.ssmmessages`— Session Manager verwendet diesen Endpunkt, um über einen sicheren Datenkanal eine Verbindung zu Ihrer EC2 Amazon-Instance herzustellen.
+ Eine `t3.nano` EC2 Amazon-Instance, auf der Amazon Linux 2 ausgeführt wird
+ IAM-Rolle und Instanzprofil
+ Amazon VPC-Sicherheitsgruppen und Sicherheitsgruppenregeln für die Endgeräte und die Amazon-Instance EC2
**Zielarchitektur**
![\[Architekturdiagramm der Verwendung von Session Manager für den Zugriff auf einen Bastion-Host.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/a02aed20-1852-4c91-902f-f553795006e2/images/819c503b-7eec-4a9c-862b-b87107d50dc1.png)
Das Diagramm zeigt den folgenden Prozess:
1. Der Benutzer nimmt eine IAM-Rolle an, die über die folgenden Berechtigungen verfügt:
+ Authentifizieren, autorisieren und eine Verbindung zur Amazon-Instance herstellen EC2
+ Starten Sie eine Sitzung mit Session Manager
1. Der Benutzer initiiert eine SSH-Sitzung über den Sitzungsmanager.
1. Session Manager authentifiziert den Benutzer, überprüft die Berechtigungen in den zugehörigen IAM-Richtlinien, überprüft die Konfigurationseinstellungen und sendet eine Nachricht an den SSM-Agenten, um eine bidirektionale Verbindung herzustellen.
1. Der Benutzer überträgt den öffentlichen SSH-Schlüssel über Amazon-Metadaten an den Bastion-Host. EC2 Dies muss vor jeder Verbindung erfolgen. Der öffentliche SSH-Schlüssel bleibt 60 Sekunden lang verfügbar.
1. Der Bastion-Host kommuniziert mit den VPC-Endpunkten der Schnittstelle für Systems Manager und Amazon. EC2
1. Der Benutzer greift über Session Manager auf den Bastion-Host zu, indem er einen mit TLS 1.2 verschlüsselten bidirektionalen Kommunikationskanal verwendet.
**Automatisierung und Skalierung**
Die folgenden Optionen sind verfügbar, um die Bereitstellung zu automatisieren oder diese Architektur zu skalieren:
+ Sie können die Architektur über eine CI/CD-Pipeline (Continuous Integration and Continuous Delivery) bereitstellen.
+ Sie können den Code ändern, um den Instanztyp des Bastion-Hosts zu ändern.
+ Sie können den Code ändern, um mehrere Bastion-Hosts bereitzustellen. Fügen Sie in der `bastion-host/main.tf` Datei im `aws_instance` Ressourcenblock das `count` Metaargument hinzu. Weitere Informationen finden Sie in der [Terraform-Dokumentation](https://developer.hashicorp.com/terraform/language/meta-arguments/count).
## Tools
**AWS-Services**
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) bietet skalierbare Rechenkapazität in der AWS Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)hilft Ihnen bei der Verwaltung Ihrer Anwendungen und Infrastruktur, die in der ausgeführt werden. AWS Cloud Es vereinfacht das Anwendungs- und Ressourcenmanagement, verkürzt die Zeit für die Erkennung und Lösung betrieblicher Probleme und hilft Ihnen, Ihre AWS Ressourcen sicher und in großem Umfang zu verwalten. Dieses Muster verwendet [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html), eine Funktion von Systems Manager.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.
**Andere Tools**
+ [HashiCorp Terraform](https://www.terraform.io/docs) ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können. Dieses Muster verwendet [Terraform](https://developer.hashicorp.com/terraform/cli) CLI.
**Code-Repository**
Der Code für dieses Muster ist im Repository GitHub [Access a Bastion Host mithilfe von Session Manager und Amazon EC2 Instance Connect](https://github.com/aws-samples/secured-bastion-host-terraform) verfügbar.
## Best Practices
+ Wir empfehlen die Verwendung automatisierter Tools zum Scannen von Code, um die Sicherheit und Qualität des Codes zu verbessern. Dieses Muster wurde mit [Checkov](https://www.checkov.io/), einem statischen Codeanalyse-Tool für IaC, gescannt. Wir empfehlen, dass Sie mindestens grundlegende Validierungs- und Formatierungsprüfungen mithilfe der `terraform validate` Befehle und Terraform durchführen. `terraform fmt -check -recursive`
+ Es empfiehlt sich, automatisierte Tests für IaC hinzuzufügen. Weitere Informationen zu den verschiedenen Ansätzen zum Testen von Terraform-Code finden Sie unter Terraform [testen ( HashiCorp Terraform-Blogbeitrag](https://www.hashicorp.com/blog/testing-hashicorp-terraform)).
+ Während der Bereitstellung verwendet Terraform jedes Mal, wenn eine neue Version des Amazon [Linux 2-AMI erkannt wird, die EC2 Amazon-Instance](https://aws.amazon.com/marketplace/pp/prodview-zc4x2k7vt6rpu?sr=0-1&ref_=beagle&applicationId=AWSMPContessa) ersetzt. Dadurch wird die neue Version des Betriebssystems einschließlich Patches und Upgrades bereitgestellt. Wenn der Bereitstellungszeitplan selten ist, kann dies ein Sicherheitsrisiko darstellen, da die Instanz nicht über die neuesten Patches verfügt. Es ist wichtig, regelmäßig Sicherheitspatches zu aktualisieren und auf bereitgestellte EC2 Amazon-Instances anzuwenden. Weitere Informationen finden Sie unter [Update-Verwaltung in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/update-management.html).
+ Da es sich bei diesem Muster um einen Machbarkeitsnachweis handelt, AWS werden verwaltete Richtlinien verwendet, wie `AmazonSSMManagedInstanceCore` z. AWS verwaltete Richtlinien decken allgemeine Anwendungsfälle ab, gewähren jedoch keine Berechtigungen mit den geringsten Rechten. Je nach Bedarf für Ihren Anwendungsfall empfehlen wir Ihnen, benutzerdefinierte Richtlinien zu erstellen, die Berechtigungen mit den geringsten Rechten für die in dieser Architektur bereitgestellten Ressourcen gewähren. Weitere Informationen finden Sie unter [Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) den geringsten Rechten.
+ Verwenden Sie ein Passwort, um den Zugriff auf SSH-Schlüssel zu schützen und Schlüssel an einem sicheren Ort zu speichern.
+ Richten Sie die Protokollierung und Überwachung für den Bastion-Host ein. Protokollierung und Überwachung sind wichtige Bestandteile der Wartung von Systemen, sowohl aus betrieblicher als auch aus sicherheitstechnischer Sicht. Es gibt mehrere Möglichkeiten, Verbindungen und Aktivitäten auf Ihrem Bastion-Host zu überwachen. Weitere Informationen finden Sie in den folgenden Themen in der Systems Manager Manager-Dokumentation:
+ [Überwachung AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring.html)
+ [Anmeldung und Überwachung AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/logging-and-monitoring.html)
+ [Überwachung der Sitzungsaktivität](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-auditing.html)
+ [Protokollieren von Sitzungsaktivitäten](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-logging.html)
## Epen
### Stellen Sie die Ressourcen bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Code-Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.html) | DevOps Ingenieur, Entwickler |
| Initialisieren Sie das Terraform-Arbeitsverzeichnis. | Dieser Schritt ist nur für die erste Bereitstellung erforderlich. Wenn Sie das Muster erneut bereitstellen, fahren Sie mit dem nächsten Schritt fort.Geben Sie im Stammverzeichnis des geklonten Repositorys den folgenden Befehl ein, wobei:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.html)terraform init \
-backend-config="bucket=$S3_STATE_BUCKET" \
-backend-config="key=$PATH_TO_STATE_FILE" \
-backend-config="region=$AWS_REGION
Alternativ können Sie die Datei **config.tf** öffnen und in dem `terraform` Abschnitt diese Werte manuell angeben. | DevOps Ingenieur, Entwickler, Terraform |
| Stellen Sie die Ressourcen bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.html) | DevOps Ingenieur, Entwickler, Terraform |
### Richten Sie die lokale Umgebung ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie die SSH-Verbindung. | Aktualisieren Sie die SSH-Konfigurationsdatei, um SSH-Verbindungen über den Sitzungsmanager zuzulassen. Anweisungen finden Sie unter [Zulassen von SSH-Verbindungen für](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-enable-ssh-connections.html#ssh-connections-enable) Session Manager. Auf diese Weise können autorisierte Benutzer einen Proxybefehl eingeben, der eine Session Manager-Sitzung startet und alle Daten über eine bidirektionale Verbindung überträgt. | DevOps Ingenieur |
| Generieren Sie die SSH-Schlüssel. | Geben Sie den folgenden Befehl ein, um ein lokales privates und öffentliches SSH-Schlüsselpaar zu generieren. Sie verwenden dieses key pair, um eine Verbindung zum Bastion-Host herzustellen.ssh-keygen -t rsa -f my_key
| DevOps Ingenieur, Entwickler |
### Stellen Sie mithilfe von Session Manager eine Connect zum Bastion-Host her
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Holen Sie sich die Instanz-ID. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.html) | Allgemeines AWS |
| Senden Sie den öffentlichen SSH-Schlüssel. | In diesem Abschnitt laden Sie den öffentlichen Schlüssel in die [Instanz-Metadaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) des Bastion-Hosts hoch. Nachdem der Schlüssel hochgeladen wurde, haben Sie 60 Sekunden Zeit, um eine Verbindung mit dem Bastion-Host herzustellen. Nach 60 Sekunden wird der öffentliche Schlüssel entfernt. Weitere Informationen finden Sie im Abschnitt [zur Fehlerbehebung](#access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect-troubleshooting) dieses Musters. Führen Sie die nächsten Schritte schnell durch, um zu verhindern, dass der Schlüssel entfernt wird, bevor Sie eine Verbindung zum Bastion-Host herstellen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.html) | Allgemeines AWS |
| Connect zum Bastion-Host her. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.html)Es gibt andere Optionen zum Öffnen einer SSH-Verbindung mit dem Bastion-Host. Weitere Informationen finden Sie unter *Alternative Ansätze zum Herstellen einer SSH-Verbindung mit dem Bastion-Host* im Abschnitt [Zusätzliche Informationen](#access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect-additional) dieses Musters. | Allgemeines AWS |
### (Optional) Bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Entfernen Sie die bereitgestellten Ressourcen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.html) | DevOps Ingenieur, Entwickler, Terraform |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| `TargetNotConnected`Fehler beim Versuch, eine Verbindung zum Bastion-Host herzustellen | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.html) |
| `Permission denied`Fehler beim Versuch, eine Verbindung zum Bastion-Host herzustellen | Nachdem der öffentliche Schlüssel auf den Bastion-Host hochgeladen wurde, haben Sie nur 60 Sekunden Zeit, um die Verbindung herzustellen. Nach 60 Sekunden wird der Schlüssel automatisch entfernt und Sie können ihn nicht verwenden, um eine Verbindung mit der Instanz herzustellen. In diesem Fall können Sie den Schritt wiederholen, um den Schlüssel erneut an die Instanz zu senden. |
## Zugehörige Ressourcen
**AWS Dokumentation**
+ [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)(Systems Manager Manager-Dokumentation)
+ [Installieren Sie das Session Manager-Plug-In für AWS CLI](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html) (Systems Manager Manager-Dokumentation)
+ [Zulassen von SSH-Verbindungen für Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-enable-ssh-connections.html#ssh-connections-enable) (Systems Manager Manager-Dokumentation)
+ [Über die Verwendung von EC2 Instance Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect.html) ( EC2 Amazon-Dokumentation)
+ [Stellen Sie eine Verbindung mit EC2 Instance Connect her](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-connect-methods.html) ( EC2 Amazon-Dokumentation)
+ [Identitäts- und Zugriffsmanagement für Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-iam.html) ( EC2 Amazon-Dokumentation)
+ [Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) (IAM-Dokumentation)
+ [Bewährte Sicherheitsmethoden in IAM (IAM-Dokumentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html))
+ [Steuern Sie den Datenverkehr zu Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) (Amazon VPC-Dokumentation)
**Sonstige Ressourcen**
+ [Terraform-Webseite für Entwickler](https://developer.hashicorp.com/terraform)
+ [Befehl: validate](https://developer.hashicorp.com/terraform/cli/commands/validate) (Terraform-Dokumentation)
+ [Befehl: fmt (Terraform-Dokumentation](https://developer.hashicorp.com/terraform/cli/commands/fmt))
+ [ HashiCorp Terraform testen](https://www.hashicorp.com/blog/testing-hashicorp-terraform) (Blogbeitrag) HashiCorp
+ [Checkov-Webseite](https://www.checkov.io/)
## Zusätzliche Informationen
**Alternative Ansätze zum Herstellen einer SSH-Verbindung mit dem Bastion-Host**
*Port-Weiterleitung*
Sie können die `-D 8888` Option verwenden, um eine SSH-Verbindung mit dynamischer Portweiterleitung zu öffnen. Weitere Informationen finden Sie in den [Anweisungen](https://explainshell.com/explain?cmd=ssh+-i+%24PRIVATE_KEY_FILE+-D+8888+ec2-user%40%24INSTANCE_ID) auf explainshell.com. Im Folgenden finden Sie ein Beispiel für einen Befehl zum Öffnen einer SSH-Verbindung mithilfe von Portweiterleitung.
```
ssh -i $PRIVATE_KEY_FILE -D 8888 ec2-user@$INSTANCE_ID
```
Diese Art von Verbindung öffnet einen SOCKS-Proxy, der den Datenverkehr von Ihrem lokalen Browser über den Bastion-Host weiterleiten kann. Wenn Sie Linux oder macOS verwenden, geben Sie ein, um alle Optionen anzuzeigen`man ssh`. Dadurch wird das SSH-Referenzhandbuch angezeigt.
*Unter Verwendung des bereitgestellten Skripts*
Anstatt die unter *Connect zum Bastion-Host mithilfe des Sitzungsmanagers* im Abschnitt [Epics](#access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect-epics) beschriebenen Schritte manuell auszuführen, können Sie das Skript **connect.sh** verwenden, das im Code-Repository enthalten ist. Dieses Skript generiert das SSH-Schlüsselpaar, überträgt den öffentlichen Schlüssel an die EC2 Amazon-Instance und initiiert eine Verbindung mit dem Bastion-Host. Wenn Sie das Skript ausführen, übergeben Sie das Tag und den Schlüsselnamen als Argumente. Im Folgenden finden Sie ein Beispiel für den Befehl zum Ausführen des Skripts.
```
./connect.sh sandbox-dev-bastion-host my_key
```
# Zentralisieren Sie die DNS-Auflösung mithilfe von AWS Managed Microsoft AD und vor Ort von Microsoft Active Directory
*Brian Westmoreland, Amazon Web Services*
## Zusammenfassung
Dieses Muster bietet Anleitungen für die Zentralisierung der DNS-Auflösung in einer Umgebung mit AWS mehreren Konten, indem sowohl AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) als auch Amazon Route 53 verwendet werden. In diesem Muster ist der AWS DNS-Namespace eine Unterdomäne des lokalen DNS-Namespace. Dieses Muster enthält auch Anleitungen zur Konfiguration der lokalen DNS-Server für die Weiterleitung von Abfragen, AWS wenn die lokale DNS-Lösung Microsoft Active Directory verwendet.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine Umgebung AWS mit mehreren Konten, eingerichtet mit. AWS Organizations
+ Netzwerkkonnektivität wurde hergestellt zwischen AWS-Konten.
+ Netzwerkkonnektivität, die zwischen AWS und der lokalen Umgebung hergestellt wurde (mithilfe einer VPN-Verbindung AWS Direct Connect oder einer beliebigen Art von VPN-Verbindung).
+ AWS Command Line Interface (AWS CLI) auf einer lokalen Arbeitsstation konfiguriert.
+ AWS Resource Access Manager (AWS RAM) wird verwendet, um Route 53-Regeln zwischen Konten gemeinsam zu nutzen. Daher muss die gemeinsame Nutzung innerhalb der AWS Organizations Umgebung aktiviert sein, wie im Abschnitt [Epics](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics) beschrieben.
**Einschränkungen**
+ AWS Managed Microsoft AD Die Standard Edition hat ein Limit von 5 Shares.
+ AWS Managed Microsoft AD Die Enterprise Edition hat ein Limit von 125 Aktien.
+ Die Lösung in diesem Muster ist auf AWS-Regionen die gemeinsame Nutzung des Supports beschränkt AWS RAM.
**Produktversionen**
+ Microsoft Active Directory wird auf Windows Server 2008, 2012, 2012 R2 oder 2016 ausgeführt.
## Architektur
**Zielarchitektur**
![\[Architektur für zentralisierte DNS-Auflösung auf AWS.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/91430e2a-f7f6-4dbe-9fe7-8abed1f764a7/images/9b5fc51d-590b-468f-80f7-1949f3b3b258.png)
In diesem Design AWS Managed Microsoft AD ist es in den Shared Services installiert AWS-Konto. Obwohl dies keine Anforderung ist, geht dieses Muster von dieser Konfiguration aus. Wenn Sie eine andere Konfiguration AWS Managed Microsoft AD verwenden AWS-Konto, müssen Sie möglicherweise die Schritte im Abschnitt [Epics](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics) entsprechend ändern.
Dieses Design verwendet Route 53-Resolver, um die Namensauflösung mithilfe von Route 53-Regeln zu unterstützen. Wenn die lokale DNS-Lösung Microsoft DNS verwendet, ist die Erstellung einer bedingten Weiterleitungsregel für den AWS-Namespace (`aws.company.com`), der eine Unterdomäne des Unternehmens-DNS-Namespace (`company.com`) ist, nicht einfach. Wenn Sie versuchen, eine herkömmliche bedingte Weiterleitung zu erstellen, führt dies zu einem Fehler. Dies liegt daran, dass Microsoft Active Directory bereits für jede Subdomain von als maßgeblich angesehen wird. `company.com` Um diesen Fehler zu umgehen, müssen Sie zunächst eine Delegierung erstellen, um die Autorität für diesen `aws.company.com` Namespace zu delegieren. Anschließend können Sie die bedingte Weiterleitung erstellen.
Die Virtual Private Cloud (VPC) für jedes Spoke-Konto kann einen eigenen eindeutigen DNS-Namespace haben, der auf dem AWS Root-Namespace basiert. In diesem Design hängt jedes Spoke-Konto eine Abkürzung des Kontonamens an den AWS-Basisnamespace an. Nachdem die privaten Hosting-Zonen im Spoke-Konto erstellt wurden, werden die Zonen der lokalen VPC im Spoke-Konto sowie der VPC im zentralen AWS Netzwerkkonto zugeordnet. Dadurch kann das zentrale AWS Netzwerkkonto DNS-Anfragen beantworten, die sich auf die Spoke-Konten beziehen. Auf diese Weise teilen sich Route 53 und Route 53 AWS Managed Microsoft AD gemeinsam die Verantwortung für die Verwaltung des AWS Namespaces (`aws.company.com`).
**Automatisierung und Skalierung**
Dieses Design verwendet Route 53 Resolver-Endpunkte, um DNS-Abfragen zwischen AWS und Ihrer lokalen Umgebung zu skalieren. Jeder Route 53 Resolver-Endpunkt besteht aus mehreren elastischen Netzwerkschnittstellen (verteilt auf mehrere Availability Zones), und jede Netzwerkschnittstelle kann bis zu 10.000 Abfragen pro Sekunde verarbeiten. Route 53 Resolver unterstützt bis zu 6 IP-Adressen pro Endpunkt. Insgesamt unterstützt dieses Design also bis zu 60.000 DNS-Abfragen pro Sekunde, die über mehrere Availability Zones verteilt sind, um eine hohe Verfügbarkeit zu gewährleisten.
Darüber hinaus berücksichtigt dieses Muster automatisch das future Wachstum innerhalb AWS. Die vor Ort konfigurierten DNS-Weiterleitungsregeln müssen nicht geändert werden, um neue VPCs und die zugehörigen privaten Hosting-Zonen zu unterstützen, die hinzugefügt werden AWS.
## Tools
**AWS-Services**
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)ermöglicht Ihren verzeichnissensitiven Workloads und AWS Ressourcen die Verwendung von Microsoft Active Directory in der. AWS Cloud
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsdienst, der Ihnen hilft, mehrere Konten AWS-Konten in einer Organisation zu konsolidieren, die Sie erstellen und zentral verwalten.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) hilft Ihnen dabei, Ihre Ressourcen sicher gemeinsam zu nutzen AWS-Konten , um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) ist ein hochverfügbarer und skalierbarer DNS-Web-Service.
**Tools**
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können. In diesem Muster AWS CLI wird der verwendet, um Route 53-Autorisierungen zu konfigurieren.
## Epen
### Ein AWS Managed Microsoft AD Verzeichnis erstellen und teilen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bereitstellen AWS Managed Microsoft AD. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | AWS-Administrator |
| Teilen Sie das Verzeichnis. | Nachdem das Verzeichnis erstellt wurde, können Sie es mit anderen Mitgliedern AWS-Konten der AWS Organisation teilen. Anweisungen dazu finden Sie im *AWS Directory Service Administratorhandbuch* unter [Verzeichnis teilen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html). AWS Managed Microsoft AD Die Standard Edition hat ein Limit von 5 Shares. Die Enterprise Edition hat ein Limit von 125 Aktien. | AWS-Administrator |
### Route 53 konfigurieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie Route 53-Resolver. | Route 53-Resolver erleichtern die Auflösung von DNS-Abfragen zwischen AWS und dem lokalen Rechenzentrum. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)Die Verwendung des zentralen AWS Netzwerkkontos VPC ist zwar nicht erforderlich, bei den verbleibenden Schritten wird jedoch von dieser Konfiguration ausgegangen. | AWS-Administrator |
| Erstellen Sie Route 53-Regeln. | Ihr spezieller Anwendungsfall erfordert möglicherweise eine große Anzahl von Route 53-Regeln, aber Sie müssen die folgenden Regeln als Grundlage konfigurieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)Weitere Informationen finden Sie im *Route 53 Developer Guide* unter [Managing Forwarding Rules](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html). | AWS-Administrator |
| Konfigurieren Sie ein Route 53-Profil. | Ein Route 53-Profil wird verwendet, um die Regeln mit Spoke-Konten zu teilen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | AWS-Administrator |
### Konfigurieren Sie das lokale Active Directory-DNS
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die Delegation. | Verwenden Sie das Microsoft DNS-Snap-In (`dnsmgmt.msc`), um eine neue Delegierung für den `company.com` Namespace in Active Directory zu erstellen. Der Name der delegierten Domäne sollte lauten. `aws` Dies ist der vollqualifizierte Domänenname (FQDN) der Delegation. `aws.company.com` Verwenden Sie die IP-Adressen der AWS Managed Microsoft AD Domänencontroller für die IP-Werte des Nameservers und verwenden Sie sie `server.aws.company.com` für den Namen. (Diese Delegierung dient nur der Redundanz, da für diesen Namespace eine bedingte Weiterleitung erstellt wird, die Vorrang vor der Delegierung hat.) | Active Directory |
| Erstellen Sie die bedingte Weiterleitung. | Verwenden Sie das Microsoft DNS-Snap-In (`dnsmgmt.msc`), um eine neue bedingte Weiterleitung für zu erstellen. `aws.company.com` Verwenden Sie die IP-Adressen der AWS eingehenden Route 53-Resolver im zentralen DNS AWS-Konto für das Ziel der bedingten Weiterleitung. | Active Directory |
### Erstellen Sie private, gehostete Route 53-Zonen für Spoke AWS-Konten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die privaten Hosting-Zonen von Route 53. | Erstellen Sie in jedem Spoke-Konto eine private gehostete Route 53-Zone. Ordnen Sie diese privat gehostete Zone der Spoke-Konto-VPC zu. Eine ausführliche Anleitung finden Sie unter [Creating a private hosted zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) im *Route 53 Developer Guide*. | AWS-Administrator |
| Autorisierungen erstellen. | Verwenden Sie die AWS CLI , um eine Autorisierung für das zentrale AWS Netzwerkkonto VPC zu erstellen. Führen Sie diesen Befehl im Kontext der einzelnen AWS-Konto Spokes aus:aws route53 create-vpc-association-authorization --hosted-zone-id \
--vpc VPCRegion=,VPCId=
Wobei:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | AWS-Administrator |
| Verknüpfungen erstellen. | Erstellen Sie die Route 53-Zuordnung für die private gehostete Zone für die zentrale AWS Netzwerkkonto-VPC mithilfe von. AWS CLI Führen Sie diesen Befehl im Kontext des zentralen AWS Netzwerkkontos aus:aws route53 associate-vpc-with-hosted-zone --hosted-zone-id \
--vpc VPCRegion=,VPCId=
Wobei:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | AWS-Administrator |
## Zugehörige Ressourcen
+ [Vereinfachen Sie die DNS-Verwaltung in einer Umgebung mit mehreren Konten mit Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (AWS Blogbeitrag)
+ [Erstellen Sie Ihre AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) (Dokumentation)AWS Directory Service
+ [Ein AWS Managed Microsoft AD Verzeichnis teilen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html) (AWS Directory Service Dokumentation)
+ [Was ist Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) (Dokumentation zu Amazon Route 53)
+ [Eine private gehostete Zone erstellen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) (Amazon Route 53-Dokumentation)
+ [Was sind Amazon Route 53 53-Profile?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) (Dokumentation zu Amazon Route 53)
# Zentralisieren Sie die Überwachung mithilfe von Amazon CloudWatch Observability Access Manager
*Anand Krishna Varanasi, JAGDISH KOMAKULA, Ashish Kumar, Jimmy Morgan, Sarat Chandra Pothula, Vivek Thangamuthu und Balaji Vedagiri, Amazon Web Services*
## Zusammenfassung
Beobachtbarkeit ist entscheidend für die Überwachung, das Verständnis und die Fehlerbehebung von Anwendungen. Anwendungen, die sich über mehrere Konten erstrecken, wie bei Implementierungen AWS Control Tower oder landing zone Zone-Implementierungen, generieren eine große Anzahl von Protokollen und Trace-Daten. Um Probleme schnell zu beheben oder Benutzeranalysen oder Geschäftsanalysen zu verstehen, benötigen Sie eine gemeinsame Observability-Plattform für alle Konten. Mit dem Amazon CloudWatch Observability Access Manager können Sie von einem zentralen Ort aus auf mehrere Kontoprotokolle zugreifen und diese kontrollieren.
Sie können den Observability Access Manager verwenden, um Observability-Datenprotokolle anzuzeigen und zu verwalten, die von Quellkonten generiert wurden. Quellkonten sind Einzelpersonen AWS-Konten , die Observability-Daten für ihre Ressourcen generieren. Observabilitätsdaten werden zwischen Quellkonten und Monitoring-Konten gemeinsam genutzt. Die gemeinsam genutzten Observability-Daten können Metriken in Amazon CloudWatch, Logs in Amazon CloudWatch Logs und Traces in AWS X-Ray beinhalten. Weitere Informationen finden Sie in der Dokumentation zu [Observability Access Manager](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html).
Dieses Muster ist für Benutzer gedacht, die über Anwendungen oder Infrastrukturen verfügen, die in mehreren ausgeführt werden AWS-Konten und die einen gemeinsamen Ort zum Einsehen von Protokollen benötigen. Es erklärt, wie Sie Observability Access Manager mithilfe von Terraform einrichten können, um den Status und den Zustand dieser Anwendungen oder Infrastrukturen zu überwachen. Sie können diese Lösung auf verschiedene Arten installieren:
+ Als eigenständiges Terraform-Modul, das Sie manuell einrichten
+ Durch die Verwendung einer Pipeline für kontinuierliche Integration und kontinuierliche Lieferung (CI/CD)
+ Durch die Integration mit anderen Lösungen wie [AWS Control Tower Account Factory for Terraform (](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html)AFT)
Die Anweisungen im Abschnitt [Epics](#centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager-epics) behandeln die manuelle Implementierung. Die Schritte zur AFT-Installation finden Sie in der README-Datei für das GitHub [Observability Access](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform) Manager-Repository.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ [Terraform](https://www.terraform.io/) ist in Ihrem System oder in automatisierten Pipelines installiert oder referenziert. (Wir empfehlen Ihnen, die [neueste Version](https://releases.hashicorp.com/terraform/) zu verwenden.)
+ Ein Konto, das Sie als zentrales Überwachungskonto verwenden können. Andere Konten erstellen Links zum zentralen Überwachungskonto, um Protokolle einzusehen.
+ (Optional) Ein Quellcode-Repository wie GitHub, AWS CodeCommit, Atlassian Bitbucket oder ein ähnliches System. Ein Quellcode-Repository ist nicht erforderlich, wenn du automatisierte Pipelines verwendest. CI/CD
+ (Optional) Berechtigungen zum Erstellen von Pull-Requests (PRs) für Code-Reviews und Code-Zusammenarbeit in GitHub.
**Einschränkungen**
Observability Access Manager hat die folgenden Dienstkontingente, die nicht geändert werden können. Berücksichtigen Sie diese Kontingente, bevor Sie diese Funktion bereitstellen. Weitere Informationen finden Sie in der CloudWatch Dokumentation unter [CloudWatch Servicekontingenten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html).
+ **Links zu Quellkonten**: Sie können jedes Quellkonto mit maximal fünf Überwachungskonten verknüpfen.
+ **Senken**: Sie können mehrere Senken für ein Konto erstellen, pro Konto AWS-Region ist jedoch nur eine Senke zulässig.
Zusätzlich:
+ Senken und Links müssen im selben System erstellt werden AWS-Region; sie können nicht regionsübergreifend sein.
**Regions- und kontenübergreifende Überwachung**
Für die regionsübergreifende, kontenübergreifende Überwachung können Sie eine der folgenden Optionen wählen:
+ Erstellen Sie [konto- und regionsübergreifende CloudWatch Dashboards für Alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) und Messwerte. Diese Option unterstützt keine Logs und Traces.
+ Implementieren Sie die [zentralisierte Protokollierung](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) mithilfe von Amazon OpenSearch Service.
+ Erstellen Sie eine Senke pro Region aus allen Mandantenkonten, übertragen Sie Metriken an ein zentrales Überwachungskonto (wie in diesem Muster beschrieben) und verwenden Sie dann [CloudWatch Metrik-Streams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Metric-Streams.html), um die Daten an ein gemeinsames externes Ziel oder an Monitoring-Produkte von Drittanbietern wie Datadog, Dynatrace, Sumo Logic, Splunk oder New Relic zu senden.
## Architektur
**Komponenten**
CloudWatch Observability Access Manager besteht aus zwei Hauptkomponenten, die eine kontenübergreifende Observability ermöglichen:
+ Eine *Senke* bietet Quellkonten die Möglichkeit, Observabilitätsdaten an das zentrale Monitoring-Konto zu senden. Eine Senke stellt im Grunde eine Gateway-Verbindung dar, mit der Quellkonten eine Verbindung herstellen können. Es kann nur ein Senken-Gateway oder eine Senkenverbindung geben, und mehrere Konten können eine Verbindung zu diesem herstellen.
+ Jedes Quellkonto hat einen *Link* zum Sink-Gateway-Junction, und Observability-Daten werden über diesen Link gesendet. Sie müssen eine Senke erstellen, bevor Sie Links von jedem Quellkonto aus erstellen können.
**Architektur**
Das folgende Diagramm veranschaulicht Observability Access Manager und seine Komponenten.
![\[Architektur für kontenübergreifende Observability mit Senken und Links.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/00603763-4f99-456e-85e7-a80d803b087d/images/5188caf9-348b-4d91-b560-2b3d6ea81191.png)
## Tools
**AWS-Services**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
**Tools**
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
+ [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) richtet eine Terraform-Pipeline ein, die Sie bei der Bereitstellung und Anpassung von Konten unterstützt. AWS Control Tower Sie können AFT optional verwenden, um Observability Access Manager skalierbar für mehrere Konten einzurichten.
**Code-Repository**
Der Code für dieses Muster ist im GitHub [Observability Access Manager-Repository](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform) verfügbar.
## Best Practices
+ Markieren Sie in AWS Control Tower Umgebungen das Protokollierungskonto als zentrales Überwachungskonto (Senke).
+ Wenn Sie mehrere Organisationen mit mehreren Konten haben AWS Organizations, empfehlen wir, dass Sie die Organisationen und nicht einzelne Konten in die Konfigurationsrichtlinie aufnehmen. Wenn Sie nur über eine geringe Anzahl von Konten verfügen oder wenn die Konten nicht Teil einer Organisation sind, die in der Konfigurationsrichtlinie aufgeführt ist, können Sie sich dafür entscheiden, stattdessen einzelne Konten einzubeziehen.
## Epen
### Richten Sie das Spülmodul ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Klonen Sie das GitHub Observability Access Manager-Repository:git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform
| AWS DevOps, Cloud-Administrator, AWS-Administrator |
| Geben Sie Eigenschaftswerte für das Sink-Modul an. | Geben Sie in der `main.tf` Datei (im `deployments/aft-account-customizations/LOGGING/terraform/`**** Ordner des Repositorys) Werte für die folgenden Eigenschaften an:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Weitere Informationen finden Sie [AWS::Oam::Sink](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-sink.html)in der CloudFormation Dokumentation. | AWS DevOps, Cloud-Administrator, AWS-Administrator |
| Installieren Sie das Sink-Modul. | Exportieren Sie die Anmeldeinformationen des Kontos AWS-Konto , das Sie als Überwachungskonto ausgewählt haben, und installieren Sie das Observability Access Manager-Senkmodul:Terraform Init
Terrafom Plan
Terraform Apply
| AWS DevOps, Cloud-Administrator, AWS-Administrator |
### Richten Sie das Link-Modul ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Geben Sie Eigenschaftswerte für das Linkmodul an. | Geben Sie in der `main.tf ` Datei (im `deployments/aft-account-customizations/LOGGING/terraform/`**** Ordner des Repositorys) Werte für die folgenden Eigenschaften an:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Weitere Informationen finden Sie [AWS::Oam::Link](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-link.html)in der CloudFormation Dokumentation. | AWS DevOps, Cloud-Administrator, Cloud-Architekt |
| Installieren Sie das Link-Modul für einzelne Konten. | Exportieren Sie die Anmeldeinformationen einzelner Konten und installieren Sie das Observability Access Manager-Linkmodul:Terraform Plan
Terraform Apply
Sie können das Linkmodul für jedes Konto einzeln einrichten oder [AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) verwenden, um dieses Modul automatisch für eine große Anzahl von Konten zu installieren. | AWS DevOps, Cloud-Administrator, Cloud-Architekt |
### sink-to-linkVerbindungen genehmigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie die Statusmeldung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Auf der rechten Seite sollte die Statusmeldung Das **Überwachungskonto aktiviert** mit einem grünen Häkchen angezeigt werden. Das bedeutet, dass das Überwachungskonto über eine Observability Access Manager-Senke verfügt, zu der die Links anderer Konten eine Verbindung herstellen. | |
| Genehmigen Sie die link-to-sink Verbindungen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Weitere Informationen finden Sie in der CloudWatch Dokumentation unter [Monitoring-Konten mit Quellkonten verknüpfen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account-Setup.html). | AWS DevOps, Cloud-Administrator, Cloud-Architekt |
### Überprüfen Sie kontoübergreifende Beobachtbarkeitsdaten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Kontoübergreifende Daten anzeigen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html) | AWS DevOps, Cloud-Administrator, Cloud-Architekt |
### (Optional) Aktivieren Sie Quellkonten, damit sie dem Überwachungskonto vertrauen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Sehen Sie sich Metriken, Dashboards, Protokolle, Widgets und Alarme von anderen Konten an. | Als zusätzliche Funktion können**** Sie die CloudWatch Metriken, Dashboards, Protokolle, Widgets und Alarme mit anderen Konten teilen. Jedes Konto verwendet eine IAM-Rolle namens **CloudWatch- CrossAccountSharingRole **, um Zugriff auf diese Daten zu erhalten.Quellkonten, die eine Vertrauensbeziehung mit dem zentralen Überwachungskonto haben, können diese Rolle übernehmen und Daten aus dem Überwachungskonto einsehen.CloudWatch stellt ein CloudFormation Beispielskript zum Erstellen der Rolle bereit. Wählen Sie „**Rolle in IAM verwalten**“ und führen Sie dieses Skript in den Konten aus, in denen Sie Daten anzeigen möchten.{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root"
]
},
"Action": "sts:AssumeRole"
}
]
}Weitere Informationen finden Sie [in CloudWatch der Dokumentation unter Aktivieren der CloudWatch kontoübergreifenden Funktionalität](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html#enable-cross-account-cross-Region). | AWS DevOps, Cloud-Administrator, Cloud-Architekt |
### (Optional) Kontenübergreifendes Abrufen regionsübergreifender Daten vom Monitoring-Konto aus
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie einen konto- und regionsübergreifenden Zugriff ein. | Im zentralen Überwachungskonto können Sie optional eine Kontoauswahl hinzufügen, um einfach zwischen Konten zu wechseln und deren Daten einzusehen, ohne sich authentifizieren zu müssen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Weitere Informationen finden Sie in der Dokumentation unter [Kontoübergreifende regionsübergreifende Konsole CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html). CloudWatch | AWS DevOps, Cloud-Administrator, Cloud-Architekt |
## Zugehörige Ressourcen
+ [CloudWatch kontoübergreifende Beobachtbarkeit](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) ( CloudWatch Amazon-Dokumentation)
+ [Amazon CloudWatch Observability Access Manager API-Referenz](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html) ( CloudWatch Amazon-Dokumentation)
+ [Ressource: aws\$1oam\$1sink](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/oam_sink) (Terraform-Dokumentation)
+ [Datenquelle](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/data-sources/oam_link): aws\$1oam\$1link (Terraform-Dokumentation)
+ [CloudWatchObservabilityAccessManager](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/oam.html)AWS (Boto3-Dokumentation)
# EC2 Instances beim Start auf obligatorische Tags überprüfen
*Susanne Kangnoh und Architekt Mathur, Amazon Web Services*
## Zusammenfassung
Amazon Elastic Compute Cloud (Amazon EC2) bietet skalierbare Rechenkapazität in der Amazon Web Services (AWS) Cloud. EC2 Durch die Nutzung von Amazon müssen Sie nicht im Voraus in Hardware investieren, sodass Sie Anwendungen schneller entwickeln und bereitstellen können.
