügt wurden, und das Richtlinienformat anzeigen möchten, geben Sie den folgenden Befehl in die Datei ein AWS CLI.❯ aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--query FirewallPolicy
Im Folgenden finden Sie eine Beispielausgabe.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"
}
]
} | AWS-Systemadministrator |
### Testen Sie die Alarmfunktion
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Generieren Sie Warnmeldungen zum Testen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
| Stellen Sie sicher, dass die Warnmeldungen protokolliert wurden. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
### Aktualisieren Sie die Firewall-Regeln und die Regelgruppe
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Aktualisieren Sie die Firewall-Regeln. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
| Aktualisieren Sie die Regelgruppe. | Führen Sie in der AWS CLI die folgenden Befehle aus. Verwenden Sie den ARN Ihrer Firewall-Richtlinie. Diese Befehle rufen ein Aktualisierungstoken ab und aktualisieren die Regelgruppe mit den Regeländerungen.❯ UPDATETOKEN=(`aws network-firewall \
describe-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \
--output text --query UpdateToken`)
❯ aws network-firewall update-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \
--rules file://custom.rules \
--update-token $UPDATETOKEN
Im Folgenden finden Sie eine Beispielausgabe.{
"UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
}
} | AWS-Systemadministrator |
### Testen Sie die aktualisierte Warnfunktion
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Generieren Sie eine Warnung zum Testen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
| Bestätigen Sie, dass die Warnung geändert wurde. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
## Zugehörige Ressourcen
**Referenzen**
+ [Senden Sie Benachrichtigungen von AWS Network Firewall an einen Slack-Channel](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html) (AWS Prescriptive Guidance)
+ [Skalierung der Bedrohungsabwehr AWS mit Suricata](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) (Blogbeitrag)AWS
+ [Bereitstellungsmodelle für AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (AWS Blogbeitrag)
+ [Suricata-Meta-Schlüsselwerke](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html) (Suricata-Dokumentation)
**Tutorials und Videos**
+ [AWS Network Firewall Werkstatt](https://networkfirewall.workshop.aws/)
## Zusätzliche Informationen
Im Folgenden finden Sie die Konfigurationsdatei für die Klassifizierung von Suricata 5.0.2. Diese Klassifizierungen werden bei der Erstellung der Firewallregeln verwendet.
```
# config classification:shortname,short description,priority
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```
# Bereitstellen von Ressourcen in einer AWS Wavelength Zone mithilfe von Terraform
*Zahoor Chaudhrey und Luca Iannario, Amazon Web Services*
## Zusammenfassung
[AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)hilft Ihnen beim Aufbau einer Infrastruktur, die für Multi-Access Edge Computing (MEC) -Anwendungen optimiert ist. *Wellenlängenzonen* sind AWS Infrastrukturbereitstellungen, die AWS Rechen- und Speicherdienste in die 5G-Netzwerke von Kommunikationsdienstanbietern (CSP) einbetten. Der Anwendungsverkehr von 5G-Geräten erreicht Anwendungsserver, die in Wellenlängenzonen laufen, ohne das Telekommunikationsnetz zu verlassen. Folgendes erleichtert die Netzwerkkonnektivität über Wavelength:
+ **Virtuelle private Clouds (VPCs)** — AWS-Konto können VPCs sich über mehrere Availability Zones erstrecken, einschließlich Wellenlängenzonen. Amazon Elastic Compute Cloud (Amazon EC2) -Instances und zugehörige Services werden als Teil Ihrer regionalen VPC angezeigt. VPCs werden in [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) erstellt und verwaltet.
+ **Carrier-Gateway** — Ein Carrier-Gateway ermöglicht die Konnektivität vom Subnetz in der Wellenlängenzone zum CSP-Netzwerk, zum Internet oder AWS-Region über das Netzwerk des CSP. Das Carrier-Gateway dient zwei Zwecken. Es ermöglicht eingehenden Verkehr von einem CSP-Netzwerk an einem bestimmten Standort und ausgehenden Verkehr zum Telekommunikationsnetz und zum Internet.
Dieses Muster und der zugehörige Terraform-Code helfen Ihnen dabei, Ressourcen wie EC2 Amazon-Instances, Amazon Elastic Block Store (Amazon EBS) -Volumes VPCs, Subnetze und ein Carrier-Gateway in einer Wellenlängenzone zu starten.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Eine integrierte Entwicklungsumgebung (IDE)
+ [Wählen Sie die](https://docs.aws.amazon.com/wavelength/latest/developerguide/get-started-wavelength.html#enable-zone-group) Ziel-Wellenlängenzone aus
+ AWS Command Line Interface (AWS CLI), [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Terraform Version 1.8.4 oder höher, [installiert](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) (Terraform-Dokumentation)
+ [Terraform AWS Provider Version 5.32.1 oder höher, konfiguriert (Terraform-Dokumentation)](https://hashicorp.github.io/terraform-provider-aws/)
+ Git, [installiert](https://github.com/git-guides/install-git) (GitHub)
+ [Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) zum Erstellen von Amazon VPC-, Wavelength- und Amazon-Ressourcen EC2
**Einschränkungen**
Nicht alle AWS-Regionen unterstützen Wellenlängenzonen. Weitere Informationen finden Sie unter [Verfügbare Wellenlängenzonen](https://docs.aws.amazon.com/wavelength/latest/developerguide/available-wavelength-zones.html) in der Wellenlängen-Dokumentation.
## Architektur
Das folgende Diagramm zeigt, wie Sie ein Subnetz und AWS Ressourcen in einer Wellenlängenzone erstellen können. VPCs die ein Subnetz in einer Wellenlängenzone enthalten, können eine Verbindung zu einem Carrier-Gateway herstellen. Mit einem Carrier-Gateway können Sie eine Verbindung zu den folgenden Ressourcen herstellen:
+ 4G/LTE- und 5G-Geräte im Netzwerk des Telekommunikationsanbieters.
+ Fester drahtloser Zugang für ausgewählte Wavelength Zone-Partner. Weitere Informationen finden Sie unter [Multi-Access AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/multi-access.html).
+ Ausgehender Verkehr zu öffentlichen Internetressourcen.
![\[Ein Carrier-Gateway verbindet AWS-Ressourcen in der Wavelength Zone mit dem CSP-Netzwerk.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/8c507de1-208c-4563-bb58-52388ab2fa6d/images/a4cc0699-0cbc-4f15-ab14-3ae569ced7f4.png)
## Tools
**AWS-Services**
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.
+ [AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)erweitert die AWS Cloud Infrastruktur auf die 5G-Netzwerke von Telekommunikationsanbietern. Auf diese Weise können Sie Anwendungen entwickeln, die Mobilgeräten und Endbenutzern extrem niedrige Latenzen bieten.
**Andere Tools**
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
**Code-Repository**
Der Code für dieses Muster ist im Repository GitHub [Creating AWS Wavelength Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure) verfügbar. Der Terraform-Code stellt die folgende Infrastruktur und Ressourcen bereit:
+ Eine VPC
+ Eine Wellenlängenzone
+ Ein öffentliches Subnetz in der Wellenlängenzone
+ Ein Carrier-Gateway in der Wellenlängenzone
+ Eine EC2 Amazon-Instance in der Wavelength Zone
## Best Practices
+ Vergewissern Sie sich vor der Bereitstellung, dass Sie die neuesten Versionen von Terraform und dem verwenden. AWS CLI
+ Verwenden Sie eine CI/CD-Pipeline (Continuous Integration and Continuous Delivery), um IaC bereitzustellen. Weitere Informationen finden Sie in Blogs unter [Bewährte Methoden für die Verwaltung von Terraform State-Dateien in AWS](https://aws.amazon.com/blogs/devops/best-practices-for-managing-terraform-state-files-in-aws-ci-cd-pipeline/) der CI/CD-Pipeline. AWS
## Epen
### Stellen Sie die Infrastruktur bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Geben Sie den folgenden Befehl ein, um das Repository [Creating AWS Wavelength Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure) in Ihre Umgebung zu klonen.`git clone git@github.com:aws-samples/terraform-wavelength-infrastructure.git` | DevOps Ingenieur |
| Aktualisieren Sie die Variablen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps Ingenieur, Terraform |
| Initialisieren Sie die Konfiguration. | Geben Sie den folgenden Befehl ein, um das Arbeitsverzeichnis zu initialisieren.terraform init
| DevOps Ingenieur, Terraform |
| Sehen Sie sich eine Vorschau des Terraform-Plans an. | Geben Sie den folgenden Befehl ein, um den Zielstatus mit dem aktuellen Status Ihrer AWS Umgebung zu vergleichen. Dieser Befehl generiert eine Vorschau der Ressourcen, die konfiguriert werden.terraform plan
| DevOps Ingenieur, Terraform |
| Verifizieren und bereitstellen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps Ingenieur, Terraform |
### Validieren und bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie die Bereitstellung der Infrastruktur. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | AWS DevOps, DevOps Ingenieur |
| (Optional) Bereinigen Sie die Infrastruktur. | Wenn Sie alle Ressourcen löschen müssen, die von Terraform bereitgestellt wurden, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps Ingenieur, Terraform |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Konnektivität zu EC2 Amazon-Instances in der AWS-Region. | Weitere Informationen finden Sie unter [Problembehandlung bei der Verbindung mit Ihrer Linux-Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html) oder [Problembehandlung bei der Verbindung mit Ihrer Windows-Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/troubleshooting-windows-instances.html). |
| Konnektivität zu EC2 Amazon-Instances in der Wavelength Zone. | Weitere Informationen finden Sie unter [Fehlerbehebung bei der SSH- oder RDP-Konnektivität zu meinen EC2 Instances, die in einer Wellenlängenzone gestartet wurden](https://repost.aws/knowledge-center/ec2-wavelength-zone-connection-errors). |
| Kapazität in der Wellenlängenzone. | Siehe [Kontingente und Überlegungen für Wellenlängenzonen](https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-quotas.html). |
| Mobil- oder Mobilfunkanbieterkonnektivität vom Mobilfunknetz zum AWS-Region. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) |
## Zugehörige Ressourcen
+ [Was ist AWS Wavelength?](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)
+ [Wie AWS Wavelength funktioniert](https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html)
+ [Resilienz in AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/disaster-recovery-resiliency.html)
# Massenmigrieren von DNS-Einträgen in eine private gehostete Zone von Amazon Route 53
*Ram Kandaswamy, Amazon Web Services*
## Zusammenfassung
Netzwerktechniker und Cloud-Administratoren benötigen eine effiziente und einfache Möglichkeit, DNS-Einträge (Domain Name System) zu privaten Hosting-Zonen in Amazon Route 53 hinzuzufügen. Das manuelle Kopieren von Einträgen aus einem Microsoft Excel-Arbeitsblatt an die entsprechenden Stellen in der Route 53 53-Konsole ist mühsam und fehleranfällig. Dieses Muster beschreibt einen automatisierten Ansatz, der den Zeit- und Arbeitsaufwand für das Hinzufügen mehrerer Datensätze reduziert. Es bietet auch eine wiederholbare Reihe von Schritten für die Erstellung mehrerer gehosteter Zonen.
Dieses Muster verwendet Amazon Simple Storage Service (Amazon S3) zum Speichern von Datensätzen. Um effizient mit Daten zu arbeiten, verwendet das Muster aufgrund seiner Einfachheit und der Fähigkeit, ein Python-Wörterbuch (`dict`Datentyp) zu unterstützen, das JSON-Format.
**Anmerkung**
Wenn Sie eine Zonendatei von Ihrem System aus generieren können, sollten Sie stattdessen die [Route 53 53-Importfunktion](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) verwenden.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein Excel-Arbeitsblatt, das private, gehostete Zoneneinträge enthält
+ Vertrautheit mit verschiedenen Typen von DNS-Einträgen wie A-Eintrag, NAPTR-Datensatz (Name Authority Pointer) und SRV-Eintrag (siehe [Unterstützte DNS-Eintragstypen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html))
+ Vertrautheit mit der Sprache Python und ihren Bibliotheken
**Einschränkungen**
+ Das Muster deckt nicht alle Anwendungsszenarien umfassend ab. Beispielsweise [verwendet der Aufruf change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) nicht alle verfügbaren Eigenschaften der API.
+ Im Excel-Arbeitsblatt wird davon ausgegangen, dass der Wert in jeder Zeile eindeutig ist. Es wird erwartet, dass mehrere Werte für jeden vollqualifizierten Domänennamen (FQDN) in derselben Zeile erscheinen. Wenn das nicht der Fall ist, sollten Sie den in diesem Muster bereitgestellten Code ändern, um die erforderliche Verkettung durchzuführen.
+ Das Muster verwendet das AWS-SDK SDK for Python (Boto3), um den Route 53-Service direkt aufzurufen. Sie können den Code so erweitern, dass er einen CloudFormation AWS-Wrapper für die `update_stack` Befehle `create_stack` und verwendet und die JSON-Werte zum Auffüllen von Vorlagenressourcen verwenden.
## Architektur
**Technologie-Stack**
+ Route 53 private gehostete Zonen für die Weiterleitung des Datenverkehrs
+ Amazon S3 zum Speichern der JSON-Ausgabedatei
![\[Workflow für die Massenmigration von DNS-Einträgen in eine private gehostete Route 53 53-Zone.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/a81c29ea-f0c5-4d4a-ba87-93111a0f1ee9/images/2ada844b-4147-4f9f-8883-d22605aa42d8.png)
Der Workflow besteht aus den folgenden Schritten, wie im vorherigen Diagramm dargestellt und im Abschnitt *Epics* beschrieben:
1. Laden Sie ein Excel-Arbeitsblatt mit den Datensatzinformationen in einen S3-Bucket hoch.
1. Erstellen Sie ein Python-Skript, das die Excel-Daten in das JSON-Format konvertiert, und führen Sie es aus.
1. Lesen Sie die Datensätze aus dem S3-Bucket und bereinigen Sie die Daten.
1. Erstellen Sie Datensätze in Ihrer privaten gehosteten Zone.
## Tools
+ [Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) — Amazon Route 53 ist ein hochverfügbarer und skalierbarer DNS-Webservice, der die Domainregistrierung, das DNS-Routing und die Zustandsprüfung übernimmt.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) — Amazon Simple Storage Service (Amazon S3) ist ein Objektspeicherservice. Mit Amazon S3 können Sie jederzeit beliebige Mengen von Daten von überall aus im Internet speichern und aufrufen.