Sie können Tagging verwenden, um Ihre AWS-Ressourcen auf unterschiedliche Weise zu kategorisieren. EC2 Instance-Tagging ist nützlich, wenn Sie viele Ressourcen in Ihrem Konto haben und Sie anhand der Tags schnell eine bestimmte Ressource identifizieren möchten. Mithilfe von Tags können Sie Ihren EC2 Instanzen benutzerdefinierte Metadaten zuweisen. Ein Tag besteht aus einem benutzerdefinierten Schlüssel und Wert. Wir empfehlen Ihnen, einen konsistenten Satz von Stichwörtern zu erstellen, um die Anforderungen Ihrer Organisation zu erfüllen.
Dieses Muster bietet eine CloudFormation AWS-Vorlage, mit der Sie EC2 Instances auf bestimmte Tags überwachen können. Die Vorlage erstellt ein Amazon CloudWatch Events-Ereignis, das nach AWS CloudTrail **TagResource**oder **UntagResource**Ereignissen Ausschau hält, um zu erkennen, ob neue EC2 Instances markiert oder Tags entfernt wurden. Wenn ein vordefiniertes Tag fehlt, ruft es eine AWS-Lambda-Funktion auf, die mithilfe von Amazon Simple Notification Service (Amazon SNS) eine Meldung über einen Verstoß an eine von Ihnen angegebene E-Mail-Adresse sendet.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto.
+ Ein Amazon Simple Storage Service (Amazon S3) -Bucket zum Hochladen des bereitgestellten Lambda-Codes.
+ Eine E-Mail-Adresse, an die Sie Benachrichtigungen über Verstöße erhalten möchten.
**Einschränkungen**
+ Diese Lösung unterstützt CloudTrail **TagResource**unsere **UntagResource**Ereignisse. Es werden keine Benachrichtigungen für andere Ereignisse erstellt.
+ Diese Lösung sucht nur nach Tag-Schlüsseln. Schlüsselwerte werden nicht überwacht.
## Architektur
****Workflow-Architektur****
![\[Workflow diagram showing AWS-Services interaction for EC2 instance monitoring and notification.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/9cd74141-a87f-419e-94b3-0b28fd04a018/images/b48fd21b-a86b-4ec7-b9f6-4f1a64999437.png)
**Automatisierung und Skalierung**
+ Sie können die CloudFormation AWS-Vorlage mehrfach für verschiedene AWS-Regionen und Konten verwenden. Sie müssen die Vorlage in jeder Region oder jedem Konto nur einmal ausführen.
## Tools
**AWS-Services**
+ [Amazon EC2](https://aws.amazon.com/ec2/) — Amazon Elastic Compute Cloud (Amazon EC2) ist ein Webservice, der sichere, anpassbare Rechenkapazität in der Cloud bietet. Er wurde entwickelt, um Entwicklern Cloud-Computing im Web-Scale-Maßstab zu erleichtern.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) — CloudTrail ist ein AWS-Service, der Sie bei der Steuerung, Einhaltung von Vorschriften sowie der Betriebs- und Risikoprüfung Ihres AWS-Kontos unterstützt. Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service ausgeführt werden, werden als Ereignisse in aufgezeichnet CloudTrail.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) — Amazon CloudWatch Events bietet einen Stream von Systemereignissen, die Änderungen an AWS-Ressourcen beschreiben, nahezu in Echtzeit. CloudWatch Events wird sofort auf betriebliche Änderungen aufmerksam und ergreift bei Bedarf Korrekturmaßnahmen, indem es Nachrichten sendet, um auf die Umgebung zu reagieren, Funktionen aktiviert, Änderungen vornimmt und Statusinformationen erfasst.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) — Lambda ist ein Rechenservice, der die Ausführung von Code unterstützt, ohne dass Server bereitgestellt oder verwaltet werden müssen. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch – von einigen Anforderungen pro Tag bis zu Tausenden pro Sekunde.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html) — Amazon Simple Storage Service (Amazon S3) ist ein hoch skalierbarer Objektspeicherservice, der für eine Vielzahl von Speicherlösungen verwendet werden kann, darunter Websites, mobile Anwendungen, Backups und Data Lakes.
+ [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) — Amazon Simple Notification Service (Amazon SNS) ist ein Webservice, der es Anwendungen, Endbenutzern und Geräten ermöglicht, sofort Benachrichtigungen aus der Cloud zu senden und zu empfangen.
**Code**
Dieses Muster beinhaltet einen Anhang mit zwei Dateien:
+ `index.zip`ist eine komprimierte Datei, die den Lambda-Code für dieses Muster enthält.
+ `ec2-require-tags.yaml`ist eine CloudFormation Vorlage, die den Lambda-Code bereitstellt.
Informationen zur Verwendung dieser Dateien finden Sie im Abschnitt *Epics*.
## Epen
### Stellen Sie den Lambda-Code bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Laden Sie den Code in einen S3-Bucket hoch. | Erstellen Sie einen neuen S3-Bucket oder verwenden Sie einen vorhandenen S3-Bucket, um die angehängte `index.zip` Datei hochzuladen (Lambda-Code). Dieser Bucket muss sich in derselben AWS-Region befinden wie die Ressourcen (EC2 Instances), die Sie überwachen möchten. | Cloud-Architekt |
| Stellen Sie die CloudFormation Vorlage bereit. | Öffnen Sie die Cloudformation-Konsole in derselben AWS-Region wie der S3-Bucket und stellen Sie die `ec2-require-tags.yaml` Datei bereit, die im Anhang bereitgestellt wird. Geben Sie im nächsten Epic Werte für die Vorlagenparameter an. | Cloud-Architekt |
### Vervollständigen Sie die Parameter in der CloudFormation Vorlage
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Geben Sie den S3-Bucket-Namen an. | Geben Sie den Namen des S3-Buckets ein, den Sie im ersten Epic erstellt oder ausgewählt haben. Dieser S3-Bucket enthält die ZIP-Datei für den Lambda-Code und muss sich in derselben AWS-Region befinden wie die CloudFormation Vorlage und die EC2 Instances, die Sie überwachen möchten. | Cloud-Architekt |
| Geben Sie den S3-Schlüssel an. | Geben Sie den Speicherort der Lambda-Code-ZIP-Datei in Ihrem S3-Bucket an, ohne vorangestellte Schrägstriche (z. B. `index.zip` oder). `controls/index.zip` | Cloud-Architekt |
| Geben Sie eine E-Mail-Adresse an. | Geben Sie eine aktive E-Mail-Adresse an, unter der Sie Benachrichtigungen über Verstöße erhalten möchten. | Cloud-Architekt |
| Definieren Sie eine Protokollierungsebene. | Geben Sie die Protokollierungsebene und die Ausführlichkeit an. `Info`bezeichnet detaillierte Informationsmeldungen über den Fortschritt der Anwendung und sollte nur zum Debuggen verwendet werden. `Error`bezeichnet Fehlerereignisse, die es der Anwendung dennoch ermöglichen könnten, weiter zu laufen. `Warning`bezeichnet potenziell schädliche Situationen. | Cloud-Architekt |
| Geben Sie die erforderlichen Tag-Schlüssel ein. | Geben Sie die Tag-Schlüssel ein, nach denen Sie suchen möchten. Wenn Sie mehrere Schlüssel angeben möchten, trennen Sie sie durch Kommas ohne Leerzeichen. (`ApplicationId,CreatedBy,Environment,Organization`Sucht beispielsweise nach vier Schlüsseln.) Das Ereignis CloudWatch Ereignisse sucht nach diesen Tag-Schlüsseln und sendet eine Benachrichtigung, wenn sie nicht gefunden werden. | Cloud-Architekt |
### Bestätigen Sie das Abonnement
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestätigen Sie das E-Mail-Abonnement. | Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet sie eine Abonnement-E-Mail-Nachricht an die von Ihnen angegebene E-Mail-Adresse. Um Benachrichtigungen zu erhalten, müssen Sie dieses E-Mail-Abonnement bestätigen. | Cloud-Architekt |
## Zugehörige Ressourcen
+ [Einen Bucket erstellen](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html) (Amazon S3 S3-Dokumentation)
+ [Objekte hochladen](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/upload-objects.html) (Amazon S3 S3-Dokumentation)
+ [Kennzeichnen Sie Ihre EC2 Amazon-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) ( EC2 Amazon-Dokumentation)
+ [Erstellen einer CloudWatch Ereignisregel, die bei einem AWS-API-Aufruf mithilfe von AWS ausgelöst](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html) wird CloudTrail ( CloudWatch Amazon-Dokumentation)
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/9cd74141-a87f-419e-94b3-0b28fd04a018/attachments/attachment.zip)
# Bereinigen Sie die Ressourcen von AWS Account Factory for Terraform (AFT) nach dem Verlust von Statusdateien sicher
*Gokendra Malviya, Amazon Web Services*
## Zusammenfassung
Wenn Sie AWS Account Factory for Terraform (AFT) zur Verwaltung Ihrer AWS Control Tower Umgebung verwenden, generiert AFT eine Terraform-Statusdatei, um den Status und die Konfiguration der von Terraform erstellten Ressourcen zu verfolgen. Der Verlust der Terraform-Statusdatei kann zu erheblichen Herausforderungen bei der Ressourcenverwaltung und Bereinigung führen. Dieses Muster bietet einen systematischen Ansatz zur sicheren Identifizierung und Entfernung von AFT-bezogenen Ressourcen bei gleichzeitiger Wahrung der Integrität Ihrer Umgebung. AWS Control Tower
Das Verfahren ist so konzipiert, dass sichergestellt ist, dass alle AFT-Komponenten ordnungsgemäß entfernt werden, auch wenn der ursprüngliche Verweis auf die Statusdatei nicht vorhanden ist. Dieser Prozess bietet einen klaren Weg zur erfolgreichen Wiederherstellung und Neukonfiguration von AFT in Ihrer Umgebung, um sicherzustellen, dass Ihr AWS Control Tower Betrieb nur minimal unterbrochen wird.
[Weitere Informationen zu AFT finden Sie in der AWS Control Tower Dokumentation.](https://docs.aws.amazon.com/controltower/latest/userguide/taf-account-provisioning.html)
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein gründliches Verständnis der [AFT-Architektur](https://docs.aws.amazon.com/controltower/latest/userguide/aft-architecture.html).
+ Administratorzugriff auf die folgenden Konten:
+ AFT-Verwaltungskonto
+ AWS Control Tower Verwaltungskonto
+ Konto protokollieren und archivieren
+ Prüfungskonto
+ Überprüfung, dass keine Dienststeuerungsrichtlinien (SCPs) Einschränkungen oder Beschränkungen enthalten, die das Löschen von AFT-bezogenen Ressourcen verhindern würden.
**Einschränkungen**
+ Durch diesen Vorgang können Ressourcen effektiv bereinigt werden, verloren gegangene Statusdateien können jedoch nicht wiederhergestellt werden, und einige Ressourcen müssen möglicherweise manuell identifiziert werden.
+ Die Dauer des Bereinigungsvorgangs hängt von der Komplexität Ihrer Umgebung ab und kann mehrere Stunden dauern.
+ Dieses Muster wurde mit AFT Version 1.12.2 getestet und löscht die folgenden Ressourcen. Wenn Sie eine andere Version von AFT verwenden, müssen Sie möglicherweise zusätzliche Ressourcen löschen.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html)
**Wichtig**
Die Ressourcen, die durch die Schritte in diesem Muster gelöscht werden, können nicht wiederhergestellt werden. Bevor Sie diese Schritte ausführen, überprüfen Sie die Ressourcennamen sorgfältig und stellen Sie sicher, dass sie von AFT erstellt wurden.
## Architektur
Das folgende Diagramm zeigt die AFT-Komponenten und den Arbeitsablauf auf hoher Ebene. AFT richtet eine Terraform-Pipeline ein, mit der Sie Ihre Konten bereitstellen und anpassen können. AWS Control Tower AFT folgt einem GitOps Modell zur Automatisierung der Prozesse der Kontobereitstellung in. AWS Control Tower Sie erstellen eine Terraform-Datei für eine Kontoanfrage und übertragen sie in ein Repository, das die Eingabe bereitstellt, die den AFT-Workflow für die Kontobereitstellung auslöst. Nach Abschluss der Kontobereitstellung kann AFT weitere Anpassungsschritte automatisch ausführen.
![\[AFT-Komponenten und Arbeitsablauf auf hoher Ebene.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/1342c0a6-4b07-46df-a063-ceab2e2f83c8/images/3e0cae87-20ef-4fcc-aacf-bb450844ac56.png)
In dieser Architektur:
+ AWS Control Tower Das **Verwaltungskonto** ist ein Konto AWS-Konto , das dem AWS Control Tower Dienst gewidmet ist. Dies wird in der Regel auch als *AWS Zahlerkonto oder *AWS Organizations Verwaltungskonto** bezeichnet.
+ **Das AFT-Verwaltungskonto** AWS-Konto ist für AFT-Verwaltungsvorgänge vorgesehen. Dies unterscheidet sich vom Verwaltungskonto Ihrer Organisation.
+ Ein **Verkäuferkonto** ist ein Konto AWS-Konto , das alle von Ihnen ausgewählten Basiskomponenten und Steuerelemente enthält. AFT wird verwendet AWS Control Tower , um ein neues Konto zu verkaufen.
Weitere Informationen zu dieser Architektur finden Sie im AWS Control Tower Workshop unter [Einführung in AFT](https://catalog.workshops.aws/control-tower/en-US/customization/aft).
## Tools
**AWS-Services**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)hilft Ihnen bei der Einrichtung und Verwaltung einer Umgebung AWS mit mehreren Konten und folgt dabei den vorgeschriebenen Best Practices.
+ [AWS Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/taf-account-provisioning.html) richtet eine Terraform-Pipeline ein, mit der Sie Konten und Ressourcen bereitstellen und anpassen können. AWS Control Tower
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)hilft Ihnen dabei, Ihre Umgebung zentral zu verwalten und zu steuern, während Sie Ihre Ressourcen erweitern und skalieren. AWS Mithilfe von Organizations können Sie Konten erstellen und Ressourcen zuweisen, Konten gruppieren, um Ihre Workflows zu organisieren, Richtlinien für die Unternehmensführung anwenden und die Abrechnung vereinfachen, indem Sie eine einzige Zahlungsmethode für alle Ihre Konten verwenden.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem es kontrolliert, wer authentifiziert und zu deren Nutzung berechtigt ist. Für dieses Muster sind IAM-Rollen und -Berechtigungen erforderlich.
**Andere Tools**
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
## Best Practices
+ Weitere AWS Control Tower Informationen finden Sie in der Dokumentation unter [Bewährte Methoden für AWS Control Tower Administratoren](https://docs.aws.amazon.com/controltower/latest/userguide/best-practices.html). AWS Control Tower
+ Informationen zu IAM finden Sie in der IAM-Dokumentation unter [Bewährte Sicherheitsmethoden](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
## Epen
### Löschen Sie AFT-Ressourcen im AFT-Management-Konto
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie Ressourcen, die durch das AFT-Tag identifiziert werden. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
| Löschen Sie IAM-Rollen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
| Löschen Sie den AWS Backup Backup-Tresor. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
| Löschen Sie CloudWatch Amazon-Ressourcen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
| AWS KMS Ressourcen löschen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
### Löschen Sie AFT-Ressourcen im Log Archive-Konto
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie S3-Buckets. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
| Löschen Sie IAM-Rollen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
### Löschen Sie AFT-Ressourcen im Audit-Konto
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie IAM-Rollen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
### Löschen Sie AFT-Ressourcen im AWS Control Tower Verwaltungskonto
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie IAM-Rollen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
| EventBridge Regeln löschen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | AWS-Administrator, AWS DevOps, DevOps Ingenieur |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Das Trennen des Internet-Gateways war nicht erfolgreich. | Wenn Sie Ressourcen löschen, die durch das **AFT-Tag** identifiziert wurden, und dieses Problem beim Trennen oder Löschen des Internet-Gateways auftritt, müssen Sie zuerst VPC-Endpunkte löschen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) |
| Sie können die angegebenen CloudWatch Abfragen nicht finden. | Wenn Sie die von AFT erstellten CloudWatch Abfragen nicht finden können, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) |
## Zugehörige Ressourcen
+ ACHTERN:
+ [GitHub Repository](https://github.com/aws-ia/terraform-aws-control_tower_account_factory)
+ [Werkstatt](https://catalog.workshops.aws/control-tower/en-US/customization/aft)
+ [Dokumentation](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html)
+ [AWS Control Tower Dokumentation](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
## Zusätzliche Informationen
Um AFT-Abfragen im CloudWatch Logs Insights-Dashboard anzuzeigen, wählen Sie in der oberen rechten Ecke das Symbol **Gespeicherte Abfragen und Beispielabfragen** aus, wie im folgenden Screenshot dargestellt:
![\[Zugreifen auf AFT-Abfragen im CloudWatch Logs Insights-Dashboard.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/1342c0a6-4b07-46df-a063-ceab2e2f83c8/images/255d4032-738b-4600-9084-9684d2e9a328.png)
# Erstellen Sie eine Pipeline in AWS-Regionen, die AWS nicht unterstützen CodePipeline
*Anand Krishna Varanasi, Amazon Web Services*
## Zusammenfassung
**Hinweis**: AWS CodeCommit ist für Neukunden nicht mehr verfügbar. Bestandskunden von AWS CodeCommit können den Service weiterhin wie gewohnt nutzen. [Weitere Informationen](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)
AWS CodePipeline ist ein Orchestrierungsservice für Continuous Delivery (CD), der Teil einer Reihe von DevOps Tools von Amazon Web Services (AWS) ist. Es lässt sich in eine Vielzahl von Quellen (wie Versionskontrollsysteme und Speicherlösungen), Produkte und Services für kontinuierliche Integration (CI) von AWS und AWS-Partnern sowie Open-Source-Produkte integrieren, um einen end-to-end Workflow-Service für schnelle Anwendungs- und Infrastrukturbereitstellungen bereitzustellen.
Wird jedoch CodePipeline nicht in allen AWS-Regionen unterstützt, und es ist nützlich, einen unsichtbaren Orchestrator zu haben, der CI/CD AWS-Services verbindet. Dieses Muster beschreibt, wie eine end-to-end Workflow-Pipeline in AWS-Regionen implementiert wird, in denen die Nutzung von CI/CD AWS-Services wie AWS CodeCommit, AWS und AWS CodeBuild noch CodePipeline nicht unterstützt wird CodeDeploy.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
+ AWS Cloud Development Kit (AWS CDK) CLI Version 2.28 oder höher
## Architektur
**Zieltechnologie-Stack**
Das folgende Diagramm zeigt eine Pipeline, die in einer Region erstellt wurde, die nicht unterstützt wird CodePipeline, z. B. in der Region Afrika (Kapstadt). Ein Entwickler überträgt die CodeDeploy Konfigurationsdateien (auch als *Deployment-Lifecycle-Hook-Skripte* bezeichnet) in das Git-Repository, das von CodeCommit gehostet wird. (Sehen Sie sich das [GitHub Repository](https://github.com/aws-samples/invisible-codepipeline-unsupported-regions) an, das mit diesem Muster bereitgestellt wird.) Eine EventBridge Amazon-Regel wird automatisch initiiert. CodeBuild
Die CodeDeploy Konfigurationsdateien werden CodeCommit als Teil der Quellphase der Pipeline abgerufen und an diese übertragen. CodeBuild
CodeBuild Führt in der nächsten Phase die folgenden Aufgaben aus:
1. Lädt die TAR-Datei mit dem Quellcode der Anwendung herunter. Sie können den Namen dieser Datei mithilfe von Parameter Store, einer Funktion von AWS Systems Manager, konfigurieren.
1. Lädt die CodeDeploy Konfigurationsdateien herunter.
1. Erstellt ein kombiniertes Archiv aus Anwendungsquellcode und CodeDeploy Konfigurationsdateien, die für den Anwendungstyp spezifisch sind.
1. Initiiert die CodeDeploy Bereitstellung auf einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance mithilfe des kombinierten Archivs.
![\[Pipeline-Erstellung in einer nicht unterstützten AWS-Region\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e27750de-b597-424e-b5bf-4d58dc9b60cc/images/95fc815e-a762-4142-b0fd-2a716823e498.png)
## Tools
**AWS-Services**
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) ist ein vollständig verwalteter Build-Service, mit dem Sie Quellcode kompilieren, Komponententests ausführen und bereitstellungsbereite Artefakte erstellen können.
+ [AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html) ist ein Versionskontrollservice, mit dem Sie Git-Repositorys privat speichern und verwalten können, ohne Ihr eigenes Quellcodeverwaltungssystem verwalten zu müssen.
+ [AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html) automatisiert Bereitstellungen auf Amazon EC2- oder lokalen Instances, AWS Lambda Lambda-Funktionen oder Amazon Elastic Container Service (Amazon ECS) -Services.
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html) hilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind.
+ Das [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/latest/guide/home.html) ist ein Softwareentwicklungs-Framework, das Sie bei der Definition und Bereitstellung der AWS-Cloud-Infrastruktur im Code unterstützt.
**Code**
Der Code für dieses Muster ist im Repository „ GitHub [CodePipeline Nicht unterstützte Regionen](https://github.com/aws-samples/invisible-codepipeline-unsupported-regions)“ verfügbar.
## Epen
### Richten Sie Ihre Entwickler-Workstation ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie die AWS CDK CLI. | Anweisungen finden Sie in der [AWS-CDK-Dokumentation](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_prerequisites). | AWS DevOps |
| Installieren Sie einen Git-Client. | Um Commits zu erstellen, kannst du einen Git-Client verwenden, der auf deinem lokalen Computer installiert ist, und deine Commits dann in das CodeCommit Repository übertragen. Informationen zur Einrichtung CodeCommit mit deinem Git-Client findest du in der [CodeCommit Dokumentation](https://docs.aws.amazon.com/codecommit/latest/userguide/how-to-create-commit.html). | AWS DevOps |
| Installieren Sie "npm". | Installieren Sie den **npm-Paketmanager**. Weitere Informationen finden Sie in der [npm-Dokumentation](https://docs.npmjs.com/downloading-and-installing-node-js-and-npm). | AWS DevOps |
### Richten Sie die Pipeline ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Code-Repository. | Klonen Sie das Repository „ GitHub [CodePipeline Nicht unterstützte Regionen](https://github.com/aws-samples/invisible-codepipeline-unsupported-regions)“ auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen.git clone https://github.com/aws-samples/invisible-codepipeline-unsupported-regions
| DevOps Ingenieur |
| Stellen Sie die Parameter in cdk.json ein. | Öffnen Sie die `cdk.json` Datei und geben Sie Werte für die folgenden Parameter an:"pipeline_account":"XXXXXXXXXXXX",
"pipeline_region":"us-west-2",
"repo_name": "app-dev-repo",
"ec2_tag_key": "test-vm",
"configName" : "cbdeployconfig",
"deploymentGroupName": "cbdeploygroup",
"applicationName" : "cbdeployapplication",
"projectName" : "CodeBuildProject"
Wobei:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-pipeline-in-aws-regions-that-don-t-support-aws-codepipeline.html) | AWS DevOps |
| Richten Sie die AWS-CDK-Konstruktbibliothek ein. | Verwenden Sie im geklonten GitHub Repository die folgenden Befehle, um die AWS-CDK-Konstruktionsbibliothek zu installieren, Ihre Anwendung zu erstellen und zu synthetisieren, um die CloudFormation AWS-Vorlage für die Anwendung zu generieren.npm i aws-cdk-lib
npm run build
cdk synth
| AWS DevOps |
| Stellen Sie die AWS-CDK-Beispielanwendung bereit. | Stellen Sie den Code bereit, indem Sie den folgenden Befehl in einer Region ausführen, die nicht unterstützt wird (z. B.`af-south-1`).cdk deploy
| AWS DevOps |
### Richten Sie das CodeCommit Repository ein für CodeDeploy
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| CI/CD Für die Anwendung einrichten. | Klonen Sie das CodeCommit Repository, das Sie in der `cdk.json` Datei angegeben haben (dies wird `app-dev-repo` standardmäßig aufgerufen), um die CI/CD Pipeline für die Anwendung einzurichten.git clone https://git-codecommit.us-west-2.amazonaws.com/v1/repos/app-dev-repo
wobei der Repository-Name und die Region von den Werten abhängen, die Sie in der `cdk.json` Datei angegeben haben. | AWS DevOps |
### Testen Sie die Pipeline
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Testen Sie die Pipeline anhand von Bereitstellungsanweisungen. | Der `CodeDeploy_Files` Ordner des Repositorys „ GitHub [CodePipeline Nicht unterstützte Regionen](https://github.com/aws-samples/invisible-codepipeline-unsupported-regions)“ enthält Beispieldateien mit Anweisungen CodeDeploy zur Bereitstellung der Anwendung. Die `appspec.yml` Datei ist eine CodeDeploy Konfigurationsdatei, die Hooks zur Steuerung des Ablaufs der Anwendungsbereitstellung enthält. Sie können die Beispieldateien`index.html`,, und verwenden `start_server.sh``stop_server.sh`, um eine Website `install_dependencies.sh` zu aktualisieren, die auf Apache gehostet wird. Dies sind Beispiele — Sie können den Code im GitHub Repository verwenden, um jede Art von Anwendung bereitzustellen. Wenn die Dateien in das CodeCommit Repository übertragen werden, wird die unsichtbare Pipeline automatisch initiiert. Die Ergebnisse der Bereitstellung finden Sie in den Ergebnissen der einzelnen Phasen in den CodeDeploy Konsolen CodeBuild und. | AWS DevOps |
## Zugehörige Ressourcen
+ [Erste Schritte](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_prerequisites) (AWS CDK-Dokumentation)
+ [Einführung in das Cloud Development Kit (CDK)](https://catalog.us-east-1.prod.workshops.aws/workshops/5962a836-b214-4fbf-9462-fedba7edcc9b/en-US) (AWS Workshop Studio)
+ [AWS-CDK-Workshop](https://cdkworkshop.com/)
# Passen Sie Standardrollennamen mithilfe von AWS CDK Aspekten und Escape-Schraffuren an
*SANDEEP SINGH und James Jacob, Amazon Web Services*
## Zusammenfassung
Dieses Muster zeigt, wie die Standardnamen von Rollen, die durch AWS Cloud Development Kit (AWS CDK) Konstrukte erstellt werden, angepasst werden können. Das Anpassen von Rollennamen ist häufig erforderlich, wenn in Ihrer Organisation bestimmte Einschränkungen gelten, die auf Namenskonventionen basieren. Beispielsweise kann Ihre Organisation AWS Identity and Access Management (IAM) [Berechtigungsgrenzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) oder [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) festlegen, die ein bestimmtes Präfix in Rollennamen erfordern. In solchen Fällen entsprechen die durch AWS CDK Konstrukte generierten Standardrollennamen möglicherweise nicht diesen Konventionen und müssen möglicherweise geändert werden. Dieses Muster erfüllt diese Anforderungen durch die Verwendung von [Notluken](https://docs.aws.amazon.com/cdk/v2/guide/cfn-layer.html) und [Aspekten](https://docs.aws.amazon.com/cdk/v2/guide/aspects.html) in der. AWS CDK Sie verwenden Schraffuren, um benutzerdefinierte Rollennamen zu definieren, und Aspekte, um allen Rollen einen benutzerdefinierten Namen zuzuweisen, um sicherzustellen, dass die Richtlinien und Einschränkungen Ihrer Organisation eingehalten werden.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ In der [AWS CDK Dokumentation](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_prerequisites) angegebene Voraussetzungen
**Einschränkungen**
+ Aspekte filtern Ressourcen nach Ressourcentypen, sodass alle Rollen dasselbe Präfix verwenden. Wenn Sie unterschiedliche Rollenpräfixe für verschiedene Rollen benötigen, ist eine zusätzliche Filterung auf der Grundlage anderer Eigenschaften erforderlich. Um beispielsweise Rollen, die mit AWS Lambda Funktionen verknüpft sind, unterschiedliche Präfixe zuzuweisen, könnten Sie nach bestimmten Rollenattributen oder Tags filtern und ein Präfix für Lambda-bezogene Rollen und ein anderes Präfix für andere Rollen anwenden.
+ IAM-Rollennamen haben eine maximale Länge von 64 Zeichen. Daher müssen modifizierte Rollennamen gekürzt werden, um diese Einschränkung zu erfüllen.
+ Einige AWS-Services sind nicht in allen verfügbar. AWS-Regionen Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie [AWS-Services unter Nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie auf der Seite [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
## Architektur
**Zieltechnologie-Stack**
+ AWS CDK
+ AWS CloudFormation
**Zielarchitektur**
![\[Architektur für die Verwendung von Notluken und Aspekten zur Anpassung der vom AWS CDK zugewiesenen Rollennamen.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/c149d8d2-1da6-4680-ab0b-e5051b69688c/images/15e56ca5-f150-4522-b374-8ee2dcc655a9.png)
+ Eine AWS CDK App besteht aus einem oder mehreren CloudFormation Stacks, die synthetisiert und zur Verwaltung von Ressourcen bereitgestellt werden. AWS
+ Um eine Eigenschaft einer AWS CDK verwalteten Ressource zu ändern, die nicht durch ein Layer-2-Konstrukt (L2) offengelegt wird, verwenden Sie eine Escape-Hatch, um die zugrunde liegenden CloudFormation Eigenschaften (in diesem Fall den Rollennamen) zu überschreiben, und einen Aspekt, um die Rolle während der Stack-Synthese auf alle Ressourcen in der AWS CDK App anzuwenden. AWS CDK
## Tools
**AWS-Services**
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/latest/guide/home.html)ist ein Softwareentwicklungs-Framework, das Ihnen hilft, AWS Cloud Infrastruktur im Code zu definieren und bereitzustellen.
+ AWS CDK Die [Befehlszeilenschnittstelle (AWS CDK CLI)](https://docs.aws.amazon.com/cdk/latest/guide/cli.html) (auch als AWS CDK Toolkit bezeichnet) ist ein Befehlszeilen-Cloud-Entwicklungskit, mit dem Sie mit Ihrer AWS CDK App interagieren können. Der `cdk` CLI-Befehl ist das wichtigste Tool für die Interaktion mit Ihrer AWS CDK App. Er führt Ihre App aus, fragt das von Ihnen definierte Anwendungsmodell ab und erstellt und stellt die CloudFormation Vorlagen bereit, die von der generiert werden. AWS CDK
+ [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus regionsübergreifend AWS-Konten zu verwalten.
**Code-Repository**
Der Quellcode und die Vorlagen für dieses Muster sind im GitHub [CDK Aspects Override-Repository](https://github.com/aws-samples/cdk-aspects-override) verfügbar.
## Best Practices
Weitere Informationen finden Sie auf [der Website **AWS **Prescriptive Guidance unter Bewährte Methoden für die Verwendung von AWS CDK in TypeScript zur Erstellung von IaC-Projekten](https://docs.aws.amazon.com/prescriptive-guidance/latest/best-practices-cdk-typescript-iac/introduction.html).
## Epen
### Installieren Sie die AWS CDK CLI
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie die AWS CDK CLI. | Führen Sie den folgenden Befehl aus, um die AWS CDK CLI global zu installieren:npm install -g aws-cdk
| AWS DevOps |
| Überprüfen Sie die Version. | Führen Sie den Befehl aus:cdk --version
Vergewissern Sie sich, dass Sie Version 2 der AWS CDK CLI verwenden. | AWS DevOps |
| Bootstrapping für die AWS CDK Umgebung. | Bevor Sie die CloudFormation Vorlagen bereitstellen, bereiten Sie das Konto vor AWS-Region , das Sie verwenden möchten. Führen Sie den Befehl aus:cdk bootstrap /
Weitere Informationen finden Sie in der [AWS CDK Dokumentation unter Bootstrapping](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html). AWS | AWS DevOps |
### Stellen Sie die AWS CDK App bereit, um die Verwendung von Aspekten zu demonstrieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie das Projekt ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-default-role-names-by-using-aws-cdk-aspects-and-escape-hatches.html) | AWS DevOps |
| Stellen Sie Stacks mit Standardrollennamen bereit, die AWS CDK von der zugewiesen wurden. | Stellen Sie zwei CloudFormation Stacks (`ExampleStack1`und`ExampleStack2`) bereit, die die Lambda-Funktionen und die zugehörigen Rollen enthalten:npm run deploy:ExampleAppWithoutAspects
Der Code übergibt Rolleneigenschaften nicht explizit, sodass die Rollennamen von erstellt werden. AWS CDKEin Beispiel für die Ausgabe finden Sie im Abschnitt [Zusätzliche Informationen](#customize-default-role-names-by-using-aws-cdk-aspects-and-escape-hatches-additional). | AWS DevOps |
| Stellen Sie Stacks mit Aspekten bereit. | In diesem Schritt wenden Sie einen Aspekt an, der eine Konvention für Rollennamen erzwingt, indem Sie allen IAM-Rollen, die im Projekt bereitgestellt werden, ein Präfix hinzufügen. AWS CDK Der Aspekt ist in der `lib/aspects.ts` Datei definiert. Der Aspekt verwendet eine Escape-Schraffur, um den Rollennamen durch Hinzufügen eines Präfixes zu überschreiben. Der Aspekt wird auf die Stapel in der `bin/app-with-aspects.ts` Datei angewendet. Das in diesem Beispiel verwendete Präfix für den Rollennamen lautet`dev-unicorn`.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-default-role-names-by-using-aws-cdk-aspects-and-escape-hatches.html)Ein Beispiel für die Ausgabe finden Sie im Abschnitt [Zusätzliche Informationen](#customize-default-role-names-by-using-aws-cdk-aspects-and-escape-hatches-additional). | AWS DevOps |
### Bereinigen von Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Lösche deine AWS CloudFormation Stapel. | Wenn Sie dieses Muster nicht mehr verwenden, führen Sie den folgenden Befehl aus, um Ressourcen zu bereinigen und zusätzliche Kosten zu vermeiden:cdk destroy --all -f && cdk --app npx ts-node bin/app-with-aspects.ts' destroy --all -f
| AWS DevOps |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Sie stoßen auf Probleme mit der AWS CDK. | Weitere Informationen finden Sie in der AWS CDK Dokumentation [zur Behebung häufiger AWS CDK Probleme](https://docs.aws.amazon.com/cdk/v2/guide/troubleshooting.html). |
## Zugehörige Ressourcen
+ [AWS Cloud Development Kit (AWS CDK)](https://aws.amazon.com/cdk/)
+ [AWS CDK Dokumentation](https://docs.aws.amazon.com/cdk/)
+ [AWS CDK auf GitHub](https://github.com/aws/aws-cdk)
+ [Fluchtluken](https://docs.aws.amazon.com/cdk/v2/guide/cfn-layer.html)
+ [Aspekte und die AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/aspects.html)
## Zusätzliche Informationen
**Rollennamen, die von CloudFormation Without Aspects erstellt wurden**
```
Outputs:
ExampleStack1WithoutAspects.Function1RoleName = example-stack1-without-as-Function1LambdaFunctionSe-y7FYTY6FXJXA
ExampleStack1WithoutAspects.Function2RoleName = example-stack1-without-as-Function2LambdaFunctionSe-dDZV4rkWqWnI
...