## Epen
### Bereiten Sie Daten für die Automatisierung vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Excel-Datei für Ihre Unterlagen. | Verwenden Sie die Datensätze, die Sie aus Ihrem aktuellen System exportiert haben, um ein Excel-Arbeitsblatt zu erstellen, das die erforderlichen Spalten für einen Datensatz enthält, z. B. den vollqualifizierten Domänennamen (FQDN), den Datensatztyp, die Gültigkeitsdauer (TTL) und den Wert. Bei NAPTR- und SRV-Datensätzen ist der Wert eine Kombination aus mehreren Eigenschaften. Verwenden Sie daher die `concat` Excel-Methode, um diese Eigenschaften zu kombinieren.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.html) | Dateningenieur, Excel-Kenntnisse |
| Überprüfen Sie die Arbeitsumgebung. | Erstellen Sie in Ihrer IDE eine Python-Datei, um das Excel-Eingabearbeitsblatt in das JSON-Format zu konvertieren. (Anstelle einer IDE können Sie auch ein SageMaker Amazon-Notebook verwenden, um mit Python-Code zu arbeiten.)Stellen Sie sicher, dass die von Ihnen verwendete Python-Version Version 3.7 oder höher ist. python3 --version
Installieren Sie das **Pandas-Paket**. pip3 install pandas --user
| Allgemeines AWS |
| Konvertiert die Excel-Arbeitsblattdaten in JSON. | Erstellen Sie eine Python-Datei, die den folgenden Code für die Konvertierung von Excel nach JSON enthält.import pandas as pd
data=pd.read_excel('./Book1.xls')
data.to_json(path_or_buf='my.json',orient='records')
wobei `Book1` der Name des Excel-Arbeitsblatts und der Name der JSON-Ausgabedatei `my.json` steht. | Dateningenieur, Python-Kenntnisse |
| Laden Sie die JSON-Datei in einen S3-Bucket hoch. | Laden Sie die Datei `my.json` zu einem S3-Bucket hoch. Weitere Informationen finden Sie unter [Bucket erstellen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) in der Amazon S3 S3-Dokumentation. | App-Developer |
| FqdnName | RecordType | Wert | TTL |
| something.example.org | A | 1.1.1.1 | 900 |
### Datensätze einfügen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine private gehostete Zone. | Verwenden Sie die API [create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) und den folgenden Python-Beispielcode, um eine private gehostete Zone zu erstellen. Ersetzen Sie die Parameter und `vpcId` durch `hostedZoneName` Ihre `vpcRegion` eigenen Werte.import boto3
import random
hostedZoneName ="xxx"
vpcRegion = "us-east-1"
vpcId="vpc-xxxx"
route53_client = boto3.client('route53')
response = route53_client.create_hosted_zone(
Name= hostedZoneName,
VPC={
'VPCRegion: vpcRegion,
'VPCId': vpcId
},
CallerReference=str(random.random()*100000),
HostedZoneConfig={
'Comment': "private hosted zone created by automation",
'PrivateZone': True
}
)
print(response)
Sie können auch ein IaC-Tool (Infrastructure as Code) wie AWS verwenden, CloudFormation um diese Schritte durch eine Vorlage zu ersetzen, die einen Stack mit den entsprechenden Ressourcen und Eigenschaften erstellt. | Cloud-Architekt, Netzwerkadministrator, Python-Kenntnisse |
| Rufen Sie Details als Wörterbuch von Amazon S3 ab. | Verwenden Sie den folgenden Code, um aus dem S3-Bucket zu lesen und die JSON-Werte als Python-Wörterbuch abzurufen. fileobj = s3_client.get_object(
Bucket=bucket_name,
Key='my.json'
)
filedata = fileobj['Body'].read()
contents = filedata.decode('utf-8')
json_content=json.loads(contents)
print(json_content)
wo `json_content` enthält das Python-Wörterbuch. | App-Entwickler, Python-Kenntnisse |
| Saubere Datenwerte für Leerzeichen und Unicode-Zeichen. | Verwenden Sie als Sicherheitsmaßnahme zur Sicherstellung der Richtigkeit der Daten den folgenden Code, um eine Operation mit den Werten in durchzuführen`json_content`. Dieser Code entfernt die Leerzeichen am Anfang und Ende jeder Zeichenfolge. Außerdem wird die `replace` Methode verwendet, um harte (geschützte) Leerzeichen (die `\xa0` Zeichen) zu entfernen.for item in json_content:
fqn_name = unicodedata.normalize("NFKD",item["FqdnName"].replace("u'", "'").replace('\xa0', '').strip())
rec_type = item["RecordType"].replace('\xa0', '').strip()
res_rec = {
'Value': item["Value"].replace('\xa0', '').strip()
}
| App-Entwickler, Python-Kenntnisse |
| Datensätze einfügen. | Verwenden Sie den folgenden Code als Teil der vorherigen `for` Schleife.change_response = route53_client.change_resource_record_sets(
HostedZoneId="xxxxxxxx",
ChangeBatch={
'Comment': 'Created by automation',
'Changes': [
{
'Action': 'UPSERT',
'ResourceRecordSet': {
'Name': fqn_name,
'Type': rec_type,
'TTL': item["TTL"],
'ResourceRecords': res_rec
}
}
]
}
)
Wo `xxxxxxx` ist die Hosting-Zonen-ID aus dem ersten Schritt dieses Epos? | App-Entwickler, Python-Kenntnisse |
## Zugehörige Ressourcen
**Referenzen**
+ [Erstellen von Datensätzen durch Import einer Zonendatei](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) (Amazon Route 53 53-Dokumentation)
+ [Methode create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) (Boto3-Dokumentation)
+ [Methode change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) (Boto3-Dokumentation)
**Anleitungen und Videos**
+ [Das Python-Tutorial](https://docs.python.org/3/tutorial/) (Python-Dokumentation)
+ [DNS-Design mit Amazon Route 53](https://www.youtube.com/watch?v=2y_RBjDkRgY) (YouTube Video, *AWS Online Tech Talks*)
# Ändern Sie HTTP-Header, wenn Sie von F5 zu einem Application Load Balancer auf AWS migrieren
*Sachin Trivedi, Amazon Web Services*
## Zusammenfassung
Wenn Sie eine Anwendung, die einen F5 Load Balancer verwendet, zu Amazon Web Services (AWS) migrieren und einen Application Load Balancer auf AWS verwenden möchten, ist die Migration von F5-Regeln für Header-Änderungen ein häufiges Problem. Ein Application Load Balancer unterstützt keine Header-Änderungen, aber Sie können Amazon CloudFront als Content Delivery Network (CDN) und Lambda @Edge verwenden, um Header zu ändern.
Dieses Muster beschreibt die erforderlichen Integrationen und bietet Beispielcode für die Header-Änderung mithilfe von AWS CloudFront und Lambda @Edge.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine lokale Anwendung, die einen F5-Load Balancer mit einer Konfiguration verwendet, die den HTTP-Header-Wert ersetzt durch `if, else` Weitere Informationen zu dieser Konfiguration finden Sie unter [HTTP: :header](https://clouddocs.f5.com/api/irules/HTTP__header.html) in der F5-Produktdokumentation.
**Einschränkungen**
+ Dieses Muster gilt für die Anpassung des F5-Load Balancer-Headers. Informationen zur Unterstützung anderer Load Balancer von Drittanbietern finden Sie in der Load Balancer-Dokumentation.
+ Die Lambda-Funktionen, die Sie für Lambda @Edge verwenden, müssen sich in der Region USA Ost (Nord-Virginia) befinden.
## Architektur
Das folgende Diagramm zeigt die Architektur auf AWS, einschließlich des Integrationsflusses zwischen dem CDN und anderen AWS-Komponenten.
![\[Architektur für Header-Modifikation mithilfe von Amazon CloudFront und Lambda @Edge\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/00abbe3c-2453-4291-9b24-b488dced4868/images/4ee9a19e-6da2-4c5a-a8bc-19d3918a166e.png)
## Tools
**AWS-Services**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) ─ Ein Application Load Balancer ist ein vollständig verwalteter AWS-Load-Balancing-Service, der auf der siebten Ebene des Open Systems Interconnection (OSI) -Modells funktioniert. Er verteilt den Datenverkehr auf mehrere Ziele und unterstützt erweiterte Routing-Anfragen, die auf HTTP-Headern und -Methoden, Abfragezeichenfolgen und host- oder pfadbasiertem Routing basieren.
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) — Amazon CloudFront ist ein Webservice, der die Verteilung Ihrer statischen und dynamischen Webinhalte wie .html-, .css-, .js- und Bilddateien an Ihre Benutzer beschleunigt. CloudFront stellt Ihre Inhalte über ein weltweites Netzwerk von Rechenzentren bereit, die als Edge-Standorte bezeichnet werden, um die Latenz zu verringern und die Leistung zu verbessern.
+ [Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html) ─ Lambda @Edge ist eine Erweiterung von AWS Lambda, mit der Sie Funktionen ausführen können, um den bereitgestellten Inhalt anzupassen. CloudFront Sie können Funktionen in der Region USA Ost (Nord-Virginia) erstellen und die Funktion dann einer CloudFront Distribution zuordnen, um Ihren Code automatisch auf der ganzen Welt zu replizieren, ohne Server bereitstellen oder verwalten zu müssen. Dies reduziert die Latenz und verbessert die Benutzererfahrung.
**Code**
Der folgende Beispielcode bietet einen Blueprint zum Ändern von CloudFront Antwort-Headern. Folgen Sie den Anweisungen im Abschnitt *Epics*, um den Code bereitzustellen.
```
exports.handler = async (event, context) => {
const response = event.Records[0].cf.response;
const headers = response.headers;
const headerNameSrc = 'content-security-policy';
const headerNameValue = '*.xyz.com';
if (headers[headerNameSrc.toLowerCase()]) {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
console.log(`Response header "${headerNameSrc}" was set to ` +
`"${headers[headerNameSrc.toLowerCase()][0].value}"`);
}
else {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
}
return response;
};
```
## Epen
### Erstellen Sie eine CDN-Distribution
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine CloudFront Webdistribution. | In diesem Schritt erstellen Sie eine CloudFront Verteilung, in der Sie angeben, von CloudFront wo aus Inhalte bereitgestellt werden sollen. Außerdem erfahren Sie, wie Sie die Inhaltsbereitstellung nachverfolgen und verwalten können.Um eine Verteilung mithilfe der Konsole zu erstellen, melden Sie sich bei der AWS-Managementkonsole an, öffnen Sie die [CloudFront Konsole](https://console.aws.amazon.com/cloudfront/v3/home) und folgen Sie dann den Schritten in der [CloudFront Dokumentation](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html). | Cloud-Administrator |
### Lambda @Edge -Funktion erstellen und bereitstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Lambda @Edge -Funktion und stellen Sie sie bereit. | Sie können eine Lambda @Edge -Funktion erstellen, indem Sie einen Blueprint zum Ändern von CloudFront Antwortheadern verwenden. (Andere BluePrints sind für verschiedene Anwendungsfälle verfügbar; weitere Informationen finden Sie in der CloudFront Dokumentation unter [Lambda @Edge -Beispielfunktionen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html).) Um eine Lambda @Edge -Funktion zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.html) | AWS-Administrator |
| Stellen Sie die Lambda @Edge -Funktion bereit. | Folgen Sie den Anweisungen in [Schritt 4](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html#lambda-edge-how-it-works-tutorial-add-trigger) des *Tutorials: Erstellen einer einfachen Lambda @Edge -Funktion* in der CloudFront Amazon-Dokumentation, um den CloudFront Trigger zu konfigurieren und die Funktion bereitzustellen. | AWS-Administrator |
## Zugehörige Ressourcen
**CloudFront Dokumentation**
+ [Anfrage- und Antwortverhalten für benutzerdefinierte Ursprünge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html)
+ [Mit Distributionen arbeiten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html)
+ [Lambda @Edge -Beispielfunktionen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html)
+ [Anpassung am Edge mit Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html)
+ [Tutorial: Eine einfache Lambda @Edge -Funktion erstellen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html)
# Erstellen Sie einen Bericht mit den Ergebnissen von Network Access Analyzer für eingehenden Internetzugang in mehreren AWS-Konten
*Mike Virgilio, Amazon Web Services*
## Zusammenfassung
Unbeabsichtigter eingehender Internetzugriff auf AWS Ressourcen kann Risiken für den Datenperimeter eines Unternehmens darstellen. [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) ist eine Funktion von Amazon Virtual Private Cloud (Amazon VPC), mit der Sie unbeabsichtigte Netzwerkzugriffe auf Ihre Ressourcen auf Amazon Web Services (AWS) identifizieren können. Sie können Network Access Analyzer verwenden, um Ihre Netzwerkzugriffsanforderungen zu spezifizieren und potenzielle Netzwerkpfade zu identifizieren, die Ihren angegebenen Anforderungen nicht entsprechen. Sie können Network Access Analyzer verwenden, um Folgendes zu tun:
1. Identifizieren Sie AWS Ressourcen, auf die über Internet-Gateways über das Internet zugegriffen werden kann.
1. Stellen Sie sicher, dass Ihre virtuellen privaten Clouds (VPCs) angemessen segmentiert sind, z. B. durch die Isolierung von Produktions- und Entwicklungsumgebungen und die Trennung von Transaktionsworkloads.
Network Access Analyzer analysiert die Bedingungen der end-to-end Netzwerkerreichbarkeit und nicht nur eine einzelne Komponente. Um festzustellen, ob eine Ressource über das Internet zugänglich ist, bewertet Network Access Analyzer das Internet-Gateway, VPC-Routentabellen, Netzwerkzugriffskontrolllisten (ACLs), öffentliche IP-Adressen auf elastischen Netzwerkschnittstellen und Sicherheitsgruppen. Wenn eine dieser Komponenten den Internetzugang verhindert, generiert Network Access Analyzer kein Ergebnis. Wenn eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance beispielsweise über eine offene Sicherheitsgruppe verfügt, die Datenverkehr zulässt, sich die Instance `0/0` aber in einem privaten Subnetz befindet, das von keinem Internet-Gateway aus routbar ist, würde Network Access Analyzer kein Ergebnis generieren. Dies liefert qualitativ hochwertige Ergebnisse, sodass Sie Ressourcen identifizieren können, auf die wirklich über das Internet zugegriffen werden kann.
Wenn Sie Network Access Analyzer ausführen, verwenden Sie [Network Access Scopes](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts), um Ihre Netzwerkzugriffsanforderungen zu spezifizieren. Diese Lösung identifiziert Netzwerkpfade zwischen einem Internet-Gateway und einer elastic network interface. Bei diesem Muster stellen Sie die Lösung in einer zentralen Umgebung Ihrer Organisation bereit, die von allen Konten AWS-Konto in der Organisation verwaltet wird AWS Organizations, und sie analysiert alle Konten in der Organisation. AWS-Region
Bei der Entwicklung dieser Lösung wurde Folgendes berücksichtigt:
+ Die AWS CloudFormation Vorlagen reduzieren den Aufwand, der für die Bereitstellung der AWS Ressourcen in diesem Muster erforderlich ist.
+ Sie können die Parameter in den CloudFormation Vorlagen und im Skript **naa-script.sh** zum Zeitpunkt der Bereitstellung anpassen, um sie an Ihre Umgebung anzupassen.
+ Bash-Scripting stellt automatisch die Network Access Scopes für mehrere Konten parallel bereit und analysiert sie.
+ Ein Python-Skript verarbeitet die Ergebnisse, extrahiert die Daten und konsolidiert dann die Ergebnisse. Sie können wählen, ob Sie den konsolidierten Bericht mit den Ergebnissen von Network Access Analyzer im CSV-Format oder in AWS Security Hub CSPMüberprüfen möchten. Ein Beispiel für den CSV-Bericht finden Sie im Abschnitt [Zusätzliche Informationen](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) dieses Musters.
+ Sie können Ergebnisse korrigieren oder sie von future Analysen ausschließen, indem Sie sie der Datei **naa-exclusions.csv** hinzufügen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein AWS-Konto zum Hosten von Sicherheitsdiensten und -tools, das als Mitgliedskonto einer Organisation in AWS Organizations verwaltet wird. In diesem Muster wird dieses Konto als Sicherheitskonto bezeichnet.
+ Im Sicherheitskonto müssen Sie über ein privates Subnetz mit ausgehendem Internetzugang verfügen. Anweisungen finden Sie unter [Erstellen eines Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) in der Amazon VPC-Dokumentation. Sie können den Internetzugang mithilfe eines [NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) oder eines [VPC-Schnittstellen-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) einrichten.
+ Zugriff auf das AWS Organizations Verwaltungskonto oder ein Konto, für das Administratorrechte delegiert wurden. CloudFormation Anweisungen finden Sie in der [Dokumentation unter Registrieren eines delegierten Administrators](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html). CloudFormation
+ Aktivieren Sie den vertrauenswürdigen Zugriff zwischen AWS Organizations und CloudFormation. Anweisungen finden Sie AWS Organizations in der CloudFormation Dokumentation unter [Vertrauenswürdigen Zugriff aktivieren mit](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html).
+ Wenn Sie die Ergebnisse auf Security Hub CSPM hochladen, muss Security Hub CSPM für das Konto und den AWS-Region Ort, an dem die Amazon-Instance bereitgestellt wird, aktiviert sein. EC2 Weitere Informationen finden Sie unter [Einrichten AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).
**Einschränkungen**
+ Kontoübergreifende Netzwerkpfade werden derzeit aufgrund von Einschränkungen der Network Access Analyzer-Funktion nicht analysiert.
+ Das Ziel AWS-Konten muss als Organisation in AWS Organizations verwaltet werden. **Wenn Sie das nicht verwenden AWS Organizations, können Sie die CloudFormation Vorlage **naa-execrole.yaml** und das Skript naa-script.sh für Ihre Umgebung aktualisieren.** Stattdessen geben Sie eine Liste der Regionen an, in denen Sie das AWS-Konto IDs Skript ausführen möchten.
+ Die CloudFormation Vorlage ist für die Bereitstellung der EC2 Amazon-Instance in einem privaten Subnetz mit ausgehendem Internetzugang konzipiert. Der AWS Systems Manager Agent (SSM-Agent) benötigt ausgehenden Zugriff, um den Systems Manager-Dienstendpunkt zu erreichen, und Sie benötigen ausgehenden Zugriff, um das Code-Repository zu klonen und Abhängigkeiten zu installieren. Wenn Sie ein öffentliches Subnetz verwenden möchten, müssen Sie die Vorlage **naa-resources.yaml** ändern, um der Amazon-Instance eine [Elastic IP-Adresse](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) zuzuordnen. EC2
## Architektur
**Zielarchitektur**
*Option 1: Auf Ergebnisse in einem Amazon S3 S3-Bucket zugreifen*
![\[Architekturdiagramm für den Zugriff auf den Network Access Analyzer-Ergebnisbericht in einem Amazon S3 S3-Bucket\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)
Das Diagramm zeigt den folgenden Prozess:
1. Wenn Sie die Lösung manuell ausführen, authentifiziert sich der Benutzer mit Session Manager bei der EC2 Amazon-Instance und führt dann das Skript **naa-script.sh** aus. Dieses Shell-Skript führt die Schritte 2—7 aus.
Wenn Sie die Lösung automatisch ausführen, wird das Skript **naa-script.sh** automatisch nach dem Zeitplan gestartet, den Sie im Cron-Ausdruck definiert haben. Dieses Shell-Skript führt die Schritte 2 bis 7 aus. Weitere Informationen finden Sie unter *Automatisierung und Skalierung* am Ende dieses Abschnitts.
1. Die EC2 Amazon-Instance lädt die neueste Datei **naa-exception.csv** aus dem Amazon S3-Bucket herunter. Diese Datei wird später im Prozess verwendet, wenn das Python-Skript die Ausnahmen verarbeitet.
1. Die EC2 Amazon-Instance übernimmt die Rolle `NAAEC2Role` AWS Identity and Access Management (IAM), die Berechtigungen für den Zugriff auf den Amazon S3-Bucket und für die Übernahme der `NAAExecRole` IAM-Rollen in den anderen Konten in der Organisation gewährt.
1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation und generiert eine Liste der Konten in der Organisation.
1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle in den Mitgliedskonten der Organisation (im Architekturdiagramm als *Workload-Konten* bezeichnet) und führt für jedes Konto eine Sicherheitsbewertung durch. Die Ergebnisse werden als JSON-Dateien auf der EC2 Amazon-Instance gespeichert.
1. Die EC2 Amazon-Instance verwendet ein Python-Skript, um die JSON-Dateien zu verarbeiten, die Datenfelder zu extrahieren und einen CSV-Bericht zu erstellen.
1. Die EC2 Amazon-Instance lädt die CSV-Datei in den Amazon S3-Bucket hoch.
1. Eine EventBridge Amazon-Regel erkennt den Datei-Upload und verwendet ein Amazon SNS-Thema, um eine E-Mail zu senden, die den Benutzer darüber informiert, dass der Bericht abgeschlossen ist.
1. Der Benutzer lädt die CSV-Datei aus dem Amazon S3 S3-Bucket herunter. Der Benutzer importiert die Ergebnisse in die Excel-Vorlage und überprüft die Ergebnisse.
*Option 2: Zugriff auf Ergebnisse in AWS Security Hub CSPM*
![\[Architekturdiagramm für den Zugriff auf die Ergebnisse von Network Access Analyzer über AWS Security Hub\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)
Das Diagramm zeigt den folgenden Prozess:
1. Wenn Sie die Lösung manuell ausführen, authentifiziert sich der Benutzer mit Session Manager bei der EC2 Amazon-Instance und führt dann das Skript **naa-script.sh** aus. Dieses Shell-Skript führt die Schritte 2—7 aus.
Wenn Sie die Lösung automatisch ausführen, wird das Skript **naa-script.sh** automatisch nach dem Zeitplan gestartet, den Sie im Cron-Ausdruck definiert haben. Dieses Shell-Skript führt die Schritte 2 bis 7 aus. Weitere Informationen finden Sie unter *Automatisierung und Skalierung* am Ende dieses Abschnitts.
1. Die EC2 Amazon-Instance lädt die neueste Datei **naa-exception.csv** aus dem Amazon S3-Bucket herunter. Diese Datei wird später im Prozess verwendet, wenn das Python-Skript die Ausnahmen verarbeitet.
1. Die EC2 Amazon-Instance übernimmt die `NAAEC2Role` IAM-Rolle, die Berechtigungen für den Zugriff auf den Amazon S3-Bucket und für die Übernahme der `NAAExecRole` IAM-Rollen in den anderen Konten in der Organisation gewährt.
1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation und generiert eine Liste der Konten in der Organisation.
1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle in den Mitgliedskonten der Organisation (im Architekturdiagramm als *Workload-Konten* bezeichnet) und führt für jedes Konto eine Sicherheitsbewertung durch. Die Ergebnisse werden als JSON-Dateien auf der EC2 Amazon-Instance gespeichert.
1. Die EC2 Amazon-Instance verwendet ein Python-Skript, um die JSON-Dateien zu verarbeiten und die Datenfelder für den Import in Security Hub CSPM zu extrahieren.
1. Die EC2 Amazon-Instance importiert die Ergebnisse von Network Access Analyzer in Security Hub CSPM.
1. Eine EventBridge Amazon-Regel erkennt den Import und verwendet ein Amazon SNS-Thema, um eine E-Mail zu senden, die den Benutzer darüber informiert, dass der Vorgang abgeschlossen ist.
1. Der Benutzer sieht sich die Ergebnisse in Security Hub CSPM an.
**Automatisierung und Skalierung**
Sie können diese Lösung so planen, dass das Skript **naa-script.sh** automatisch nach einem benutzerdefinierten Zeitplan ausgeführt wird. Um einen benutzerdefinierten Zeitplan festzulegen, ändern Sie in der CloudFormation Vorlage **naa-resources.yaml** den Parameter. `CronScheduleExpression` Der Standardwert von `0 0 * * 0` führt die Lösung beispielsweise jeden Sonntag um Mitternacht aus. Ein Wert von `0 0 * 1-12 0` würde die Lösung jeden ersten Sonntag im Monat um Mitternacht ausführen. Weitere Informationen zur Verwendung von Cron-Ausdrücken finden Sie unter [Cron- und Rate-Ausdrücke](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) in der Systems Manager Manager-Dokumentation.
Wenn Sie den Zeitplan nach der Bereitstellung des `NAA-Resources` Stacks anpassen möchten, können Sie den Cron-Zeitplan unter manuell bearbeiten. `/etc/cron.d/naa-schedule`
## Tools
**AWS-Services**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) bietet skalierbare Rechenkapazität in der AWS Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)bietet einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS. Es hilft Ihnen auch dabei, Ihre AWS Umgebung anhand der Sicherheitsstandards und bewährten Verfahren der Branche zu überprüfen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)hilft Ihnen bei der Verwaltung Ihrer Anwendungen und Infrastruktur, die in der AWS Cloud ausgeführt werden. Es vereinfacht das Anwendungs- und Ressourcenmanagement, verkürzt die Zeit für die Erkennung und Lösung betrieblicher Probleme und hilft Ihnen, Ihre AWS Ressourcen sicher und in großem Umfang zu verwalten. Dieses Muster verwendet Session Manager, eine Funktion von Systems Manager.
**Code-Repository**
Der Code für dieses Muster ist im GitHub [Network Access Analyzer Multi-Account Analysis-Repository](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis) verfügbar. Das Code-Repository enthält die folgenden Dateien:
+ **naa-script.sh** — Dieses Bash-Skript wird verwendet, um eine Network Access Analyzer-Analyse mehrerer AWS-Konten parallel zu starten. Wie in der CloudFormation Vorlage **naa-resources.yaml** definiert, wird dieses Skript automatisch im `/usr/local/naa` Ordner auf der Amazon-Instance bereitgestellt. EC2
+ **naa-resources.yaml** — Sie verwenden diese CloudFormation Vorlage, um einen Stack im Sicherheitskonto der Organisation zu erstellen. Diese Vorlage stellt alle erforderlichen Ressourcen für dieses Konto bereit, um die Lösung zu unterstützen. Dieser Stack muss vor der Vorlage **naa-execrole.yaml** bereitgestellt werden.
**Anmerkung**
Wenn dieser Stack gelöscht und erneut bereitgestellt wird, müssen Sie den `NAAExecRole` Stacksatz neu erstellen, um die kontenübergreifenden Abhängigkeiten zwischen den IAM-Rollen wiederherzustellen.
+ **naa-execrole.yaml** — Sie verwenden diese CloudFormation Vorlage, um ein Stack-Set zu erstellen, das die `NAAExecRole` IAM-Rolle in allen Konten der Organisation, einschließlich des Verwaltungskontos, bereitstellt.
+ **naa-processfindings.py** — Das Skript **naa-script.sh** ruft dieses Python-Skript automatisch auf, um die JSON-Ausgaben von Network Access Analyzer zu verarbeiten, alle zweifelsfrei funktionierenden Ressourcen in der Datei **naa-exclusions.csv** auszuschließen und dann entweder eine CSV-Datei mit den konsolidierten Ergebnissen zu generieren oder die Ergebnisse in Security Hub CSPM zu importieren.