Outputs:
ExampleStack2WithoutAspects.Function3RoleName = example-stack2-without-as-Function3LambdaFunctionSe-ygMv49iTyMq0
```
**Rollennamen, die von CloudFormation with aspects erstellt wurden**
```
Outputs:
ExampleStack1WithAspects.Function1RoleName = dev-unicorn-Function1LambdaFunctionServiceRole783660DC
ExampleStack1WithAspects.Function2RoleName = dev-unicorn-Function2LambdaFunctionServiceRole2C391181
...
Outputs:
ExampleStack2WithAspects.Function3RoleName = dev-unicorn-Function3LambdaFunctionServiceRole4CAA721C
```
# Stellen Sie einen Cassandra-Cluster auf Amazon EC2 mit Private Static bereit, um ein IPs Rebalancing zu vermeiden
*Dipin Jain, Amazon Web Services*
## Zusammenfassung
Die private IP einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance wird während ihres gesamten Lebenszyklus beibehalten. Die private IP kann sich jedoch während eines geplanten oder ungeplanten Systemabsturzes ändern, beispielsweise während eines Amazon Machine Image (AMI) -Upgrades. In einigen Szenarien kann die Beibehaltung einer privaten statischen IP die Leistung und die Wiederherstellungszeit von Workloads verbessern. Durch die Verwendung einer statischen IP für einen Apache Cassandra-Seed-Node wird beispielsweise verhindert, dass für den Cluster ein Overhead beim Rebalancing anfällt.
Dieses Muster beschreibt, wie eine sekundäre elastic network interface an EC2 Instances angehängt wird, um die IP während des Rehostings statisch zu halten. Das Muster konzentriert sich auf Cassandra-Cluster, aber Sie können diese Implementierung für jede Architektur verwenden, die von Private Static profitiert. IPs
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives Amazon Web Service (AWS) -Konto
**Produktversionen**
+ DataStax Version 5.11.1
+ Betriebssystem: Ubuntu 16.04.6 LTS
## Architektur
**Quellarchitektur**
Die Quelle könnte ein Cassandra-Cluster auf einer lokalen virtuellen Maschine (VM) oder auf EC2 Instanzen in der AWS-Cloud sein. Das folgende Diagramm veranschaulicht das zweite Szenario. Dieses Beispiel umfasst vier Clusterknoten: drei Seed-Knoten und einen Management-Knoten. In der Quellarchitektur ist an jeden Knoten eine einzige Netzwerkschnittstelle angeschlossen.
![\[Vier EC2 Amazon-Cluster-Knoten, an die jeweils eine einzige Netzwerkschnittstelle angeschlossen ist.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/47ca4dbc-0922-4e65-b66c-4db5122fc4ac/images/5d80cfc9-4b72-4c72-aefd-b77cc0fb58e3.png)
**Zielarchitektur**
Der Zielcluster wird auf EC2 Instances gehostet, an die an jeden Knoten eine sekundäre elastic network interface angeschlossen ist, wie in der folgenden Abbildung dargestellt.
![\[Vier EC2 Amazon-Cluster-Knoten, an die jeweils eine sekundäre elastic network interface angeschlossen ist.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/47ca4dbc-0922-4e65-b66c-4db5122fc4ac/images/d1e22017-f041-426b-9204-31ac158a407d.png)
**Automatisierung und Skalierung**
Sie können auch das Anhängen einer zweiten elastic network interface an eine EC2 Auto Scaling Scaling-Gruppe automatisieren, wie in einem [AWS Knowledge Center-Video](https://www.youtube.com/watch?v=RmwGYXchb4E) beschrieben.
## Epen
### Einen Cassandra-Cluster bei Amazon konfigurieren EC2
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Starten Sie EC2 Knoten, um einen Cassandra-Cluster zu hosten. | Starten Sie auf der [ EC2 Amazon-Konsole](https://console.aws.amazon.com/ec2/) vier EC2 Instances für Ihre Ubuntu-Knoten in Ihrem AWS-Konto. Drei (Seed-) Knoten werden für den Cassandra-Cluster verwendet, und der vierte Knoten fungiert als Cluster-Management-Knoten, auf dem Sie DataStax Enterprise (DSE) OpsCenter installieren. Anweisungen finden Sie in der [ EC2 Amazon-Dokumentation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance). | Cloud-Ingenieur |
| Bestätigen Sie die Knotenkommunikation. | Stellen Sie sicher, dass die vier Knoten über die Datenbank- und Clustermanagement-Ports miteinander kommunizieren können. | Netzwerkingenieur |
| Installieren Sie DSE OpsCenter auf dem Verwaltungsknoten. | Installieren Sie DSE OpsCenter 6.1 aus dem Debian-Paket auf dem Management-Knoten. Anweisungen finden Sie in der [DataStax Dokumentation](https://docs.datastax.com/en/opscenter/6.1/opsc/install/opscInstallDeb_t.html). | DBA |
| Erstellen Sie eine sekundäre Netzwerkschnittstelle. | Cassandra generiert einen Universal Unique Identifier (UUID) für jeden Knoten, der auf der IP-Adresse der EC2 Instanz für diesen Knoten basiert. Diese UUID wird für die Verteilung virtueller Knoten (Vnodes) auf dem Ring verwendet. Wenn Cassandra auf EC2 Instanzen bereitgestellt wird, werden den Instanzen bei ihrer Erstellung automatisch IP-Adressen zugewiesen. Im Falle eines geplanten oder ungeplanten Ausfalls ändert sich die IP-Adresse für die neue EC2 Instanz, die Datenverteilung ändert sich und der gesamte Ring muss neu gewichtet werden. Das ist nicht wünschenswert. Um die zugewiesene IP-Adresse beizubehalten, verwenden Sie eine [sekundäre elastic network interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#scenarios-enis) mit einer festen IP-Adresse.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-a-cassandra-cluster-on-amazon-ec2-with-private-static-ips-to-avoid-rebalancing.html)Weitere Informationen zum Erstellen einer Netzwerkschnittstelle finden Sie in der [ EC2 Amazon-Dokumentation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#create_eni). | Cloud-Ingenieur |
| Verbinden Sie die sekundäre Netzwerkschnittstelle mit den Clusterknoten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-a-cassandra-cluster-on-amazon-ec2-with-private-static-ips-to-avoid-rebalancing.html)Weitere Informationen zum Anschließen einer Netzwerkschnittstelle finden Sie in der [ EC2 Amazon-Dokumentation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#attach_eni). | Cloud-Ingenieur |
| Fügen Sie Routen in Amazon hinzu EC2 , um asymmetrisches Routing zu beheben. | Wenn Sie die zweite Netzwerkschnittstelle anschließen, führt das Netzwerk sehr wahrscheinlich asymmetrisches Routing durch. Um dies zu vermeiden, können Sie Routen für die neuen Netzwerkschnittstellen hinzufügen.Eine ausführliche Erklärung und Behebung von asymmetrischem Routing finden Sie im [AWS Knowledge Center-Video](https://www.youtube.com/watch?v=RmwGYXchb4E) oder [Overcoming Asymmetric Routing on Multi-Home Servers](http://www.linuxjournal.com/article/7291) (Artikel im *Linux Journal* von Patrick McManus, 5. April 2004). | Netzwerkingenieur |
| Aktualisieren Sie die DNS-Einträge so, dass sie auf die IP der sekundären Netzwerkschnittstelle verweisen. | Verweisen Sie den vollqualifizierten Domänennamen (FQDN) des Knotens auf die IP der sekundären Netzwerkschnittstelle. | Netzwerkingenieur |
| Installieren und konfigurieren Sie den Cassandra-Cluster mithilfe von DSE OpsCenter. | Wenn die Clusterknoten mit den sekundären Netzwerkschnittstellen bereit sind, können Sie den Cassandra-Cluster installieren und konfigurieren. | DBA |
### Cluster nach einem Knotenausfall wiederherstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie ein AMI für den Cluster-Seed-Knoten. | Erstellen Sie eine Sicherungskopie der Knoten, damit Sie sie im Falle eines Knotenausfalls mit Datenbank-Binärdateien wiederherstellen können. Anweisungen finden Sie in der EC2 Amazon-Dokumentation unter [Create an AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-ami.html). | Backup-Administrator |
| Wiederherstellung nach einem Knotenausfall. | Ersetzen Sie den ausgefallenen Knoten durch eine neue EC2 Instance, die über das AMI gestartet wurde, und fügen Sie die sekundäre Netzwerkschnittstelle des ausgefallenen Knotens hinzu. | Backup-Administrator |
| Stellen Sie sicher, dass der Cassandra-Cluster fehlerfrei ist. | Wenn der Ersatzknoten aktiv ist, überprüfen Sie den Zustand des Clusters in DSE OpsCenter. | DBA |
## Zugehörige Ressourcen
+ [Installation von DSE OpsCenter 6.1 aus dem Debian-Paket](https://docs.datastax.com/en/opscenter/6.1/opsc/install/opscInstallDeb_t.html) (DataStax Dokumentation)
+ [So sorgen Sie dafür, dass eine sekundäre Netzwerkschnittstelle in einer EC2 Ubuntu-Instanz funktioniert](https://www.youtube.com/watch?v=RmwGYXchb4E) (AWS Knowledge Center-Video)
+ [Bewährte Methoden für die Ausführung von Apache Cassandra auf Amazon EC2](https://aws.amazon.com/blogs/big-data/best-practices-for-running-apache-cassandra-on-amazon-ec2/) (AWS-Blogbeitrag)
# Erweitern VRFs Sie mit AWS Transit Gateway Connect auf AWS
*Adam Till, Yashar Araghi, Vikas Dewangan und Mohideen, Amazon Web Services HajaMohideen*
## Zusammenfassung
Virtuelles Routing and Forwarding (VRF) ist eine Funktion herkömmlicher Netzwerke. Es verwendet isolierte logische Routingdomänen in Form von Routingtabellen, um den Netzwerkverkehr innerhalb derselben physischen Infrastruktur zu trennen. Sie können AWS Transit Gateway so konfigurieren, dass es die VRF-Isolierung unterstützt, wenn Sie Ihr lokales Netzwerk mit AWS verbinden. Dieses Muster verwendet eine Beispielarchitektur, um eine lokale Verbindung VRFs zu verschiedenen Routentabellen für Transit-Gateways herzustellen.
Dieses Muster verwendet virtuelle Transitschnittstellen (VIFs) in AWS Direct Connect- und Transit Gateway Connect-Anhängen, um die zu erweitern VRFs. Eine [Transit-VIF](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) wird für den Zugriff auf ein oder mehrere Amazon VPC-Transit-Gateways verwendet, die Direct Connect-Gateways zugeordnet sind. Ein [Transit Gateway Connect-Anhang](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) verbindet ein Transit-Gateway mit einer virtuellen Appliance eines Drittanbieters, die in einer VPC ausgeführt wird. Ein Transit Gateway Connect-Anhang unterstützt das GRE (Generic Routing Encapsulation) -Tunnelprotokoll für hohe Leistung und unterstützt das Border Gateway Protocol (BGP) für dynamisches Routing.
Der in diesem Muster beschriebene Ansatz bietet die folgenden Vorteile:
+ Mit Transit Gateway Connect können Sie dem Transit Gateway Connect-Peer bis zu 1.000 Routen ankündigen und bis zu 5.000 Routen von diesem empfangen. Die Verwendung der Direct Connect-Transit-VIF-Funktion ohne Transit Gateway Connect ist auf 20 Präfixe pro Transit-Gateway beschränkt.
+ Sie können die Isolierung des Datenverkehrs aufrechterhalten und Transit Gateway Connect verwenden, um gehostete Dienste auf AWS bereitzustellen, unabhängig davon, welche IP-Adressschemas Ihre Kunden verwenden.
+ Der VRF-Verkehr muss keine öffentliche virtuelle Schnittstelle durchqueren. Dies erleichtert die Einhaltung der Compliance- und Sicherheitsanforderungen in vielen Organisationen.
+ Jeder GRE-Tunnel unterstützt bis zu 5 Gbit/s, und Sie können bis zu vier GRE-Tunnel pro Transit Gateway Connect-Anhang haben. Dies ist schneller als viele andere Verbindungstypen, wie z. B. Site-to-Site AWS-VPN-Verbindungen, die bis zu 1,25 Gbit/s unterstützen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Die erforderlichen AWS-Konten wurden erstellt (Einzelheiten finden Sie in der Architektur)
+ Berechtigungen zur Übernahme einer AWS Identity and Access Management (IAM) -Rolle in jedem Konto.
+ Die IAM-Rollen in jedem Konto müssen über Berechtigungen zur Bereitstellung von AWS Transit Gateway- und AWS Direct Connect Connect-Ressourcen verfügen. Weitere Informationen finden Sie unter [Authentifizierung und Zugriffskontrolle für Ihre Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html) und unter [Identitäts- und Zugriffsmanagement für Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/security-iam.html).
+ Die Direct Connect-Verbindungen wurden erfolgreich erstellt. Weitere Informationen finden Sie unter [Erstellen einer Verbindung mit dem Verbindungsassistenten](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection).
**Einschränkungen**
+ Es gibt Beschränkungen für Transit-Gateway-Anlagen VPCs in den Konten Produktion, Qualitätssicherung und Entwicklung. Weitere Informationen finden Sie unter [Transit-Gateway-Anlagen zu einer VPC](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html).
+ Bei der Erstellung und Verwendung von Direct Connect-Gateways gibt es Grenzen. Weitere Informationen finden Sie unter [AWS Direct Connect Connect-Kontingente](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html).
## Architektur
**Zielarchitektur**
Die folgende Beispielarchitektur bietet eine wiederverwendbare Lösung für die Bereitstellung von Transit VIFs mit Transit Gateway Connect-Anhängen. Diese Architektur bietet Ausfallsicherheit durch die Verwendung mehrerer Direct Connect-Standorte. Weitere Informationen finden Sie unter [Maximale Ausfallsicherheit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/maximum_resiliency.html) in der Direct Connect-Dokumentation. Das lokale Netzwerk verfügt über Produktion, Qualitätssicherung und Entwicklung, VRFs die auf AWS ausgedehnt und mithilfe von dedizierten Routing-Tabellen isoliert werden.
![\[Architekturdiagramm der Nutzung von AWS Direct Connect- und AWS Transit Gateway Gateway-Ressourcen zur Erweiterung VRFs\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/10be0625-8574-40eb-bc00-bb0a07d0dc26.png)
In der AWS-Umgebung sind zwei Konten für die Erweiterung vorgesehen VRFs: ein *Direct Connect-Konto* und ein *Netzwerk-Hub-Konto*. Das Direct Connect-Konto enthält die Verbindung und den Transit VIFs für jeden Router. Sie erstellen die Übertragung VIFs über das Direct Connect-Konto, stellen sie jedoch auf dem Netzwerk-Hub-Konto bereit, sodass Sie sie dem Direct Connect-Gateway im Netzwerk-Hub-Konto zuordnen können. Das Netzwerk-Hub-Konto enthält das Direct Connect-Gateway und das Transit-Gateway. Die AWS-Ressourcen sind wie folgt verbunden:
1. Transit VIFs verbindet die Router an den Direct Connect-Standorten mit AWS Direct Connect im Direct Connect-Konto.
1. Eine Transit-VIF verbindet Direct Connect mit dem Direct Connect-Gateway im Netzwerk-Hub-Konto.
1. Eine [Transit-Gateway-Zuordnung](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html) verbindet das Direct Connect-Gateway mit dem Transit-Gateway im Netzwerk-Hub-Konto.
1. [Transit Gateway Connect-Anlagen](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) verbinden das Transit-Gateway mit den Konten VPCs in den Bereichen Produktion, Qualitätssicherung und Entwicklung.
*Transit VIF-Architektur*
Das folgende Diagramm zeigt die Konfigurationsdetails für den Transit VIFs. Diese Beispielarchitektur verwendet ein VLAN für die Tunnelquelle, Sie könnten aber auch ein Loopback verwenden.
![\[Konfigurationsdetails für die Transit-VIF-Verbindungen zwischen den Routern und AWS Direct Connect\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/e88d2546-61ef-4531-972b-089cdf44ed67.png)
Im Folgenden finden Sie die Konfigurationsdetails, wie z. B. autonome Systemnummern (ASNs), für den Transit. VIFs
|
|
| Ressource | Item | Detail |
| --- |--- |--- |
| Router-01 | ASN | 65534 |
| Router-02 | ASN | 65534 |
| Router-03 | ASN | 65534 |
| Router-04 | ASN | 65534 |
| Direct-Connect-Gateway | ASN | 64601 |
| Transit Gateway | ASN | 64600 |
| CIDR-Block | 10,100,254,0/24 |
*Transit Gateway Connect-Architektur*
Das folgende Diagramm und die folgenden Tabellen beschreiben, wie ein einzelnes VRF über einen Transit Gateway Connect-Anhang konfiguriert wird. Weisen Sie zusätzlich eindeutige Tunnel VRFs - IDs, TRANSIT-Gateway-GRE-IP-Adressen und BGP innerhalb von CIDR-Blöcken zu. Die Peer-GRE-IP-Adresse entspricht der Router-Peer-IP-Adresse aus der Transit-VIF.
![\[Konfigurationsdetails für die GRE-Tunnel zwischen den Routern und dem Transit-Gateway\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/e58278e1-f3b4-442d-95d9-1dafab4aa5ac.png)
Die folgende Tabelle enthält Details zur Router-Konfiguration.
|
|
| Router | Tunnel | IP-Adresse | Quelle | Ziel |
| --- |--- |--- |--- |--- |
| Router-01 | Tunnel 1 | 169,254.101,17 | VLAN 60169,254,100,1 | 10.100,254,1 |
| Router-02 | Tunnel 11 | 169,254.101,81 | VLAN 61169,254,100,5 | 10,100,254,11 |
| Router-03 | Tunnel 21 | 169,254.101.145 | VLAN 62169,254,100,9 | 10,100,254,21 |
| Router-04 | Tunnel 31 | 169.254.101.209 | VLAN 63169,254.100,13 | 10,100,254,31 |
Die folgende Tabelle enthält Einzelheiten zur Konfiguration des Transit-Gateways.
|
|
| Tunnel | GRE-IP-Adresse des Transit-Gateways | Peer-GRE-IP-Adresse | BGP innerhalb von CIDR-Blöcken |
| --- |--- |--- |--- |
| Tunnel 1 | 10.100.254.1 | VLAN 60169,254,100,1 | 169,254,101,16/29 |
| Tunnel 11 | 10.100.254.11 | VLAN 61169,254,100,5 | 169,254,101,80/29 |
| Tunnel 21 | 10.100.254.21 | VLAN 62169,254,100,9 | 169,254,101,144/29 |
| Tunnel 31 | 10.100.254.31 | VLAN 63169,254.100,13 | 169,254,101,208/29 |
**Bereitstellung**
Im Abschnitt [Epics](#extend-vrfs-to-aws-by-using-aws-transit-gateway-connect-epics) wird beschrieben, wie Sie eine Beispielkonfiguration für eine einzelne VRF auf mehreren Kundenroutern bereitstellen.**** Nachdem die Schritte 1—5 abgeschlossen sind, können Sie neue Transit Gateway Connect-Anlagen erstellen, indem Sie die Schritte 6—7 für jedes neue VRF, das Sie auf AWS erweitern, ausführen:
1. Erstellen Sie das Transit-Gateway.
1. Erstellen Sie eine Transit Gateway Gateway-Routentabelle für jedes VRF.
1. Erstellen Sie die virtuellen Transitschnittstellen.
1. Erstellen Sie das Direct Connect-Gateway.
1. Erstellen Sie die virtuelle Direct Connect-Gateway-Schnittstelle und die Gateway-Zuordnungen mit zulässigen Präfixen.
1. Erstellen Sie den Transit Gateway Connect-Anhang.
1. Erstellen Sie die Transit Gateway Connect-Peers.
1. Ordnen Sie den Transit Gateway Connect-Anhang der Routentabelle zu.
1. Kündigen Sie Routen zu den Routern an.
## Tools
**AWS-Services**
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) verbindet Ihr internes Netzwerk über ein Standard-Ethernet-Glasfaserkabel mit einem Direct Connect-Standort. Mit dieser Verbindung können Sie virtuelle Schnittstellen direkt zu öffentlichen AWS-Services erstellen und dabei Internetdienstanbieter in Ihrem Netzwerkpfad umgehen.
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) ist ein zentraler Hub, der virtuelle private Clouds (VPCs) und lokale Netzwerke verbindet.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der skalierbaren Infrastruktur von AWS.
## Epen
### Plane die Architektur
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie benutzerdefinierte Architekturdiagramme. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Cloud-Architekt, Netzwerkadministrator |
### Erstellen Sie die Transit Gateway Gateway-Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie das Transit-Gateway. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Netzwerkadministrator, Cloud-Architekt |
| Erstellen Sie die Routentabelle des Transit-Gateways. | Folgen Sie den Anweisungen unter [Erstellen einer Transit-Gateway-Routentabelle](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html#create-tgw-route-table). Beachten Sie für dieses Muster Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Cloud-Architekt, Netzwerkadministrator |
### Erstellen Sie die virtuellen Transitschnittstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die virtuellen Transitschnittstellen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Cloud-Architekt, Netzwerkadministrator |
### Erstellen Sie die Direct Connect-Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie ein Direct Connect-Gateway. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Cloud-Architekt, Netzwerkadministrator |
| Schließen Sie das Direct Connect-Gateway an den Transit an VIFs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Cloud-Architekt, Netzwerkadministrator |
| Erstellen Sie die Direct Connect-Gateway-Zuordnungen mit zulässigen Präfixen. | Folgen Sie im Netzwerk-Hub-Konto den Anweisungen unter [So ordnen Sie ein Transit-Gateway zu](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html#associate-tgw-with-direct-connect-gateway). Beachten Sie für dieses Muster Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html)Durch das Erstellen dieser Zuordnung wird automatisch ein Transit Gateway Gateway-Anhang mit einem Direct Connect Gateway-Ressourcentyp erstellt. Dieser Anhang muss keiner Transit-Gateway-Routentabelle zugeordnet werden. | Cloud-Architekt, Netzwerkadministrator |
| Erstellen Sie den Transit Gateway Connect-Anhang. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Cloud-Architekt, Netzwerkadministrator |
| Erstellen Sie die Transit Gateway Connect-Peers. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | |
### Kündigen Sie Routen zu den Routern an
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Werben Sie für die Routen. | Ordnen Sie den neuen Transit Gateway Connect-Anhang der Routentabelle zu, die Sie zuvor für diese VRF erstellt haben. Ordnen Sie beispielsweise den Connect-Anhang des Production Transit Gateway der `Production-VRF` Routentabelle zu.Erstellen Sie eine statische Route für das Präfix, das den Routern angekündigt wird.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Netzwerkadministrator, Cloud-Architekt |
## Zugehörige Ressourcen
**AWS-Dokumentation**
+ Direct Connect-Dokumentation
+ [Working with Direct Connect gateways](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)
+ [Verknüpfungen zwischen Transit-Gateways](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)
+ [Virtuelle Schnittstellen von AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)
+ Transit Gateway Gateway-Dokumentation
+ [Arbeiten mit Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html)
+ [Transit-Gateway-Anlagen an ein Direct Connect-Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html)
+ [Transit Gateway Connect-Anlagen und Transit Gateway Connect-Peers](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)
+ [Einen Transit Gateway Connect-Anhang erstellen](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html#create-tgw-connect-attachment)
**AWS-Blogbeiträge**
+ [Segmentierung hybrider Netzwerke mit AWS Transit Gateway Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/segmenting-hybrid-networks-with-aws-transit-gateway-connect/)
+ [Verwenden von AWS Transit Gateway Connect zur Erweiterung VRFs und Erhöhung der IP-Präfix-Advertising](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-transit-gateway-connect-to-extend-vrfs-and-increase-ip-prefix-advertisement/)
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/db17e177-6c94-4d81-ab39-0923ecab2f1b/attachments/attachment.zip)
# Erhalten Sie Amazon SNS SNS-Benachrichtigungen, wenn sich der Schlüsselstatus eines AWS KMS KMS-Schlüssels ändert
*Shubham Harsora, Aromal Raj Jayarajan und Navdeep Pareek, Amazon Web Services*
## Zusammenfassung
Die mit einem AWS Key Management Service (AWS KMS) -Schlüssel verknüpften Daten und Metadaten gehen verloren, wenn dieser Schlüssel gelöscht wird. Das Löschen ist irreversibel und Sie können verlorene Daten (einschließlich verschlüsselter Daten) nicht wiederherstellen. Sie können Datenverlust verhindern, indem Sie ein Benachrichtigungssystem einrichten, das Sie über Statusänderungen der [wichtigsten Status](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html#key-state-cmk-type) Ihrer AWS KMS KMS-Schlüssel informiert.
Dieses Muster zeigt Ihnen, wie Sie Statusänderungen an AWS-KMS-Schlüsseln überwachen können, indem Sie Amazon EventBridge und Amazon Simple Notification Service (Amazon SNS) verwenden, um automatische Benachrichtigungen auszugeben, wenn sich der Schlüsselstatus eines AWS KMS KMS-Schlüssels auf `Disabled` oder `PendingDeletion` ändert. Wenn ein Benutzer beispielsweise versucht, einen AWS KMS KMS-Schlüssel zu deaktivieren oder zu löschen, erhalten Sie eine E-Mail-Benachrichtigung mit Einzelheiten zur versuchten Statusänderung. Sie können dieses Muster auch verwenden, um das Löschen von AWS-KMS-Schlüsseln zu planen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto mit einem AWS Identity and Access Management (IAM) -Benutzer
+ Ein [AWS-KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
## Architektur
**Technologie-Stack**
+ Amazon EventBridge
+ AWS Key Management Service (AWS KMS)
+ Amazon-Simple-Notification-Service (Amazon-SNS)
**Zielarchitektur**
Das folgende Diagramm zeigt eine Architektur für den Aufbau eines automatisierten Überwachungs- und Benachrichtigungsprozesses zur Erkennung von Änderungen am Status eines AWS-KMS-Schlüssels.
![\[Architektur für den Aufbau eines automatisierten Überwachungs- und Benachrichtigungsprozesses\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/2534df87-a6fd-4360-9b5d-4a8b1f533de3/images/0cb6a6b0-405b-4d26-ad04-2067176aa086.png)
Das Diagramm zeigt den folgenden Workflow:
1. Ein Benutzer deaktiviert oder plant das Löschen eines AWS-KMS-Schlüssels.
1. Eine EventBridge Regel bewertet das geplante Ereignis `Disabled` oder `PendingDeletion` Ereignis.
1. Die EventBridge Regel ruft das Amazon SNS SNS-Thema auf.
1. Amazon SNS sendet eine E-Mail-Benachrichtigung an die Benutzer.
**Anmerkung**
Sie können die E-Mail-Nachricht an die Bedürfnisse Ihres Unternehmens anpassen. Wir empfehlen, Informationen über die Entitäten anzugeben, in denen der AWS-KMS-Schlüssel verwendet wird. Dies kann Benutzern helfen, die Auswirkungen des Löschens des AWS-KMS-Schlüssels zu verstehen. Sie können auch eine Erinnerungs-E-Mail-Benachrichtigung planen, die ein oder zwei Tage vor dem Löschen des AWS-KMS-Schlüssels gesendet wird.
**Automatisierung und Skalierung**
Der CloudFormation AWS-Stack stellt alle erforderlichen Ressourcen und Dienste bereit, damit dieses Muster funktioniert. Sie können das Muster unabhängig in einem einzigen Konto implementieren oder indem Sie [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) für mehrere unabhängige Konten oder [Organisationseinheiten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) in AWS Organizations verwenden.
## Tools
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und AWS-Regionen hinweg zu verwalten. Die CloudFormation Vorlage für dieses Muster beschreibt alle AWS-Ressourcen, die Sie benötigen, und stellt CloudFormation diese Ressourcen für Sie bereit und konfiguriert sie.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen und AWS-Services und leitet diese Daten an Ziele wie AWS Lambda weiter. EventBridge vereinfacht den Prozess der Erstellung ereignisgesteuerter Architekturen.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) unterstützt Sie bei der Erstellung und Kontrolle kryptografischer Schlüssel, um Ihre Daten zu schützen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
**Code**
Der Code für dieses Muster ist im Repository GitHub [Monitor AWS KMS Keys Disable and Scheduled Deletion](https://github.com/aws-samples/aws-kms-deletion-notification) verfügbar.
## Epen
### Stellen Sie die Vorlage CloudFormation bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Klonen Sie das Repository GitHub [Monitor AWS KMS Keys Disable and Scheduled Deletion](https://github.com/aws-samples/aws-kms-deletion-notification) auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen:`git clone https://github.com/aws-samples/aws-kms-deletion-notification` | AWS-Administrator, Cloud-Architekt |
| Aktualisieren Sie die Parameter der Vorlage. | Öffnen Sie in einem Code-Editor die `Alerting-KMS-Events.yaml` CloudFormation Vorlage, die Sie aus dem Repository geklont haben, und aktualisieren Sie dann die folgenden Parameter:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | AWS-Administrator, Cloud-Architekt |
| Stellen Sie die CloudFormation Vorlage bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | AWS-Administrator, Cloud-Architekt |
### Bestätigen Sie das Abonnement
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestätigen Sie die Abonnement-E-Mail. | Nachdem die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet Amazon SNS eine Bestätigungsnachricht für das Abonnement an die E-Mail-Adresse, die Sie in der CloudFormation Vorlage angegeben haben.Um Benachrichtigungen zu erhalten, müssen Sie dieses E-Mail-Abonnement bestätigen. Weitere Informationen finden Sie unter [Bestätigen des Abonnements](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToHttp.confirm.html) im Amazon SNS Developer Guide. | AWS-Administrator, Cloud-Architekt |
### Testen Sie die Abonnementbenachrichtigung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Deaktivieren Sie die AWS-KMS-Schlüssel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | AWS-Administrator |
| Bestätigen Sie das Abonnement. | Bestätigen Sie, dass Sie die Amazon SNS SNS-Benachrichtigungs-E-Mail erhalten haben. | AWS-Administrator |
### Bereinigen von Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie den CloudFormation Stapel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | AWS-Administrator |
## Zugehörige Ressourcen
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/) (AWS-Dokumentation)
+ [Einen Stack auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) erstellen ( CloudFormation AWS-Dokumentation)
+ [Aufbau ereignisgesteuerter Architekturen auf AWS (AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/63320e83-6abc-493d-83d8-f822584fb3cb/en-US) Workshop Studio-Dokumentation)
+ [Bewährte Methoden für den AWS Key Management Service](https://d1.awsstatic.com/whitepapers/aws-kms-best-practices.pdf) (AWS-Whitepaper)
+ [Bewährte Sicherheitsmethoden für AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) (AWS KMS Developer Guide)
## Zusätzliche Informationen
Amazon SNS bietet standardmäßig Verschlüsselung bei der Übertragung. Um den bewährten Sicherheitsmethoden zu entsprechen, können Sie auch die serverseitige Verschlüsselung für Amazon SNS aktivieren, indem Sie einen vom Kunden verwalteten AWS KMS KMS-Schlüssel verwenden.
# Beibehaltung von routingfähigem IP-Speicherplatz in VPC-Designs mit mehreren Konten für Subnetze ohne Arbeitslast
*Adam Spicer, Amazon Web Services*
## Zusammenfassung
Amazon Web Services (AWS) hat bewährte Methoden veröffentlicht, die die Verwendung von dedizierten Subnetzen in einer Virtual Private Cloud (VPC) sowohl für [Transit-Gateway-Anhänge als auch für Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html) [Load Balancer-Endpunkte](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/getting-started.html) (zur Unterstützung von [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-high-level-steps.html) oder Appliances von Drittanbietern) empfehlen. Diese Subnetze werden verwendet, um elastische Netzwerkschnittstellen für diese Services zu enthalten. Wenn Sie sowohl AWS Transit Gateway als auch einen Gateway Load Balancer verwenden, werden in jeder Availability Zone zwei Subnetze für die VPC erstellt. Aufgrund der Art und Weise, wie sie konzipiert VPCs sind, dürfen diese zusätzlichen Subnetze [nicht kleiner als eine /28-Maske sein](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) und können wertvollen routingfähigen IP-Speicherplatz beanspruchen, der andernfalls für routingfähige Workloads verwendet werden könnte. Dieses Muster zeigt, wie Sie für diese dedizierten Subnetze einen sekundären, nicht routbaren CIDR-Bereich (Classless Inter-Domain Routing) verwenden können, um routingfähigen IP-Bereich zu erhalten.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ [Multi-VPC-Strategie](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html) für routingfähigen IP-Bereich
+ [Ein nicht routbarer CIDR-Bereich für die Dienste, die Sie verwenden ([Transit-Gateway-Anhänge und Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html)[Load Balancer](https://aws.amazon.com/blogs/apn/centralized-traffic-inspection-with-gateway-load-balancer-on-aws/) - oder Network Firewall Firewall-Endpunkte)](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
## Architektur
**Zielarchitektur**
Dieses Muster umfasst zwei Referenzarchitekturen: Eine Architektur hat Subnetze für Transit Gateway (TGW) -Anlagen und einen Gateway Load Balancer-Endpunkt (GWLBe), und die zweite Architektur hat Subnetze nur für TGW-Anlagen.
**Architektur 1 ‒ TGW-verbundene VPC mit Eingangs-Routing zu einer Appliance**
Das folgende Diagramm stellt eine Referenzarchitektur für eine VPC dar, die sich über zwei Availability Zones erstreckt. [Beim Eingang verwendet die VPC ein [Ingress-Routing-Muster](https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/), um den für das öffentliche Subnetz bestimmten Datenverkehr zur Firewall-Inspektion an eine bump-in-the-wire Appliance weiterzuleiten.](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/) Ein TGW-Anhang unterstützt den Ausgang von privaten Subnetzen zu einer separaten VPC.
Dieses Muster verwendet einen nicht routbaren CIDR-Bereich für das TGW-Anhangs-Subnetz und das Subnetz. GWLBe In der TGW-Routingtabelle ist dieser nicht routbare CIDR mit einer (statischen) Blackhole-Route konfiguriert, wobei eine Reihe speziellerer Routen verwendet wird. Wenn die Routen an die TGW-Routingtabelle weitergegeben würden, würden diese spezifischeren Blackhole-Routen gelten.
In diesem Beispiel ist das routbare CIDR /23 aufgeteilt und vollständig routingfähigen Subnetzen zugewiesen.