## Epen
### Bereite dich auf den Einsatz vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Code-Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Überprüfen Sie die Vorlagen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Erstellen Sie die CloudFormation Stapel
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie Ressourcen im Sicherheitskonto bereit. | Mithilfe der Vorlage **naa-resources.yaml** erstellen Sie einen CloudFormation Stack, der alle erforderlichen Ressourcen im Sicherheitskonto bereitstellt. Anweisungen finden Sie in der Dokumentation unter [Einen Stack erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). CloudFormation Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Stellen Sie die IAM-Rolle in den Mitgliedskonten bereit. | Verwenden Sie im AWS Organizations Verwaltungskonto oder einem Konto mit delegierten Administratorrechten für die Vorlage **naa-execrole.yaml CloudFormation**, um ein Stack-Set zu erstellen. CloudFormation Das Stack-Set stellt die `NAAExecRole` IAM-Rolle in allen Mitgliedskonten der Organisation bereit. Anweisungen finden Sie in der Dokumentation unter [Erstellen eines Stack-Sets mit vom Service verwalteten Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org). CloudFormation Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Stellen Sie die IAM-Rolle im Verwaltungskonto bereit. | Mithilfe der Vorlage **naa-execrole.yaml** erstellen Sie einen CloudFormation Stack, der die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation bereitstellt. Das Stack-Set, das Sie zuvor erstellt haben, stellt die IAM-Rolle nicht im Verwaltungskonto bereit. Anweisungen finden Sie in der CloudFormation Dokumentation unter [Einen Stack erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Führen Sie die Analyse durch
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Passen Sie das Shell-Skript an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Analysieren Sie die Zielkonten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Option 1 — Rufen Sie die Ergebnisse aus dem Amazon S3 S3-Bucket ab. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Option 2 — Überprüfen Sie die Ergebnisse in Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Ergebnisse korrigieren und ausschließen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Korrigieren Sie die Ergebnisse. | Korrigieren Sie alle Ergebnisse, die Sie korrigieren möchten. Weitere Informationen und bewährte Methoden zur Einrichtung eines Perimeters rund um Ihre AWS Identitäten, Ressourcen und Netzwerke finden Sie unter [Building a data perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (Whitepaper).AWS | AWS DevOps |
| Schließen Sie Ressourcen mit zweifelsfrei funktionierenden Netzwerkpfaden aus. | Wenn Network Access Analyzer Ergebnisse für Ressourcen generiert, auf die über das Internet zugegriffen werden sollte, können Sie diese Ressourcen zu einer Ausschlussliste hinzufügen. Wenn Network Access Analyzer das nächste Mal ausgeführt wird, wird kein Ergebnis für diese Ressource generiert.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Optional) Aktualisieren Sie das Skript naa-script.sh
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Aktualisieren Sie das Skript naa-script.sh. | Wenn Sie das Skript **naa-script.sh** auf die neueste Version im Repository aktualisieren möchten, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Optional) Bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie alle bereitgestellten Ressourcen. | Sie können die bereitgestellten Ressourcen in den Konten belassen.Wenn Sie die Bereitstellung aller Ressourcen aufheben möchten, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Es konnte keine Verbindung mit der EC2 Amazon-Instance mithilfe des Sitzungsmanagers hergestellt werden. | Der SSM-Agent muss in der Lage sein, mit dem Systems Manager Manager-Endpunkt zu kommunizieren. Gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) |
| Bei der Bereitstellung des Stack-Sets werden Sie von der CloudFormation Konsole dazu aufgefordert. `Enable trusted access with AWS Organizations to use service-managed permissions` | Dies weist darauf hin, dass der vertrauenswürdige Zugriff zwischen AWS Organizations und CloudFormation nicht aktiviert wurde. Für die Bereitstellung des vom Service verwalteten Stack-Sets ist ein vertrauenswürdiger Zugriff erforderlich. Wählen Sie die Schaltfläche, um den vertrauenswürdigen Zugriff zu aktivieren. Weitere Informationen finden Sie in der CloudFormation Dokumentation unter [Vertrauenswürdigen Zugriff aktivieren](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html). |
## Zugehörige Ressourcen
+ [Neu — Amazon VPC Network Access Analyzer](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/) (AWS Blogbeitrag)
+ [AWS re:INFORCE 2022 — Validieren Sie effektive Netzwerkzugriffskontrollen auf AWS (NIS202) (Video)](https://youtu.be/aN2P2zeQek0)
+ [Demo — Unternehmensweite Analyse von eingehenden Internetdaten mithilfe des Network Access Analyzer](https://youtu.be/1IFNZWy4iy0) (Video)
## Zusätzliche Informationen
**Beispiel für eine Konsolenausgabe**
Das folgende Beispiel zeigt die Ausgabe der Generierung der Liste der Zielkonten und der Analyse der Zielkonten.
```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa--us-east-1/naa-exclusions.csv to ./naa-exclusions.csv
AWS Management Account:
AWS Accounts being processed...
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```
**Beispiele für CSV-Berichte**
Die folgenden Bilder sind Beispiele für die CSV-Ausgabe.
![\[Beispiel 1 des mit dieser Lösung generierten CSV-Berichts.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)
![\[Beispiel 2 des mit dieser Lösung generierten CSV-Berichts.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)
# Richten Sie die DNS-Auflösung für Hybridnetzwerke in einer Umgebung mit mehreren Konten AWS ein
*Anvesh Koganti, Amazon Web Services*
## Zusammenfassung
Dieses Muster bietet eine umfassende Lösung für die Einrichtung der DNS-Auflösung in hybriden Netzwerkumgebungen, die mehrere Amazon Web Services (AWS) -Konten umfassen. Es ermöglicht die bidirektionale DNS-Auflösung zwischen lokalen Netzwerken und der AWS Umgebung über Amazon Route 53 Resolver Endpunkte. Das Muster bietet zwei Lösungen, um die DNS-Auflösung in einer zentralisierten Architektur mit [mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html#multi-account-centralized) zu ermöglichen:
+ Bei der *Grundkonfiguration* werden keine Route 53 53-Profile verwendet. Es hilft, die Kosten für kleine bis mittlere Bereitstellungen mit geringerer Komplexität zu optimieren.
+ Das *erweiterte Setup* verwendet Route 53 53-Profile, um den Betrieb zu vereinfachen. Es eignet sich am besten für größere oder komplexere DNS-Bereitstellungen.
**Anmerkung**
Informieren Sie sich vor der Implementierung im Abschnitt *Einschränkungen* über Diensteinschränkungen und Kontingente. Berücksichtigen Sie bei Ihrer Entscheidung Faktoren wie Verwaltungsaufwand, Kosten, betriebliche Komplexität und Teamkompetenz.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine Umgebung mit AWS mehreren Konten mit Amazon Virtual Private Cloud (Amazon VPC), die für Shared Services- und Workload-Konten bereitgestellt wird (vorzugsweise über [AWS Control Tower eingerichtet, wobei AWS bewährte Methoden für die Kontostruktur befolgt werden](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)).
+ Bestehende hybride Konnektivität (AWS Direct Connect oder AWS Site-to-Site VPN) zwischen Ihrem lokalen Netzwerk und der Umgebung. AWS
+ Amazon VPC-Peering oder AWS Cloud WAN für Layer-3-Netzwerkkonnektivität zwischen. AWS Transit Gateway VPCs (Diese Konnektivität ist für den Anwendungsdatenverkehr erforderlich. Sie ist nicht erforderlich, damit die DNS-Auflösung funktioniert. Die DNS-Auflösung funktioniert unabhängig von der Netzwerkkonnektivität zwischen den VPCs.)
+ DNS-Server, die in der lokalen Umgebung ausgeführt werden.
**Einschränkungen**
+ Die Endpunkte, Regeln und Profile von Route 53 Resolver sind regionale Konstrukte und erfordern für globale Organisationen möglicherweise mehrere AWS-Regionen Replikationen.
+ Eine umfassende Liste der Dienstkontingente für Route 53 Resolver, private gehostete Zonen und Profile finden Sie in der Route 53-Dokumentation unter [Kontingente](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DNSLimitations.html).
## Architektur
**Zieltechnologie-Stack**
+ Routet 53 ausgehende und eingehende Endpunkte
+ Route 53 Resolver-Regeln für die bedingte Weiterleitung
+ AWS Resource Access Manager (AWS RAM)
+ Private gehostete Zone von Route 53
**Zielarchitektur**
**Endpunkte für ausgehenden und eingehenden Datenverkehr**
Das folgende Diagramm zeigt den DNS-Auflösungsfluss von AWS zu vor Ort. Dies ist das Konnektivitäts-Setup für ausgehende Auflösungen, bei denen die Domäne lokal gehostet wird. Im Folgenden finden Sie einen allgemeinen Überblick über den Prozess, der bei der Einrichtung erforderlich ist. Einzelheiten finden Sie im Abschnitt [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Stellen Sie ausgehende Route 53-Resolver-Endpunkte in der Shared Services-VPC bereit.
1. Erstellen Sie Route 53 Resolver-Regeln (Weiterleitungsregeln) im Shared Services-Konto für Domänen, die lokal gehostet werden.
1. Teilen und verknüpfen Sie die Regeln mit VPCs anderen Konten, die Ressourcen hosten, die für die Auflösung lokal gehosteter Domänen erforderlich sind. Dies kann je nach Anwendungsfall auf unterschiedliche Weise geschehen, wie später in diesem Abschnitt beschrieben wird.
![\[Eingehende und ausgehende Endpunkte in einem DNS-Auflösungsfluss von AWS zum lokalen Standort.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/d69d4cad-5e2c-4481-9370-2708e8a4f8c1.png)
Nachdem Sie die Konnektivität eingerichtet haben, sind die folgenden Schritte für die Lösung ausgehender Nachrichten erforderlich:
1. Die Amazon Elastic Compute Cloud (Amazon EC2) -Instance sendet eine DNS-Auflösungsanfrage `db.onprem.example.com` an den Route 53-Resolver der VPC an der VPC\$12-Adresse.
1. Route 53 Resolver überprüft die Resolver-Regeln und leitet die Anfrage mithilfe des ausgehenden Endpunkts an den lokalen DNS-Server weiter. IPs
1. Der ausgehende Endpunkt leitet die Anfrage an den lokalen DNS weiter. IPs Der Datenverkehr wird über die etablierte hybride Netzwerkkonnektivität zwischen der Shared Services-VPC und dem lokalen Rechenzentrum übertragen.
1. Der lokale DNS-Server antwortet auf den ausgehenden Endpunkt, der die Antwort dann zurück an den Route 53-Resolver der VPC weiterleitet. Der Resolver gibt die Antwort an die Instanz zurück. EC2
Das nächste Diagramm zeigt den DNS-Auflösungsfluss von der lokalen Umgebung zur. AWS Dies ist das Konnektivitäts-Setup für eingehende Auflösungen, auf denen die Domain gehostet wird. AWS Hier finden Sie einen allgemeinen Überblick über den Prozess, der bei der Einrichtung erforderlich ist. Einzelheiten finden Sie im Abschnitt [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Stellen Sie Resolver-Endpoints für eingehende Anfragen in der Shared Services-VPC bereit.
1. Erstellen Sie private gehostete Zonen im Shared Services-Konto (zentralisierter Ansatz).
1. Ordnen Sie die privat gehosteten Zonen der Shared Services-VPC zu. Teilen Sie diese Zonen und ordnen Sie sie VPCs für die VPC-to-VPC DNS-Auflösung kontoübergreifend zu. Dies kann je nach Anwendungsfall auf unterschiedliche Weise geschehen, wie später in diesem Abschnitt beschrieben wird.
![\[Eingehende und ausgehende Endpunkte in einem lokalen DNS-Auflösungsfluss zu AWS.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/a6f5348c-2041-453e-8939-2b4ee0b7ebd8.png)
Nachdem Sie die Konnektivität eingerichtet haben, sind die folgenden Schritte für die Auflösung eingehender E-Mails erforderlich:
1. Die lokale Ressource sendet eine DNS-Auflösungsanforderung für `ec2.prod.aws.example.com` an den lokalen DNS-Server.
1. Der lokale DNS-Server leitet die Anfrage über die hybride Netzwerkverbindung an den eingehenden Resolver-Endpunkt in der Shared Services-VPC weiter.
1. Der eingehende Resolver-Endpunkt sucht mithilfe des VPC Route 53 Resolvers nach der Anfrage in der zugehörigen privaten gehosteten Zone und erhält die entsprechende IP-Adresse.
1. Diese IP-Adressen werden an den lokalen DNS-Server zurückgesendet, der die Antwort an die lokale Ressource zurückgibt.
Diese Konfiguration ermöglicht es lokalen Ressourcen, AWS private Domainnamen aufzulösen, indem sie Abfragen über die eingehenden Endpunkte an die entsprechende private gehostete Zone weiterleiten. In dieser Architektur sind private gehostete Zonen in einer Shared Services-VPC zentralisiert, was eine zentrale DNS-Verwaltung durch ein einzelnes Team ermöglicht. Diese Zonen können vielen Zonen zugeordnet werden VPCs , um den Anwendungsfall der VPC-to-VPC DNS-Auflösung zu lösen. Alternativ können Sie den Besitz und die Verwaltung der DNS-Domäne an beide delegieren. AWS-Konto In diesem Fall verwaltet jedes Konto seine eigenen privaten gehosteten Zonen und ordnet jede Zone der zentralen Shared Services-VPC zu, um eine einheitliche Lösung mit der lokalen Umgebung zu erreichen. Dieser dezentrale Ansatz würde den Rahmen dieses Musters sprengen. Weitere Informationen finden Sie unter [Skalierung der DNS-Verwaltung auf mehrere Konten und VPCs](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html) im Whitepaper *Hybrid Cloud DNS-Optionen für Amazon VPC*.
Wenn Sie die grundlegenden DNS-Auflösungsabläufe mithilfe von Resolver-Endpunkten einrichten, müssen Sie festlegen, wie Sie die gemeinsame Nutzung und Zuordnung von Resolver-Regeln und privaten Hosting-Zonen in Ihrem System verwalten. AWS-Konten Sie können dies auf zwei Arten angehen: durch selbstverwaltetes Teilen, indem AWS RAM Sie Resolver-Regeln und direkte private Hosting-Zonenzuordnungen verwenden, wie im Abschnitt *Grundeinstellungen* beschrieben, oder über Route 53 53-Profile, wie im Abschnitt *Erweiterte Konfiguration* beschrieben. Die Wahl hängt von den DNS-Verwaltungseinstellungen und den betrieblichen Anforderungen Ihres Unternehmens ab. Die folgenden Architekturdiagramme veranschaulichen eine skalierte Umgebung, die mehrere VPCs verschiedene Konten umfasst, was einer typischen Unternehmensumgebung entspricht.