![\[TGW-verbundene VPC mit Eingangs-Routing zu einer Appliance.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/0171d91d-ab1e-41ca-a425-1e6e610080e1/images/adad1c83-cdc2-4c5e-aa35-f47fc31af384.png)
**Architektur 2 — TGW-angeschlossene VPC**
Das folgende Diagramm stellt eine weitere Referenzarchitektur für eine VPC dar, die sich über zwei Availability Zones erstreckt. Ein TGW-Anhang unterstützt ausgehenden Datenverkehr (Egress) von den privaten Subnetzen zu einer separaten VPC. Es verwendet einen CIDR-Bereich, der nicht routbar ist, nur für das TGW-Anhangs-Subnetz. In der TGW-Routingtabelle ist dieser nicht routbare CIDR mit einer Blackhole-Route konfiguriert, wobei eine Reihe speziellerer Routen verwendet wird. Wenn die Routen an die TGW-Routingtabelle weitergegeben würden, würden diese spezifischeren Blackhole-Routen gelten.
In diesem Beispiel ist das routbare CIDR /23 aufgeteilt und vollständig routingfähigen Subnetzen zugewiesen.
![\[VPC erstreckt sich über 2 Availability Zones mit TGW-Verbindung für den Ausgang von privaten Subnetzen zu separaten VPC.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/0171d91d-ab1e-41ca-a425-1e6e610080e1/images/31a2a241-5be6-425e-93e9-5ff7ffeca3a9.png)
## Tools
**AWS-Services und -Ressourcen**
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der skalierbaren Infrastruktur von AWS. In diesem Muster CIDRs werden sekundäre VPCs verwendet, um routingfähigen IP-Speicherplatz während der Arbeitslast beizubehalten. CIDRs
+ [Internet-Gateway-Ingress-Routing](https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/) (Edge-Zuordnungen) kann zusammen mit Gateway Load Balancer-Endpunkten für dedizierte, nicht routbare Subnetze verwendet werden.
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) ist ein zentraler Knotenpunkt, der lokale Netzwerke verbindet VPCs . Bei diesem Muster VPCs sind sie zentral an ein Transit-Gateway angeschlossen, und die Transit-Gateway-Anlagen befinden sich in einem speziellen, nicht routbaren Subnetz.
+ [Gateway-Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/introduction.html) ermöglichen Ihnen die Bereitstellung, Skalierung und Verwaltung virtueller Geräte, wie Firewalls, Systeme zur Angriffserkennung und -Abwehr und Deep-Packet-Inspection-Systeme. Das Gateway dient als einziger Eingangs- und Ausgangspunkt für den gesamten Verkehr. In diesem Muster können Endpunkte für einen Gateway Load Balancer in einem dedizierten, nicht routbaren Subnetz verwendet werden.
+ Die [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) ist ein zustandsbehafteter, verwalteter Netzwerk-Firewall sowie Service zur Erkennung und Verhinderung von Eindringlingen VPCs in der AWS-Cloud. Bei diesem Muster können Endpunkte für eine Firewall in einem dedizierten, nicht routbaren Subnetz verwendet werden.
**Code-Repository**
Ein Runbook und CloudFormation AWS-Vorlagen für dieses Muster sind im Repository GitHub [Non-Routable Secondary CIDR](https://github.com/aws-samples/non-routable-secondary-vpc-cidr-patterns/) Patterns verfügbar. Sie können die Beispieldateien verwenden, um ein funktionierendes Labor in Ihrer Umgebung einzurichten.
## Best Practices
**AWS Transit Gateway**
+ Verwenden Sie für jeden Transit-Gateway-VPC-Anhang ein separates Subnetz.
+ Weisen Sie den Transit-Gateway-Anhangssubnetzen ein /28-Subnetz aus dem sekundären, nicht routbaren CIDR-Bereich zu.
+ Fügen Sie in jeder Transit-Gateway-Routingtabelle eine statische, spezifischere Route für den nicht routbaren CIDR-Bereich als schwarzes Loch hinzu.
**Gateway Load Balancer und Ingress-Routing**
+ Verwenden Sie Ingress-Routing, um den Datenverkehr vom Internet zu den Gateway Load Balancer-Endpunkten weiterzuleiten.
+ Verwenden Sie für jeden Gateway Load Balancer-Endpunkt ein separates Subnetz.
+ Weisen Sie den Gateway Load Balancer-Endpunktsubnetzen ein /28-Subnetz aus dem sekundären, nicht routbaren CIDR-Bereich zu.
## Epen
### Erschaffen VPCs
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Ermitteln Sie den CIDR-Bereich, der nicht routbar ist. | Ermitteln Sie einen nicht routbaren CIDR-Bereich, der für das Transit-Gateway-Anhangssubnetz und (optional) für alle Gateway Load Balancer- oder Network Firewall Firewall-Endpunktsubnetze verwendet wird. Dieser CIDR-Bereich wird als sekundärer CIDR für die VPC verwendet. Er **darf nicht vom primären CIDR-Bereich der VPC oder dem größeren Netzwerk aus routbar** sein. | Cloud-Architekt |
| Ermitteln Sie routingfähige CIDR-Bereiche für. VPCs | Ermitteln Sie eine Reihe routingfähiger CIDR-Bereiche, die für Ihre verwendet werden. VPCs Dieser CIDR-Bereich wird als primärer CIDR-Bereich für Sie verwendet. VPCs | Cloud-Architekt |
| Erstellen VPCs. | Erstellen Sie Ihre VPCs und hängen Sie sie an das Transit-Gateway an. Jede VPC sollte einen primären CIDR-Bereich haben, der routbar ist, und einen sekundären CIDR-Bereich, der nicht routbar ist, basierend auf den Bereichen, die Sie in den beiden vorherigen Schritten festgelegt haben. | Cloud-Architekt |
### Blackhole-Routen für Transit Gateway konfigurieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie spezifischere, nicht routingfähige schwarze Löcher CIDRs . | Für jede Routingtabelle eines Transit-Gateways muss eine Reihe von Blackhole-Routen für die nicht routbaren Routen erstellt werden. CIDRs Diese sind so konfiguriert, dass sichergestellt ist, dass jeglicher Datenverkehr vom sekundären VPC-CIDR nicht routbar bleibt und nicht in das größere Netzwerk gelangt. Diese Routen sollten spezifischer sein als das nicht routbare CIDR, das auf der VPC als sekundäres CIDR festgelegt ist. Wenn das sekundäre, nicht routbare CIDR beispielsweise 100.64.0.0/26 ist, sollten die Blackhole-Routen in der Transit-Gateway-Routingtabelle 100.64.0.0/27 und 100.64.0.32/27 lauten. | Cloud-Architekt |
## Zugehörige Ressourcen
+ [Best practices for deploying Gateway Load Balancer](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)
+ [Verteilte Inspektionsarchitekturen mit Gateway Load Balancer](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/distributed-inspection-architectures-gwlb-ra.pdf?did=wp_card&trk=wp_card)
+ [Networking Immersion Day](https://catalog.workshops.aws/networking/en-US/gwlb/lab2-internettovpc) ‒ [Internet to VPC Firewall Lab](https://catalog.workshops.aws/networking/en-US/gwlb/lab2-internettovpc)
+ [Bewährte Methoden für das Transit-Gateway-Design](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html)
## Zusätzliche Informationen
Der sekundäre CIDR-Bereich, der nicht routbar ist, kann auch nützlich sein, wenn Sie mit größeren skalierten Container-Bereitstellungen arbeiten, die eine große Anzahl von IP-Adressen erfordern. Sie können dieses Muster mit einem privaten NAT-Gateway verwenden, um ein nicht routbares Subnetz zum Hosten Ihrer Container-Bereitstellungen zu verwenden. Weitere Informationen finden Sie im Blogbeitrag [So lösen Sie die Erschöpfung privater IP-Adressen mit Private NAT](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-solve-private-ip-exhaustion-with-private-nat-solution/) Solution.
# Bereitstellen eines Terraform-Produkts AWS Service Catalog mithilfe eines Code-Repositorys
*Dr. Rahul Sharad Gaikwad und Tamilselvan P, Amazon Web Services*
## Zusammenfassung
AWS Service Catalog [unterstützt Self-Service-Bereitstellung mit Steuerung für Ihre Terraform-Konfigurationen. HashiCorp ](https://developer.hashicorp.com/terraform/tutorials/aws-get-started) Wenn Sie Terraform verwenden, können Sie Service Catalog als einziges Tool verwenden, um Ihre Terraform-Konfigurationen innerhalb eines großen Maßstabs zu organisieren, zu verwalten und zu verteilen. AWS Sie können auf die wichtigsten Funktionen von Service Catalog zugreifen, darunter die Katalogisierung standardisierter und vorab genehmigter IaC-Vorlagen (Infrastructure as Code), Zugriffskontrolle, Bereitstellung von Cloud-Ressourcen mit geringsten Zugriffsrechten, Versionierung, gemeinsame Nutzung für Tausende von Benutzern und Tagging. AWS-Konten Endbenutzern wie Technikern, Datenbankadministratoren und Datenwissenschaftlern wird eine Liste der Produkte und Versionen angezeigt, auf die sie Zugriff haben, und sie können diese mit einer einzigen Aktion bereitstellen.
Dieses Muster hilft Ihnen bei der Bereitstellung von AWS Ressourcen mithilfe von Terraform-Code. Auf den Terraform-Code im GitHub Repository wird über Service Catalog zugegriffen. Mit diesem Ansatz integrieren Sie die Produkte in Ihre bestehenden Terraform-Workflows. Administratoren können mithilfe von Terraform Service Catalog-Portfolios erstellen und ihnen AWS Launch Wizard Produkte hinzufügen.
Im Folgenden sind die Vorteile dieser Lösung aufgeführt:
+ Aufgrund der Rollback-Funktion in Service Catalog können Sie das Produkt auf eine frühere Version zurücksetzen, wenn während der Bereitstellung Probleme auftreten.
+ Sie können die Unterschiede zwischen den Produktversionen leicht erkennen. Dies hilft Ihnen, Probleme bei der Bereitstellung zu lösen.
+ Sie können im Service Catalog eine Repository-Verbindung konfigurieren, z. B. zu GitHub oder GitLab. Sie können Produktänderungen direkt über das Repository vornehmen.
Informationen zu den allgemeinen Vorteilen von finden Sie AWS Service Catalog unter [Was ist Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto.
+ Ein GitHub, BitBucket, oder ein anderes Repository, das Terraform-Konfigurationsdateien im ZIP-Format enthält.
+ AWS Serverless Application Model Befehlszeilenschnittstelle (AWS SAM CLI), [installiert](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/install-sam-cli.html).
+ AWS Command Line Interface (AWS CLI), [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ Los, [installiert](https://go.dev/doc/install).
+ Python-Version 3.9, [installiert](https://www.python.org/downloads/release/python-3913/). AWS SAM CLI benötigt diese Version von Python.
+ Berechtigungen zum Schreiben und Ausführen von AWS Lambda Funktionen sowie Berechtigungen für den Zugriff auf und die Verwaltung von Service Catalog-Produkten und -Portfolios.
## Architektur
![\[Architekturdiagramm der Bereitstellung eines Terraform-Produkts in Service Catalog aus einem Code-Repository\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/7d0d76e8-9485-4b3f-915f-481b6a7cdcd9/images/e83fa44a-4ca6-4438-a0d1-99f09a3541bb.png)
Das Diagramm zeigt den folgenden Workflow:
1. Wenn eine Terraform-Konfiguration fertig ist, erstellt ein Entwickler eine ZIP-Datei, die den gesamten Terraform-Code enthält. Der Entwickler lädt die ZIP-Datei in das Code-Repository hoch, das mit Service Catalog verbunden ist.
1. Ein Administrator ordnet das Terraform-Produkt einem Portfolio im Service Catalog zu. Der Administrator erstellt außerdem eine Startbeschränkung, die es Endbenutzern ermöglicht, das Produkt bereitzustellen.
1. In Service Catalog starten Endbenutzer AWS Ressourcen mithilfe der Terraform-Konfiguration. Sie können wählen, welche Produktversion bereitgestellt werden soll.
## Tools
**AWS-Services**
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)hilft Ihnen dabei, Kataloge von IT-Services, für AWS die eine Genehmigung erteilt wurde, zentral zu verwalten. Endbenutzer können schnell nur die jeweils benötigten genehmigten IT-Services bereitstellen, wobei die Einschränkungen Ihrer Organisation berücksichtigt werden.
**Andere Dienste**
+ [Go](https://go.dev/doc/install) ist eine Open-Source-Programmiersprache, die Google unterstützt.
+ [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache.
**Code-Repository**
Wenn Sie Terraform-Beispielkonfigurationen benötigen, die Sie über Service Catalog bereitstellen können, können Sie die Konfigurationen im GitHub [Amazon Macie Organization Setup Using Terraform Repository verwenden](https://github.com/aws-samples/aws-macie-customization-terraform-samples). Die Verwendung der Codebeispiele in diesem Repository ist nicht erforderlich.
## Best Practices
+ Anstatt die Werte für Variablen in der Terraform-Konfigurationsdatei (`terraform.tfvars`) bereitzustellen, konfigurieren Sie Variablenwerte, wenn Sie das Produkt über Service Catalog starten.
+ Gewähren Sie nur bestimmten Benutzern oder Administratoren Zugriff auf das Portfolio.
+ Folgen Sie dem Prinzip der geringsten Rechte und gewähren Sie die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie in der AWS Identity and Access Management (IAM-[) Dokumentation unter Gewährung der geringsten Rechte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) und [bewährte Methoden zur Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPracticesAndUseCases.html).
## Epen
### Richten Sie Ihre lokale Workstation ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| (Optional) Installieren Sie Docker. | Wenn Sie die AWS Lambda Funktionen in Ihrer Entwicklungsumgebung ausführen möchten, installieren Sie Docker. Weitere Informationen finden Sie unter [Installieren der Docker-Engine](https://docs.docker.com/engine/install/) in der Docker-Dokumentation. | DevOps Ingenieur |
| Installieren Sie die AWS Service Catalog Engine für Terraform. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | DevOps Ingenieur, AWS-Administrator |
### Connect das GitHub Repository
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie eine Verbindung zum GitHub Repository her. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
### Erstellen Sie ein Terraform-Produkt im Service Catalog
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie das Service Catalog-Produkt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
| Erstellen Sie ein Portfolio. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
| Fügen Sie das Terraform-Produkt dem Portfolio hinzu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
| Erstellen Sie eine Zugriffsrichtlinie. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
| Erstellen Sie eine benutzerdefinierte Vertrauensrichtlinie. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
| Fügen Sie dem Service Catalog-Produkt eine Startbeschränkung hinzu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
| Gewähren Sie Zugriff auf das Produkt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
| Starten Sie das Produkt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | DevOps Ingenieur |
### Überprüfen der Bereitstellung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Validieren Sie die Bereitstellung. | Es gibt zwei AWS Step Functions Zustandsmaschinen für den Service Catalog-Bereitstellungsworkflow:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html)Sie überprüfen die Protokolle für den `ManageProvisionedProductStateMachine` State Machine, um zu bestätigen, dass das Produkt bereitgestellt wurde.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | DevOps Ingenieur |
### Infrastruktur aufräumen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie bereitgestellte Produkte. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | DevOps Ingenieur |
| Entferne die AWS Service Catalog Engine für Terraform. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/provision-a-terraform-product-in-aws-service-catalog-by-using-a-code-repository.html) | AWS-Administrator |
## Zugehörige Ressourcen
**AWS Dokumentation**
+ [Erste Schritte mit einem Terraform-Produkt](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted-Terraform.html)
**Terraform-Dokumentation**
+ [Terraform-Installation](https://learn.hashicorp.com/tutorials/terraform/install-cli)
+ [Terraform-Backend-Konfiguration](https://developer.hashicorp.com/terraform/language/backend)
+ [Terraform Provider-Dokumentation AWS](https://registry.terraform.io/providers/hashicorp/aws/latest/docs)
## Zusätzliche Informationen
**Zugriffsrichtlinie**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Action": [
"s3:CreateBucket*",
"s3:DeleteBucket*",
"s3:Get*",
"s3:List*",
"s3:PutBucketTagging"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Action": [
"resource-groups:CreateGroup",
"resource-groups:ListGroupResources",
"resource-groups:DeleteGroup",
"resource-groups:Tag"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"tag:GetResources",
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
**Vertrauensrichtlinie**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GivePermissionsToServiceCatalog",
"Effect": "Allow",
"Principal": {
"Service": "servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_id:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::accounti_id:role/TerraformEngine/TerraformExecutionRole*",
"arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogExternalParameterParserRole*",
"arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogTerraformOSParameterParserRole*"
]
}
}
}
]
}
```
# Registrieren Sie mehrere AWS-Konten mit einer einzigen E-Mail-Adresse mithilfe von Amazon SES
*Joe Wozniak und Shubhangi Vishwakarma, Amazon Web Services*
## Zusammenfassung
Dieses Muster beschreibt, wie Sie echte E-Mail-Adressen von der E-Mail-Adresse entkoppeln können, die mit einer verknüpft ist. AWS-Konto AWS-Konten erfordern, dass bei der Kontoerstellung eine eindeutige E-Mail-Adresse angegeben wird. In einigen Organisationen AWS-Konten muss das verwaltende Team die Last der Verwaltung vieler eindeutiger E-Mail-Adressen mit seinem Messaging-Team übernehmen. Dies kann für große Organisationen, die viele verwalten, schwierig sein AWS-Konten. Wenn Ihr E-Mail-System die *Plus- oder *Unteradressierung** nicht zulässt, wie in [Sieve Email Filtering: Subaddress Extension (RFC 5233)](https://datatracker.ietf.org/doc/html/rfc5233) definiert, kann `admin+123456789123@example.com` dieses Muster außerdem helfen, diese Einschränkung zu umgehen, indem Sie am Ende des lokalen Teils der E-Mail-Adresse ein Pluszeichen (\$1) und eine Kennung hinzufügen, z. B.
Dieses Muster bietet eine einzigartige Lösung für den Verkauf von E-Mail-Adressen, mit der AWS-Konto Eigentümer eine E-Mail-Adresse mehreren zuordnen können. AWS-Konten Die echten E-Mail-Adressen der AWS-Konto Eigentümer werden dann diesen generierten E-Mail-Adressen in einer Tabelle zugeordnet. Die Lösung verarbeitet alle eingehenden E-Mails für die einzelnen E-Mail-Konten, sucht nach dem Besitzer jedes Kontos und leitet dann alle empfangenen Nachrichten an den Eigentümer weiter.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Administrativer Zugriff auf ein AWS-Konto.
+ Zugriff auf eine Entwicklungsumgebung.
+ (Optional) Wenn Sie mit AWS Cloud Development Kit (AWS CDK) Workflows und der Programmiersprache Python vertraut sind, können Sie Probleme beheben oder Änderungen vornehmen.
**Einschränkungen**
+ Die Gesamtlänge der versendeten E-Mail-Adresse beträgt 64 Zeichen. Einzelheiten finden Sie [CreateAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateAccount.html)in der *AWS Organizations API-Referenz.*
**Produktversionen**
+ Node.js Version 22.x oder höher
+ Python 3.13 oder höher
+ **Python-Pakete **pip und virtualenv****
+ AWS CDK CLI-Version 2.1019.2 oder höher
+ Docker 20.10.x oder höher
## Architektur
**Zieltechnologie-Stack**
+ CloudFormation stapeln
+ AWS Lambda Funktionen
+ Regel und Regelsatz für Amazon Simple Email Service (Amazon SES)
+ AWS Identity and Access Management Rollen und Richtlinien (IAM)
+ Bucket- und Bucket-Richtlinie für Amazon Simple Storage Service (Amazon S3)
+ AWS Key Management Service (AWS KMS) Schlüssel und wichtige Richtlinie
+ Thema und Themenrichtlinie für Amazon Simple Notification Service (Amazon SNS)
+ Amazon-DynamoDB-Tabelle.
**Zielarchitektur**
![\[Zielarchitektur für die Registrierung mehrerer AWS-Konten mit einer einzigen E-Mail-Adresse\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/1be85b92-69e5-43b2-aeed-27b9509e145e/images/c7ae9d7a-d4e0-412e-97cb-0f3073e012e7.png)
Dieses Diagramm zeigt zwei Abläufe:
+ **Ablauf des Verkaufs von E-Mail-Adressen:** Im Diagramm beginnt der Ablauf des Verkaufs von E-Mail-Adressen (unterer Abschnitt) in der Regel mit einer Kontoverkaufslösung oder einer externen Automatisierung oder wird manuell aufgerufen. In der Anfrage wird eine Lambda-Funktion mit einer Nutzlast aufgerufen, die die benötigten Metadaten enthält. Die Funktion verwendet diese Informationen, um einen eindeutigen Kontonamen und eine E-Mail-Adresse zu generieren, sie in einer DynamoDB-Datenbank zu speichern und die Werte an den Aufrufer zurückzugeben. Diese Werte können dann verwendet werden, um eine neue zu erstellen AWS-Konto (normalerweise mithilfe von). AWS Organizations
+ **Ablauf der E-Mail-Weiterleitung:** Dieser Ablauf ist im oberen Abschnitt des vorherigen Diagramms dargestellt. Wenn ein mithilfe der Konto-E-Mail erstellt AWS-Konto wird, die aus dem E-Mail-Verkaufsablauf generiert wurde, AWS werden verschiedene E-Mails, wie z. B. die Bestätigung der Kontoregistrierung und regelmäßige Benachrichtigungen, an diese E-Mail-Adresse gesendet. Indem Sie die Schritte in diesem Muster befolgen, konfigurieren Sie Ihr System AWS-Konto mit Amazon SES für den Empfang von E-Mails für die gesamte Domain. Diese Lösung konfiguriert Weiterleitungsregeln, die es Lambda ermöglichen, alle eingehenden E-Mails zu verarbeiten, zu überprüfen, ob sich die `TO` Adresse in der DynamoDB-Tabelle befindet, und die Nachricht stattdessen an die E-Mail-Adresse des Kontoinhabers weiterzuleiten. Mithilfe dieses Verfahrens haben Kontoinhaber die Möglichkeit, mehrere Konten mit einer E-Mail-Adresse zu verknüpfen.
**Automatisierung und Skalierung**
Dieses Muster verwendet die AWS CDK , um die Bereitstellung vollständig zu automatisieren. Die Lösung verwendet AWS verwaltete Dienste, die automatisch skaliert werden (oder so konfiguriert werden können), dass sie Ihren Anforderungen entsprechen. Die Lambda-Funktionen erfordern möglicherweise eine zusätzliche Konfiguration, um Ihre Skalierungsanforderungen zu erfüllen. Weitere Informationen finden Sie in der [Lambda-Dokumentation unter Grundlegendes zur Lambda-Funktionsskalierung](https://docs.aws.amazon.com/lambda/latest/dg/invocation-scaling.html).
## Tools
**AWS-Services**
+ [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus regionsübergreifend AWS-Konten zu verwalten.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) hilft Ihnen dabei, kryptografische Schlüssel zu erstellen und zu kontrollieren, um Ihre Daten zu schützen.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) unterstützt Sie beim Senden und Empfangen von E-Mails mithilfe Ihrer eigenen E-Mail-Adressen und Domains.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
**Für die Bereitstellung benötigte Tools**
+ Entwicklungsumgebung mit AWS CLI und IAM-Zugriff auf Ihre AWS-Konto. Einzelheiten finden Sie unter den Links im Abschnitt [Verwandte Ressourcen](#register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses-resources).
+ Installieren Sie auf Ihrem Entwicklungssystem Folgendes:
+ Git-Befehlszeilentool, verfügbar auf der [Git-Download-Website](https://git-scm.com/downloads).
+ Das AWS CLI , um die Zugangsdaten für die zu konfigurieren AWS CDK. Weitere Informationen finden Sie in der [AWS CLI -Dokumentation](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Python-Version 3.13 oder höher, erhältlich auf der [Python-Download-Website](https://www.python.org/downloads/).
+ UV für die Python-Paketverwaltung. Installationsanweisungen finden Sie in der [UV-Installationsanleitung](https://docs.astral.sh/uv/getting-started/installation/).
+ Node.js Version 22.x oder höher. Installationsanweisungen finden Sie in der [Dokumentation zu Node.js](https://nodejs.org/en/learn/getting-started/how-to-install-nodejs).
+ AWS CDK CLI-Version 2.1019.2 oder höher. [Installationsanweisungen finden Sie in der Dokumentation.AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/getting-started.html#getting-started-install)
+ Docker-Version 20.10.x oder höher. [Installationsanweisungen finden Sie in der Docker-Dokumentation.](https://docs.docker.com/engine/install/)
**Code**
Der Code für dieses Muster ist im GitHub [AWS-Konto werkseitigen E-Mail-Repository](https://github.com/aws-samples/aws-account-factory-email) verfügbar.
## Epen
### Ordnen Sie eine Zielbereitstellungsumgebung zu
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Identifizieren oder erstellen Sie eine AWS-Konto. | Identifizieren Sie ein vorhandenes oder neues, AWS-Konto auf das Sie vollen Administratorzugriff haben, um die E-Mail-Lösung bereitzustellen. | AWS-Administrator, Cloud-Administrator |
| Richten Sie eine Bereitstellungsumgebung ein. | Konfigurieren Sie eine benutzerfreundliche Bereitstellungsumgebung und richten Sie Abhängigkeiten ein, indem Sie die folgenden Schritte ausführen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html) | AWS DevOps, App-Entwickler |
### Richten Sie eine verifizierte Domain ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Identifizieren und weisen Sie eine Domain zu. | Für die E-Mail-Weiterleitungsfunktion ist eine dedizierte Domain erforderlich. Identifizieren und weisen Sie eine Domain oder Subdomain zu, die Sie mit Amazon SES verifizieren können. Diese Domain sollte für den Empfang eingehender E-Mails in dem Land verfügbar sein, in AWS-Konto dem die E-Mail-Weiterleitungslösung eingesetzt wird.Anforderungen an die Domain:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html) | Cloud-Administrator, Netzwerkadministrator, DNS-Administrator |
| Überprüfen Sie die Domain. | Stellen Sie sicher, dass die identifizierte Domain verwendet werden kann, um eingehende E-Mails zu akzeptieren.Folgen Sie den Anweisungen unter [Verifizieren Ihrer Domain für den E-Mail-Empfang von Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/receiving-email-verification.html) in der Amazon SES SES-Dokumentation. Dies erfordert eine Abstimmung mit der Person oder dem Team, die für die DNS-Einträge der Domain verantwortlich ist. | App-Entwickler, AWS DevOps |
| Richten Sie MX-Einträge ein. | Richten Sie Ihre Domain mit MX-Einträgen ein, die auf die Amazon SES SES-Endpunkte in Ihrer Region AWS-Konto und Ihrer Region verweisen. Weitere Informationen finden Sie unter [Veröffentlichen eines MX-Eintrags für den Amazon SES SES-E-Mail-Empfang](https://docs.aws.amazon.com/ses/latest/dg/receiving-email-mx-record.html) in der Amazon SES SES-Dokumentation. | Cloud-Administrator, Netzwerkadministrator, DNS-Administrator |
### Stellen Sie die Lösung für den Verkauf und die Weiterleitung von E-Mails bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Ändern Sie die Standardwerte in`cdk.json`. | Bearbeiten Sie einige der Standardwerte in der `cdk.json` Datei (im Stammverzeichnis des Repositorys), sodass die Lösung nach der Bereitstellung ordnungsgemäß funktioniert.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html) | App-Entwickler, AWS DevOps |
| Stellen Sie die Lösung für den Verkauf und die Weiterleitung von E-Mails bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html) | App-Entwickler, AWS DevOps |
| Stellen Sie sicher, dass die Lösung bereitgestellt wurde. | Stellen Sie sicher, dass die Lösung erfolgreich bereitgestellt wurde, bevor Sie mit dem Testen beginnen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html) | App-Entwickler, AWS DevOps |
### Stellen Sie sicher, dass der Verkauf und die Weiterleitung von E-Mails wie erwartet funktionieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie sicher, dass die API funktioniert. | In diesem Schritt senden Sie Testdaten an die API der Lösung und bestätigen, dass die Lösung die erwartete Ausgabe erzeugt und dass die Backend-Operationen wie erwartet ausgeführt wurden.Führen Sie die Lambda-Funktion von **Vend Email** mithilfe der Testeingabe manuell aus. (Ein Beispiel finden Sie in der Datei [sample\$1vend\$1request.json](https://github.com/aws-samples/aws-account-factory-email/blob/main/src/events/sample_vend_request.json).) Verwenden Sie für eine gültige E-Mail-Adresse`OwnerAddress`. Die API sollte einen Kontonamen und eine Konto-E-Mail-Adresse mit den erwarteten Werten zurückgeben. | App-Entwickler, AWS DevOps |
| Stellen Sie sicher, dass die E-Mail weitergeleitet wird. | In diesem Schritt senden Sie eine Test-E-Mail über das System und überprüfen, ob die E-Mail an den erwarteten Empfänger weitergeleitet wurde.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html) | App-Entwickler, AWS DevOps |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Das System leitet E-Mails nicht wie erwartet weiter. | Stellen Sie sicher, dass Ihre Einrichtung korrekt ist:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html)Gehen Sie wie folgt vor, nachdem Sie Ihr Domain-Setup verifiziert haben:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html) |
| Wenn Sie versuchen, den AWS CDK Stack bereitzustellen, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:„Fehler im Vorlagenformat: Unbekannte Ressourcentypen“ | In den meisten Fällen bedeutet diese Fehlermeldung, dass die Region, auf die Sie abzielen, nicht über alle verfügbaren AWS-Services verfügt. Wenn Sie eine EC2 Amazon-Instance zur Bereitstellung der Lösung verwenden, zielen Sie möglicherweise auf eine Region ab, die sich von der Region unterscheidet, in der die Instance ausgeführt wird.Standardmäßig erfolgt die AWS CDK Bereitstellung in der Region und dem Konto, die Sie in der AWS CLI konfiguriert haben.Mögliche Lösungen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.html) |
| Wenn Sie die Lösung bereitstellen, erhalten Sie die folgende Fehlermeldung:„Die Bereitstellung ist fehlgeschlagen: Fehler AwsMailFwdStack: Der SSM-Parameter bootstrap/hnb659fds/version /cdk- wurde nicht gefunden. Wurde für die Umgebung ein Bootstrapping durchgeführt? Bitte führe 'cdk bootstrap' aus.“ | Wenn Sie noch nie AWS CDK Ressourcen für die AWS-Konto Zielregion bereitgestellt haben, müssen Sie zuerst den `cdk bootstrap` Befehl ausführen, wie der Fehler darauf hinweist. Wenn Sie diesen Fehler weiterhin erhalten, nachdem Sie den Bootstrapping-Befehl ausgeführt haben, versuchen Sie möglicherweise, die Lösung in einer Region bereitzustellen, die sich von der Region unterscheidet, in der Ihre Entwicklungsumgebung ausgeführt wird.Um dieses Problem zu lösen, legen Sie die `AWS_DEFAULT_REGION` Umgebungsvariable oder eine Region mit fest, AWS CLI bevor Sie die Lösung bereitstellen. Alternativ können Sie die `app.py` Datei im Stammverzeichnis des Repositorys so ändern, dass sie eine fest codierte Konto-ID und Region enthält, indem Sie den Anweisungen in der [AWS CDK Dokumentation für Umgebungen](https://docs.aws.amazon.com/cdk/v2/guide/environments.html) folgen. |
## Zugehörige Ressourcen
+ Hilfe bei der AWS CLI Installation von finden Sie unter [Installation oder Aktualisierung auf die neueste Version von](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html). AWS CLI
+ Hilfe beim Einrichten von AWS CLI mit IAM-Zugangsdaten finden Sie unter [Konfiguration der AWS CLI Einstellungen für](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ Hilfe zu dem finden Sie AWS CDK unter [Erste Schritte mit dem AWS CDK](https://docs.aws.amazon.com/cdk/latest/guide/getting_started.html#getting_started_install).
## Zusätzliche Informationen
**Kosten**
Wenn Sie diese Lösung einsetzen, können dem AWS-Konto Inhaber Kosten entstehen, die mit der Nutzung der folgenden Dienste verbunden sind. Es ist wichtig, dass Sie wissen, wie diese Dienste in Rechnung gestellt werden, damit Sie sich über mögliche Gebühren im Klaren sind. Preisinformationen finden Sie auf den folgenden Seiten:
+ [Amazon SES SES-Preise](https://aws.amazon.com/ses/pricing/)
+ [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/)
+ [AWS KMS Preisgestaltung](https://aws.amazon.com/kms/pricing/)
+ [AWS Lambda Preisgestaltung](https://aws.amazon.com/lambda/pricing/)
+ [Amazon-DynamoDB-Preise](https://aws.amazon.com/dynamodb/pricing/)
# Richten Sie die DNS-Auflösung für Hybridnetzwerke in einer AWS-Umgebung mit einem Konto ein
*Abdullahi Olaoye, Amazon Web Services*
## Zusammenfassung
Dieses Muster beschreibt, wie eine vollständig hybride DNS-Architektur (Domain Name System) eingerichtet wird, die die end-to-end DNS-Auflösung von lokalen Ressourcen, AWS-Ressourcen und Internet-DNS-Abfragen ohne Verwaltungsaufwand ermöglicht. Das Muster beschreibt, wie Amazon Route 53 Resolver Resolver-Weiterleitungsregeln eingerichtet werden, die anhand des Domainnamens festlegen, wohin eine von AWS stammende DNS-Anfrage gesendet werden soll. DNS-Abfragen für lokale Ressourcen werden an lokale DNS-Resolver weitergeleitet. DNS-Abfragen für AWS-Ressourcen und Internet-DNS-Abfragen werden vom Route 53 Resolver gelöst.
Dieses Muster deckt die hybride DNS-Auflösung in einer AWS-Einzelkonto-Umgebung ab. Informationen zur Einrichtung ausgehender DNS-Abfragen in einer AWS-Umgebung mit mehreren Konten finden Sie im Muster [DNS-Auflösung für Hybridnetzwerke in einer AWS-Umgebung mit mehreren Konten einrichten](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein AWS-Konto
+ Eine virtuelle private Cloud (VPC) in Ihrem AWS-Konto
+ Eine Netzwerkverbindung zwischen der lokalen Umgebung und Ihrer VPC über AWS Virtual Private Network (AWS VPN) oder AWS Direct Connect
+ IP-Adressen Ihrer lokalen DNS-Resolver (von Ihrer VPC aus erreichbar)
+ Domain-/Subdomänenname, der an lokale Resolver weitergeleitet werden soll (z. B. onprem.mydc.com)
+ Domain-/Subdomainname für die private gehostete AWS-Zone (z. B. myvpc.cloud.com)
## Architektur
**Zieltechnologie-Stack**
+ Private gehostete Zone von Amazon Route 53
+ Amazon Route 53 Resolver
+ Amazon VPC
+ AWS VPN oder Direct Connect
**Zielarchitektur**
![\[Workflow der Hybrid-DNS-Auflösung in einer AWS-Einzelkonto-Umgebung mit Route 53 Resolver.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/120dedc8-cc6c-4aa7-be11-c70a7ee80642/images/7b75f534-1adc-4a39-86d6-5c4596ff7b6a.png)
## Tools
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) erleichtert Unternehmenskunden die Hybrid-Cloud, indem es eine nahtlose DNS-Abfrageauflösung in Ihrer gesamten Hybrid-Cloud ermöglicht. Sie können DNS-Endpunkte und Regeln für bedingte Weiterleitungen erstellen, um DNS-Namespaces zwischen Ihrem lokalen Rechenzentrum und Ihrem aufzulösen. VPCs
+ Die [private gehostete Zone von Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) ist ein Container, der Informationen darüber enthält, wie Route 53 auf DNS-Anfragen für eine Domain und deren Subdomains innerhalb einer oder mehrerer VPCs , die Sie mit dem Amazon VPC-Service erstellen, reagieren soll.