**Grundlegende Einrichtung**
In der Grundkonfiguration werden bei der Implementierung der Hybrid-DNS-Auflösung in einer AWS Umgebung mit mehreren Konten Resolver-Weiterleitungsregeln und private Hosting-Zonenzuordnungen gemeinsam genutzt AWS RAM , um DNS-Abfragen zwischen lokalen Standorten und Ressourcen zu verwalten. AWS Bei dieser Methode werden zentralisierte Route 53 Resolver-Endpunkte in einer Shared Services-VPC verwendet, die mit Ihrem lokalen Netzwerk verbunden ist, um sowohl eingehende als auch ausgehende DNS-Auflösungen effizient zu handhaben.
+ Für die Auflösung ausgehender Nachrichten werden Resolver-Weiterleitungsregeln im Shared Services-Konto erstellt und dann mit anderen Benutzern gemeinsam genutzt. AWS-Konten AWS RAM Diese gemeinsame Nutzung ist auf Konten innerhalb derselben Region beschränkt. Die Zielkonten können diese Regeln dann ihren eigenen zuordnen VPCs und den Ressourcen in diesen Regeln ermöglichen VPCs , lokale Domainnamen aufzulösen.
+ Für die Auflösung eingehender Nachrichten werden private Hosting-Zonen im Shared Services-Konto erstellt und der Shared Services-VPC zugeordnet. Diese Zonen können dann mithilfe VPCs der Route 53-API oder der AWS Command Line Interface ()AWS CLI anderen Konten zugeordnet werden. AWS SDKs Die zugewiesenen Ressourcen VPCs können dann DNS-Einträge auflösen, die in den privaten gehosteten Zonen definiert sind, wodurch eine einheitliche DNS-Ansicht in Ihrer gesamten AWS Umgebung entsteht.
Das folgende Diagramm zeigt die DNS-Auflösungsflüsse in dieser Basiskonfiguration.
![\[Verwendung der Basiskonfiguration für die Hybrid-DNS-Auflösung in einer AWS-Umgebung mit mehreren Konten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/258e4bcd-e9c6-43b5-bab8-856ca22206b9.png)
Dieses Setup funktioniert gut, wenn Sie in begrenztem Umfang mit einer DNS-Infrastruktur arbeiten. Die Verwaltung kann jedoch schwierig werden, wenn Ihre Umgebung wächst. Der betriebliche Aufwand für die Verwaltung der gemeinsamen Nutzung und Zuordnung von Regeln für private gehostete Zonen und Resolver nimmt mit VPCs der Skalierung erheblich zu. Darüber hinaus können Dienstkontingente wie das Zuweisungslimit von 300 VPC pro privat gehosteter Zone bei groß angelegten Bereitstellungen zu einschränkenden Faktoren werden. Das verbesserte Setup bewältigt diese Herausforderungen.
**Verbessertes Setup**
Route 53 53-Profile bieten eine optimierte Lösung für die Verwaltung der DNS-Auflösung in hybriden Netzwerken über mehrere AWS-Konten Netzwerke hinweg. Anstatt private Hosting-Zonen und Resolver-Regeln einzeln zu verwalten, können Sie DNS-Konfigurationen in einem einzigen Container gruppieren, der problemlos gemeinsam genutzt und auf mehrere Konten in einer VPCs Region angewendet werden kann. Dieses Setup behält die zentralisierte Resolver-Endpunktarchitektur in einer Shared Services-VPC bei und vereinfacht gleichzeitig die Verwaltung von DNS-Konfigurationen erheblich.
Das folgende Diagramm zeigt DNS-Auflösungsflüsse in einer erweiterten Konfiguration.
![\[Verwendung eines erweiterten Setups mit Route 53 53-Profilen für die hybride DNS-Auflösung in einer AWS-Umgebung mit mehreren Konten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/55b9681d-ddb4-4a55-b4ec-fc9afa9870fa.png)
Mit Route 53 53-Profilen können Sie private Hosting-Zonenzuordnungen, Resolver-Weiterleitungsregeln und DNS-Firewallregeln in einer einzigen, gemeinsam nutzbaren Einheit zusammenfassen. Sie können Profile im Shared Services-Konto erstellen und sie mit Mitgliedskonten teilen, indem Sie AWS RAM Wenn ein Profil geteilt und auf Target angewendet wird VPCs, werden alle erforderlichen Verknüpfungen und Konfigurationen automatisch vom Dienst verarbeitet. Dadurch wird der betriebliche Aufwand für die DNS-Verwaltung erheblich reduziert und eine hervorragende Skalierbarkeit für wachsende Umgebungen gewährleistet.
**Automatisierung und Skalierung**
Verwenden Sie Infrastructure-as-Code-Tools (IaC) wie CloudFormation oder Terraform, um Route 53 Resolver-Endpunkte, Regeln, private gehostete Zonen und Profile automatisch bereitzustellen und zu verwalten. Integrieren Sie die DNS-Konfiguration in CI/CD-Pipelines (Continuous Integration and Continuous Delivery), um Konsistenz, Wiederholbarkeit und schnelle Updates zu gewährleisten.
## Tools
**AWS-Services**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) hilft Ihnen dabei, Ihre Ressourcen sicher gemeinsam zu nutzen, um den betrieblichen Aufwand AWS-Konten zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)reagiert rekursiv auf DNS-Abfragen von AWS Ressourcen und ist standardmäßig in allen verfügbar. VPCs Sie können Resolver-Endpunkte und Regeln für bedingte Weiterleitungen erstellen, um DNS-Namespaces zwischen Ihrem lokalen Rechenzentrum und Ihrem aufzulösen. VPCs
+ Die [private gehostete Zone von Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) ist ein Container, der Informationen darüber enthält, wie Route 53 auf DNS-Anfragen für eine Domain und deren Subdomains reagieren soll.
+ Mit [Amazon Route 53 53-Profilen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) können Sie DNS-bezogene Route 53-Konfigurationen für viele VPCs und unterschiedliche AWS-Konten Konfigurationen auf vereinfachte Weise anwenden und verwalten.
## Best Practices
Dieser Abschnitt enthält einige der bewährten Methoden zur Optimierung von Route 53 Resolver. Diese stellen einen Teil der bewährten Methoden für Route 53 dar. Eine umfassende Liste finden Sie unter [Bewährte Methoden für Amazon Route 53.](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices.html)
**Vermeiden Sie Loop-Konfigurationen mit Resolver-Endpunkten**
+ Entwerfen Sie Ihre DNS-Architektur so, dass rekursives Routing verhindert wird, indem Sie VPC-Zuordnungen sorgfältig planen. Wenn eine VPC einen eingehenden Endpunkt hostet, vermeiden Sie es, ihn mit Resolver-Regeln zu verknüpfen, die Zirkelverweise erzeugen könnten.
+ Verwenden Sie diese AWS RAM Option strategisch, wenn Sie DNS-Ressourcen für mehrere Konten gemeinsam nutzen, um saubere Routingpfade aufrechtzuerhalten.
Weitere Informationen finden Sie in der Route 53-Dokumentation unter [Vermeiden von Schleifenkonfigurationen mit Resolver-Endpunkten](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoints.html).
**Skalieren Sie Resolver-Endpunkte**
+ Beachten Sie bei Umgebungen, die eine hohe Anzahl von Abfragen pro Sekunde (QPS) erfordern, dass auf einem Endpunkt ein Limit von 10.000 QPS pro ENI gilt. Einem Endpunkt ENIs können weitere hinzugefügt werden, um DNS QPS zu skalieren.
+ Amazon CloudWatch stellt `InboundQueryVolume` `OutboundQueryVolume` Metriken zur Verfügung (siehe [CloudWatch Dokumentation](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html)). Wir empfehlen Ihnen, Überwachungsregeln einzurichten, die Sie benachrichtigen, wenn der Schwellenwert einen bestimmten Wert überschreitet (z. B. 80 Prozent von 10.000 QPS).
+ Konfigurieren Sie statusbehaftete Sicherheitsgruppenregeln für Resolver-Endpunkte, um zu verhindern, dass Grenzwerte für die Verbindungsverfolgung bei hohem Datenvolumen zu einer Drosselung von DNS-Abfragen führen. Weitere Informationen darüber, wie die Verbindungsverfolgung in Sicherheitsgruppen funktioniert, finden Sie unter [Amazon EC2 Security Group Connection Tracking](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) in der EC2 Amazon-Dokumentation.
Weitere Informationen finden Sie unter [Resolver Endpoint Scaling](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-scaling.html) in der Route 53-Dokumentation.
**Stellen Sie eine hohe Verfügbarkeit für Resolver-Endpunkte bereit**
+ Erstellen Sie aus Redundanzgründen eingehende Endpunkte mit IP-Adressen in mindestens zwei Availability Zones.
+ Stellen Sie zusätzliche Netzwerkschnittstellen bereit, um die Verfügbarkeit bei Wartungsarbeiten oder bei hohem Datenaufkommen sicherzustellen.
Weitere Informationen finden Sie unter [Hochverfügbarkeit für Resolver-Endpunkte](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html) in der Route 53-Dokumentation.
## Epen
### Stellen Sie Route 53 Resolver-Endpunkte bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie einen Endpunkt für eingehenden Datenverkehr bereit. | Route 53 Resolver verwendet den eingehenden Endpunkt, um DNS-Anfragen von lokalen DNS-Resolvern zu empfangen. Anweisungen finden Sie in der Route 53-Dokumentation unter [Weiterleiten eingehender DNS-Abfragen VPCs an Ihren](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html). Notieren Sie sich die IP-Adresse des eingehenden Endpunkts. | AWS-Administrator, Cloud-Administrator |
| Stellen Sie einen ausgehenden Endpunkt bereit. | Route 53 Resolver verwendet den ausgehenden Endpunkt, um DNS-Abfragen an lokale DNS-Resolver zu senden. Anweisungen finden Sie in der Route 53-Dokumentation unter [Weiterleiten ausgehender DNS-Abfragen an Ihr Netzwerk](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html). Notieren Sie sich die ID des Ausgabeendpunkts. | AWS-Administrator, Cloud-Administrator |
### Private Hosting-Zonen von Route 53 konfigurieren und gemeinsam nutzen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine private Hosting-Zone für eine Domain, die auf gehostet wird AWS. | Diese Zone enthält die DNS-Einträge für Ressourcen in einer AWS-gehosteten Domäne (z. B.`prod.aws.example.com`), die von der lokalen Umgebung aus aufgelöst werden sollten. Anweisungen finden Sie in der Route 53-Dokumentation unter [Erstellen einer privaten gehosteten Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).Wenn Sie eine private gehostete Zone erstellen, müssen Sie der Hosting-Zone, die demselben Konto gehört, eine VPC zuordnen. Wählen Sie die Shared Services-VPC für diesen Zweck aus. | AWS-Administrator, Cloud-Administrator |
| Grundlegende Einrichtung: Ordnen Sie die privat gehostete VPCs Zone anderen Konten zu. | Wenn Sie die Basiskonfiguration verwenden (siehe Abschnitt [Architektur](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):Damit Ressourcen im Mitgliedskonto VPCs DNS-Einträge in dieser privaten Hosting-Zone auflösen können, müssen Sie Ihre VPCs mit der Hosting-Zone verknüpfen. Sie müssen die Zuordnung autorisieren und die Zuordnung dann programmgesteuert vornehmen. Anweisungen finden Sie in der Route 53-Dokumentation unter [Zuordnen einer Amazon-VPC und einer privaten gehosteten Zone, die Sie mit different AWS-Konten erstellt haben](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html). | AWS-Administrator, Cloud-Administrator |
| Verbessertes Setup: Konfiguration und gemeinsame Nutzung von Route 53 53-Profilen. | Wenn Sie das erweiterte Setup verwenden (siehe Abschnitt [Architektur](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Je nach Struktur und DNS-Anforderungen Ihrer Organisation müssen Sie möglicherweise mehrere Profile für unterschiedliche Konten oder Workloads erstellen und verwalten. | AWS-Administrator, Cloud-Administrator |
### Konfigurieren und teilen Sie die Route 53 Resolver-Weiterleitungsregeln
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Weiterleitungsregel für eine Domain, die lokal gehostet wird. | Diese Regel weist Route 53 Resolver an, alle DNS-Abfragen für lokale Domänen (z. B.`onprem.example.com`) an lokale DNS-Resolver weiterzuleiten. Um diese Regel zu erstellen, benötigen Sie die IP-Adressen der lokalen DNS-Resolver und die ausgehende Endpunkt-ID. Anweisungen finden Sie in der Route 53-Dokumentation unter [Erstellen von Weiterleitungsregeln](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-creating-rules.html). | AWS-Administrator, Cloud-Administrator |
| Grundlegende Einrichtung: Teilen Sie die Weiterleitungsregel und verknüpfen Sie sie mit Ihren Konten VPCs in anderen Konten. | Wenn du die Basiskonfiguration verwendest:Damit die Weiterleitungsregel wirksam wird, müssen Sie die Regel mit Ihren VPCs anderen Konten teilen und sie mit ihnen verknüpfen. Route 53 Resolver berücksichtigt die Regel dann bei der Auflösung einer Domäne. Anweisungen finden Sie unter [Resolver-Regeln mit anderen teilen AWS-Konten und gemeinsam genutzte Regeln verwenden](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-sharing.html) und [Weiterleitungsregeln mit einer VPC verknüpfen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-associating-rules.html) in der Route 53-Dokumentation. | AWS-Administrator, Cloud-Administrator |
| Verbessertes Setup: Konfiguration und gemeinsame Nutzung von Route 53 53-Profilen. | Wenn Sie das erweiterte Setup verwenden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Je nach Struktur und DNS-Anforderungen Ihrer Organisation müssen Sie möglicherweise mehrere Profile für unterschiedliche Konten oder Workloads erstellen und verwalten. | AWS-Administrator, Cloud-Administrator |
### Konfigurieren Sie lokale DNS-Resolver für die Integration AWS
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie die bedingte Weiterleitung in den lokalen DNS-Resolvern. | Damit DNS-Abfragen zur Auflösung AWS von der lokalen Umgebung aus gesendet werden können, müssen Sie die bedingte Weiterleitung in den lokalen DNS-Resolvern so konfigurieren, dass sie auf die IP-Adresse des eingehenden Endpunkts verweist. Dadurch werden die DNS-Resolver angewiesen, alle DNS-Abfragen für die AWS-gehostete Domäne (z. B. für`prod.aws.example.com`) an die IP-Adresse des eingehenden Endpunkts weiterzuleiten, damit sie vom Route 53-Resolver aufgelöst werden. | Netzwerkadministrator |
### Überprüfen Sie die end-to-end DNS-Auflösung in einer Hybridumgebung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Testen Sie die DNS-Auflösung AWS von der lokalen Umgebung aus. | Führen Sie von einer Instanz in einer VPC aus, der die Weiterleitungsregel zugeordnet ist, eine DNS-Abfrage für eine lokal gehostete Domäne (z. B. für`db.onprem.example.com`). | Netzwerkadministrator |
| Testen Sie die DNS-Auflösung von der lokalen Umgebung bis. AWS | Führen Sie von einem lokalen Server aus die DNS-Auflösung für eine AWS-gehostete Domäne durch (z. B. für). `ec2.prod.aws.example.com` | Netzwerkadministrator |
## Zugehörige Ressourcen
+ [Hybrid-Cloud-DNS-Optionen für Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html) (AWS Whitepaper)
+ [Arbeiten mit privat gehosteten Zonen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (Route 53-Dokumentation)
+ [Erste Schritte mit Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) (Route 53-Dokumentation)
+ [Vereinfachen Sie die DNS-Verwaltung in einer Umgebung mit mehreren Konten mit Route 53 Resolver (Blogbeitrag](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/))AWS
+ [Vereinheitlichen Sie die DNS-Verwaltung mithilfe von Amazon Route 53 53-Profilen mit mehreren VPCs und AWS-Konten](https://aws.amazon.com/blogs/aws/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/) (AWS Blogbeitrag)
+ [Migration Ihrer DNS-Umgebung mit mehreren Konten zu Amazon Route 53 Profiles](https://aws.amazon.com/blogs/networking-and-content-delivery/migrating-your-multi-account-dns-environment-to-amazon-route-53-profiles/) (AWS Blogbeitrag)
+ [Verwendung von Amazon Route 53 53-Profilen für skalierbare AWS Umgebungen mit mehreren Konten](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-route-53-profiles-for-scalable-multi-account-aws-environments/) (AWS Blogbeitrag)
# Stellen Sie sicher, dass ELB-Load Balancer eine TLS-Terminierung erfordern
*Priyanka Chaudhary, Amazon Web Services*
## Zusammenfassung
In der Amazon Web Services (AWS) -Cloud verteilt Elastic Load Balancing (ELB) den eingehenden Anwendungsdatenverkehr automatisch auf mehrere Ziele, z. B. Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Container, IP-Adressen und AWS Lambda Lambda-Funktionen. Die Load Balancer verwenden Listener, um die Ports und Protokolle zu definieren, die der Load Balancer verwendet, um Traffic von Benutzern anzunehmen. Application Load Balancer treffen Routing-Entscheidungen auf Anwendungsebene und verwenden die Protokolle. HTTP/HTTPS Classic Load Balancer treffen Routing-Entscheidungen entweder auf der Transportschicht, indem sie die Protokolle TCP oder Secure Sockets Layer (SSL) verwenden, oder auf Anwendungsebene, indem sie HTTP/HTTPS verwenden.