## Epen
### Konfigurieren Sie eine private gehostete Zone
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine private gehostete Route 53 53-Zone für einen reservierten AWS-Domainnamen wie myvpc.cloud.com. | Diese Zone enthält die DNS-Einträge für AWS-Ressourcen, die in der lokalen Umgebung aufgelöst werden sollten. Anweisungen finden Sie unter [Erstellen einer privaten gehosteten Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) in der Route 53 53-Dokumentation. | Netzwerkadministrator, Systemadministrator |
| Ordnen Sie die privat gehostete Zone Ihrer VPC zu. | Damit Ressourcen in Ihrer VPC DNS-Einträge in dieser privaten Hosting-Zone auflösen können, müssen Sie Ihre VPC der Hosting-Zone zuordnen. Anweisungen finden Sie unter [Erstellen einer privaten gehosteten Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) in der Route 53 53-Dokumentation. | Netzwerkadministrator, Systemadministrator |
### Route 53 Resolver-Endpunkte einrichten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie einen Endpunkt für eingehenden Datenverkehr. | Route 53 Resolver verwendet den eingehenden Endpunkt, um DNS-Abfragen von lokalen DNS-Resolvern zu empfangen. Anweisungen finden Sie in der Route 53 53-Dokumentation unter [Weiterleiten eingehender DNS-Abfragen an Ihre VPCs](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html). Notieren Sie sich die IP-Adresse des eingehenden Endpunkts. | Netzwerkadministrator, Systemadministrator |
| Erstellen Sie einen ausgehenden Endpunkt. | Route 53 Resolver verwendet den ausgehenden Endpunkt, um DNS-Abfragen an lokale DNS-Resolver zu senden. Anweisungen finden Sie in der Route 53 53-Dokumentation unter [Weiterleiten ausgehender DNS-Abfragen an Ihr Netzwerk](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html). Notieren Sie sich die ID des Ausgabeendpunkts. | Netzwerkadministrator, Systemadministrator |
### Richten Sie eine Weiterleitungsregel ein und verknüpfen Sie sie mit Ihrer VPC
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Weiterleitungsregel für die lokale Domain. | Diese Regel weist Route 53 Resolver an, alle DNS-Abfragen für lokale Domänen (wie onprem.mydc.com) an lokale DNS-Resolver weiterzuleiten. Um diese Regel zu erstellen, benötigen Sie die IP-Adressen der lokalen DNS-Resolver und die ausgehende Endpunkt-ID für Route 53 Resolver. Anweisungen finden Sie in der Route 53 53-Dokumentation unter [Verwalten von Weiterleitungsregeln](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html). | Netzwerkadministrator, Systemadministrator |
| Ordnen Sie die Weiterleitungsregel Ihrer VPC zu. | Damit die Weiterleitungsregel wirksam wird, müssen Sie die Regel mit Ihrer VPC verknüpfen. Route 53 Resolver berücksichtigt die Regel dann bei der Auflösung einer Domain. Anweisungen finden Sie in der Route 53 53-Dokumentation unter [Verwalten von Weiterleitungsregeln](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html). | Netzwerkadministrator, Systemadministrator |
### Konfigurieren Sie lokale DNS-Resolver
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie die bedingte Weiterleitung in den lokalen DNS-Resolvern. | Damit DNS-Abfragen aus der lokalen Umgebung an die private Hosting-Zone Route 53 gesendet werden können, müssen Sie die bedingte Weiterleitung in den lokalen DNS-Resolvern konfigurieren. Dadurch werden die DNS-Resolver angewiesen, alle DNS-Abfragen für die AWS-Domäne (z. B. für myvpc.cloud.com) an die eingehende Endpunkt-IP-Adresse für Route 53 Resolver weiterzuleiten. | Netzwerkadministrator, Systemadministrator |
### Testen Sie die end-to-end DNS-Auflösung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Testen Sie die DNS-Auflösung von AWS in der lokalen Umgebung. | Führen Sie von einem Server in der VPC aus eine DNS-Abfrage für eine lokale Domäne aus (z. B. server1.onprem.mydc.com). | Netzwerkadministrator, Systemadministrator |
| Testen Sie die DNS-Auflösung von der lokalen Umgebung zu AWS. | Führen Sie von einem lokalen Server aus die DNS-Auflösung für eine AWS-Domain durch (z. B. server1.myvpc.cloud.com). | Netzwerkadministrator, Systemadministrator |
## Zugehörige Ressourcen
+ [Zentralisiertes DNS-Management der Hybrid Cloud mit Amazon Route 53 und AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/) (Blog AWS Networking & Content Delivery)
+ [Vereinfachen Sie die DNS-Verwaltung in einer Umgebung mit mehreren Konten mit Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (AWS-Sicherheitsblog)
+ [Arbeiten mit privaten Hosting-Zonen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (Route 53 53-Dokumentation)
+ [Erste Schritte mit Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) (Route 53 53-Dokumentation)
# Richten Sie mithilfe EC2 von AWS automatisch UiPath RPA-Bots auf Amazon ein CloudFormation
*Dr. Rahul Sharad Gaikwad und Tamilselvan P, Amazon Web Services*
## Zusammenfassung
Dieses Muster erklärt, wie Sie Robotic Process Automation (RPA) -Bots auf Amazon Elastic Compute Cloud (Amazon EC2) -Instances bereitstellen können. Es verwendet eine [EC2 Image Builder Builder-Pipeline](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html), um ein benutzerdefiniertes Amazon Machine Image (AMI) zu erstellen. Ein AMI ist ein vorkonfiguriertes Image einer virtuellen Maschine (VM), das das Betriebssystem (OS) und die vorinstallierte Software zur Bereitstellung EC2 von Instanzen enthält. Dieses Muster verwendet CloudFormation AWS-Vorlagen, um die [UiPath Studio Community Edition](https://www.uipath.com/product/studio) auf dem benutzerdefinierten AMI zu installieren. UiPath ist ein RPA-Tool, mit dem Sie Roboter einrichten können, um Ihre Aufgaben zu automatisieren.
Im Rahmen dieser Lösung werden EC2 Windows-Instances mithilfe des Basis-AMI gestartet, und die UiPath Studio-Anwendung wird auf den Instances installiert. Das Muster verwendet das Microsoft System Preparation (Sysprep) -Tool, um die benutzerdefinierte Windows-Installation zu duplizieren. Danach werden die Host-Informationen entfernt und ein endgültiges AMI aus der Instance erstellt. Sie können die Instances dann bei Bedarf starten, indem Sie das endgültige AMI mit Ihren eigenen Benennungskonventionen und Monitoring-Setup verwenden.
|
|
| Hinweis: Dieses Muster enthält keine Informationen zur Verwendung von RPA-Bots. Diese Informationen finden Sie in der [UiPath Dokumentation](https://docs.uipath.com/). Sie können dieses Muster auch verwenden, um andere RPA-Bot-Anwendungen einzurichten, indem Sie die Installationsschritte an Ihre Anforderungen anpassen. |
| --- |
Dieses Muster bietet die folgenden Automatisierungen und Vorteile:
+ Bereitstellung und gemeinsame Nutzung von Anwendungen: Sie können Amazon EC2 AMIs für die Anwendungsbereitstellung erstellen und diese über eine EC2 Image Builder Builder-Pipeline, die CloudFormation AWS-Vorlagen als Infrastructure-as-Code-Skripts (IaC) verwendet, für mehrere Konten gemeinsam nutzen.
+ EC2 Bereitstellung und Skalierung durch Amazon: CloudFormation IaC-Vorlagen bieten benutzerdefinierte Computernamenssequenzen und die Automatisierung von Active Directory-Verknüpfungen.
+ Beobachtbarkeit und Überwachung: Das Muster richtet CloudWatch Amazon-Dashboards ein, mit denen Sie EC2 Amazon-Metriken (wie CPU- und Festplattennutzung) überwachen können.
+ Vorteile von RPA für Ihr Unternehmen: RPA verbessert die Genauigkeit, da Roboter zugewiesene Aufgaben automatisch und konsistent ausführen können. RPA erhöht auch die Geschwindigkeit und Produktivität, da Abläufe, die keinen Mehrwert bieten, wegfallen und sich wiederholende Aktivitäten erledigt werden.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives [AWS-Konto](https://aws.amazon.com/free/)
+ [AWS Identity and Access Management (IAM) -Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html) für die Bereitstellung von Vorlagen CloudFormation
+ [IAM-Richtlinien](https://docs.aws.amazon.com/imagebuilder/latest/userguide/cross-account-dist.html) zur Einrichtung einer kontenübergreifenden AMI-Verteilung mit Image Builder EC2
## Architektur
![\[Zielarchitektur für die Einrichtung von RPA-Bots auf Amazon EC2\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/5555a62d-91d4-4e81-9961-ff89faedd6ad/images/1893d2d3-8912-4473-adf1-6633b5badcd9.png)
1. Der Administrator stellt das Basis-Windows-AMI in der `ec2-image-builder.yaml` Datei bereit und stellt den Stack in der CloudFormation Konsole bereit.
1. Der CloudFormation Stack stellt die EC2 Image Builder Builder-Pipeline bereit, die die folgenden Ressourcen umfasst:
+ `Ec2ImageInfraConfiguration`
+ `Ec2ImageComponent`
+ `Ec2ImageRecipe`
+ `Ec2AMI`
1. Die EC2 Image Builder Builder-Pipeline startet mithilfe des Basis-AMI eine temporäre EC2 Windows-Instanz und installiert die erforderlichen Komponenten (in diesem Fall UiPath Studio).
1. Der EC2 Image Builder entfernt alle Hostinformationen und erstellt ein AMI von Windows Server.
1. Sie aktualisieren die `ec2-provisioning yaml` Datei mit dem benutzerdefinierten AMI und starten eine Reihe von EC2 Instances, die Ihren Anforderungen entsprechen.
1. Sie stellen das Count-Makro mithilfe einer CloudFormation Vorlage bereit. Dieses Makro stellt eine **Count-Eigenschaft** für CloudFormation Ressourcen bereit, sodass Sie problemlos mehrere Ressourcen desselben Typs angeben können.
1. Sie aktualisieren den Namen des Makros in der CloudFormation `ec2-provisioning.yaml` Datei und stellen den Stapel bereit.
1. Der Administrator aktualisiert die `ec2-provisioning.yaml` Datei je nach Bedarf und startet den Stack.
1. Die Vorlage stellt EC2 Instanzen mit der UiPath Studio-Anwendung bereit.
## Tools
**AWS-Services**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/) unterstützt Sie bei der automatisierten und sicheren Modellierung und Verwaltung von Infrastrukturressourcen.
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) unterstützt Sie bei der Beobachtung und Überwachung von Ressourcen und Anwendungen auf AWS, vor Ort und in anderen Clouds.
+ [Amazon Elastic Compute Cloud (Amazon EC2](https://aws.amazon.com/ec2/)) bietet sichere und anpassbare Rechenkapazität in der AWS-Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ [EC2 Image Builder](https://aws.amazon.com/image-builder/) vereinfacht das Erstellen, Testen und Bereitstellen von virtuellen Maschinen und Container-Images für die Verwendung auf AWS oder vor Ort.
+ [Amazon EventBridge](https://aws.amazon.com/eventbridge/) unterstützt Sie bei der Entwicklung ereignisgesteuerter Anwendungen in großem Umfang für AWS, bestehende Systeme oder Software-as-a-Service (SaaS) -Anwendungen.
+ Mit [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) können Sie den Zugriff auf AWS-Ressourcen sicher kontrollieren. Mit IAM können Sie Berechtigungen zentral verwalten, die steuern, auf welche AWS-Ressourcen Benutzer zugreifen können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen.
+ [AWS Lambda](https://aws.amazon.com/lambda/) ist ein serverloser, ereignisgesteuerter Rechenservice, mit dem Sie Code für praktisch jede Art von Anwendung oder Backend-Service ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Sie können Lambda-Funktionen von über 200 AWS-Services und SaaS-Anwendungen aus aufrufen und zahlen nur für das, was Sie tatsächlich nutzen.
+ [Amazon Simple Storage Service (Amazon S3)](https://aws.amazon.com/s3/) ist ein cloudbasierter Objektspeicherservice, mit dem Sie beliebige Datenmengen speichern, schützen und abrufen können.
+ [AWS Systems Manager Agent (SSM Agent)](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html) unterstützt Systems Manager bei der Aktualisierung, Verwaltung und Konfiguration von EC2 Instances, Edge-Geräten, lokalen Servern und virtuellen Maschinen ()VMs.
**Code-Repositorys**
Der Code für dieses Muster ist im GitHub [UiPath RPA-Bot-Setup unter Verwendung CloudFormation des Repositorys](https://github.com/aws-samples/uipath-rpa-setup-ec2-windows-ami-cloudformation) verfügbar. Das Muster verwendet auch ein Makro, das im [ CloudFormation AWS-Macros-Repository](https://github.com/aws-cloudformation/aws-cloudformation-macros/tree/master/Count) verfügbar ist.
## Best Practices
+ AWS veröffentlicht AMIs jeden Monat ein neues [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/windows-ami-version-history.html). Diese enthalten die neuesten Betriebssystem-Patches, Treiber und Start-Agents. Wir empfehlen, dass Sie das neueste AMI verwenden, wenn Sie neue Instances starten oder wenn Sie Ihre eigenen benutzerdefinierten Images erstellen.
+ Wenden Sie bei der Image-Erstellung alle verfügbaren Windows- oder Linux-Sicherheitspatches an.
## Epen
### Stellen Sie eine Image-Pipeline für das Basis-Image bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie eine EC2 Image Builder Builder-Pipeline ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
| Zeigen Sie die EC2 Image Builder Builder-Einstellungen an. | Die EC2 Image Builder Builder-Einstellungen umfassen die Infrastrukturkonfiguration, die Verteilungseinstellungen und die Einstellungen für Sicherheitsscans. So zeigen Sie die Einstellungen an:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html)Es hat sich bewährt, dass Sie alle Aktualisierungen von EC2 Image Builder nur über die CloudFormation Vorlage vornehmen sollten. | AWS DevOps |
| Sehen Sie sich die Image-Pipeline an. | So zeigen Sie die bereitgestellte Image-Pipeline an:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
| Image Builder Builder-Protokolle anzeigen. | EC2 Image Builder Builder-Protokolle werden in CloudWatch Protokollgruppen zusammengefasst. So zeigen Sie die Protokolle an in CloudWatch:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html)EC2 Image Builder Builder-Protokolle werden auch in einem S3-Bucket gespeichert. So zeigen Sie die Protokolle im Bucket an:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
| Laden Sie die UiPath Datei in einen S3-Bucket hoch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
### Stellen Sie das Count-Makro bereit und testen Sie es
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie das Count-Makro bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html)Wenn du die Konsole verwenden möchtest, befolge die Anweisungen im vorherigen Epic oder in der [CloudFormation Dokumentation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | DevOps Ingenieur |
| Testen Sie das Count-Makro. | Um die Funktionen des Makros zu testen, versuchen Sie, die Beispielvorlage zu starten, die im Lieferumfang des Makros enthalten ist. aws cloudformation deploy \
--stack-name Count-test \
--template-file test.yaml \
--capabilities CAPABILITY_IAM
| DevOps Ingenieur |
### Stellen Sie den CloudFormation Stack bereit, um Instanzen mit dem benutzerdefinierten Image bereitzustellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie die EC2 Amazon-Bereitstellungsvorlage bereit. | So stellen Sie EC2 Image Pipeline bereit, indem Sie CloudFormation:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
| EC2 Amazon-Einstellungen anzeigen. | Zu den EC2 Amazon-Einstellungen gehören Sicherheits-, Netzwerk-, Speicher-, Statusprüfungen, Überwachung und Tag-Konfigurationen. So sehen Sie sich diese Konfigurationen an:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
| Sehen Sie sich das CloudWatch Dashboard an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html)Nachdem Sie den Stack bereitgestellt haben, dauert es einige Zeit, bis das Dashboard mit Metriken gefüllt ist.Das Dashboard bietet die folgenden Metriken:`CPUUtilization`,`DiskUtilization`,`MemoryUtilization`,`NetworkIn`,`NetworkOut`,`StatusCheckFailed`. | AWS DevOps |
| Zeigen Sie benutzerdefinierte Messwerte für die Speicher- und Festplattennutzung an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
| Alarme zur Speicher- und Festplattennutzung anzeigen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
| Überprüfen Sie die Snapshot-Lebenszyklusregel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html) | AWS DevOps |
### Löschen Sie die Umgebung (optional)
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Lösche die Stapel. | Wenn Ihr PoC- oder Pilotprojekt abgeschlossen ist, empfehlen wir Ihnen, die von Ihnen erstellten Stacks zu löschen, um sicherzustellen, dass Ihnen diese Ressourcen nicht in Rechnung gestellt werden.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-uipath-rpa-bots-automatically-on-amazon-ec2-by-using-aws-cloudformation.html)Der Vorgang zum Löschen des Stapels kann nicht gestoppt werden, nachdem er begonnen hat. Der Stack wird in den Status `DELETE_IN_PROGRESS` versetzt.Schlägt das Löschen fehl, befindet sich der Stapel im `DELETE_FAILED` Status. Lösungen finden Sie unter Fehler beim [Löschen des Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails) in der AWS-Dokumentation CloudFormation zur Fehlerbehebung.Informationen zum Schutz von Stacks vor versehentlichem Löschen finden Sie in der CloudFormation AWS-Dokumentation unter [Schützen eines Stacks vor dem Löschen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html). | AWS DevOps |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Wenn Sie die EC2 Amazon-Bereitstellungsvorlage bereitstellen, erhalten Sie die folgende Fehlermeldung: Falsch *formatierte Antwort von der Transformation 123xxxx: :Count erhalten*. | Dies ist ein bekanntes Problem. (Weitere Informationen zur benutzerdefinierten Lösung und PR finden Sie im [ CloudFormation AWS-Makros-Repository](https://github.com/aws-cloudformation/aws-cloudformation-macros/pull/20).)Um dieses Problem zu beheben, öffnen Sie die AWS Lambda Lambda-Konsole und aktualisieren Sie `index.py` mit den Inhalten aus dem [GitHub Repository](https://raw.githubusercontent.com/aws-cloudformation/aws-cloudformation-macros/f1629c96477dcd87278814d4063c37877602c0c8/Count/src/index.py). |
## Zugehörige Ressourcen
**GitHub Repositorys**
+ [UiPath RPA-Bot-Setup mit CloudFormation](https://github.com/aws-samples/uipath-rpa-setup-ec2-windows-ami-cloudformation)
+ [Makro zählen CloudFormation ](https://github.com/aws-cloudformation/aws-cloudformation-macros/tree/master/Count)
**AWS-Referenzen**
+ [Einen Stack auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) erstellen (CloudFormation Dokumentation)
+ [Fehlerbehebung CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) (CloudFormation Dokumentation)
+ [Speicher- und Festplattenmetriken für EC2 Amazon-Instances überwachen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html) ( EC2 Amazon-Dokumentation)
+ [Wie kann ich den CloudWatch Agenten verwenden, um Metriken für Performance Monitor auf einem Windows-Server anzuzeigen?](https://repost.aws/knowledge-center/cloudwatch-performance-monitor-windows) (AWS re:POST-Artikel)
**Zusätzliche Referenzen**
+ [UiPath Dokumentation](https://docs.uipath.com/)
+ [Den Hostnamen in einem SysPreped AMI festlegen](https://blog.brianbeach.com/2014/07/setting-hostname-in-syspreped-ami.html) (Blogbeitrag von Brian Beach)
+ [Wie lasse ich Cloudformation eine Vorlage mithilfe eines Makros erneut verarbeiten, wenn sich die Parameter ändern?](https://stackoverflow.com/questions/59828989/how-do-i-make-cloudformation-reprocess-a-template-using-a-macro-when-parameters) (Stack Overflow)
# Richten Sie eine hochverfügbare PeopleSoft Architektur auf AWS ein
*Ramanathan Muralidhar, Amazon Web Services*
## Zusammenfassung
Wenn Sie Ihre PeopleSoft Workloads zu AWS migrieren, ist Resilienz ein wichtiges Ziel. Es stellt sicher, dass Ihre PeopleSoft Anwendung immer hochverfügbar ist und nach Ausfällen schnell wiederhergestellt werden kann.
Dieses Muster bietet eine Architektur für Ihre PeopleSoft Anwendungen auf AWS, um Hochverfügbarkeit (HA) auf Netzwerk-, Anwendungs- und Datenbankebene sicherzustellen. Es verwendet eine [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/) für Oracle- oder Amazon RDS for SQL Server Server-Datenbank für die Datenbankebene. Diese Architektur umfasst auch AWS-Services wie [Amazon Route 53](https://aws.amazon.com/route53/), [Amazon Elastic Compute Cloud (Amazon EC2)](https://aws.amazon.com/ec2/) Linux-Instances, [Amazon Elastic Block Storage (Amazon EBS), Amazon Elastic File System (Amazon EFS](https://aws.amazon.com/ebs/)[)](https://aws.amazon.com/efs/) und einen [Application Load Balancer](https://aws.amazon.com/elasticloadbalancing/application-load-balancer) und ist skalierbar.
[Oracle PeopleSoft](https://www.oracle.com/applications/peoplesoft/) bietet eine Reihe von Tools und Anwendungen für das Personalmanagement und andere Geschäftsabläufe.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
+ Eine PeopleSoft Umgebung mit den erforderlichen Lizenzen für die Einrichtung auf AWS
+ Eine in Ihrem AWS-Konto eingerichtete Virtual Private Cloud (VPC) mit den folgenden Ressourcen:
+ Mindestens zwei Availability Zones
+ Ein öffentliches Subnetz und drei private Subnetze in jeder Availability Zone
+ Ein NAT-Gateway und ein Internet-Gateway
+ Routing-Tabellen für jedes Subnetz zur Weiterleitung des Datenverkehrs
+ Netzwerkzugriffskontrolllisten (Netzwerk ACLs) und Sicherheitsgruppen, die so definiert wurden, dass die Sicherheit der PeopleSoft Anwendung gemäß den Standards Ihres Unternehmens gewährleistet ist
**Einschränkungen**
+ Dieses Muster bietet eine Hochverfügbarkeitslösung (HA). Es unterstützt keine Notfallwiederherstellungsszenarien (DR). In dem seltenen Fall, dass die gesamte AWS-Region für die HA-Implementierung ausfällt, ist die Anwendung nicht mehr verfügbar.
**Produktversionen**
+ PeopleSoft Anwendungen, auf denen PeopleTools 8.52 und höher ausgeführt wird
## Architektur
**Zielarchitektur**
Ausfallzeiten oder Ausfälle Ihrer PeopleSoft Produktionsanwendung beeinträchtigen die Verfügbarkeit der Anwendung und führen zu erheblichen Störungen Ihres Geschäftsbetriebs.
Wir empfehlen Ihnen, Ihre PeopleSoft Produktionsanwendung so zu gestalten, dass sie stets hochverfügbar ist. Sie können dies erreichen, indem Sie einzelne Fehlerquellen eliminieren, zuverlässige Crossover- oder Failover-Points hinzufügen und Fehler erkennen. Das folgende Diagramm zeigt eine HA-Architektur für PeopleSoft auf AWS.
![\[Hochverfügbare Architektur für PeopleSoft auf AWS\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/0db96376-dadb-4545-b130-ebbe64acd4e9/images/5d585a8e-320a-495d-a049-97171633e90f.png)
Diese Architekturbereitstellung verwendet Amazon RDS for Oracle als PeopleSoft Datenbank und EC2-Instances, die auf Red Hat Enterprise Linux (RHEL) ausgeführt werden. Sie können Amazon RDS for SQL Server auch als Peoplesoft-Datenbank verwenden.
Diese Architektur enthält die folgenden Komponenten:
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) wird als Domain Name Server (DNS) für die Weiterleitung von Anfragen aus dem Internet an die PeopleSoft Anwendung verwendet.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) schützt Sie vor gängigen Web-Exploits und Bots, die die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen können. [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html) (nicht abgebildet) bietet einen viel umfassenderen Schutz.
+ Ein [Application Load Balancer verteilt](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) den HTTP- und HTTPS-Verkehr mit erweitertem Anforderungsrouting, das auf die Webserver ausgerichtet ist.
+ Die Webserver, Anwendungsserver, Process Scheduler-Server und Elasticsearch-Server, die die PeopleSoft Anwendung unterstützen, werden in mehreren Availability Zones ausgeführt und verwenden [Amazon EC2](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html) Auto Scaling.
+ Die von der PeopleSoft Anwendung verwendete Datenbank läuft auf [Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) in einer Multi-AZ-Konfiguration.
+ Die von der PeopleSoft Anwendung verwendete Dateifreigabe ist in [Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) konfiguriert und wird für den instanzübergreifenden Zugriff auf Dateien verwendet.
+ [Amazon Machine Images (AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html)) werden von Amazon EC2 Auto Scaling verwendet, um sicherzustellen, dass PeopleSoft Komponenten bei Bedarf schnell geklont werden.
+ Die [NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) verbinden Instances in einem privaten Subnetz mit Diensten außerhalb Ihrer VPC und stellen sicher, dass externe Dienste keine Verbindung mit diesen Instances initiieren können.
+ Das [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die die Kommunikation zwischen Ihrer VPC und dem Internet ermöglicht.
+ Die Bastion-Hosts im öffentlichen Subnetz ermöglichen den Zugriff auf die Server im privaten Subnetz über ein externes Netzwerk, z. B. das Internet oder ein lokales Netzwerk. Die Bastion-Hosts bieten kontrollierten und sicheren Zugriff auf die Server in den privaten Subnetzen.
**Einzelheiten zur Architektur**
Die PeopleSoft Datenbank befindet sich in einer Amazon RDS-Datenbank für Oracle (oder Amazon RDS for SQL Server) in einer Multi-AZ-Konfiguration. Die [Amazon RDS Multi-AZ-Funktion](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html) repliziert Datenbankaktualisierungen in zwei Availability Zones, um die Haltbarkeit und Verfügbarkeit zu erhöhen. Amazon RDS führt bei geplanten Wartungsarbeiten und ungeplanten Störungen automatisch einen Failover zur Standby-Datenbank durch.
Das PeopleSoft Web und die Middle Tier sind auf EC2-Instances installiert. Diese Instances sind über mehrere Availability Zones verteilt und durch eine [Auto Scaling Scaling-Gruppe](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html) verknüpft. Dadurch wird sichergestellt, dass diese Komponenten immer hochverfügbar sind. Es wird eine Mindestanzahl erforderlicher Instanzen verwaltet, um sicherzustellen, dass die Anwendung immer verfügbar ist und bei Bedarf skaliert werden kann.
Wir empfehlen, dass Sie einen EC2-Instance-Typ der aktuellen Generation für die OEM EC2-Instances verwenden. Instance-Typen der aktuellen Generation, wie [Instances, die auf dem AWS Nitro System basieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#ec2-nitro-instances), unterstützen virtuelle Hardware-Maschinen (HVMs). Die HVM AMIs sind erforderlich, um die Vorteile [erweiterter Netzwerke](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html) nutzen zu können, und sie bieten auch mehr Sicherheit. Die EC2-Instances, die Teil jeder Auto Scaling Scaling-Gruppe sind, verwenden ihr eigenes AMI, wenn sie Instances ersetzen oder hochskalieren. Wir empfehlen, dass Sie die EC2-Instance-Typen auf der Grundlage der Last, die Ihre PeopleSoft Anwendung bewältigen soll, und der von Oracle empfohlenen Mindestwerte für Ihre PeopleSoft Anwendung und PeopleTools Version auswählen. Weitere Informationen zu den Hardware- und Softwareanforderungen finden Sie auf der [Oracle-Support-Website](https://support.oracle.com).
PeopleSoft Web und Middle Tier teilen sich einen Amazon EFS-Mount, um Berichte, Datendateien und (falls erforderlich) das `PS_HOME` Verzeichnis gemeinsam zu nutzen. Amazon EFS ist aus Leistungs- und Kostengründen mit Mount-Zielen in jeder Availability Zone konfiguriert.
Ein Application Load Balancer wird bereitgestellt, um den Datenverkehr zu unterstützen, der auf die PeopleSoft Anwendung zugreift, und für den Lastenausgleich des Datenverkehrs zwischen den Webservern in verschiedenen Availability Zones. Ein Application Load Balancer ist ein Netzwerkgerät, das HA in mindestens zwei Availability Zones bereitstellt. Die Webserver verteilen den Datenverkehr mithilfe einer Lastenausgleichskonfiguration auf verschiedene Anwendungsserver. Der Lastenausgleich zwischen dem Webserver und dem Anwendungsserver stellt sicher, dass die Last gleichmäßig auf die Instanzen verteilt wird, und hilft, Engpässe und Serviceunterbrechungen aufgrund überlasteter Instanzen zu vermeiden.
Amazon Route 53 wird als DNS-Service verwendet, um den Datenverkehr aus dem Internet an den Application Load Balancer weiterzuleiten. Route 53 ist ein hochverfügbarer und skalierbarer DNS-Web-Service.
**HA-Einzelheiten**
+ Datenbanken: Die Multi-AZ-Funktion von Amazon RDS betreibt zwei Datenbanken in mehreren Availability Zones mit synchroner Replikation. Dadurch entsteht eine hochverfügbare Umgebung mit automatischem Failover. Amazon RDS verfügt über eine Erkennung von Failover-Ereignissen und leitet ein automatisches Failover ein, wenn diese Ereignisse auftreten. Sie können auch ein manuelles Failover über die Amazon RDS-API einleiten. Eine ausführliche Erklärung finden Sie im Blogbeitrag [Amazon RDS Under The Hood: Multi-AZ](https://aws.amazon.com/blogs/database/amazon-rds-under-the-hood-multi-az/). Der Failover ist nahtlos und die Anwendung stellt in diesem Fall automatisch wieder eine Verbindung zur Datenbank her. Alle Process Scheduler-Jobs während des Failovers erzeugen jedoch Fehler und müssen erneut eingereicht werden.
+ PeopleSoft Anwendungsserver: Die Anwendungsserver sind auf mehrere Availability Zones verteilt und für sie wurde eine Auto Scaling Scaling-Gruppe definiert. Wenn eine Instance ausfällt, ersetzt die Auto Scaling Scaling-Gruppe sie sofort durch eine fehlerfreie Instance, die aus dem AMI der Anwendungsservervorlage geklont wurde. Insbesondere ist *Jolt-Pooling* aktiviert. Wenn also eine Anwendungsserver-Instance ausfällt, werden die Sitzungen automatisch auf einen anderen Anwendungsserver umgeleitet, und die Auto Scaling Scaling-Gruppe startet automatisch eine weitere Instance, startet den Anwendungsserver und registriert ihn im Amazon EFS-Mount. Der neu erstellte Anwendungsserver wird mithilfe des `PSSTRSETUP.SH` Skripts auf den Webservern automatisch zu den Webservern hinzugefügt. Dadurch wird sichergestellt, dass der Anwendungsserver immer hochverfügbar ist und sich nach einem Ausfall schnell erholt.
+ Prozessplaner: Die Process Scheduler-Server sind auf mehrere Availability Zones verteilt und für sie wurde eine Auto Scaling-Gruppe definiert. Wenn eine Instance ausfällt, ersetzt die Auto Scaling Scaling-Gruppe sie sofort durch eine fehlerfreie Instance, die aus dem AMI der Process Scheduler-Servervorlage geklont wurde. Insbesondere wenn eine Prozessplaner-Instanz ausfällt, startet die Auto Scaling Scaling-Gruppe automatisch eine weitere Instanz und startet den Prozessplaner. Alle Jobs, die ausgeführt wurden, als die Instanz ausfiel, müssen erneut eingereicht werden. Dadurch wird sichergestellt, dass der Prozessplaner immer hochverfügbar ist und sich nach einem Ausfall schnell erholt.
+ Elasticsearch-Server: Für die Elasticsearch-Server wurde eine Auto Scaling Scaling-Gruppe definiert. Wenn eine Instance ausfällt, ersetzt die Auto Scaling Scaling-Gruppe sie sofort durch eine fehlerfreie Instance, die aus dem AMI der Elasticsearch-Servervorlage geklont wird. Insbesondere wenn eine Elasticsearch-Instance ausfällt, erkennt der Application Load Balancer, der Anfragen an sie sendet, den Fehler und sendet keinen Traffic mehr an sie. Die Auto Scaling Scaling-Gruppe startet automatisch eine weitere Instance und ruft die Elasticsearch-Instance auf. Wenn die Elasticsearch-Instance wieder verfügbar ist, erkennt der Application Load Balancer, dass sie fehlerfrei ist, und sendet erneut Anfragen an sie. Dadurch wird sichergestellt, dass der Elasticsearch-Server immer hochverfügbar ist und sich nach einem Ausfall schnell erholt.
+ Webserver: Für die Webserver ist eine Auto Scaling Scaling-Gruppe definiert. Wenn eine Instance ausfällt, ersetzt die Auto Scaling Scaling-Gruppe sie sofort durch eine fehlerfreie Instance, die aus dem AMI der Webservervorlage geklont wurde. Insbesondere wenn eine Webserver-Instance ausfällt, erkennt der Application Load Balancer, der Anfragen an sie weiterleitet, den Fehler und beendet das Senden von Datenverkehr an sie. Die Auto Scaling Scaling-Gruppe startet automatisch eine weitere Instance und ruft die Webserver-Instance auf. Wenn die Webserver-Instance wieder verfügbar ist, erkennt der Application Load Balancer, dass sie fehlerfrei ist, und sendet erneut Anfragen an sie. Dadurch wird sichergestellt, dass der Webserver immer hochverfügbar ist und sich nach einem Ausfall schnell erholt.
## Tools
**AWS-Services**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/) verteilen den eingehenden Anwendungsdatenverkehr auf mehrere Ziele, z. B. EC2-Instances, in mehreren Availability Zones.
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) bietet Speichervolumes auf Blockebene zur Verwendung mit Amazon Elastic Compute Cloud (Amazon EC2) -Instances.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) bietet skalierbare Rechenkapazität in der AWS-Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) unterstützt Sie bei der Erstellung und Konfiguration gemeinsam genutzter Dateisysteme in der AWS-Cloud.
+ [Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) unterstützt Sie bei der Einrichtung, dem Betrieb und der Skalierung einer relationalen Datenbank in der AWS-Cloud.
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) ist ein hochverfügbarer und skalierbarer DNS-Web-Service.
## Best Practices
**Bewährte Methoden für den Betrieb**
+ Wenn Sie PeopleSoft auf AWS arbeiten, verwenden Sie Route 53, um den Datenverkehr aus dem Internet und lokal weiterzuleiten. Verwenden Sie die [Failover-Option](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-configuring.html), um den Datenverkehr zur Disaster Recovery (DR) -Site umzuleiten, falls die primäre DB-Instance nicht verfügbar ist.
+ Verwenden Sie immer einen Application Load Balancer vor der PeopleSoft Umgebung. Dadurch wird sichergestellt, dass der Datenverkehr auf sichere Weise auf die Webserver verteilt wird.
+ Stellen Sie in den Zielgruppeneinstellungen des Application Load Balancer sicher, dass [Stickiness mit einem vom Load Balancer generierten Cookie aktiviert ist](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/sticky-sessions.html).
**Anmerkung**
Möglicherweise müssen Sie ein anwendungsbasiertes Cookie verwenden, wenn Sie externes Single Sign-On (SSO) verwenden. Dadurch wird sichergestellt, dass die Verbindungen zwischen den Webservern und Anwendungsservern konsistent sind.
+ Für eine PeopleSoft Produktionsanwendung muss das Leerlauf-Timeout des Application Load Balancer mit den Einstellungen in dem von Ihnen verwendeten Webprofil übereinstimmen. Dadurch wird verhindert, dass Benutzersitzungen auf der Load Balancer-Ebene ablaufen.
+ Legen Sie für eine PeopleSoft Produktionsanwendung den Wert für die [Anzahl der Wiederverwendungsvorgänge](https://docs.oracle.com/cd/F28299_01/pt857pbr3/eng/pt/tsvt/concept_PSAPPSRVOptions-c07f06.html?pli=ul_d96e90_tsvt) auf dem Anwendungsserver auf einen Wert fest, der Speicherlecks minimiert.
+ Wenn Sie eine Amazon RDS-Datenbank für Ihre PeopleSoft Produktionsanwendung verwenden, wie in diesem Muster beschrieben, führen Sie sie [für hohe Verfügbarkeit im Multi-AZ-Format](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html) aus.
+ Wenn Ihre Datenbank auf einer EC2-Instance für Ihre PeopleSoft Produktionsanwendung läuft, stellen Sie sicher, dass eine [Standby-Datenbank in einer anderen Availability Zone läuft, um Hochverfügbarkeit](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-oracle-database/ec2-oracle.html#ec2-oracle-ha) zu gewährleisten.
+ Stellen Sie für DR sicher, dass Ihre Amazon RDS-Datenbank oder EC2-Instance über einen Standby-Modus verfügt, der in einer von der Produktionsdatenbank getrennten AWS-Region konfiguriert ist. Dadurch wird sichergestellt, dass Sie im Falle eines Notfalls in der Region die Anwendung auf eine andere Region umstellen können.
+ Verwenden Sie für DR [Amazon Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/), um Komponenten auf Anwendungsebene in einer von den Produktionskomponenten getrennten Region einzurichten. Dadurch wird sichergestellt, dass Sie bei einem Notfall in der Region die Anwendung auf eine andere Region umstellen können.
+ Verwenden Sie Amazon EFS (für moderate I/O Anforderungen) oder [Amazon FSx](https://aws.amazon.com/fsx/) (für hohe I/O Anforderungen), um Ihre PeopleSoft Berichte, Anlagen und Datendateien zu speichern. Dadurch wird sichergestellt, dass der Inhalt an einem zentralen Ort gespeichert wird und von überall in der Infrastruktur abgerufen werden kann.
+ Verwenden Sie [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) (einfach und detailliert), um die AWS-Cloud-Ressourcen, die Ihre PeopleSoft Anwendung verwendet, nahezu in Echtzeit zu überwachen. Dadurch wird sichergestellt, dass Sie sofort über Probleme informiert werden und diese schnell beheben können, bevor sie die Verfügbarkeit der Umgebung beeinträchtigen.
+ Wenn Sie eine Amazon RDS-Datenbank als Datenbank verwenden, verwenden Sie [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.overview.html). PeopleSoft Diese Funktion bietet Zugriff auf über 50 Messwerte, darunter CPU, Arbeitsspeicher und DateisystemI/O, and disk I/O.
+ Verwenden Sie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um API-Aufrufe auf den AWS-Ressourcen zu überwachen, die Ihre PeopleSoft Anwendung verwendet. Dies hilft Ihnen bei der Durchführung von Sicherheitsanalysen, der Nachverfolgung von Ressourcenänderungen und der Überprüfung der Einhaltung von Vorschriften.
**Bewährte Methoden für die Gewährleistung der Sicherheit**
+ [Verwenden Sie AWS WAF, um Ihre PeopleSoft Anwendung vor häufigen Exploits wie SQL-Injection oder Cross-Site Scripting (XSS) zu schützen.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) Erwägen Sie die Nutzung von [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html) für maßgeschneiderte Erkennungs- und Schadensbegrenzungsservices.
+ Fügen Sie dem Application Load Balancer eine Regel hinzu, um den Datenverkehr automatisch von HTTP zu HTTPS umzuleiten, um Ihre PeopleSoft Anwendung zu schützen.
+ Richten Sie eine separate Sicherheitsgruppe für den Application Load Balancer ein. Diese Sicherheitsgruppe sollte nur HTTPS/HTTP eingehenden und keinen ausgehenden Datenverkehr zulassen. Dadurch wird sichergestellt, dass nur beabsichtigter Datenverkehr zulässig ist, und trägt zur Sicherheit Ihrer Anwendung bei.
+ Verwenden Sie private Subnetze für die Anwendungsserver, Webserver und die Datenbank und verwenden Sie [NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) für ausgehenden Internetverkehr. Dadurch wird sichergestellt, dass die Server, die die Anwendung unterstützen, nicht öffentlich erreichbar sind, und gleichzeitig wird der öffentliche Zugriff nur den Servern gewährt, die ihn benötigen.
+ Verwenden Sie verschiedene Optionen VPCs für den Betrieb Ihrer PeopleSoft Produktions- und Nichtproduktionsumgebungen. Verwenden Sie [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/), [VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) ACLs, [Netzwerk](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) und [Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), um den Datenfluss zwischen den [VPC](https://aws.amazon.com/vpc/) und, falls erforderlich, Ihrem lokalen Rechenzentrum zu steuern.
+ Folgen Sie dem Prinzip der geringsten Rechte. Gewähren Sie den Zugriff auf die von der PeopleSoft Anwendung verwendeten AWS-Ressourcen nur Benutzern, die ihn unbedingt benötigen. Gewähren Sie nur die Mindestberechtigungen, die zur Ausführung einer Aufgabe erforderlich sind. Weitere Informationen finden Sie in der [Sicherheitssäule](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html) des AWS Well-Architected Framework.
+ Verwenden Sie nach Möglichkeit [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html), um auf die EC2-Instances zuzugreifen, die die PeopleSoft Anwendung verwendet.
**Bewährte Methoden zur Zuverlässigkeit**
+ Wenn Sie einen Application Load Balancer verwenden, registrieren Sie ein einzelnes Ziel für jede aktivierte Availability Zone. Dadurch ist der Load Balancer am effektivsten.
+ Wir empfehlen, dass Sie URLs für jede PeopleSoft Produktionsumgebung drei unterschiedliche URLs verwenden: eine URL für den Zugriff auf die Anwendung, eine für den Integration Broker und eine für die Anzeige von Berichten. Wenn möglich, sollte jede URL über eigene dedizierte Webserver und Anwendungsserver verfügen. Dieses Design trägt dazu bei, Ihre PeopleSoft Anwendung sicherer zu machen, da jede URL über eine eigene Funktionalität und einen kontrollierten Zugriff verfügt. Es minimiert auch den Umfang der Auswirkungen, wenn die zugrunde liegenden Dienste ausfallen.
+ Wir empfehlen Ihnen, [Integritätsprüfungen für die Load Balancer-Zielgruppen](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html) für Ihre PeopleSoft Anwendung zu konfigurieren. Die Integritätsprüfungen sollten auf den Webservern und nicht auf den EC2-Instances durchgeführt werden, auf denen diese Server ausgeführt werden. Dadurch wird sichergestellt, dass der Application Load Balancer diese Informationen korrekt wiedergibt, wenn der Webserver abstürzt oder die EC2-Instance, die den Webserver hostet, ausfällt.
+ Für eine PeopleSoft Produktionsanwendung empfehlen wir, die Webserver auf mindestens drei Availability Zones zu verteilen. Dadurch wird sichergestellt, dass die PeopleSoft Anwendung immer hochverfügbar ist, auch wenn eine der Availability Zones ausfällt.
+ Für eine PeopleSoft Produktionsanwendung aktivieren Sie Jolt Pooling ()`joltPooling=true`. Dadurch wird sichergestellt, dass Ihre Anwendung ein Failover auf einen anderen Anwendungsserver durchführt, falls ein Server zu Patching-Zwecken oder aufgrund eines VM-Fehlers ausgefallen ist.
+ Legen Sie für eine PeopleSoft Produktionsanwendung den Wert 1 fest`DynamicConfigReload `. Diese Einstellung wird in PeopleTools Version 8.52 und höher unterstützt. Sie fügt dem Webserver dynamisch neue Anwendungsserver hinzu, ohne die Server neu zu starten.
+ Um Ausfallzeiten beim Anwenden von PeopleTools Patches zu minimieren, verwenden Sie die blue/green Bereitstellungsmethode für Ihre Auto Scaling Scaling-Gruppenstartkonfigurationen für die Web- und Anwendungsserver. Weitere Informationen finden Sie im [AWS-Whitepaper „Überblick über Bereitstellungsoptionen](https://docs.aws.amazon.com/whitepapers/latest/overview-deployment-options/bluegreen-deployments.html)“.
+ Verwenden Sie [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html), um Ihre PeopleSoft Anwendung auf AWS zu sichern. AWS Backup ist ein kostengünstiger, vollständig verwalteter und richtlinienbasierter Service, der den Datenschutz in großem Maßstab vereinfacht.
**Bewährte Methoden zur Leistung**
+ Beenden Sie das SSL am Application Load Balancer, um eine optimale Leistung der PeopleSoft Umgebung zu erzielen, es sei denn, Ihr Unternehmen benötigt verschlüsselten Datenverkehr in der gesamten Umgebung.
+ Erstellen Sie [VPC-Endpunkte mit Schnittstellen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) für AWS-Services wie [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html), [CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)sodass der Datenverkehr immer intern ist. Das ist kostengünstig und trägt zur Sicherheit Ihrer Anwendung bei.
**Bewährte Methoden zur Kostenoptimierung**
+ Kennzeichnen Sie alle Ressourcen, die von Ihrer PeopleSoft Umgebung verwendet werden, und aktivieren Sie [Tags zur Kostenzuweisung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html). Diese Tags helfen Ihnen dabei, Ihre Ressourcenkosten einzusehen und zu verwalten.
+ Richten Sie für eine PeopleSoft Produktionsanwendung Auto Scaling Scaling-Gruppen für die Webserver und die Anwendungsserver ein. Dadurch wird eine minimale Anzahl von Web- und Anwendungsservern zur Unterstützung Ihrer Anwendung bereitgestellt. Sie können [Auto Scaling Scaling-Gruppenrichtlinien](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scaling-simple-step.html) verwenden, um die Server nach Bedarf hoch- und herunterzuskalieren.
+ Verwenden Sie [Fakturierungsalarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html), um Benachrichtigungen zu erhalten, wenn die Kosten einen von Ihnen angegebenen Budgetschwellenwert überschreiten.
**Bewährte Praktiken im Bereich Nachhaltigkeit**
+ Verwenden Sie [Infrastructure as Code](https://docs.aws.amazon.com/whitepapers/latest/introduction-devops-aws/infrastructure-as-code.html) (IaC) zur Wartung Ihrer PeopleSoft Umgebungen. Auf diese Weise können Sie konsistente Umgebungen aufbauen und die Kontrolle über Änderungen behalten.
## Epen
### Migrieren Sie Ihre PeopleSoft Datenbank zu Amazon RDS
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen einer DB-Subnetzgruppe | Wählen Sie in der [Amazon RDS-Konsole](https://console.aws.amazon.com/rds/) im Navigationsbereich **Subnetzgruppen** aus und erstellen Sie dann eine Amazon RDS-DB-Subnetzgruppe mit Subnetzen in mehreren Availability Zones. Dies ist erforderlich, damit die Amazon RDS-Datenbank in einer Multi-AZ-Konfiguration ausgeführt werden kann. | Cloud-Administrator |
| Erstellen Sie die Amazon RDS-Datenbank. | Erstellen Sie eine Amazon RDS-Datenbank in einer Availability Zone der AWS-Region, die Sie für die PeopleSoft HA-Umgebung ausgewählt haben. Achten Sie beim Erstellen der Amazon RDS-Datenbank darauf, die Multi-AZ-Option (**Standby-Instance erstellen**) und die Datenbank-Subnetzgruppe auszuwählen, die Sie im vorherigen Schritt erstellt haben. Weitere Informationen finden Sie in der [Dokumentation zu Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). | Cloud-Administrator, Oracle-Datenbankadministrator |
| Migrieren Sie Ihre PeopleSoft Datenbank zu Amazon RDS. | Migrieren Sie Ihre bestehende PeopleSoft Datenbank mithilfe des AWS Database Migration Service (AWS DMS) in die Amazon RDS-Datenbank. Weitere Informationen finden Sie in der [AWS-DMS-Dokumentation](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.Oracle.html) und im AWS-Blogbeitrag [Migration von Oracle-Datenbanken mit nahezu null Ausfallzeiten](https://aws.amazon.com/blogs/database/migrating-oracle-databases-with-near-zero-downtime-using-aws-dms/) mithilfe von AWS DMS. | Cloud-Administrator PeopleSoft , DBA |
### Richten Sie Ihr Amazon EFS-Dateisystem ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen eines Dateisystems. | Erstellen Sie auf der [Amazon EFS-Konsole](https://console.aws.amazon.com/efs/) ein Dateisystem und mounten Sie Ziele für jede Availability Zone. Anweisungen finden Sie in der [Amazon EFS-Dokumentation](https://docs.aws.amazon.com/efs/latest/ug/creating-using-create-fs.html#creating-using-fs-part1-console). Wenn das Dateisystem erstellt wurde, notieren Sie sich seinen DNS-Namen. Sie werden diese Informationen verwenden, wenn Sie das Dateisystem mounten. | Cloud-Administrator |
### Richten Sie Ihre PeopleSoft Anwendung und Ihr Dateisystem ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Starten einer EC2-Instance. | Starten Sie eine EC2-Instance für Ihre PeopleSoft Anwendung. Anweisungen finden Sie in der [Amazon EC2 EC2-Dokumentation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html#liw-quickly-launch-instance).[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-highly-available-peoplesoft-architecture-on-aws.html) | Cloud-Administrator, PeopleSoft Administrator |
| PeopleSoft Auf der Instanz installieren. | Installieren Sie Ihre PeopleSoft Anwendung und PeopleTools auf der EC2-Instance, die Sie erstellt haben. Anweisungen finden Sie in der [Oracle-Dokumentation](https://docs.oracle.com). | Cloud-Administrator, PeopleSoft Administrator |
| Erstellen Sie den Anwendungsserver. | Erstellen Sie den Anwendungsserver für die AMI-Vorlage und stellen Sie sicher, dass er erfolgreich eine Verbindung zur Amazon RDS-Datenbank herstellt. | Cloud-Administrator, PeopleSoft Administrator |
| Mounten Sie das Amazon-EFS-Dateisystem ein. | Melden Sie sich bei der EC2-Instance als Root-Benutzer an und führen Sie die folgenden Befehle aus, um das Amazon EFS-Dateisystem in einem Ordner namens `PSFTMNT` Server zu mounten.sudo su –
mkdir /psftmnt
cat /etc/fstab
Hängen Sie die folgende Zeile an die `/etc/fstab` Datei an. Verwenden Sie den DNS-Namen, den Sie sich bei der Erstellung des Dateisystems notiert haben.fs-09e064308f1145388.efs.us-east-1.amazonaws.com:/ /psftmnt nfs4 nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport,_netdev 0 0
mount -a
| Cloud-Administrator, PeopleSoft Administrator |
| Überprüfen Sie die Berechtigungen. | Stellen Sie sicher, dass der `PSFTMNT` Ordner über die richtigen Berechtigungen verfügt, damit der PeopleSoft Benutzer ordnungsgemäß darauf zugreifen kann. | Cloud-Administrator, PeopleSoft Administrator |
| Erstellen Sie zusätzliche Instanzen. | Wiederhole die vorherigen Schritte in diesem Epos, um Template-Instances für den Process Scheduler, den Webserver und den Elasticsearch-Server zu erstellen. Nennen Sie diese Instanzen `PRCS_TEMPLATE``WEB_TEMPLATE`, und. `SRCH_TEMPLATE` Legen Sie für den Webserver `joltPooling=true`**** und fest`DynamicConfigReload=1`. | Cloud-Administrator, PeopleSoft Administrator |
### Erstellen Sie Skripts zum Einrichten von Servern
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie ein Skript zur Installation des Anwendungsservers. | Erstellen Sie in der Amazon EC2 `APP_TEMPLATE` EC2-Instance als PeopleSoft Benutzer das folgende Skript. Benennen Sie es `appstart.sh` und platzieren Sie es im `PS_HOME` Verzeichnis. Sie verwenden dieses Skript, um den Anwendungsserver aufzurufen und den Servernamen auf dem Amazon EFS-Mount aufzuzeichnen.#!/bin/ksh
. /usr/homes/hcmdemo/.profile.
psadmin -c configure -d HCMDEMO
psadmin -c parallelboot -d HCMDEMO
touch /psftmnt/`echo $HOSTNAME`
| PeopleSoft Administrator |
| Erstellen Sie ein Skript zur Installation des Process Scheduler-Servers. | Erstellen Sie in der Amazon EC2 `PRCS_TEMPLATE` EC2-Instance als PeopleSoft Benutzer das folgende Skript. Benennen Sie es `prcsstart.sh` und platzieren Sie es im `PS_HOME` Verzeichnis. Sie werden dieses Skript verwenden, um den Process Scheduler-Server aufzurufen.#!/bin/ksh
. /usr/homes/hcmdemo/. profile
/* The following line ensures that the process scheduler always has a unique name during replacement or scaling activity. */
sed -i "s/.*PrcsServerName.*/`hostname -I | awk -F. '{print "PrcsServerName=PSUNX"$3$4}'`/" $HOME/appserv/prcs/*/psprcs.cfg
psadmin -p configure -d HCMDEMO
psadmin -p start -d HCMDEMO
| PeopleSoft Administrator |
| Erstellen Sie ein Skript zur Installation des Elasticsearch-Servers. | Erstellen Sie in der Amazon EC2 `SRCH_TEMPLATE` EC2-Instance als Elasticsearch-Benutzer das folgende Skript. Benennen Sie es `srchstart.sh` und platzieren Sie es im `HOME` Verzeichnis.#!/bin/ksh
/* The following line ensures that the correct IP is indicated in the elasticsearch.yaml file. */
sed -i "s/.*network.host.*/`hostname -I | awk '{print "host:"$0}'`/" $ES_HOME_DIR/config/elasticsearch.yaml
nohup $ES_HOME_DIR/bin/elasticsearch &
| PeopleSoft Administrator |
| Erstellen Sie ein Skript zur Installation des Webservers. | Erstellen Sie in der Amazon EC2 `WEB_TEMPLATE` EC2-Instance als Webserver-Benutzer die folgenden Skripts im `HOME` Verzeichnis.`renip.sh`: Dieses Skript stellt sicher, dass der Webserver die richtige IP hat, wenn er aus dem AMI geklont wird.#!/bin/ksh
hn=`hostname`
/* On the following line, change the IP with the hostname with the hostname of the web template. */
for text_file in `find * -type f -exec grep -l '' {} \;`
do
sed -e 's//'$hn'/g' $text_file > temp
mv -f temp $text_file
done
`psstrsetup.sh`: Dieses Skript stellt sicher, dass der Webserver den richtigen Anwendungsserver verwendet IPs , der derzeit ausgeführt wird. Es versucht, eine Verbindung zu jedem Anwendungsserver am Jolt-Port herzustellen und fügt ihn der Konfigurationsdatei hinzu.#!/bin/ksh
c2=""
for ctr in `ls -1 /psftmnt/*.internal`
do
c1=`echo $ctr | awk -F "/" '{print $3}'`
/* In the following lines, 9000 is the jolt port. Change it if necessary. */
if nc -z $c1 9000 2> /dev/null; then
if [[ $c2 = "" ]]; then
c2="psserver="`echo $c1`":9000"
else
c2=`echo $c2`","`echo $c1`":9000"
fi
fi
done
`webstart.sh`: Dieses Skript führt die beiden vorherigen Skripten aus und startet die Webserver.#!/bin/ksh
/* Change the path in the following if necessary. */
cd /usr/homes/hcmdemo
./renip.sh
./psstrsetup.sh
webserv/peoplesoft/bin/startPIA.sh
| PeopleSoft Administrator |
| Fügen Sie einen Crontab-Eintrag hinzu. | Fügen Sie in der Amazon EC2 `WEB_TEMPLATE` EC2-Instance als Webserver-Benutzer die folgende Zeile zu **crontab** hinzu. Ändern Sie die Zeit und den Pfad entsprechend den benötigten Werten. Dieser Eintrag stellt sicher, dass Ihr Webserver immer die richtigen Anwendungsserver-Einträge in der `configuration.properties` Datei hat.* * * * * /usr/homes/hcmdemo/psstrsetup.sh
| PeopleSoft Administrator |
### Gruppenvorlagen erstellen AMIs und Auto Scaling
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie ein AMI für die Anwendungsservervorlage. | Erstellen Sie auf der Amazon EC2 EC2-Konsole ein AMI-Image der Amazon EC2 EC2-Instance`APP_TEMPLATE`. Nennen Sie das AMI`PSAPPSRV-SCG-VER1`. Anweisungen finden Sie in der [Amazon EC2 EC2-Dokumentation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html). | Cloud-Administrator, PeopleSoft Administrator |
| AMIs Für die anderen Server erstellen. | Wiederholen Sie den vorherigen Schritt, um AMIs für den Prozessplaner, den Elasticsearch-Server und den Webserver etwas zu erstellen. | Cloud-Administrator, Administrator PeopleSoft |
| Erstellen Sie eine Startvorlage für die Auto Scaling Scaling-Gruppe des Anwendungsservers. | Erstellen Sie eine Startvorlage für die Auto Scaling Scaling-Gruppe des Anwendungsservers. Benennen Sie die Vorlage Wählen Sie `PSAPPSRV_TEMPLATE.` in der Vorlage das AMI aus, das Sie für die `APP_TEMPLATE` Instance erstellt haben. Anweisungen finden Sie in der [Amazon EC2 EC2-Dokumentation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-launch-template.html#create-launch-template-from-instance).[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-highly-available-peoplesoft-architecture-on-aws.html) | Cloud-Administrator, PeopleSoft Administrator |
| Erstellen Sie eine Startvorlage für die Auto Scaling Scaling-Gruppe des Process Scheduler-Servers. | Wiederholen Sie den vorherigen Schritt, um eine Startvorlage für die Auto Scaling Scaling-Gruppe des Process Scheduler-Servers zu erstellen. Geben Sie der Vorlage `PSPRCS_TEMPLATE` einen Namen. Wählen Sie in der Vorlage das AMI aus, das Sie für den Prozessplaner erstellt haben.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-highly-available-peoplesoft-architecture-on-aws.html) | Cloud-Administrator, PeopleSoft Administrator |
| Erstellen Sie eine Startvorlage für die Auto Scaling Scaling-Gruppe des Elasticsearch-Servers. | Wiederholen Sie die vorherigen Schritte, um eine Startvorlage für die Auto Scaling Scaling-Gruppe des Elasticsearch-Servers zu erstellen. Benennen Sie die Vorlage`SRCH_TEMPLATE`. Wählen Sie in der Vorlage das AMI aus, das Sie für den Suchserver erstellt haben.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-highly-available-peoplesoft-architecture-on-aws.html) | Cloud-Administrator, PeopleSoft Administrator |
| Erstellen Sie eine Startvorlage für die Auto Scaling Scaling-Gruppe des Webservers. | Wiederholen Sie die vorherigen Schritte, um eine Startvorlage für die Auto Scaling Scaling-Gruppe des Webservers zu erstellen. Benennen Sie die Vorlage`WEB_TEMPLATE`. Wählen Sie in der Vorlage das AMI aus, das Sie für den Webserver erstellt haben.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-highly-available-peoplesoft-architecture-on-aws.html) | Cloud-Administrator, PeopleSoft Administrator |
### Auto Scaling Scaling-Gruppen erstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Auto Scaling Scaling-Gruppe für den Anwendungsserver. | Erstellen Sie auf der Amazon EC2 EC2-Konsole mithilfe der `PSAPPSRV_TEMPLATE` Vorlage eine Auto Scaling Scaling-Gruppe, die `PSAPPSRV_ASG` für den Anwendungsserver aufgerufen wird. Anweisungen finden Sie in der [Amazon EC2 EC2-Dokumentation](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html).[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-highly-available-peoplesoft-architecture-on-aws.html) | Cloud-Administrator, PeopleSoft Administrator |
| Erstellen Sie Auto Scaling Scaling-Gruppen für die anderen Server. | Wiederholen Sie den vorherigen Schritt, um Auto Scaling Scaling-Gruppen für den Prozessplaner, den Elasticsearch-Server und den Webserver zu erstellen. | Cloud-Administrator, Administrator PeopleSoft |
### Zielgruppen erstellen und konfigurieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Zielgruppe für den Webserver. | Erstellen Sie auf der Amazon EC2 EC2-Konsole eine Zielgruppe für den Webserver. Anweisungen finden Sie in der [Elastic Load Balancing Balancing-Dokumentation](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html). Stellen Sie den Port auf den Port ein, den der Webserver abhört. | Cloud-Administrator |
| Konfigurieren Sie Integritätsprüfungen. | Vergewissern Sie sich, dass die Zustandsprüfungen die richtigen Werte haben, um Ihre Geschäftsanforderungen widerzuspiegeln. Weitere Informationen finden Sie im [Elastic Load Balancing-Benutzerhandbuch](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html). | Cloud-Administrator |
| Erstellen Sie eine Zielgruppe für den Elasticsearch-Server. | Wiederholen Sie die vorherigen Schritte, um eine Zielgruppe mit dem Namen `PSFTSRCH` Elasticsearch-Server zu erstellen, und legen Sie den richtigen Elasticsearch-Port fest. | Cloud-Administrator |
| Fügen Sie Zielgruppen zu Auto Scaling Scaling-Gruppen hinzu. | Öffnen Sie die Auto Scaling Scaling-Gruppe des Webservers mit dem Namen`PSPIA_ASG`, die Sie zuvor erstellt haben. Wählen Sie auf der Registerkarte **Load Balancing** die Option **Bearbeiten** aus und fügen Sie die `PSFTWEB` Zielgruppe dann der Auto Scaling Scaling-Gruppe hinzu.Wiederholen Sie diesen Schritt für die Elasticsearch Auto Scaling Scaling-Gruppe`PSSRCH_ASG`, um die zuvor `PSFTSRCH` erstellte Zielgruppe hinzuzufügen. | Cloud-Administrator |
| Legen Sie die Dauer der Sitzung fest. | Wählen Sie in der Zielgruppe `PSFTWEB` die Registerkarte **Attribute** und dann **Bearbeiten** aus und legen Sie die Sitzungsbindung fest. Wählen Sie für den Typ „Stickiness“ die Option **Load Balancer generated cookie** aus und legen Sie die Dauer auf 1 fest. Weitere Informationen finden Sie im [Elastic Load Balancing-Benutzerhandbuch](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/sticky-sessions.html).Wiederholen Sie diesen Schritt für die Zielgruppe. `PSFTSRCH` | Cloud-Administrator |
### Erstellen und konfigurieren Sie Load Balancer für Anwendungen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie einen Load Balancer für die Webserver. | Erstellen Sie einen Application Load Balancer mit dem Namen `PSFTLB` für den Lastenausgleich des Datenverkehrs zu den Webservern. Anweisungen finden Sie in der [Elastic Load Balancing Balancing-Dokumentation](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html#configure-load-balancer).[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-highly-available-peoplesoft-architecture-on-aws.html) | Cloud-Administrator |
| Erstellen Sie einen Load Balancer für die Elasticsearch-Server. | Erstellen Sie einen Application Load Balancer mit dem Namen für `PSFTSCH` den Lastenausgleich des Datenverkehrs zu den Elasticsearch-Servern.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-highly-available-peoplesoft-architecture-on-aws.html) | Cloud-Administrator |
| Konfigurieren Sie Route 53 | Erstellen Sie auf der [Amazon Route 53 53-Konsole](https://console.aws.amazon.com/route53/) einen Datensatz in der Hosting-Zone, der die PeopleSoft Anwendung bedienen wird. Anweisungen finden Sie in der [Dokumentation zu Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) Dadurch wird sichergestellt, dass der gesamte Datenverkehr den Load `PSFTLB` Balancer durchläuft. | Cloud-Administrator |
## Zugehörige Ressourcen
+ [ PeopleSoft Oracle-Webseite](https://www.oracle.com/applications/peoplesoft/)
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
# Richten Sie die Notfallwiederherstellung für Oracle JD Edwards EnterpriseOne mit AWS Elastic Disaster Recovery ein
*Thanigaivel Thirumalai, Amazon Web Services*
## Zusammenfassung
Katastrophen, die durch Naturkatastrophen, Anwendungsausfälle oder Serviceunterbrechungen ausgelöst werden, beeinträchtigen den Umsatz und führen zu Ausfallzeiten von Unternehmensanwendungen. Um die Auswirkungen solcher Ereignisse zu verringern, ist die Planung der Notfallwiederherstellung (DR) für Unternehmen, die EnterpriseOne Enterprise Resource Planning (ERP) -Systeme von JD Edwards und andere betriebs- und geschäftskritische Software einsetzen, von entscheidender Bedeutung.
Dieses Muster erklärt, wie Unternehmen AWS Elastic Disaster Recovery als DR-Option für ihre JD EnterpriseOne Edwards-Anwendungen verwenden können. Außerdem werden die Schritte zur Verwendung von Elastic Disaster Recovery Failover und Failback beschrieben, um eine regionsübergreifende DR-Strategie für Datenbanken zu entwickeln, die auf einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance in der AWS-Cloud gehostet werden.
**Anmerkung**
Dieses Muster erfordert, dass die primären und sekundären Regionen für die regionsübergreifende DR-Implementierung auf AWS gehostet werden.
[Oracle JD Edwards EnterpriseOne](https://www.oracle.com/applications/jd-edwards-enterpriseone/) ist eine integrierte ERP-Softwarelösung für mittelständische bis große Unternehmen in einer Vielzahl von Branchen.
AWS Elastic Disaster Recovery minimiert Ausfallzeiten und Datenverluste durch eine schnelle, zuverlässige Wiederherstellung von lokalen und cloudbasierten Anwendungen mithilfe von erschwinglichem Speicher, minimalem Rechenaufwand und point-in-time minimaler Wiederherstellung.
AWS bietet [vier zentrale DR-Architekturmuster](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html). Dieses Dokument konzentriert sich auf die Einrichtung, Konfiguration und Optimierung mithilfe der [Pilot-Light-Strategie](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html). Diese Strategie hilft Ihnen dabei, eine kostengünstigere DR-Umgebung zu schaffen, in der Sie zunächst einen Replikationsserver für die Replikation von Daten aus der Quelldatenbank bereitstellen und den eigentlichen Datenbankserver erst bereitstellen, wenn Sie eine DR-Installation und Wiederherstellung starten. Durch diese Strategie entfallen die Kosten für die Wartung eines Datenbankservers in der DR-Region. Stattdessen zahlen Sie für eine kleinere EC2-Instance, die als Replikationsserver dient.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto.
+ Eine JD EnterpriseOne Edwards-Anwendung, die auf Oracle Database oder Microsoft SQL Server mit einer unterstützten Datenbank in einem laufenden Zustand auf einer verwalteten EC2-Instance ausgeführt wird. Diese Anwendung sollte alle JD EnterpriseOne Edwards-Basiskomponenten (Enterprise Server, HTML Server und Database Server) enthalten, die in einer AWS-Region installiert sind.
+ Eine AWS Identity and Access Management (IAM) -Rolle zur Einrichtung des Elastic Disaster Recovery-Service.
+ Das Netzwerk für die Ausführung von Elastic Disaster Recovery wurde gemäß den erforderlichen [Konnektivitätseinstellungen](https://docs.aws.amazon.com/drs/latest/userguide/Network-Requirements.html) konfiguriert.
**Einschränkungen**
+ Sie können dieses Muster verwenden, um alle Stufen zu replizieren, es sei denn, die Datenbank wird auf Amazon Relational Database Service (Amazon RDS) gehostet. In diesem Fall empfehlen wir, die [regionsübergreifende Kopierfunktion](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html) von Amazon RDS zu verwenden.
+ Elastic Disaster Recovery ist nicht mit CloudEndure Disaster Recovery kompatibel, aber Sie können ein Upgrade von CloudEndure Disaster Recovery durchführen. Weitere Informationen finden Sie in den [häufig gestellten Fragen](https://docs.aws.amazon.com/drs/latest/userguide/cedr-to-drs.html) in der Elastic Disaster Recovery-Dokumentation.
+ Amazon Elastic Block Store (Amazon EBS) begrenzt die Geschwindigkeit, mit der Sie Schnappschüsse erstellen können. Mit Elastic Disaster Recovery können Sie eine maximale Anzahl von 300 Servern in einem einzigen AWS-Konto replizieren. Um mehr Server zu replizieren, können Sie mehrere AWS-Konten oder mehrere AWS-Zielregionen verwenden. (Sie müssen Elastic Disaster Recovery für jedes Konto und jede Region separat einrichten.) Weitere Informationen finden Sie unter [Best Practices](https://docs.aws.amazon.com/drs/latest/userguide/best_practices_drs.html) in der Elastic Disaster Recovery-Dokumentation.
+ Die Quell-Workloads (die JD EnterpriseOne Edwards-Anwendung und Datenbank) müssen auf EC2-Instances gehostet werden. Dieses Muster unterstützt keine Workloads, die sich vor Ort oder in anderen Cloud-Umgebungen befinden.
+ Dieses Muster konzentriert sich auf die Komponenten von JD Edwards EnterpriseOne . Ein vollständiger DR- und Business Continuity-Plan (BCP) sollte weitere Kerndienste beinhalten, darunter:
+ Netzwerke (virtuelle private Cloud, Subnetze und Sicherheitsgruppen)
+ Active Directory
+ Amazon WorkSpaces
+ Elastic Load Balancing
+ Ein verwalteter Datenbankservice wie Amazon Relational Database Service (Amazon RDS)
Weitere Informationen zu Voraussetzungen, Konfigurationen und Einschränkungen finden Sie in der [Elastic Disaster Recovery-Dokumentation](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html).
**Produktversionen**
+ Oracle JD Edwards EnterpriseOne (von Oracle und SQL Server unterstützte Versionen, die auf den technischen Mindestanforderungen von Oracle basieren)
## Architektur
**Zieltechnologie-Stack**
+ Eine einzige Region und eine einzige Virtual Private Cloud (VPC) für Produktion und Nichtproduktion sowie eine zweite Region für DR
+ Single Availability Zones, um eine geringe Latenz zwischen Servern zu gewährleisten
+ Ein Application Load Balancer, der den Netzwerkverkehr verteilt, um die Skalierbarkeit und Verfügbarkeit Ihrer Anwendungen auf mehrere Availability Zones zu verbessern
+ Amazon Route 53 zur Bereitstellung der DNS-Konfiguration (Domain Name System)
+ Amazon bietet WorkSpaces Benutzern ein Desktop-Erlebnis in der Cloud
+ Amazon Simple Storage Service (Amazon S3) zum Speichern von Backups, Dateien und Objekten
+ Amazon CloudWatch für Anwendungsprotokollierung, Überwachung und Alarme
+ Amazon Elastic Disaster Recovery für die Notfallwiederherstellung
**Zielarchitektur**
Das folgende Diagramm zeigt die regionsübergreifende Disaster Recovery-Architektur für JD Edwards EnterpriseOne unter Verwendung von Elastic Disaster Recovery.
![\[Architektur für JD Edwards EnterpriseOne regionsübergreifende DR auf AWS\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/9b0de5f0-f211-4086-a044-321d081604f9/images/978b7219-e54e-4e31-b3ff-4885784e2971.png)
**Verfahren**
Hier finden Sie einen Überblick über den Prozess auf hoher Ebene. Einzelheiten finden Sie im Abschnitt *Epics*.
+ Die Elastic Disaster Recovery-Replikation beginnt mit einer ersten Synchronisierung. Während der ersten Synchronisierung repliziert der AWS Replication Agent alle Daten von den Quellfestplatten auf die entsprechende Ressource im Staging-Bereich-Subnetz.
+ Die kontinuierliche Replikation wird auf unbestimmte Zeit fortgesetzt, nachdem die erste Synchronisierung abgeschlossen ist.
+ Sie überprüfen die Startparameter, zu denen servicespezifische Konfigurationen und eine Amazon EC2 EC2-Startvorlage gehören, nachdem der Agent installiert und die Replikation gestartet wurde. Wenn angezeigt wird, dass der Quellserver für die Wiederherstellung bereit ist, können Sie Instances starten.
+ Wenn Elastic Disaster Recovery eine Reihe von API-Aufrufen ausgibt, um den Startvorgang zu starten, wird die Wiederherstellungsinstanz gemäß Ihren Starteinstellungen sofort auf AWS gestartet. Der Service richtet beim Start automatisch einen Konvertierungsserver ein.
+ Die neue Instance wird nach Abschluss der Konvertierung auf AWS hochgefahren und ist einsatzbereit. Der Status des Quellservers zum Zeitpunkt des Starts wird durch die Volumes dargestellt, die der gestarteten Instance zugeordnet sind. Der Konvertierungsprozess beinhaltet Änderungen an den Treibern, dem Netzwerk und der Betriebssystemlizenz, um sicherzustellen, dass die Instance nativ auf AWS gestartet wird.
+ Nach dem Start werden die neu erstellten Volumes nicht mehr mit den Quellservern synchronisiert. Der AWS Replication Agent repliziert weiterhin routinemäßig Änderungen, die an Ihren Quellservern vorgenommen wurden, auf die Volumes im Staging-Bereich, aber die gestarteten Instances spiegeln diese Änderungen nicht wider.