Dieses Muster bietet eine Sicherheitskontrolle, die mehrere Ereignistypen für Application Load Balancers und Classic Load Balancers untersucht. Wenn die Funktion aufgerufen wird, überprüft AWS Lambda das Ereignis und stellt sicher, dass der Load Balancer konform ist.
Die Funktion initiiert ein Amazon CloudWatch Events-Ereignis bei den folgenden API-Aufrufen: [CreateLoadBalancer[CreateLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerListeners.html)](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancer.html), [DeleteLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_DeleteLoadBalancerListeners.html), [CreateLoadBalancerPolicy](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerPolicy.html), [SetLoadBalancerPoliciesOfListener](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_SetLoadBalancerPoliciesOfListener.html), [CreateListener[DeleteListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_DeleteListener.html)](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_CreateListener.html), und [ModifyListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_ModifyListener.html). Wenn das Ereignis eines davon erkennt APIs, ruft es AWS Lambda auf, das ein Python-Skript ausführt. Das Python-Skript überprüft, ob der Listener ein SSL-Zertifikat enthält und ob die angewendete Richtlinie Transport Layer Security (TLS) verwendet. Wenn festgestellt wird, dass es sich bei der SSL-Richtlinie um etwas anderes als TLS handelt, sendet die Funktion eine Amazon Simple Notification Service (Amazon SNS) -Benachrichtigung mit den entsprechenden Informationen an den Benutzer.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
**Einschränkungen**
+ Diese Sicherheitskontrolle sucht nicht nach vorhandenen Load Balancers, es sei denn, die Load Balancer-Listener werden aktualisiert.
+ Diese Sicherheitskontrolle ist regional. Sie müssen es in jeder AWS-Region bereitstellen, die Sie überwachen möchten.
## Architektur
**Zielarchitektur**
![\[Sicherstellen, dass Load Balancer eine TLS-Terminierung erfordern.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/da99cda2-ac34-4791-a2bd-d37264d8d3d9/images/af92b3c8-32bb-45eb-a2a8-d8276fb3e824.png)
**Automatisierung und Skalierung**
+ Wenn Sie [AWS Organizations](https://aws.amazon.com/organizations/) verwenden, können Sie [AWS Cloudformation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) verwenden, StackSets um diese Vorlage in mehreren Konten bereitzustellen, die Sie überwachen möchten.
## Tools
**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) — AWS CloudFormation hilft Ihnen dabei, Ihre AWS-Ressourcen zu modellieren und einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten. Sie können eine Vorlage verwenden, um Ihre Ressourcen und ihre Abhängigkeiten zu beschreiben und sie zusammen als Stapel zu starten und zu konfigurieren, anstatt Ressourcen einzeln zu verwalten.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) — Amazon CloudWatch Events bietet einen Stream von Systemereignissen, die Änderungen an AWS-Ressourcen beschreiben, nahezu in Echtzeit.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) — AWS Lambda ist ein Rechenservice, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html) — Amazon Simple Storage Service (Amazon S3) ist ein hoch skalierbarer Objektspeicherservice, der für eine Vielzahl von Speicherlösungen verwendet werden kann, darunter Websites, mobile Anwendungen, Backups und Data Lakes.
+ [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) — Amazon Simple Notification Service (Amazon SNS) koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.
**Code**
Dieses Muster umfasst die folgenden Anlagen:
+ `ELBRequirestlstermination.zip`— Der Lambda-Code für die Sicherheitskontrolle.
+ `ELBRequirestlstermination.yml`— Die CloudFormation Vorlage, die das Ereignis und die Lambda-Funktion einrichtet.
## Epen
### Richten Sie den S3-Bucket ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Definieren Sie den S3-Bucket. | Wählen oder erstellen Sie in der [Amazon S3 S3-Konsole](https://console.aws.amazon.com/s3/) einen S3-Bucket, um die Lambda-Code-ZIP-Datei zu hosten. Dieser S3-Bucket muss sich in derselben AWS-Region befinden wie der Load Balancer, den Sie auswerten möchten. Ein S3-Bucket-Name ist weltweit eindeutig, und der Namespace wird von allen AWS-Konten gemeinsam genutzt. Der S3-Bucket-Name darf keine führenden Schrägstriche enthalten. | Cloud-Architekt |
| Laden Sie den Lambda-Code hoch. | Laden Sie den Lambda-Code (`ELBRequirestlstermination.zip`Datei), der im Abschnitt *Anlagen* bereitgestellt wird, in den S3-Bucket hoch. | Cloud-Architekt |
### Stellen Sie die CloudFormation Vorlage bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Starten Sie die CloudFormation AWS-Vorlage. | Öffnen Sie die [ CloudFormation AWS-Konsole](https://console.aws.amazon.com/cloudformation/) in derselben AWS-Region wie Ihr S3-Bucket und stellen Sie die angehängte Vorlage bereit`ELBRequirestlstermination.yml`. Weitere Informationen zur Bereitstellung von CloudFormation AWS-Vorlagen finden Sie in der CloudFormation Dokumentation unter [Erstellen eines Stacks auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | Cloud-Architekt |
| Vervollständigen Sie die Parameter in der Vorlage. | Wenn Sie die Vorlage starten, werden Sie zur Eingabe der folgenden Informationen aufgefordert:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/verify-that-elb-load-balancers-require-tls-termination.html) | Cloud-Architekt |
### Bestätigen Sie das Abonnement
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestätigen Sie das Abonnement. | Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet sie eine Abonnement-E-Mail an die von Ihnen angegebene E-Mail-Adresse. Sie müssen dieses E-Mail-Abonnement bestätigen, um Benachrichtigungen über Verstöße zu erhalten. | Cloud-Architekt |
## Zugehörige Ressourcen
+ [Einen Stack auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) erstellen ( CloudFormation AWS-Dokumentation)
+ [Was ist AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) (AWS Lambda Lambda-Dokumentation)
+ [Was ist ein Classic Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) (ELB-Dokumentation)
+ [Was ist ein Application Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) (ELB-Dokumentation)
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/da99cda2-ac34-4791-a2bd-d37264d8d3d9/attachments/attachment.zip)
# AWS-Netzwerk-Firewall-Protokolle und -Metriken mithilfe von Splunk anzeigen
*Ivo Pinto, Amazon Web Services*
## Zusammenfassung
Viele Unternehmen verwenden [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) als zentralisiertes Aggregations- und Visualisierungstool für Logs und Metriken aus verschiedenen Quellen. Dieses Muster hilft Ihnen, Splunk so zu konfigurieren, dass mithilfe des Splunk-Add-Ons für [AWS Protokolle und Metriken der AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) von [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) abgerufen werden.
Um dies zu erreichen, erstellen Sie eine schreibgeschützte AWS Identity and Access Management (IAM) -Rolle. Splunk Add-On für AWS verwendet diese Rolle für den Zugriff. CloudWatch Sie konfigurieren das Splunk Add-On für AWS zum Abrufen von Metriken und Protokollen von. CloudWatch Schließlich erstellen Sie Visualisierungen in Splunk aus den abgerufenen Protokolldaten und Metriken.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ [Ein Splunk-Konto](https://www.splunk.com/)
+ Eine Splunk Enterprise-Instanz, Version 8.2.2 oder höher
+ Ein aktives AWS-Konto
+ Network Firewall, [eingerichtet](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) und [konfiguriert](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html), um Protokolle an Logs zu CloudWatch senden
**Einschränkungen**
+ Splunk Enterprise muss als Cluster von Amazon Elastic Compute Cloud (Amazon EC2) -Instances in der AWS-Cloud bereitgestellt werden.
+ Das Sammeln von Daten mithilfe einer automatisch erkannten IAM-Rolle für Amazon EC2 wird in den AWS-Regionen China nicht unterstützt.
## Architektur
![\[AWS-Netzwerk-Firewall und Splunk-Protokollierungsarchitektur\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
Das Diagramm veranschaulicht folgende Vorgänge:
1. Die Network Firewall veröffentlicht CloudWatch Protokolle in Logs.
1. Splunk Enterprise ruft Metriken und Protokolle von ab. CloudWatch
Um Beispielmetriken und Logs in dieser Architektur aufzufüllen, generiert ein Workload Traffic, der über den Netzwerk-Firewall-Endpunkt ins Internet geleitet wird. Dies wird durch die Verwendung von [Routentabellen](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables) erreicht. Obwohl dieses Muster eine einzelne Amazon EC2 EC2-Instance als Workload verwendet, kann dieses Muster für jede Architektur gelten, sofern die Network Firewall so konfiguriert ist, dass sie CloudWatch Protokolle an Logs sendet.
Diese Architektur verwendet auch eine Splunk Enterprise-Instanz in einer anderen Virtual Private Cloud (VPC). Die Splunk-Instance kann sich jedoch an einem anderen Standort befinden, z. B. in derselben VPC wie der Workload, sofern sie den erreichen kann. CloudWatch APIs
## Tools
**AWS-Services**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS-Services zu zentralisieren, sodass Sie sie überwachen und sicher archivieren können.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) bietet skalierbare Rechenkapazität in der AWS-Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ Die [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) ist ein zustandsbehafteter, verwalteter Netzwerk-Firewall sowie Service zur Erkennung und Verhinderung von Eindringlingen VPCs in der AWS-Cloud.
**Andere Tools**
+ [Splunk](https://www.splunk.com/) unterstützt Sie bei der Überwachung, Visualisierung und Analyse von Protokolldaten.