+ Wenn Sie eine neue Drill- oder Recovery-Instance starten, werden die Daten immer im neuesten Status wiedergegeben, der vom Quellserver in das Staging-Area-Subnetz repliziert wurde.
+ Wenn der Quellserver als für die Wiederherstellung vorbereitet markiert ist, können Sie Instanzen starten.
**Anmerkung**
Der Prozess funktioniert in beide Richtungen: für ein Failover von einer primären AWS-Region zu einer DR-Region und für ein Failback zum primären Standort, wenn dieser wiederhergestellt wurde. Sie können sich auf ein Failback vorbereiten, indem Sie die Richtung der Datenreplikation vom Zielcomputer zurück zum Quellcomputer auf vollständig orchestrierte Weise umkehren.
Zu den Vorteilen dieses in diesem Muster beschriebenen Prozesses gehören:
+ Flexibilität: Replikationsserver werden je nach Datensatz und Replikationszeit nach oben und unten skaliert, sodass Sie DR-Tests durchführen können, ohne die Quell-Workloads oder die Replikation zu unterbrechen.
+ Zuverlässigkeit: Die Replikation ist robust, unterbrechungsfrei und kontinuierlich.
+ Automatisierung: Diese Lösung bietet einen einheitlichen, automatisierten Prozess für Test, Wiederherstellung und Failback.
+ Kostenoptimierung: Sie können nur die benötigten Volumes replizieren und dafür bezahlen und für Rechenressourcen am DR-Standort nur bezahlen, wenn diese Ressourcen aktiviert sind. Sie können eine kostenoptimierte Replikationsinstanz (wir empfehlen, einen rechenoptimierten Instance-Typ zu verwenden) für mehrere Quellen oder eine einzelne Quelle mit einem großen EBS-Volume verwenden.
**Automatisierung und Skalierung**
Wenn Sie eine Notfallwiederherstellung in großem Umfang durchführen, sind die JD EnterpriseOne Edwards-Server von anderen Servern in der Umgebung abhängig. Beispiel:
+ JD EnterpriseOne Edwards-Anwendungsserver, die beim Booten eine Verbindung zu einer von JD Edwards EnterpriseOne unterstützten Datenbank herstellen, sind von dieser Datenbank abhängig.
+ JD EnterpriseOne Edwards-Server, die eine Authentifizierung erfordern und beim Booten eine Verbindung zu einem Domänencontroller herstellen müssen, um Dienste zu starten, sind vom Domänencontroller abhängig.
Aus diesem Grund empfehlen wir, Failover-Aufgaben zu automatisieren. Sie können beispielsweise AWS Lambda oder AWS Step Functions verwenden, um die JD EnterpriseOne Edwards-Startskripts und Load Balancer-Änderungen zu automatisieren, um den end-to-end Failover-Prozess zu automatisieren. Weitere Informationen finden Sie im Blogbeitrag [Erstellen eines skalierbaren Notfallwiederherstellungsplans mit AWS Elastic Disaster Recovery](https://aws.amazon.com/blogs/storage/creating-a-scalable-disaster-recovery-plan-with-aws-elastic-disaster-recovery/).
## Tools
**AWS-Services**
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) bietet Volumes für die Speicherung auf Blockebene, die mit EC2-Instances verwendet werden.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://aws.amazon.com/products/compute/) bietet skalierbare Rechenkapazität in der AWS-Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) minimiert Ausfallzeiten und Datenverluste durch schnelle, zuverlässige Wiederherstellung von lokalen und cloudbasierten Anwendungen mit erschwinglichem Speicher, minimalem Rechenaufwand und point-in-time minimaler Wiederherstellung.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://aws.amazon.com/vpc/) gibt Ihnen die volle Kontrolle über Ihre virtuelle Netzwerkumgebung, einschließlich Ressourcenplatzierung, Konnektivität und Sicherheit.
## Best Practices
**Allgemeine bewährte Methoden**
+ Halten Sie einen schriftlichen Plan bereit, was im Falle eines echten Wiederherstellungsereignisses zu tun ist.
+ Nachdem Sie Elastic Disaster Recovery korrekt eingerichtet haben, erstellen Sie eine CloudFormation AWS-Vorlage, mit der die Konfiguration bei Bedarf bei Bedarf erstellt werden kann. Legen Sie die Reihenfolge fest, in der Server und Anwendungen gestartet werden sollen, und notieren Sie dies im Wiederherstellungsplan.
+ Führen Sie eine regelmäßige Übung durch (es gelten die Standardtarife von Amazon EC2).
+ Überwachen Sie den Zustand der laufenden Replikation mithilfe der Elastic Disaster Recovery-Konsole oder programmgesteuert.
+ Schützen Sie die point-in-time Snapshots und bestätigen Sie dies, bevor Sie die Instances beenden.
+ Erstellen Sie eine IAM-Rolle für die Installation von AWS Replication Agent.
+ Aktivieren Sie den Kündigungsschutz für Wiederherstellungsinstanzen in einem echten DR-Szenario.
+ Verwenden Sie die Aktion Verbindung zu **AWS trennen** in der Elastic Disaster Recovery-Konsole nicht für Server, für die Sie Wiederherstellungsinstanzen gestartet haben, auch nicht bei einem echten Wiederherstellungsereignis. Wenn Sie die Verbindung trennen, werden alle Replikationsressourcen im Zusammenhang mit diesen Quellservern beendet, einschließlich Ihrer point-in-time (PIT-) Wiederherstellungspunkte.
+ Ändern Sie die PIT-Richtlinie, um die Anzahl der Tage für die Aufbewahrung von Snapshots zu ändern.
+ Bearbeiten Sie die Startvorlage in den Starteinstellungen von Elastic Disaster Recovery, um das richtige Subnetz, die richtige Sicherheitsgruppe und den richtigen Instance-Typ für Ihren Zielserver festzulegen.
+ Automatisieren Sie den end-to-end Failover-Prozess, indem Sie Lambda oder Step Functions verwenden, um die EnterpriseOne Startskripte von JD Edwards und Änderungen am Load Balancer zu automatisieren.
**Optimierung und Überlegungen zu JD Edwards EnterpriseOne **
+ Wechseln Sie **PrintQueue**in die Datenbank.
+ Gehen Sie **MediaObjects**in die Datenbank.
+ Schließt die Protokolle und den temporären Ordner von den Batch- und Logikservern aus.
+ Schließen Sie den temporären Ordner aus Oracle aus. WebLogic
+ Erstellen Sie Skripts für den Start nach dem Failover.
+ Schließen Sie die tempdb für SQL Server aus.
+ Schließen Sie die temporäre Datei für Oracle aus.
## Epen
### Führen Sie die ersten Aufgaben und die Konfiguration durch
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Richten Sie das Replikationsnetzwerk ein. | Implementieren Sie Ihr JD EnterpriseOne Edwards-System in der primären AWS-Region und identifizieren Sie die AWS-Region für DR. Folgen Sie den Schritten im Abschnitt [Anforderungen an das Replikationsnetzwerk](https://docs.aws.amazon.com/drs/latest/userguide/preparing-environments.html) in der Elastic Disaster Recovery-Dokumentation, um Ihr Replikations- und DR-Netzwerk zu planen und einzurichten. | AWS-Administrator |
| Ermitteln Sie RPO und RTO. | Identifizieren Sie das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) für Ihre Anwendungsserver und Datenbank. | Cloud-Architekt, DR-Architekt |
| Aktivieren Sie die Replikation für Amazon EFS. | Aktivieren Sie gegebenenfalls die Replikation von der AWS-Primärregion zur DR-Region für gemeinsam genutzte Dateisysteme wie Amazon Elastic File System (Amazon EFS) mithilfe von AWS DataSync, **rsync** oder einem anderen geeigneten Tool. | Cloud-Administrator |
| DNS verwalten im Fall von DR | Identifizieren Sie den Prozess zur Aktualisierung des Domain Name Systems (DNS) während der DR-Übung oder bei der eigentlichen DR | Cloud-Administrator |
| Erstellen Sie eine IAM-Rolle für die Einrichtung. | Folgen Sie den Anweisungen im Abschnitt [Initialisierung und Berechtigungen von Elastic Disaster Recovery](https://docs.aws.amazon.com/drs/latest/userguide/getting-started-initializing.html) der Elastic Disaster Recovery-Dokumentation, um eine IAM-Rolle zur Initialisierung und Verwaltung des AWS-Service zu erstellen. | Cloud-Administrator |
| Richten Sie VPC-Peering ein. | Stellen Sie sicher, dass Quelle und Ziel per VPCs Peering miteinander verbunden sind und aufeinander zugreifen können. Anweisungen zur Konfiguration finden Sie in der [Amazon VPC-Dokumentation](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). | AWS-Administrator |
### Konfigurieren Sie die Elastic Disaster Recovery-Replikationseinstellungen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Initialisieren Sie Elastic Disaster Recovery. | Öffnen Sie die [Elastic Disaster Recovery-Konsole](https://console.aws.amazon.com/drs/home), wählen Sie die AWS-Zielregion aus (in der Sie Daten replizieren und Wiederherstellungsinstanzen starten werden) und wählen Sie dann **Standard-Replikationseinstellungen festlegen** aus. | AWS-Administrator |
| Richten Sie Replikationsserver ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html) | AWS-Administrator |
| Konfigurieren Sie Volumes und Sicherheitsgruppen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html) | AWS-Administrator |
| Konfigurieren Sie zusätzliche Einstellungen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html) | AWS-Administrator |
### Installieren Sie den AWS Replication Agent
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine IAM-Rolle. | Erstellen Sie eine IAM-Rolle, die die `AWSElasticDisasterRecoveryAgentInstallationPolicy` Richtlinie enthält. **Aktivieren Sie im Abschnitt AWS-Zugriffstyp** auswählen den programmatischen Zugriff. Notieren Sie sich die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel. Sie benötigen diese Informationen während der Installation des AWS Replication Agent. | AWS-Administrator |
| Überprüfen Sie die Anforderungen. | Überprüfen und erfüllen Sie die [Voraussetzungen](https://docs.aws.amazon.com/drs/latest/userguide/installation-requiremets.html) in der Elastic Disaster Recovery-Dokumentation für die Installation des AWS Replication Agent. | AWS-Administrator |
| Installieren Sie den AWS Replication Agent. | Folgen Sie den [Installationsanweisungen](https://docs.aws.amazon.com/drs/latest/userguide/agent-installation-instructions.html) für Ihr Betriebssystem und installieren Sie den AWS Replication Agent.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html)Wiederholen Sie diese Schritte für den verbleibenden Server. | AWS-Administrator |
| Überwachen Sie die Replikation. | Kehren Sie zum Bereich Elastic Disaster Recovery **Source Servers** zurück, um den Replikationsstatus zu überwachen. Die erste Synchronisierung wird je nach Größe der Datenübertragung einige Zeit in Anspruch nehmen.Wenn der Quellserver vollständig synchronisiert ist, wird der Serverstatus auf **Bereit** aktualisiert. Das bedeutet, dass im Staging-Bereich ein Replikationsserver erstellt wurde und die EBS-Volumes vom Quellserver in den Staging-Bereich repliziert wurden. | AWS-Administrator |
### Starteinstellungen konfigurieren
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bearbeiten Sie die Starteinstellungen. | Um die Starteinstellungen für die Drill- und Recovery-Instances zu aktualisieren, wählen Sie in der [Elastic Disaster Recovery-Konsole](https://console.aws.amazon.com/drs/home) den Quellserver und anschließend **Aktionen**, **Starteinstellungen bearbeiten** aus. Oder Sie können Ihre replizierenden Quellcomputer auf der Seite **Quellserver** auswählen und dann den Tab **Starteinstellungen** wählen. Diese Registerkarte besteht aus zwei Abschnitten: **Allgemeine Starteinstellungen** und **EC2-Startvorlage**. | AWS-Administrator |
| Konfigurieren Sie die allgemeinen Starteinstellungen. | Überarbeiten Sie die allgemeinen Starteinstellungen entsprechend Ihren Anforderungen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html)Weitere Informationen finden Sie unter [Allgemeine Starteinstellungen](https://docs.aws.amazon.com/drs/latest/userguide/launch-general-settings.html) in der Elastic Disaster Recovery-Dokumentation. | AWS-Administrator |
| Konfigurieren Sie die Amazon EC2 EC2-Startvorlage. | Elastic Disaster Recovery verwendet Amazon EC2 EC2-Startvorlagen, um Drill- und Recovery-Instances für jeden Quellserver zu starten. Die Startvorlage wird automatisch für jeden Quellserver erstellt, den Sie nach der Installation des AWS Replication Agent zu Elastic Disaster Recovery hinzufügen.Sie müssen die Amazon EC2 EC2-Startvorlage als Standard-Startvorlage festlegen, wenn Sie sie mit Elastic Disaster Recovery verwenden möchten.Weitere Informationen finden Sie unter [EC2-Startvorlage](https://docs.aws.amazon.com/drs/latest/userguide/ec2-launch.html) in der Elastic Disaster Recovery-Dokumentation. | AWS-Administrator |
### DR-Drill und Failover einleiten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Drill einleiten | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html)Weitere Informationen finden Sie unter Preparing [for Failover](https://docs.aws.amazon.com/drs/latest/userguide/failback-preparing.html) in der Elastic Disaster Recovery-Dokumentation. | AWS-Administrator |
| Bestätigen Sie die Übung. | Im vorherigen Schritt haben Sie neue Ziel-Instances in der DR-Region gestartet. Die Ziel-Instances sind Replikate der Quellserver, die auf dem Snapshot basieren, der bei der Initiierung des Starts erstellt wurde.In diesem Verfahren stellen Sie eine Verbindung zu Ihren Amazon EC2-Zielcomputern her, um zu überprüfen, ob sie wie erwartet laufen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html) | |
| Initiieren Sie einen Failover. | Ein Failover ist die Umleitung des Datenverkehrs von einem Primärsystem zu einem Sekundärsystem. Elastic Disaster Recovery unterstützt Sie bei der Durchführung eines Failovers, indem es Wiederherstellungsinstanzen auf AWS startet. Wenn die Wiederherstellungsinstanzen gestartet wurden, leiten Sie den Datenverkehr von Ihren Primärsystemen zu diesen Instances um.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html)Weitere Informationen finden Sie unter [Durchführen eines Failovers](https://docs.aws.amazon.com/drs/latest/userguide/failback-preparing-failover.html) in der Elastic Disaster Recovery-Dokumentation. | AWS-Administrator |
| Initiieren Sie ein Failback. | Das Verfahren zum Initiieren eines Failbacks ähnelt dem Verfahren zum Initiieren eines Failovers.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html)Weitere Informationen finden Sie unter [Durchführen eines Failbacks](https://docs.aws.amazon.com/drs/latest/userguide/failback-performing-main.html) in der Elastic Disaster Recovery-Dokumentation. | AWS-Administrator |
| Starten Sie die EnterpriseOne Komponenten von JD Edwards. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.html)Sie müssen die Änderungen in Route 53 und Application Load Balancer integrieren, damit der JD EnterpriseOne Edwards-Link funktioniert.Sie können diese Schritte mithilfe von Lambda, Step Functions und Systems Manager (Run Command) automatisieren.Elastic Disaster Recovery führt die Replikation der EBS-Quellvolumes der EC2-Instance auf Blockebene durch, die das Betriebssystem und die Dateisysteme hosten. Gemeinsam genutzte Dateisysteme, die mithilfe von Amazon EFS erstellt wurden, sind nicht Teil dieser Replikation. Sie können gemeinsam genutzte Dateisysteme mithilfe von AWS in die DR-Region replizieren DataSync, wie im ersten Epos erwähnt, und diese replizierten Dateisysteme dann im DR-System mounten. | J.D. Edwards CNC EnterpriseOne |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Der Status der Datenreplikation auf dem Quellserver ist **Blockiert** und die Replikation verzögert sich. Wenn Sie die Details überprüfen, wird im Datenreplikationsstatus „**Agent nicht** gesehen“ angezeigt. | Vergewissern Sie sich, dass der gestoppte Quellserver läuft.Wenn der Quellserver ausfällt, wird der Replikationsserver automatisch beendet.Weitere Informationen zu Verzögerungsproblemen finden Sie unter Probleme mit der [Replikationsverzögerung](https://docs.aws.amazon.com/drs/latest/userguide/Other-Troubleshooting-Topics.html#Replication-Lag-Issues) in der Elastic Disaster Recovery-Dokumentation. |
| Die Installation des AWS Replication Agent in der EC2-Quellinstanz schlägt in RHEL 8.2 nach dem Scannen der Festplatten fehl. `aws_replication_agent_installer.log`zeigt, dass Kernel-Header fehlen. | Bevor Sie den AWS Replication Agent auf RHEL 8, CentOS 8 oder Oracle Linux 8 installieren, führen Sie Folgendes aus:sudo yum install elfutils-libelf-devel
Weitere Informationen finden Sie in den [Linux-Installationsanforderungen](https://docs.aws.amazon.com/mgn/latest/ug/installation-requirements.html#linux-requirements) in der Elastic Disaster Recovery-Dokumentation. |
| Auf der Elastic Disaster Recovery-Konsole wird der Quellserver als **Bereit** mit einer Verzögerung und der **Datenreplikationsstatus als Blockiert** angezeigt.Je nachdem, wie lange der AWS Replication Agent nicht verfügbar war, kann der Status auf eine hohe Verzögerung hinweisen, aber das Problem bleibt dasselbe. | Verwenden Sie einen Betriebssystembefehl, um zu bestätigen, dass der AWS Replication Agent in der Quell-EC2-Instance ausgeführt wird, oder um zu bestätigen, dass die Instance läuft.Nachdem Sie alle Probleme behoben haben, startet Elastic Disaster Recovery den Scanvorgang erneut. Warten Sie, bis alle Daten synchronisiert wurden und der Replikationsstatus Fehlerfrei ist**,** bevor Sie eine DR-Übung starten. |
| Erste Replikation mit hoher Verzögerung. Auf der Elastic Disaster Recovery-Konsole können Sie sehen, dass der anfängliche Synchronisierungsstatus für einen Quellserver extrem langsam ist. | Suchen Sie nach den Problemen mit der Replikationsverzögerung, die im Abschnitt [Probleme mit der Replikationsverzögerung](https://docs.aws.amazon.com/drs/latest/userguide/Other-Troubleshooting-Topics.html#Replication-Lag-Issues) in der Elastic Disaster Recovery-Dokumentation dokumentiert sind.Der Replikationsserver kann die Last aufgrund systemeigener Rechenoperationen möglicherweise nicht bewältigen. Versuchen Sie in diesem Fall, den Instance-Typ nach Rücksprache mit dem [technischen Support-Team von AWS](https://support.console.aws.amazon.com/support/) zu aktualisieren. |
## Zugehörige Ressourcen
+ [AWS Elastic Disaster Recovery-Benutzerhandbuch](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [Erstellung eines skalierbaren Notfallwiederherstellungsplans mit AWS Elastic Disaster Recovery](https://aws.amazon.com/blogs/storage/creating-a-scalable-disaster-recovery-plan-with-aws-elastic-disaster-recovery/) (AWS-Blogbeitrag)
+ [AWS Elastic Disaster Recovery — Eine technische Einführung](https://explore.skillbuilder.aws/learn/course/internal/view/elearning/11123/aws-elastic-disaster-recovery-a-technical-introduction) (AWS Skill Builder-Kurs; Anmeldung erforderlich)
+ [Kurzanleitung für AWS Elastic Disaster Recovery](https://docs.aws.amazon.com/drs/latest/userguide/quick-start-guide-gs.html)
# Richten Sie die CloudFormation Drifterkennung in einer Organisation mit mehreren Regionen und mehreren Konten ein
*Ram Kandaswamy, Amazon Web Services*
## Zusammenfassung
Benutzer von Amazon Web Services (AWS) suchen häufig nach einer effizienten Methode, um Diskrepanzen in der Ressourcenkonfiguration, einschließlich Abweichungen in AWS CloudFormation Stacks, zu erkennen und diese so schnell wie möglich zu beheben. Dies ist insbesondere der Fall, wenn es verwendet AWS Control Tower wird.
Dieses Muster bietet eine präskriptive Lösung, mit der das Problem effizient gelöst werden kann, indem konsolidierte Änderungen an der Ressourcenkonfiguration verwendet und auf diese Änderungen reagiert werden, um Ergebnisse zu erzielen. Die Lösung ist für Szenarien konzipiert, in denen mehrere CloudFormation Stapel in mehr als einem Konto oder in mehr als einem AWS-Region Konto oder einer Kombination aus beidem erstellt werden. Die Lösung hat folgende Ziele:
+ Vereinfachen Sie den Prozess zur Drifterkennung
+ Richten Sie Benachrichtigungen und Warnmeldungen ein
+ Richten Sie eine konsolidierte Berichterstattung ein
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ AWS Config ist in allen Regionen und Konten aktiviert, die überwacht werden müssen
**Einschränkungen**
+ Der generierte Bericht unterstützt nur die Ausgabeformate Kommagetrennte Werte (CSV) und JSON.
## Architektur
Das folgende Diagramm zeigt die AWS Organizations Einrichtung mit mehreren Konten. AWS Config Regeln kommunizieren zwischen den Konten.
![\[Fünfstufiger Prozess zur Überwachung von Stacks in zwei AWS Organizations Organizations-Konten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/735d0987-b953-47f8-a9bc-b02a88957ee5/images/340cee9a-5a4e-49ea-bd73-d37dcea5e098.png)
Der Workflow umfasst die folgenden Schritte:
1. Die AWS Config Regel erkennt Abweichungen.
1. Ergebnisse der Drift-Erkennung, die in anderen Konten gefunden wurden, werden an das Verwaltungskonto gesendet.
1. Die CloudWatch Amazon-Regel ruft eine AWS Lambda Funktion auf.
1. Die Lambda-Funktion fragt die AWS Config Regel nach aggregierten Ergebnissen ab.
1. Die Lambda-Funktion benachrichtigt Amazon Simple Notification Service (Amazon SNS), der eine E-Mail-Benachrichtigung über die Abweichung sendet.
**Automatisierung und Skalierung**
Die hier vorgestellte Lösung kann sowohl für zusätzliche Regionen als auch für Konten skaliert werden.
## Tools
**AWS-Services**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)bietet einen detaillierten Überblick über die Konfiguration der AWS Ressourcen in Ihrem AWS-Konto. Dazu gehört auch, wie die Ressourcen jeweils zueinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, damit Sie sehen können, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit verändern.
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
## Epen
### Automatisieren Sie die Drifterkennung für CloudFormation
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie den Aggregator. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Cloud-Architekt |
| Erstellen Sie eine AWS verwaltete Regel. | Fügen Sie die `cloudformation-stack-drift-detection-check` AWS**** verwaltete Regel hinzu. Die Regel benötigt einen Parameterwert:`cloudformationArn`. Geben Sie die IAM-Rolle Amazon Resource Name (ARN) ein, die berechtigt ist, Stack-Drift zu erkennen. Die Rolle muss über eine Vertrauensrichtlinie verfügen, die es ermöglicht, die Rolle AWS Config zu übernehmen. | Cloud-Architekt |
| Erstellen Sie den Abschnitt für erweiterte Abfragen des Aggregators. | Um driftete Stapel aus mehreren Quellen abzurufen, erstellen Sie die folgende Abfrage:SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack' AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED') | Cloud-Architekt, Entwickler |
| Automatisieren Sie die Ausführung der Abfrage und veröffentlichen Sie sie. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Cloud-Architekt, Entwickler |
| Erstellen Sie eine CloudWatch Regel. | Erstellen Sie eine zeitplanbasierte CloudWatch Regel, um die Lambda-Funktion aufzurufen, die für die Alarmierung zuständig ist. | Cloud-Architekt |
## Zugehörige Ressourcen
**Ressourcen**
+ [Was ist AWS Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Datenaggregation für mehrere Konten und mehrere Regionen](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
+ [Erkennung nicht verwalteter Konfigurationsänderungen an Stacks und Ressourcen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html)
+ [IAM: Übergeben Sie eine IAM-Rolle an einen bestimmten AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
+ [Was ist Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
## Zusätzliche Informationen
**Überlegungen**
Wir empfehlen, die in diesem Muster vorgestellte Lösung zu verwenden, anstatt benutzerdefinierte Lösungen zu verwenden, die API-Aufrufe in bestimmten Intervallen beinhalten, um die Drifterkennung für jeden CloudFormation Stack oder Stack-Set zu initiieren. Benutzerdefinierte Lösungen, die API-Aufrufe in bestimmten Intervallen verwenden, können zu einer großen Anzahl von API-Aufrufen führen und die Leistung beeinträchtigen. Aufgrund der Anzahl der API-Aufrufe kann es zu einer Drosselung kommen. Ein weiteres potenzielles Problem ist eine Verzögerung bei der Erkennung, wenn Ressourcenänderungen nur anhand eines Zeitplans erkannt werden.
Da Stack-Sets aus Stapeln bestehen, können Sie diese Lösung verwenden. Details zur Stack-Instanz sind auch als Teil der Lösung verfügbar.
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/735d0987-b953-47f8-a9bc-b02a88957ee5/attachments/attachment.zip)
# Erfolgreicher Import eines S3-Buckets als CloudFormation AWS-Stack
*Ram Kandaswamy, Amazon Web Services*
## Zusammenfassung
Wenn Sie Amazon Web Services (AWS) -Ressourcen wie Amazon Simple Storage Service (Amazon S3) -Buckets verwenden und einen Infrastructure-as-Code-Ansatz (IaC) verwenden möchten, können Sie Ihre Ressourcen in AWS importieren CloudFormation und als Stack verwalten.
Dieses Muster enthält Schritte für den erfolgreichen Import eines S3-Buckets als CloudFormation AWS-Stack. Durch die Verwendung des Ansatzes dieses Musters können Sie mögliche Fehler vermeiden, die auftreten können, wenn Sie Ihren S3-Bucket in einer einzigen Aktion importieren.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto.
+ Eine bestehende S3-Bucket- und S3-Bucket-Richtlinie. Weitere Informationen dazu finden Sie im AWS Knowledge Center unter [Welche S3-Bucket-Richtlinie sollte ich verwenden, um die AWS Config-Regel s3- bucket-ssl-requests-only einzuhalten](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/).
+ Ein vorhandener AWS Key Management Service (AWS KMS) -Schlüssel und sein Alias. Weitere Informationen dazu finden Sie unter [Working with Aliases](https://docs.aws.amazon.com/kms/latest/developerguide/programming-aliases.html) in der AWS KMS KMS-Dokumentation.
+ Die `CloudFormation-template-S3-bucket` CloudFormation AWS-Beispielvorlage (im Anhang), heruntergeladen auf Ihren lokalen Computer.
## Architektur
![\[Workflow zur Verwendung der CloudFormation Vorlage zum Erstellen eines CloudFormation Stacks zum Importieren eines S3-Buckets.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/aea7f6fe-8e67-46c4-8b90-1ab06b879111/images/ee143374-a0a4-42d9-b7ca-16593a597a84.png)
Das Diagramm zeigt den folgenden Workflow:
1. Der Benutzer erstellt eine AWS-Vorlage im JSON- oder YAML-Format. CloudFormation
1. Die Vorlage erstellt einen CloudFormation AWS-Stack zum Importieren des S3-Buckets.
1. Der CloudFormation AWS-Stack verwaltet den S3-Bucket, den Sie in der Vorlage angegeben haben.
**Technologie-Stack**
+ AWS CloudFormation
+ AWS Identity and Access Management (IAM)
+ AWS KMS
+ Amazon S3
**Tools**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) — AWS CloudFormation hilft Ihnen dabei, AWS-Infrastrukturbereitstellungen vorhersehbar und wiederholt zu erstellen und bereitzustellen.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — IAM ist ein Webservice zur sicheren Steuerung des Zugriffs auf AWS-Services.
+ [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) — AWS Key Management Service (AWS KMS) ist ein für die Cloud skalierter Verschlüsselungs- und Schlüsselverwaltungsservice.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) — Amazon Simple Storage Service (Amazon S3) ist Speicher für das Internet.
## Epen
### Importieren Sie einen S3-Bucket mit AWS KMS key basierter Verschlüsselung als CloudFormation AWS-Stack
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Vorlage, um den S3-Bucket und den KMS-Schlüssel zu importieren. | Erstellen Sie auf Ihrem lokalen Computer mithilfe der folgenden Beispielvorlage eine Vorlage zum Importieren Ihres S3-Buckets und KMS-Schlüssels:AWSTemplateFormatVersion: 2010-09-09
Parameters:
bucketName:
Type: String
Resources:
S3Bucket:
Type: 'AWS::S3::Bucket'
DeletionPolicy: Retain
Properties:
BucketName: !Ref bucketName
BucketEncryption:
ServerSideEncryptionConfiguration:
- ServerSideEncryptionByDefault:
SSEAlgorithm: 'aws:kms'
KMSMasterKeyID: !GetAtt
- KMSS3Encryption
- Arn
KMSS3Encryption:
Type: 'AWS::KMS::Key'
DeletionPolicy: Retain
Properties:
Enabled: true
KeyPolicy: !Sub |-
{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::${AWS::AccountId}:root"]
},
"Action": "kms:*",
"Resource": "*"
}
}
]
}
EnableKeyRotation: true
| AWS DevOps |
| Erstellen Sie den Stack. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/successfully-import-an-s3-bucket-as-an-aws-cloudformation-stack.html) | AWS DevOps |
| Erstellen Sie den KMS-Schlüsselalias. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/successfully-import-an-s3-bucket-as-an-aws-cloudformation-stack.html)KMSS3EncryptionAlias:
Type: 'AWS::KMS::Alias'
DeletionPolicy: Retain
Properties:
AliasName: alias/S3BucketKey
TargetKeyId: !Ref KMSS3Encryption
Weitere Informationen dazu finden Sie unter [ CloudFormation AWS-Stack-Updates](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks.html) in der CloudFormation AWS-Dokumentation. | AWS DevOps |
| Aktualisieren Sie den Stack so, dass er die S3-Bucket-Richtlinie enthält. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/successfully-import-an-s3-bucket-as-an-aws-cloudformation-stack.html)S3BucketPolicy:
Type: 'AWS::S3::BucketPolicy'
Properties:
Bucket: !Ref S3Bucket
PolicyDocument: !Sub |-
{
"Version": "2008-10-17",
"Id": "restricthttp",
"Statement": [
{
"Sid": "denyhttp",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:*",
"Resource": ["arn:aws:s3:::${S3Bucket}","arn:aws:s3:::${S3Bucket}/*"],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
Diese S3-Bucket-Richtlinie enthält eine Deny-Anweisung, die API-Aufrufe einschränkt, die nicht sicher sind. | AWS DevOps |
| Aktualisieren Sie die wichtigsten Richtlinien. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/successfully-import-an-s3-bucket-as-an-aws-cloudformation-stack.html)Weitere Informationen finden Sie [AWS KMS in der AWS KMS KMS-Dokumentation unter Wichtige Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). | AWS-Administrator |
| Fügen Sie Tags auf Ressourcenebene hinzu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/successfully-import-an-s3-bucket-as-an-aws-cloudformation-stack.html)Tags:
- Key: createdBy
Value: Cloudformation
| AWS DevOps |
## Zugehörige Ressourcen
+ [Einbindung vorhandener Ressourcen in das CloudFormation AWS-Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/resource-import.html)
+ [AWS re:Invent 2017: Tiefer Einblick in AWS CloudFormation (Video](https://www.youtube.com/watch?v=01hy48R9Kr8))
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/aea7f6fe-8e67-46c4-8b90-1ab06b879111/attachments/attachment.zip)
# Synchronisieren Sie Daten zwischen Amazon EFS-Dateisystemen in verschiedenen AWS-Regionen mithilfe von AWS DataSync
*Sarat Chandra Pothula und Aditya Ambati, Amazon Web Services*
## Zusammenfassung
Diese Lösung bietet ein robustes Framework für eine effiziente und sichere Datensynchronisierung zwischen Amazon Elastic File System (Amazon EFS) -Instances in verschiedenen AWS-Regionen. Dieser Ansatz ist skalierbar und ermöglicht eine kontrollierte, regionsübergreifende Datenreplikation. Diese Lösung kann Ihre Strategien zur Notfallwiederherstellung und Datenredundanz verbessern.
Durch die Verwendung des AWS Cloud Development Kit (AWS CDK) verwendet dieses Muster einen Infrastructure-as-Code-Ansatz (IaC) zur Bereitstellung der Lösungsressourcen. Die AWS CDK-Anwendung stellt die wesentlichen Ressourcen von AWS DataSync, Amazon EFS, Amazon Virtual Private Cloud (Amazon VPC) und Amazon Elastic Compute Cloud (Amazon EC2) bereit. Dieses IaC bietet einen wiederholbaren und versionskontrollierten Bereitstellungsprozess, der vollständig auf die bewährten AWS-Methoden abgestimmt ist.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
+ [AWS-Befehlszeilenschnittstelle (AWS CLI) Version 2.9.11 oder höher, [installiert und konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ [https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_install](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_install)
+ [NodeJS Version 20.8.0 oder höher, installiert](https://nodejs.org/en/download)
**Einschränkungen**
+ Die Lösung erbt Einschränkungen von DataSync Amazon EFS, wie z. B. Datenübertragungsraten, Größenbeschränkungen und regionale Verfügbarkeit. Weitere Informationen finden Sie unter [ DataSync AWS-Kontingente](https://docs.aws.amazon.com/datasync/latest/userguide/datasync-limits.html) und [Amazon EFS-Kontingente](https://docs.aws.amazon.com/efs/latest/ug/limits.html).
+ Diese Lösung unterstützt nur Amazon EFS. DataSync unterstützt [andere AWS-Services](https://docs.aws.amazon.com/datasync/latest/userguide/working-with-locations.html) wie Amazon Simple Storage Service (Amazon S3) und Amazon FSx for Lustre. Diese Lösung erfordert jedoch Änderungen, um Daten mit diesen anderen Diensten zu synchronisieren.
## Architektur
![\[Architekturdiagramm für die Replikation von Daten in ein EFS-Dateisystem in einer anderen Region\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e28ba6c2-ab8b-4812-932e-f038106d5496/images/18b35ae9-a22e-43e7-b7a3-30e40321c44e.png)
Diese Lösung stellt die folgenden AWS-CDK-Stacks bereit:
+ **Amazon VPC-Stack** — Dieser Stack richtet Virtual Private Cloud (VPC) -Ressourcen ein, darunter Subnetze, ein Internet-Gateway und ein NAT-Gateway sowohl in der primären als auch in der sekundären AWS-Region.
+ **Amazon EFS-Stack** — Dieser Stack stellt Amazon EFS-Dateisysteme in den primären und sekundären Regionen bereit und verbindet sie mit ihren jeweiligen VPCs Regionen.
+ ** EC2 Amazon-Stack** — Dieser Stack startet EC2 Instances in der primären und sekundären Region. Diese Instances sind so konfiguriert, dass sie das Amazon EFS-Dateisystem mounten, wodurch sie auf den gemeinsam genutzten Speicher zugreifen können.
+ **DataSync Standort-Stack** — Dieser Stack verwendet ein benutzerdefiniertes Konstrukt, das aufgerufen wird`DataSyncLocationConstruct`, um DataSync Standortressourcen in den primären und sekundären Regionen zu erstellen. Diese Ressourcen definieren Endpunkte für die Datensynchronisierung.
+ **DataSync Aufgabenstapel** — Dieser Stapel verwendet ein benutzerdefiniertes Konstrukt`DataSyncTaskConstruct`, das aufgerufen wird, um eine DataSync Aufgabe in der primären Region zu erstellen. Diese Aufgabe ist so konfiguriert, dass Daten zwischen der primären und der sekundären Region mithilfe der DataSync Quell- und Zielorte synchronisiert werden.
## Tools
**AWS-Services**
+ Das [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/latest/guide/home.html) ist ein Softwareentwicklungs-Framework, das Sie bei der Definition und Bereitstellung der AWS-Cloud-Infrastruktur im Code unterstützt.