## Epen
### Erstellen einer IAM-Rolle
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die IAM-Richtlinie. | Folgen Sie den Anweisungen [unter Richtlinien mit dem JSON-Editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) erstellen, um die IAM-Richtlinie zu erstellen, die schreibgeschützten Zugriff auf die CloudWatch Logs-Daten und -Metriken gewährt. CloudWatch Fügen Sie die folgende -Richtlinie in den JSON-Editor ein.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | AWS-Administrator |
| Erstellen Sie eine neue IAM-Rolle. | Folgen Sie den Anweisungen unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html), um die IAM-Rolle zu erstellen, auf die das Splunk Add-On für AWS zugreift. CloudWatch Wählen Sie für **Berechtigungsrichtlinien die** Richtlinie aus, die Sie zuvor erstellt haben. | AWS-Administrator |
| Weisen Sie den EC2-Instances im Splunk-Cluster die IAM-Rolle zu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | AWS-Administrator |
### Installieren Sie das Splunk-Add-On für AWS
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Das -Add-on installieren. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk-Administrator |
| Konfigurieren Sie die AWS-Anmeldeinformationen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Weitere Informationen [finden Sie in der Splunk-Dokumentation unter Suchen Sie eine IAM-Rolle in Ihrer Splunk-Plattform-Instance](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance). | Splunk-Administrator |
### Konfigurieren Sie den Splunk-Zugriff auf CloudWatch
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie den Abruf von Netzwerk-Firewall-Protokollen aus CloudWatch Protokollen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Standardmäßig ruft Splunk die Protokolldaten alle 10 Minuten ab. **Dies ist ein konfigurierbarer Parameter unter Erweiterte Einstellungen.** Weitere Informationen finden [Sie in der Splunk-Dokumentation unter Konfiguration einer CloudWatch Log-Eingabe mit Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web). | Splunk-Administrator |
| Konfigurieren Sie den Abruf von Netzwerk-Firewall-Metriken von CloudWatch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Standardmäßig ruft Splunk die Metrikdaten alle 5 Minuten ab. **Dies ist ein konfigurierbarer Parameter unter Erweiterte Einstellungen.** Weitere Informationen finden Sie in der Splunk-Dokumentation unter [Eine CloudWatch Eingabe mithilfe von Splunk Web konfigurieren](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web). | Splunk-Administrator |
### Erstellen Sie Splunk-Visualisierungen mithilfe von Abfragen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Sehen Sie sich die wichtigsten Quell-IP-Adressen an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk-Administrator |
| Paketstatistiken anzeigen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk-Administrator |
| Sehen Sie sich die am häufigsten verwendeten Quellports an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk-Administrator |
## Zugehörige Ressourcen
**AWS-Dokumentation**
+ [Eine Rolle zum Delegieren von Berechtigungen an einen AWS-Service erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (IAM-Dokumentation)
+ [IAM-Richtlinien erstellen (IAM-Dokumentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start))
+ [Protokollierung und Überwachung in der AWS-Netzwerk-Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (Netzwerk-Firewall-Dokumentation)
+ [Routentabellenkonfigurationen für die AWS-Netzwerk-Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (Netzwerk-Firewall-Dokumentation)
**AWS-Blogbeiträge**
+ [Bereitstellungsmodelle für AWS Network Firewall](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Splunk Enterprise Amazon Machine Image (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)
# Mehr Muster
**Topics**
+ [Greifen Sie mithilfe von Session Manager und Amazon EC2 Instance Connect auf einen Bastion-Host zu](access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.md)
+ [Greifen Sie privat auf Container-Anwendungen auf Amazon ECS zu, indem Sie AWS Fargate PrivateLink, AWS und einen Network Load Balancer verwenden](access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.md)
+ [Greifen Sie mithilfe von AWS PrivateLink und einem Network Load Balancer privat auf Container-Anwendungen auf Amazon ECS zu](access-container-applications-privately-on-amazon-ecs-by-using-aws-privatelink-and-a-network-load-balancer.md)
+ [Zentralisieren Sie die DNS-Auflösung mithilfe von AWS Managed Microsoft AD und vor Ort von Microsoft Active Directory](centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.md)
+ [Erstellen Sie ein Portal für Mikro-Frontends mithilfe AWS Amplify von Angular und Module Federation](create-amplify-micro-frontend-portal.md)
+ [Stellen Sie eine Amazon API Gateway Gateway-API auf einer internen Website mithilfe von privaten Endpunkten und einem Application Load Balancer bereit](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Stellen Sie detektivattributebasierte Zugriffskontrollen für öffentliche Subnetze bereit, indem Sie AWS Config](deploy-detective-attribute-based-access-controls-for-public-subnets-by-using-aws-config.md)
+ [Implementieren Sie präventive attributebasierte Zugriffskontrollen für öffentliche Subnetze](deploy-preventative-attribute-based-access-controls-for-public-subnets.md)
+ [Aktivieren Sie verschlüsselte Verbindungen für PostgreSQL-DB-Instances in Amazon RDS](enable-encrypted-connections-for-postgresql-db-instances-in-amazon-rds.md)
+ [Erweitern VRFs Sie mit AWS Transit Gateway Connect auf AWS](extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.md)
+ [Migrieren Sie einen F5 BIG-IP-Workload zu F5 BIG-IP VE auf dem AWS Cloud](migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud.md)
+ [Migrieren Sie NGINX Ingress Controller, wenn Sie den Amazon EKS Auto Mode aktivieren](migrate-nginx-ingress-controller-eks-auto-mode.md)
+ [Beibehaltung von routingfähigem IP-Speicherplatz in VPC-Designs mit mehreren Konten für Subnetze ohne Arbeitslast](preserve-routable-ip-space-in-multi-account-vpc-designs-for-non-workload-subnets.md)
+ [Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie](prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.md)
+ [Benachrichtigungen von der AWS-Netzwerk-Firewall an einen Slack-Channel senden](send-alerts-from-aws-network-firewall-to-a-slack-channel.md)
+ [Statische Inhalte in einem Amazon S3 S3-Bucket über eine VPC mithilfe von Amazon bereitstellen CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Richten Sie die Notfallwiederherstellung für Oracle JD Edwards EnterpriseOne mit AWS Elastic Disaster Recovery ein](set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.md)
+ [Verwenden Sie BMC Discovery-Abfragen, um Migrationsdaten für die Migrationsplanung zu extrahieren](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md)
+ [Verwenden Sie die Network Firewall, um die DNS-Domänennamen aus der Servernamenanzeige für ausgehenden Datenverkehr zu erfassen](use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.md)
# Bereitstellung von Inhalten
**Topics**
+ [AWS WAF Logs mithilfe AWS Firewall Manager von Amazon Data Firehose an Splunk senden](send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.md)
+ [Statische Inhalte in einem Amazon S3 S3-Bucket über eine VPC mithilfe von Amazon bereitstellen CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Mehr Muster](contentdelivery-more-patterns-pattern-list.md)
# AWS WAF Logs mithilfe AWS Firewall Manager von Amazon Data Firehose an Splunk senden
*Michael Friedenthal, Aman Kaur Gandhi und JJ Johnson, Amazon Web Services*
## Zusammenfassung
In der Vergangenheit gab es zwei Möglichkeiten, Daten in Splunk zu verschieben: eine Push- oder eine Pull-Architektur. Eine *Pull-Architektur* bietet garantierte Lieferdaten durch Wiederholungsversuche, erfordert jedoch spezielle Ressourcen in Splunk, die Daten abfragen. Pull-Architekturen funktionieren aufgrund des Pollings in der Regel nicht in Echtzeit. Eine *Push-Architektur* hat in der Regel eine geringere Latenz, ist skalierbarer und reduziert die betriebliche Komplexität und die Kosten. Sie garantiert jedoch nicht die Lieferung und erfordert in der Regel Agenten.
Die Splunk-Integration mit Amazon Data Firehose liefert Streaming-Daten in Echtzeit über einen HTTP Event Collector (HEC) an Splunk. Diese Integration bietet die Vorteile von Push- und Pull-Architekturen: Sie garantiert die Datenübermittlung durch Wiederholungsversuche, erfolgt nahezu in Echtzeit und zeichnet sich durch geringe Latenz und geringe Komplexität aus. Die HEC sendet Daten schnell und effizient über HTTP oder HTTPS direkt an Splunk. HECs sind tokenbasiert, wodurch die Notwendigkeit entfällt, Anmeldeinformationen in einer Anwendung oder in unterstützenden Dateien fest zu codieren.
In einer AWS Firewall Manager Richtlinie können Sie die Protokollierung für den gesamten AWS WAF Web-ACL-Verkehr in all Ihren Konten konfigurieren. Anschließend können Sie einen Firehose-Zustellungsstream verwenden, um diese Protokolldaten zur Überwachung, Visualisierung und Analyse an Splunk zu senden. Diese Lösung bietet die folgenden Vorteile:
+ Zentrale Verwaltung und Protokollierung des AWS WAF Web-ACL-Datenverkehrs in all Ihren Konten
+ Splunk-Integration mit einem einzigen AWS-Konto
+ Skalierbarkeit
+ Bereitstellung von Protokolldaten nahezu in Echtzeit
+ Kostenoptimierung durch den Einsatz einer serverlosen Lösung, sodass Sie nicht für ungenutzte Ressourcen bezahlen müssen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine aktive Person AWS-Konto , die Teil einer Organisation in AWS Organizations ist.
+ Sie benötigen die folgenden Berechtigungen, um die Protokollierung mit Firehose zu aktivieren:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
+ AWS WAF und sein Web ACLs muss konfiguriert sein. Anweisungen finden Sie unter [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html).
+ AWS Firewall Manager muss eingerichtet sein. Anweisungen finden Sie unter [AWS Firewall Manager Voraussetzungen](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html).
+ Die Firewall Manager Manager-Sicherheitsrichtlinien für AWS WAF müssen konfiguriert werden. Anweisungen finden Sie unter [Erste Schritte mit AWS Firewall ManagerAWS WAF Richtlinien](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html).
+ Splunk muss mit einem öffentlichen HTTP-Endpunkt eingerichtet werden, der von Firehose erreicht werden kann.
**Einschränkungen**
+ Der AWS-Konten muss in einer einzigen Organisation verwaltet werden. AWS Organizations
+ Die Web-ACL muss sich in derselben Region wie der Lieferstream befinden. Wenn Sie Protokolle für Amazon erfassen CloudFront, erstellen Sie den Firehose-Lieferstream in der Region USA Ost (Nord-Virginia). `us-east-1`
+ Das Splunk-Add-on für Firehose ist für kostenpflichtige Splunk Cloud-Implementierungen, verteilte Splunk Enterprise-Bereitstellungen und Splunk Enterprise-Implementierungen mit einer einzigen Instanz verfügbar. Dieses Add-on wird für kostenlose Testversionen von Splunk Cloud nicht unterstützt.
## Architektur
**Zieltechnologie-Stack**
+ Firewall Manager
+ Firehose
+ Amazon Simple Storage Service (Amazon-S3)
+ AWS WAF
+ Splunk
**Zielarchitektur**
Die folgende Abbildung zeigt, wie Sie den Firewall Manager verwenden können, um alle AWS WAF Daten zentral zu protokollieren und über Firehose an Splunk zu senden.
![\[Architekturdiagramm, das das Senden von AWS WAF WAF-Protokolldaten an Splunk über Amazon Data Firehose zeigt\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/3dfeaae0-985a-42b8-91c4-ece081f0b51b/images/669169b1-caa4-419b-9988-19806ded54eb.png)
1. Das AWS WAF Web ACLs sendet Firewall-Protokolldaten an Firewall Manager.
1. Firewall Manager sendet die Protokolldaten an Firehose.
1. Der Firehose-Lieferstream leitet die Protokolldaten an Splunk und an einen S3-Bucket weiter. Der S3-Bucket dient als Backup im Falle eines Fehlers im Firehose-Lieferstream.
**Automatisierung und Skalierung**
Diese Lösung ist so konzipiert, dass sie skaliert werden kann und alle AWS WAF Websites ALCs innerhalb des Unternehmens berücksichtigt. Sie können alle Websites so konfigurieren ACLs , dass sie dieselbe Firehose-Instanz verwenden. Wenn Sie jedoch mehrere Firehose-Instanzen einrichten und verwenden möchten, können Sie dies tun.
## Tools
**AWS-Services**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)ist ein Sicherheitsverwaltungsdienst, mit dem Sie Firewallregeln für Ihre Konten und Anwendungen zentral konfigurieren und verwalten können. AWS Organizations
+ [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) unterstützt Sie bei der Bereitstellung von [Echtzeit-Streaming-Daten](https://aws.amazon.com/streaming-data/) an andere AWS-Services, benutzerdefinierte HTTP-Endpunkte und HTTP-Endpunkte, die von unterstützten Drittanbietern wie Splunk betrieben werden.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)ist eine Firewall für Webanwendungen, mit der Sie HTTP- und HTTPS-Anfragen überwachen können, die an Ihre geschützten Webanwendungsressourcen weitergeleitet werden.
**Andere Tools**
+ [Splunk](https://docs.splunk.com/Documentation) unterstützt Sie bei der Überwachung, Visualisierung und Analyse von Protokolldaten.
## Epen
### Splunk konfigurieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie die Splunk-App für. AWS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html) | Sicherheitsadministrator, Splunk-Administrator |
| Installieren Sie das Add-on für. AWS WAF | Wiederholen Sie die vorherigen Anweisungen, um das **AWS Web Application Firewall Add-on** für Splunk zu installieren. | Sicherheitsadministrator, Splunk-Administrator |
| Installieren und konfigurieren Sie das Splunk-Add-on für Firehose. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html) | Sicherheitsadministrator, Splunk-Administrator |
### Erstellen Sie den Firehose-Lieferstream
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Gewähren Sie Firehose Zugriff auf ein Splunk-Ziel. | Konfigurieren Sie die Zugriffsrichtlinie, die es Firehose ermöglicht, auf ein Splunk-Ziel zuzugreifen und die Protokolldaten in einem S3-Bucket zu sichern. Weitere Informationen finden Sie unter [Firehose Zugriff auf ein Splunk-Ziel gewähren](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html#using-iam-splunk). | Sicherheitsadministrator |
| Erstellen Sie einen Firehose-Lieferstream. | Erstellen Sie in demselben Konto AWS WAF, ACLs für das Sie das Web verwalten, einen Lieferstream in Firehose. Sie müssen eine IAM-Rolle besitzen, wenn Sie einen Bereitstellungsdatenstrom erstellen. Firehose nimmt diese IAM-Rolle an und erhält Zugriff auf den angegebenen S3-Bucket. Anweisungen finden Sie unter [Einen Lieferstream erstellen](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html). Beachten Sie Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html)Wiederholen Sie diesen Vorgang für jedes Token, das Sie im HTTP-Event-Collector konfiguriert haben. | Sicherheitsadministrator |
| Testen Sie den Lieferstream. | Testen Sie den Lieferstream, um sicherzustellen, dass er richtig konfiguriert ist. Anweisungen finden Sie unter [Testen mit Splunk als Ziel in der](https://docs.aws.amazon.com/firehose/latest/dev/test-drive-firehose.html#test-drive-destination-splunk) Firehose-Dokumentation. | Sicherheitsadministrator |
### Konfigurieren Sie den Firewall Manager für die Protokollierung von Daten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie die Firewall Manager Manager-Richtlinien. | Die Firewall Manager Manager-Richtlinien müssen so konfiguriert sein, dass sie die Protokollierung aktivieren und Protokolle an den richtigen Firehose-Lieferstream weiterleiten. Weitere Informationen und Anweisungen finden Sie unter [Konfiguration der Protokollierung für eine AWS WAF Richtlinie](https://docs.aws.amazon.com/waf/latest/developerguide/waf-policies.html#waf-policies-logging-config). | Sicherheitsadministrator |
## Zugehörige Ressourcen
**AWS Ressourcen**
+ [Web-ACL-Verkehr protokollieren](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) (AWS WAF Dokumentation)
+ [Konfiguration der Protokollierung für eine AWS WAF Richtlinie](https://docs.aws.amazon.com/waf/latest/developerguide/waf-policies.html#waf-policies-logging-config) (AWS WAF Dokumentation)
+ [Tutorial: Mit Amazon Data Firehose VPC-Flow-Logs an Splunk senden (Firehose-Dokumentation](https://docs.aws.amazon.com/firehose/latest/dev/vpc-splunk-tutorial.html))
+ [Wie übertrage ich VPC-Flow-Logs mit Amazon Data Firehose an Splunk?](https://aws.amazon.com/premiumsupport/knowledge-center/push-flow-logs-splunk-firehose/) (Wissenszentrum)AWS
+ Optimieren Sie die [Datenaufnahme in Splunk mithilfe von Amazon Data Firehose](https://aws.amazon.com/blogs/big-data/power-data-ingestion-into-splunk-using-amazon-kinesis-data-firehose/) (Blogbeitrag)AWS
**Splunk-Dokumentation**
+ [Splunk-Add-on für Amazon Data Firehose](https://docs.splunk.com/Documentation/AddOns/released/Firehose/About)
# Statische Inhalte in einem Amazon S3 S3-Bucket über eine VPC mithilfe von Amazon bereitstellen CloudFront
*Angel Emmanuel Hernández Cebrian, Amazon Web Services*
## Zusammenfassung
Wenn Sie statische Inhalte bereitstellen, die auf Amazon Web Services (AWS) gehostet werden, wird empfohlen, einen Amazon Simple Storage Service (S3) -Bucket als Quelle zu verwenden und Amazon für die Verteilung der Inhalte CloudFront zu verwenden. Diese Lösung bietet zwei Hauptvorteile: die Bequemlichkeit, statische Inhalte an Edge-Standorten zwischenzuspeichern, und die Möglichkeit, [Web-Zugriffskontrolllisten](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) (Web ACLs) für die CloudFront Verteilung zu definieren, wodurch Sie Anfragen zu den Inhalten mit minimalem Konfigurations- und Verwaltungsaufwand sichern können.
Der empfohlene Standardansatz weist jedoch häufig eine architektonische Einschränkung auf. In einigen Umgebungen möchten Sie, dass virtuelle Firewall-Appliances, die in einer Virtual Private Cloud (VPC) bereitgestellt werden, den gesamten Inhalt überprüfen, einschließlich statischer Inhalte. Der Standardansatz leitet den Datenverkehr nicht zur Inspektion durch die VPC. Dieses Muster bietet eine alternative architektonische Lösung. Sie verwenden immer noch eine CloudFront Distribution, um statische Inhalte in einem S3-Bucket bereitzustellen, aber der Datenverkehr wird mithilfe eines Application Load Balancer über die VPC geleitet. Eine AWS-Lambda-Funktion ruft dann den Inhalt aus dem S3-Bucket ab und gibt ihn zurück.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto.
+ Statischer Website-Inhalt, der in einem S3-Bucket gehostet wird.
**Einschränkungen**
+ Die Ressourcen in diesem Muster müssen sich in einer einzigen AWS-Region befinden, sie können jedoch in verschiedenen AWS-Konten bereitgestellt werden.
+ Es gelten Grenzwerte für die maximale Anfrage- und Antwortgröße, die die Lambda-Funktion empfangen bzw. senden kann. Weitere Informationen finden Sie unter *Grenzwerte* in [Lambda-Funktionen als Ziele](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/lambda-functions.html) (Elastic Load Balancing Balancing-Dokumentation).
+ Bei der Verwendung dieses Ansatzes ist es wichtig, ein ausgewogenes Verhältnis zwischen Leistung, Skalierbarkeit, Sicherheit und Kosteneffektivität zu finden. Trotz der hohen Skalierbarkeit von Lambda werden einige Anfragen gedrosselt, wenn die Anzahl gleichzeitiger Lambda-Aufrufe das maximale Kontingent überschreitet. Weitere Informationen finden Sie unter Lambda-Kontingente (Lambda-Dokumentation). Bei der Verwendung von Lambda müssen Sie auch die Preisgestaltung berücksichtigen. Um Lambda-Aufrufe zu minimieren, stellen Sie sicher, dass Sie den Cache für die Distribution richtig definieren. CloudFront Weitere Informationen finden Sie unter [Optimierung von Caching und Verfügbarkeit](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/ConfiguringCaching.html) (Dokumentation). CloudFront
## Architektur
**Zieltechnologie-Stack**
+ CloudFront
+ Amazon Virtual Private Cloud (Amazon VPC)
+ Application Load Balancer
+ Lambda
+ Amazon S3
**Zielarchitektur**
Die folgende Abbildung zeigt die vorgeschlagene Architektur, wenn Sie statische Inhalte aus einem S3-Bucket über eine VPC bereitstellen müssen. CloudFront
![\[Der Datenverkehr fließt über Application Load Balancer in der VPC zur Lambda-Funktion.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e0dd6928-4fe0-47ab-954f-9de5563349d8/images/b42c7dd9-4a72-4998-bf88-195c8f90ed3e.png)
1. Der Client fordert die URL der CloudFront Verteilung an, um eine bestimmte Website-Datei im S3-Bucket abzurufen.
1. CloudFront sendet die Anfrage an AWS WAF. AWS WAF filtert die Anfrage mithilfe des Webs, das auf die CloudFront Verteilung ACLs angewendet wurde. Wenn sich herausstellt, dass die Anfrage gültig ist, wird der Ablauf fortgesetzt. Wenn festgestellt wird, dass die Anfrage ungültig ist, erhält der Client einen 403-Fehler.
1. CloudFront überprüft seinen internen Cache. Wenn es einen gültigen Schlüssel gibt, der der eingehenden Anfrage entspricht, wird der zugehörige Wert als Antwort an den Client zurückgesendet. Wenn nicht, wird der Fluss fortgesetzt.
1. CloudFront leitet die Anfrage an die URL des angegebenen Application Load Balancer weiter.
1. Der Application Load Balancer hat einen Listener, der auf einer Lambda-Funktion einer Zielgruppe zugeordnet ist. Der Application Load Balancer ruft die Lambda-Funktion auf.
1. Die Lambda-Funktion stellt eine Verbindung zum S3-Bucket her, führt eine `GetObject` Operation darauf aus und gibt den Inhalt als Antwort zurück.
**Automatisierung und Skalierung**
Um die Bereitstellung statischer Inhalte mit diesem Ansatz zu automatisieren, erstellen Sie CI/CD Pipelines zur Aktualisierung der Amazon S3 S3-Buckets, die Websites hosten.
Die Lambda-Funktion skaliert automatisch, um die gleichzeitigen Anfragen innerhalb der Kontingente und Einschränkungen des Dienstes zu verarbeiten. Weitere Informationen finden Sie unter [Lambda-Funktionsskalierung](https://docs.aws.amazon.com/lambda/latest/dg/invocation-scaling.html) und [Lambda-Kontingente (Lambda-Dokumentation](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html)). Für die anderen AWS-Services und -Funktionen wie CloudFront den Application Load Balancer skaliert AWS diese automatisch.
## Tools
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) beschleunigt die Verteilung Ihrer Webinhalte, indem es sie über ein weltweites Netzwerk von Rechenzentren bereitstellt, was die Latenz senkt und die Leistung verbessert.
+ [Elastic Load Balancing (ELB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) verteilt eingehenden Anwendungs- oder Netzwerkverkehr auf mehrere Ziele. In diesem Muster verwenden Sie einen [Application Load Balancer, der über Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) bereitgestellt wird, um den Datenverkehr an die Lambda-Funktion weiterzuleiten.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der skalierbaren Infrastruktur von AWS.
## Epen
### Wird verwendet CloudFront , um statische Inhalte von Amazon S3 über eine VPC bereitzustellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine VPC. | Erstellen Sie eine VPC zum Hosten der in diesem Muster bereitgestellten Ressourcen, z. B. des Application Load Balancer und der Lambda-Funktion. Anweisungen finden Sie unter [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) (Amazon VPC-Dokumentation). | Cloud-Architekt |
| Erstellen Sie eine AWS WAF WAF-Web-ACL. | Erstellen Sie eine AWS WAF WAF-Web-ACL. Später in diesem Muster wenden Sie diese Web-ACL auf die CloudFront Distribution an. Anweisungen finden Sie unter [Erstellen einer Web-ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) (AWS-WAF-Dokumentation). | Cloud-Architekt |
| So erstellen Sie die Lambda-Funktion: | Erstellen Sie die Lambda-Funktion, die den im S3-Bucket gehosteten statischen Inhalt als Website bereitstellt. Verwenden Sie den Code, der im Abschnitt [Zusätzliche Informationen](#serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront-additional) dieses Musters bereitgestellt wird. Passen Sie den Code an, um Ihren Ziel-S3-Bucket zu identifizieren. | Allgemeines AWS |
| Laden Sie die Lambda-Funktion hoch. | Geben Sie den folgenden Befehl ein, um den Lambda-Funktionscode in ein ZIP-Dateiarchiv in Lambda hochzuladen.aws lambda update-function-code \
--function-name \
--zip-file fileb://lambda-alb-s3-website.zip
| Allgemeines AWS |
| Erstellen Sie einen Application Load Balancer. | Erstellen Sie einen mit dem Internet verbundenen Application Load Balancer, der auf die Lambda-Funktion verweist. Anweisungen finden Sie unter [Eine Zielgruppe für die Lambda-Funktion erstellen](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/lambda-functions.html#register-lambda-function) (Elastic Load Balancing Balancing-Dokumentation). Für eine Hochverfügbarkeitskonfiguration erstellen Sie den Application Load Balancer und fügen ihn privaten Subnetzen in verschiedenen Availability Zones hinzu. | Cloud-Architekt |
| Erstellen Sie eine CloudFront Distribution. | Erstellen Sie eine CloudFront Verteilung, die auf den von Ihnen erstellten Application Load Balancer verweist.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.html) | Cloud-Architekt |
## Zugehörige Ressourcen
**AWS-Dokumentation**
+ [Optimierung von Caching und Verfügbarkeit](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/ConfiguringCaching.html) (CloudFront Dokumentation)
+ [Lambda-Funktionen als Ziele](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/lambda-functions.html) (Dokumentation zu Elastic Load Balancing)
+ [Lambda-Kontingente](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html) (Lambda-Dokumentation)
**AWS-Servicewebsites**
+ [Application Load Balancer](https://aws.amazon.com/es/elasticloadbalancing/application-load-balancer/)
+ [Lambda](https://aws.amazon.com/en/lambda/)
+ [CloudFront](https://aws.amazon.com/en/cloudfront/)
+ [Amazon S3](https://aws.amazon.com/en/s3/)
+ [AWS WAF](https://aws.amazon.com/en/waf/)
+ [Amazon VPC](https://aws.amazon.com/en/vpc/)
## Zusätzliche Informationen
**Code**
Die folgende Lambda-Beispielfunktion ist in Node.js geschrieben. Diese Lambda-Funktion fungiert als Webserver, der eine `GetObject` Operation für einen S3-Bucket ausführt, der die Website-Ressourcen enthält.
```
/**
* This is an AWS Lambda function created for demonstration purposes.
* It retrieves static assets from a defined Amazon S3 bucket.
* To make the content available through a URL, use an Application Load Balancer with a Lambda integration.
*
* Set the S3_BUCKET environment variable in the Lambda function definition.
*/
var AWS = require('aws-sdk');
exports.handler = function(event, context, callback) {
var bucket = process.env.S3_BUCKET;
var key = event.path.replace('/', '');
if (key == '') {
key = 'index.html';
}
// Fetch from S3
var s3 = new AWS.S3();
return s3.getObject({Bucket: bucket, Key: key},
function(err, data) {
if (err) {
return err;
}
var isBase64Encoded = false;
var encoding = 'utf8';
if (data.ContentType.indexOf('image/') > -1) {
isBase64Encoded = true;
encoding = 'base64'
}
var resp = {
statusCode: 200,
headers: {
'Content-Type': data.ContentType,
},
body: new Buffer(data.Body).toString(encoding),
isBase64Encoded: isBase64Encoded
};
callback(null, resp);
}
);
};
```
# Mehr Muster
**Topics**
+ [Suchen Sie in einer CloudFront Amazon-Distribution nach Zugriffsprotokollierung, HTTPS- und TLS-Version](check-an-amazon-cloudfront-distribution-for-access-logging-https-and-tls-version.md)
+ [Stellen Sie eine GRPC-basierte Anwendung auf einem Amazon EKS-Cluster bereit und greifen Sie mit einem Application Load Balancer darauf zu](deploy-a-grpc-based-application-on-an-amazon-eks-cluster-and-access-it-with-an-application-load-balancer.md)
+ [Implementieren Sie präventive attributebasierte Zugriffskontrollen für öffentliche Subnetze](deploy-preventative-attribute-based-access-controls-for-public-subnets.md)
+ [Bereitstellen von Ressourcen in einer AWS Wavelength Zone mithilfe von Terraform](deploy-resources-wavelength-zone-using-terraform.md)
+ [Stellen Sie die Security Automations for AWS WAF Solution mithilfe von Terraform bereit](deploy-the-security-automations-for-aws-waf-solution-by-using-terraform.md)
+ [Richten Sie einen serverlosen Mobilfunkrouter für eine zellenbasierte Architektur ein](serverless-cell-router-architecture.md)
+ [Verwenden Sie Amazon Q Developer als Programmierassistenten, um Ihre Produktivität zu steigern](use-q-developer-as-coding-assistant-to-increase-productivity.md)
+ [AWS-Netzwerk-Firewall-Protokolle und -Metriken mithilfe von Splunk anzeigen](view-aws-network-firewall-logs-and-metrics-by-using-splunk.md)