+ [AWS DataSync](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html) ist ein Online-Datenübertragungs- und Erkennungsservice, mit dem Sie Dateien oder Objektdaten zu, von und zwischen AWS-Speicherservices verschieben können.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) bietet skalierbare Rechenkapazität in der AWS-Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) unterstützt Sie bei der Erstellung und Konfiguration gemeinsam genutzter Dateisysteme in der AWS-Cloud.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der skalierbaren Infrastruktur von AWS.
**Code-Repository**
Der Code für dieses Muster ist im GitHub [Amazon EFS Cross-Region DataSync Project](https://github.com/aws-samples/aws-efs-crossregion-datasync/tree/main) Repository verfügbar.
## Best Practices
Folgen Sie den unter Bewährte Methoden [für die Verwendung des AWS-CDK bei der Erstellung von TypeScript IaC-Projekten beschriebenen bewährten](https://docs.aws.amazon.com/prescriptive-guidance/latest/best-practices-cdk-typescript-iac/introduction.html) Methoden.
## Epen
### Stellen Sie die AWS CDK-App bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Projekt-Repository. | Geben Sie den folgenden Befehl ein, um das [Amazon EFS Cross-Region DataSync Project-Repository](https://github.com/aws-samples/aws-efs-crossregion-datasync/tree/main) zu klonen.git clone https://github.com/aws-samples/aws-efs-crossregion-datasync.git
| AWS DevOps |
| Installieren Sie die NPM-Abhängigkeiten. | Geben Sie den folgenden Befehl ein.npm ci
| AWS DevOps |
| Wählen Sie die primäre und die sekundäre Region aus. | Navigieren Sie im geklonten Repository zum `src/infa` Verzeichnis. Aktualisieren Sie in der `Launcher.ts` Datei die `SECONDARY_AWS_REGION` Werte `PRIMARY_AWS_REGION` und. Verwenden Sie die entsprechenden [Regionalcodes](https://docs.aws.amazon.com/general/latest/gr/datasync.html#datasync-region).const primaryRegion = { account: account, region: '' };
const secondaryRegion = { account: account, region: '' }; | AWS DevOps |
| Bootstrapping für die Umgebung. | Geben Sie den folgenden Befehl ein, um das AWS-Konto und die AWS-Region, die Sie verwenden möchten, zu booten.cdk bootstrap /
Weitere Informationen finden Sie unter [Bootstrapping](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html) in der AWS CDK-Dokumentation. | AWS DevOps |
| Listet die AWS-CDK-Stacks auf. | Geben Sie den folgenden Befehl ein, um eine Liste der AWS CDK-Stacks in der App anzuzeigen.cdk ls
| AWS DevOps |
| Synthetisieren Sie die AWS-CDK-Stacks. | Geben Sie den folgenden Befehl ein, um eine CloudFormation AWS-Vorlage für jeden in der AWS CDK-App definierten Stack zu erstellen.cdk synth
| AWS DevOps |
| Stellen Sie die AWS CDK-App bereit. | Geben Sie den folgenden Befehl ein, um alle Stacks auf Ihrem AWS-Konto bereitzustellen, ohne dass eine manuelle Genehmigung für Änderungen erforderlich ist.cdk deploy --all --require-approval never
| AWS DevOps |
### Validieren Sie die Bereitstellung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Melden Sie sich bei der EC2 Instanz in der primären Region an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/synchronize-data-between-amazon-efs-file-systems-in-different-aws-regions-by-using-aws-datasync.html) | AWS DevOps |
| Erstellen Sie eine temporäre Datei. | Geben Sie den folgenden Befehl ein, um eine temporäre Datei im Amazon EFS-Mountpfad zu erstellen.sudo dd if=/dev/zero \
of=tmptst.dat \
bs=1G \
seek=5 \
count=0
ls -lrt tmptst.dat
| AWS DevOps |
| Starten Sie die DataSync Aufgabe. | Geben Sie den folgenden Befehl ein, um die temporäre Datei von der primären Region in die sekundäre Region zu replizieren. Dabei `` handelt es sich um den Amazon-Ressourcennamen (ARN) Ihrer DataSync Aufgabe.aws datasync start-task-execution \
--task-arn
Der Befehl gibt den ARN der Aufgabenausführung im folgenden Format zurück.`arn:aws:datasync:::task/task-execution/` | AWS DevOps |
| Überprüfen Sie den Status der Datenübertragung. | Geben Sie den folgenden Befehl ein, um die DataSync Ausführungsaufgabe zu beschreiben. Dabei `` handelt es sich um den ARN der Aufgabenausführung.aws datasync describe-task-execution \
--task-execution-arn
Die DataSync Aufgabe ist abgeschlossen`PrepareStatus`, wenn`TransferStatus`, und `VerifyStatus` alle den Wert haben`SUCCESS`. | AWS DevOps |
| Melden Sie sich bei der EC2 Instance in der sekundären Region an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/synchronize-data-between-amazon-efs-file-systems-in-different-aws-regions-by-using-aws-datasync.html) | AWS DevOps |
| Validieren Sie die Replikation. | Geben Sie den folgenden Befehl ein, um zu überprüfen, ob die temporäre Datei im Amazon EFS-Dateisystem vorhanden ist.ls -lrt
tmptst.dat
| AWS DevOps |
## Zugehörige Ressourcen
**AWS-Dokumentation**
+ [AWS-CDK-API-Referenz](https://docs.aws.amazon.com/cdk/api/v2/python/modules.html)
+ [Konfiguration von DataSync AWS-Übertragungen mit Amazon EFS](https://docs.aws.amazon.com/datasync/latest/userguide/create-efs-location.html)
+ [Behebung von Problemen mit DataSync AWS-Übertragungen](https://docs.aws.amazon.com/datasync/latest/userguide/troubleshooting-datasync-locations-tasks.html)
**Andere AWS-Ressourcen**
+ [AWS DataSync FAQs](https://aws.amazon.com/datasync/faqs/)
# Testen Sie die AWS Infrastruktur mithilfe LocalStack von Terraform-Tests
*Ivan Girardi und Ioannis Kalyvas, Amazon Web Services*
## Zusammenfassung
Dieses Muster hilft Ihnen, Infrastruktur als Code (IaC) für AWS in Terraform lokal zu testen, ohne die Infrastruktur in Ihrer Umgebung bereitstellen zu müssen. AWS Es integriert das [Terraform](https://developer.hashicorp.com/terraform/language/tests) Tests-Framework mit. [LocalStack](https://github.com/localstack/localstack) Der LocalStack Docker-Container bietet eine lokale Entwicklungsumgebung, die verschiedene emuliert. AWS-Services Auf diese Weise können Sie Infrastrukturbereitstellungen testen und iterieren, ohne dass Kosten in der entstehen. AWS Cloud
Diese Lösung bietet die folgenden Vorteile:
+ **Kostenoptimierung** — Die Durchführung von Tests gegen LocalStack macht die Verwendung überflüssig AWS-Services. Dies verhindert, dass Ihnen Kosten entstehen, die mit der Erstellung, dem Betrieb und der Änderung dieser AWS Ressourcen verbunden sind.
+ **Geschwindigkeit und Effizienz** — Lokales Testen ist in der Regel auch schneller als das Bereitstellen der AWS Ressourcen. Diese schnelle Feedback-Schleife beschleunigt Entwicklung und Debugging. Da sie lokal LocalStack ausgeführt wird, können Sie Ihre Terraform-Konfigurationsdateien ohne Internetverbindung entwickeln und testen. Sie können Terraform-Konfigurationsdateien lokal debuggen und sofort Feedback erhalten, was den Entwicklungsprozess rationalisiert.
+ **Konsistenz und Reproduzierbarkeit** — LocalStack bietet eine konsistente Testumgebung. Diese Konsistenz trägt dazu bei, dass Tests unabhängig von externen AWS Änderungen oder Netzwerkproblemen zu den gleichen Ergebnissen führen.
+ **Isolierung** — Das Testen mit LocalStack verhindert, dass Sie versehentlich AWS Live-Ressourcen oder Produktionsumgebungen beeinträchtigen. Diese Isolierung macht es sicher, verschiedene Konfigurationen zu experimentieren und zu testen.
+ **Automatisierung** [— Durch die Integration mit einer CI/CD-Pipeline (Continuous Integration and Continuous Delivery) können Sie Terraform-Konfigurationsdateien automatisch testen.](https://developer.hashicorp.com/terraform/language/files) Die Pipeline testet den IaC vor der Bereitstellung gründlich.
+ **Flexibilität** — Sie können verschiedene AWS-Regionen, und Servicekonfigurationen simulieren AWS-Konten, um sie besser an Ihre Produktionsumgebungen anzupassen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ [Installieren von Docker](https://docs.docker.com/get-started/get-docker/)
+ [Aktivieren Sie den Zugriff auf](https://docs.docker.com/reference/cli/dockerd/#daemon-socket-option) den Standard-Docker-Socket (`/var/run/docker.sock`). Weitere Informationen finden Sie in der [LocalStack -Dokumentation](https://docs.localstack.cloud/user-guide/aws/lambda/#migrating-to-lambda-v2).
+ [Installieren Sie Docker](https://docs.docker.com/compose/install/) Compose
+ [Installieren Sie](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) Terraform Version 1.6.0 oder höher
+ [Installieren Sie](https://developer.hashicorp.com/terraform/cli) Terraform CLI
+ [Konfigurieren Sie den Terraform-Anbieter](https://hashicorp.github.io/terraform-provider-aws/) AWS
+ (Optional) [Installieren](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfigurieren](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) Sie das AWS Command Line Interface ()AWS CLI. Ein Beispiel für die Verwendung von with finden Sie in den AWS CLI GitHub [Repositorien Test AWS infrastructure using LocalStack und Terraform Tests](https://github.com/aws-samples/localstack-terraform-test). LocalStack
**Einschränkungen**
+ Dieses Muster enthält explizite Beispiele für das Testen von Amazon Simple Storage Service (Amazon S3), AWS Lambda AWS Step Functions, und Amazon DynamoDB DynamoDB-Ressourcen. Sie können diese Lösung jedoch um zusätzliche AWS Ressourcen erweitern.
+ Dieses Muster enthält Anweisungen zum lokalen Ausführen von Terraform-Tests. Sie können Tests jedoch in jede CI/CD Pipeline integrieren.
+ Dieses Muster enthält Anweisungen zur Verwendung des LocalStack Community-Images. Wenn Sie das LocalStack Pro-Image verwenden, lesen Sie in der [LocalStack Pro-Dokumentation](https://hub.docker.com/r/localstack/localstack-pro) nach.
+ LocalStack bietet Emulationsdienste für verschiedene AWS APIs. Eine vollständige Liste finden Sie unter Umfang der [AWS Servicefunktionen.](https://docs.localstack.cloud/user-guide/aws/feature-coverage/) Für einige erweiterte Funktionen ist möglicherweise ein Abonnement für LocalStack Pro erforderlich.
## Architektur
Das folgende Diagramm zeigt die Architektur für diese Lösung. Die Hauptkomponenten sind ein Quellcode-Repository, eine CI/CD Pipeline und ein LocalStack Docker-Container. Der LocalStack Docker-Container hostet lokal Folgendes: AWS-Services
+ Ein Amazon S3 S3-Bucket zum Speichern von Dateien
+ Amazon CloudWatch für die Überwachung und Protokollierung
+ Eine AWS Lambda Funktion zum Ausführen von serverlosem Code
+ Eine AWS Step Functions Zustandsmaschine zur Orchestrierung mehrstufiger Workflows
+ Eine Amazon DynamoDB-Tabelle zum Speichern von NoSQL-Daten
![\[Eine CI/CD Pipeline erstellt und testet den LocalStack Docker-Container und die AWS-Ressourcen.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/34bfbdbf-14e7-42a0-9022-c85a9c30cdcd/images/dc61fac9-b92c-4841-9132-ff8bb865eed9.png)
Das Diagramm zeigt den folgenden Workflow:
1. Sie fügen eine Terraform-Konfigurationsdatei hinzu und übertragen sie in das Quellcode-Repository.
1. Die CI/CD Pipeline erkennt die Änderungen und leitet einen Build-Prozess für die statische Terraform-Codeanalyse ein. Die Pipeline erstellt und führt den LocalStack Docker-Container aus. Dann startet die Pipeline den Testprozess.
1. Die Pipeline lädt ein Objekt in einen Amazon S3 S3-Bucket hoch, der im LocalStack Docker-Container gehostet wird.
1. Durch das Hochladen des Objekts wird eine Funktion aufgerufen. AWS Lambda
1. Die Lambda-Funktion speichert die Amazon S3 S3-Ereignisbenachrichtigung in einem CloudWatch Protokoll.
1. Die Lambda-Funktion startet eine AWS Step Functions Zustandsmaschine.
1. Die Zustandsmaschine schreibt den Namen des Amazon S3 S3-Objekts in eine DynamoDB-Tabelle.
1. Der Testprozess in der CI/CD Pipeline überprüft, ob der Name des hochgeladenen Objekts mit dem Eintrag in der DynamoDB-Tabelle übereinstimmt. Außerdem wird überprüft, ob der S3-Bucket mit dem angegebenen Namen bereitgestellt wurde und ob die AWS Lambda Funktion erfolgreich bereitgestellt wurde.
## Tools
**AWS-Services**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Funktionen und andere Funktionen kombinieren können, um geschäftskritische AWS-Services Anwendungen zu erstellen.
**Andere Tools**
+ [Docker](https://www.docker.com/) ist eine Reihe von Platform-as-a-Service (PaaS) -Produkten, die Virtualisierung auf Betriebssystemebene nutzen, um Software in Containern bereitzustellen.
+ [Docker Compose](https://docs.docker.com/compose/) ist ein Tool zum Definieren und Ausführen von Multi-Container-Anwendungen.
+ [LocalStack](https://localstack.cloud)ist ein Cloud-Service-Emulator, der in einem einzigen Container läuft. Mithilfe LocalStack von können Sie Workloads auf Ihrem lokalen Computer ausführen, die verwenden AWS-Services, ohne eine Verbindung zu dem herzustellen. AWS Cloud
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool von HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
+ [Terraform Tests](https://developer.hashicorp.com/terraform/language/tests) hilft Ihnen dabei, Aktualisierungen der Terraform-Modulkonfiguration durch Tests zu validieren, die Integrations- oder Komponententests ähneln.
**Code-Repository**
Der Code für dieses Muster ist in den Repositorien GitHub [Test AWS Infrastructure using LocalStack und Terraform Tests](https://github.com/aws-samples/localstack-terraform-test) verfügbar.
## Best Practices
+ Diese Lösung testet die AWS Infrastruktur, die in den Terraform-Konfigurationsdateien angegeben ist, und stellt diese Ressourcen nicht in der bereit. AWS Cloud Wenn Sie die Ressourcen bereitstellen möchten, folgen Sie dem [Prinzip der geringsten Rechte (IAM-Dokumentation) und konfigurieren Sie das Terraform-Backend](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) [ordnungsgemäß (Terraform-Dokumentation](https://developer.hashicorp.com/terraform/language/backend)).
+ Bei der Integration LocalStack in eine CI/CD Pipeline empfehlen wir, den Docker-Container nicht im Rechtemodus auszuführen. LocalStack Weitere Informationen finden Sie unter [Runtime-Rechte und Linux-Funktionen](https://docs.docker.com/engine/containers/run/#runtime-privilege-and-linux-capabilities) (Docker-Dokumentation) und [Sicherheit für selbstverwaltete Runner](https://docs.gitlab.com/runner/security/) (GitLab Dokumentation).
## Epen
### Bereitstellen der Lösung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Geben Sie in einer Bash-Shell den folgenden Befehl ein. Dadurch wird die [AWS Testinfrastruktur mithilfe eines Terraform LocalStack Tests-Repositorys geklont](https://github.com/aws-samples/localstack-terraform-test) von: GitHubgit clone https://github.com/aws-samples/localstack-terraform-test.git
| DevOps Ingenieur |
| Lass den LocalStack Container laufen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/test-aws-infra-localstack-terraform.html) | DevOps Ingenieur |
| Initialisieren Sie Terraform. | Geben Sie den folgenden Befehl ein, um Terraform zu initialisieren:terraform init
| DevOps Ingenieur |
| Führen Sie Terraform-Tests durch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/test-aws-infra-localstack-terraform.html) | DevOps Ingenieur |
| Bereinigen Sie die Ressourcen. | Geben Sie den folgenden Befehl ein, um den LocalStack Container zu zerstören:docker-compose down
| DevOps Ingenieur |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| `Error: reading DynamoDB Table Item (Files\|README.md): empty`Ergebnis beim Ausführen des `terraform test` Befehls. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/test-aws-infra-localstack-terraform.html) |
## Zugehörige Ressourcen
+ [Erste Schritte mit Terraform: Anleitungen für AWS CDK Experten (Prescriptive Guidance](https://docs.aws.amazon.com/prescriptive-guidance/latest/getting-started-terraform/introduction.html)) AWS CloudFormation AWS
+ [Bewährte Methoden für die Verwendung des AWS Terraform](https://docs.aws.amazon.com/prescriptive-guidance/latest/terraform-aws-provider-best-practices/introduction.html) Providers (Prescriptive Guidance)AWS
+ [Terraform CI/CD und das weitere Testen AWS mit dem neuen Terraform Test Framework](https://aws.amazon.com/blogs/devops/terraform-ci-cd-and-testing-on-aws-with-the-new-terraform-test-framework/) (Blogbeitrag)AWS
+ [Beschleunigte Softwarebereitstellung mit LocalStack Cloud Emulator](https://aws.amazon.com/blogs/awsmarketplace/accelerating-software-delivery-localstack-cloud-emulator-aws-marketplace/) von (Blogbeitrag) AWS MarketplaceAWS
## Zusätzliche Informationen
**Integration mit Aktionen GitHub **
Mithilfe GitHub von Aktionen können Sie Tests LocalStack und Terraform-Tests in eine CI/CD Pipeline integrieren. Weitere Informationen finden Sie in der Dokumentation zu [GitHub Aktionen](https://docs.github.com/en/actions). Im Folgenden finden Sie ein Beispiel für eine GitHub Actions-Konfigurationsdatei:
```
name: LocalStack Terraform Test
on:
push:
branches:
- '**'
workflow_dispatch: {}
jobs:
localstack-terraform-test:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Build and Start LocalStack Container
run: |
docker compose up -d
- name: Setup Terraform
uses: hashicorp/setup-terraform@v3
with:
terraform_version: latest
- name: Run Terraform Init and Validation
run: |
terraform init
terraform validate
terraform fmt --recursive --check
terraform plan
terraform show
- name: Run Terraform Test
run: |
terraform test
- name: Stop and Delete LocalStack Container
if: always()
run: docker compose down
```
# Aktualisieren Sie SAP Pacemaker-Cluster von ENSA1 auf ENSA2
*Gergely Cerdi und Balas Sandor Skublics, Amazon Web Services*
## Zusammenfassung
In diesem Muster werden die Schritte und Überlegungen für das Upgrade eines SAP Pacemaker-Clusters, das auf dem Standalone Enqueue Server () basiert, auf erklärt. ENSA1 ENSA2 Die Informationen in diesem Muster gelten sowohl für die Betriebssysteme SUSE Linux Enterprise Server (SLES) als auch für Red Hat Enterprise Linux (RHEL).
Pacemaker-Cluster auf SAP NetWeaver 7.52 oder S/4HANA 1709 und früheren Versionen laufen auf einer Architektur und sind speziell für sie konfiguriert. ENSA1 ENSA1 Wenn Sie Ihre SAP-Workloads auf Amazon Web Services (AWS) ausführen und daran interessiert sind ENSA2, zu wechseln, stellen Sie möglicherweise fest, dass die SAP-, SUSE- und RHEL-Dokumentation keine umfassenden Informationen enthält. Dieses Muster beschreibt die technischen Schritte, die zur Neukonfiguration von SAP-Parametern und Pacemaker-Clustern für das Upgrade von zu erforderlich sind. ENSA1 ENSA2 Es enthält Beispiele für SUSE-Systeme, aber das Konzept ist dasselbe für RHEL-Cluster.
**Anmerkung**
ENSA1 und ENSA2 sind Konzepte, die sich nur auf SAP-Anwendungen beziehen, sodass die Informationen in diesem Muster nicht für SAP HANA oder andere Clustertypen gelten.
**Anmerkung**
Technisch gesehen ENSA2 kann es mit oder ohne Enqueue Replicator 2 verwendet werden. Für Hochverfügbarkeit (HA) und Failover-Automatisierung (durch eine Cluster-Lösung) ist jedoch Enqueue Replicator 2 erforderlich. In diesem Muster wird der Begriff *ENSA2 Cluster für Cluster* mit Standalone Enqueue Server 2 und Enqueue Replicator 2 verwendet.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein funktionierender ENSA1 Cluster, der Pacemaker und Corosync auf SLES oder RHEL verwendet.
+ Mindestens zwei Amazon Elastic Compute Cloud (Amazon EC2) -Instances, auf denen die (ABAP) SAP Central Services (ASCS/SCS) und Enqueue Replication Server (ERS) -Instances ausgeführt werden.
+ Kenntnisse in der Verwaltung von SAP-Anwendungen und -Clustern.
+ Zugriff auf die Linux-Umgebung als Root-Benutzer.
**Einschränkungen**
+ ENSA1basierte Cluster unterstützen nur eine Architektur mit zwei Knoten.
+ ENSA2basierte Cluster können nicht für NetWeaver SAP-Versionen vor 7.52 bereitgestellt werden.
+ EC2 Instanzen in Clustern sollten sich in verschiedenen AWS-Verfügbarkeitszonen befinden.
**Produktversionen**
+ NetWeaver SAP-Version 7.52 oder höher
+ Ab S/4HANA 2020 werden nur Cluster unterstützt ENSA2
+ Kernel 7.53 oder höher, der Enqueue Replicator 2 unterstützt ENSA2
+ SLES für SAP-Anwendungen Version 12 oder höher
+ RHEL für SAP mit High Availability (HA) Version 7.9 oder höher
## Architektur
**Quelltechnologie-Stack**
+ SAP NetWeaver 7.52 mit SAP Kernel 7.53 oder höher
+ SLES- oder RHEL-Betriebssystem
**Zieltechnologie-Stack**
+ SAP NetWeaver 7.52 mit SAP Kernel 7.53 oder höher, einschließlich S/4HANA 2020 mit ABAP-Plattform
+ SLES- oder RHEL-Betriebssystem
**Zielarchitektur**
Das folgende Diagramm zeigt eine HA-Konfiguration von ASCS/SCS und ERS-Instanzen, die auf einem ENSA2 Cluster basieren.
![\[HA-Architektur für ASCS/SCS und ERS-Instanzen auf einem ENSA2 Cluster\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/c32560de-901f-4796-a6b3-c08c109b22c8/images/19501713-0ddf-4242-9ea3-90478200a19e.png)
**Vergleich von ENSA1 und ENSA2 Clustern**
SAP wurde ENSA2 als Nachfolger von eingeführt ENSA1. Ein ENSA1 basierter Cluster unterstützt eine Architektur mit zwei Knoten, bei der die ASCS/SCS Instanz bei Auftreten eines Fehlers ein Failover zu ERS durchführt. Diese Einschränkung ergibt sich aus der Art und Weise, wie die ASCS/SCS Instance nach einem Failover die Informationen der Sperrtabelle aus dem gemeinsamen Speicher des ERS-Knotens wiedererlangt. ENSA2Auf Basis von Clustern mit Enqueue Replicator 2 entfällt diese Einschränkung, da die ASCS/SCS Instance die Sperrinformationen von der ERS-Instance über das Netzwerk sammeln kann. ENSA2basierte Cluster können mehr als zwei Knoten haben, da für die ASCS/SCS Instanz kein Failover zum ERS-Knoten mehr erforderlich ist. (In einer ENSA2 Cluster-Umgebung mit zwei Knoten führt die ASCS/SCS Instance jedoch immer noch ein Failover zum ERS-Knoten durch, da es im Cluster keine anderen Knoten gibt, auf die ein Failover durchgeführt werden kann.) ENSA2 wird ab SAP Kernel 7.50 mit einigen Einschränkungen unterstützt. Für ein HA-Setup, das Enqueue Replicator 2 unterstützt, ist die Mindestanforderung NetWeaver 7.52 (siehe [SAP OSS](https://launchpad.support.sap.com/#/notes/2630416) Hinweis 2630416). S/4HANA 1809 wird standardmäßig mit einer empfohlenen ENSA2 Architektur geliefert, wohingegen S/4HANA erst ab Version 2020 unterstützt. ENSA2
**Automatisierung und Skalierung**
Der HA-Cluster in der Zielarchitektur sorgt dafür, dass ASCS automatisch auf andere Knoten umschaltet.
**Szenarien für die Umstellung auf ENSA2 basierte Cluster**
Es gibt zwei Hauptszenarien für das Upgrade auf ENSA2 basierte Cluster:
+ Szenario 1: Sie entscheiden sich für ein Upgrade ENSA2 ohne begleitendes SAP-Upgrade oder S/4HANA-Konvertierung, vorausgesetzt, dass Ihr SAP-Release und Ihre Kernel-Version dies unterstützen. ENSA2
+ Szenario 2: Sie wechseln im ENSA2 Rahmen eines Upgrades oder einer Konvertierung (z. B. zu S/4HANA 1809 oder höher), indem Sie SUM verwenden.
Der Abschnitt [Epics](#upgrade-sap-pacemaker-clusters-from-ensa1-to-ensa2-epics) behandelt die Schritte für diese beiden Szenarien. Im ersten Szenario müssen Sie SAP-bezogene Parameter manuell einrichten, bevor Sie die Clusterkonfiguration für ändern. ENSA2 Im zweiten Szenario werden die Binärdateien und SAP-bezogenen Parameter von SUM bereitgestellt, und Ihre einzige verbleibende Aufgabe besteht darin, die Clusterkonfiguration für HA zu aktualisieren. Wir empfehlen weiterhin, die SAP-Parameter zu überprüfen, nachdem Sie SUM verwendet haben. In den meisten Fällen ist die S/4HANA-Konvertierung der Hauptgrund für ein Cluster-Upgrade.
## Tools
+ Für Betriebssystem-Paketmanager empfehlen wir die Tools Zypper (für SLES) oder YUM (für RHEL).
+ Für die Clusterverwaltung empfehlen wir crm-Shells (**für** SLES) oder **pcs-Shells** (für RHEL).
+ Tools zur SAP-Instanzverwaltung wie. SAPControl
+ (Optional) SUM-Tool für das Upgrade der S/4HANA-Konvertierung.
## Best Practices
+ Bewährte Methoden für die Verwendung von SAP-Workloads auf AWS finden Sie im [SAP Lens for the](https://docs.aws.amazon.com/wellarchitected/latest/sap-lens/sap-lens.html) AWS Well-Architected Framework.
+ Berücksichtigen Sie die Anzahl der Clusterknoten (ungerade oder gerade) in Ihrer ENSA2 Architektur mit mehreren Knoten.
+ Richten Sie den ENSA2 Cluster für SLES 15 gemäß dem SAP S/4-HA-CLU 1.0-Zertifizierungsstandard ein.
+ Speichern oder sichern Sie immer Ihren vorhandenen Cluster- und Anwendungsstatus, bevor Sie ein Upgrade auf durchführen. ENSA2
## Epen
### Konfigurieren Sie SAP-Parameter manuell für ENSA2 (nur Szenario 1)
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie die Parameter im Standardprofil. | Wenn Sie auf dieselbe SAP-Version aktualisieren möchten ENSA2 oder wenn Ihre Zielversion standardmäßig auf die Standardversion eingestellt ist ENSA1, setzen Sie die Parameter im Standardprofil (Datei DEFAULT.PFL) auf die folgenden Werte.enq/enable=TRUE
enq/serverhost=sapascsvirt
enq/serverinst=10 (instance number of ASCS/SCS instance)
enque/process_location=REMOTESA
enq/replicatorhost=sapersvirt
enq/replicatorinst=11 (instance number of ERS instance)
wo `sapascsvirt` ist der virtuelle Hostname für die ASCS-Instanzen und `sapersvirt` der virtuelle Hostname für die ERS-Instanzen. Sie können diese an Ihre Zielumgebung anpassen.Um diese Upgrade-Option verwenden zu können, müssen Ihr SAP-Release und Ihre Kernel-Version Enqueue Replicator 2 unterstützen ENSA2 . | SAP |
| Konfigurieren Sie das ASCS/SCS Instanzprofil. | Wenn Sie auf dieselbe SAP-Version aktualisieren möchten ENSA2 oder wenn Ihre Zielversion standardmäßig auf die Standardversion eingestellt ist ENSA1, legen Sie die folgenden Parameter im ASCS/SCS Instanzprofil fest. Der Abschnitt des Profils, in dem definiert ENSA1 ist, sieht ungefähr wie folgt aus.#--------------------------------------------------------------
Start SAP enqueue server
#--------------------------------------------------------------
_EN = en.sap$(SAPSYSTEMNAME)$(INSTANCE_NAME)
Execute_04 = local rm -f $(_EN)
Execute_05 = local ln -s -f $(DIR_EXECUTABLE)/enserver$(FT_EXE) $(_EN)
Start_Program_01 = local $(_EN) pf=$(_PF)
Um diesen Abschnitt neu zu konfigurieren für ENSA2:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/upgrade-sap-pacemaker-clusters-from-ensa1-to-ensa2.html)Dieser Profilbereich würde nach Ihren Änderungen etwa wie folgt aussehen.#--------------------------------------------------------------
Start SAP enqueue server
#--------------------------------------------------------------
_ENQ = enq.sap$(SAPSYSTEMNAME)$(INSTANCE_NAME)
Execute_04 = local rm -f $(_ENQ)
Execute_05 = local ln -s -f $(DIR_EXECUTABLE)/enq_server$(FT_EXE) $(_ENQ)
Start_Program_01 = local $(_ENQ) pf=$(_PF)
...
enq/server/replication/enable = TRUE
Autostart = 0
`_ENQ`Die Neustartoption darf nicht aktiviert sein. Wenn auf eingestellt `RestartProgram_01` ist`_ENQ`, ändern Sie es in`StartProgram_01`. Dadurch wird verhindert, dass SAP den Dienst neu startet oder die clusterverwalteten Ressourcen beeinträchtigt. | SAP |
| Konfigurieren Sie das ERS-Profil. | Wenn Sie auf dieselbe SAP-Version aktualisieren möchten ENSA2 oder wenn Ihre Zielversion standardmäßig auf die Standardversion eingestellt ist ENSA1, legen Sie die folgenden Parameter im ERS-Instanzprofil fest.Suchen Sie den Abschnitt, in dem der Enqueue-Replikator definiert ist. Er wird dem Folgenden ähnlich sein.#------------------------------------------------------
Start enqueue replication server
#------------------------------------------------------
_ER = er.sap$(SAPSYSTEMNAME)$(INSTANCE_NAME)
Execute_03 = local rm -f $(_ER)
Execute_04 = local ln -s -f $(DIR_EXECUTABLE)/enrepserver$(FT_EXE) $(_ER)
Start_Program_00 = local $(_ER) pf=$(_PF) NR=$(SCSID)
Um diesen Abschnitt für Enqueue Replicator 2 neu zu konfigurieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/upgrade-sap-pacemaker-clusters-from-ensa1-to-ensa2.html)Dieser Profilbereich sollte nach Ihren Änderungen etwa wie folgt aussehen.#------------------------------------------------------
Start enqueue replication server
#------------------------------------------------------
_ENQR = enqr.sap$(SAPSYSTEMNAME)$(INSTANCE_NAME)
Execute_01 = local rm -f $(_ENQR)
Execute_02 = local ln -s -f $(DIR_EXECUTABLE)/enq_replicator$(FT_EXE) $(_ENQR)
Start_Program_00 = local $(_ENQR) pf=$(_PF) NR=$(SCSID)
…
Autostart = 0
`_ENQR`Die Neustartoption darf nicht aktiviert sein. Wenn auf eingestellt `RestartProgram_01` ist`_ENQR`, ändern Sie es in`StartProgram_01`. Dadurch wird verhindert, dass SAP den Dienst neu startet oder die clusterverwalteten Dienste beeinträchtigt. | SAP |
| Starten Sie SAP Start Services neu. | Nachdem Sie die zuvor in diesem Epic beschriebenen Profile geändert haben, starten Sie SAP Start Services für beide ASCS/SCS und ERS neu.`sapcontrol -nr 10 -function RestartService SCT``sapcontrol -nr 11 -function RestartService SCT`wobei `SCT` auf die SAP-System-ID Bezug genommen wird, wobei davon ausgegangen wird, dass 10 und 11 die Instanznummern für ASCS/SCS bzw. ERS-Instanzen sind. | SAP |
### Konfigurieren Sie den Cluster für neu ENSA2 (für beide Szenarien erforderlich)
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie die Versionsnummern in den SAP-Ressourcenagenten. | Wenn Sie SUM verwenden, um SAP auf S/4HANA 1809 oder höher zu aktualisieren, verarbeitet SUM die Parameteränderungen in den SAP-Profilen. Nur der Cluster muss manuell angepasst werden. Wir empfehlen jedoch, die Parametereinstellungen zu überprüfen, bevor Sie Änderungen am Cluster vornehmen.Bei den Beispielen in diesem Epos wird davon ausgegangen, dass Sie das SUSE-Betriebssystem verwenden. **Wenn Sie RHEL verwenden, müssen Sie Tools wie YUM und die **PCS-Shell** anstelle von Zypper und crm verwenden.**Überprüfen Sie beide Knoten in der Architektur, um sicherzustellen, dass das `resource-agents` Paket der von SAP empfohlenen Mindestversion entspricht. Informationen zu SLES finden Sie in der SAP-OSS-Anmerkung 2641019. Informationen zu RHEL finden Sie im SAP OSS-Hinweis 2641322. (Für SAP-Hinweise ist ein [SAP ONE Support Launchpad-Benutzerkonto](https://support.sap.com/en/my-support/knowledge-base.html) erforderlich.)sapers:sctadm 23> zypper search -s -i resource-agents
Loading repository data...
Reading installed packages...
S | Name | Type | Version | Arch | Repository
--+-----------------+---------+------------------------------------+--------+-----------------------------
i | resource-agents | package | 4.8.0+git30.d0077df0-150300.8.28.1 | x86_64 | SLE-Product-HA15-SP3-Updates
Aktualisieren Sie die `resource-agents` Version, falls erforderlich. | AWS-Systemadministrator |
| Sichern Sie die Cluster-Konfiguration. | Sichern Sie die CRM-Clusterkonfiguration wie folgt.`crm configure show > /tmp/cluster_config_backup.txt` | AWS-Systemadministrator |
| Stellen Sie den Wartungsmodus ein. | Stellen Sie den Cluster in den Wartungsmodus.`crm configure property maintenance-mode="true"` | AWS-Systemadministrator |
| Überprüfen Sie die Cluster-Konfiguration. | Überprüfen Sie die aktuelle Clusterkonfiguration.`crm configure show`Hier ist ein Auszug aus der vollständigen Ausgabe:node 1: sapascs
node 2: sapers
...
primitive rsc_sap_SCT_ASCS10 SAPInstance \
operations $id=rsc_sap_SCT_ASCS10-operations \
op monitor interval=120 timeout=60 on-fail=restart \
params InstanceName=SCT_ASCS10_sapascsvirt START_PROFILE="/sapmnt/SCT/profile/SCT_ASCS10_sapascsvirt" \
AUTOMATIC_RECOVER=false \
meta resource-stickiness=5000 failure-timeout=60 migration-threshold=1 priority=10
primitive rsc_sap_SCT_ERS11 SAPInstance \
operations $id=rsc_sap_SCT_ERS11-operations \
op monitor interval=120 timeout=60 on-fail=restart \
params InstanceName=SCT_ERS11_sapersvirt START_PROFILE="/sapmnt/SCT/profile/SCT_ERS11_sapersvirt" \
AUTOMATIC_RECOVER=false IS_ERS=true \
meta priority=1000
...
colocation col_sap_SCT_no_both -5000: grp_SCT_ERS11 grp_SCT_ASCS10
location loc_sap_SCT_failover_to_ers rsc_sap_SCT_ASCS10 \
rule 2000: runs_ers_SCT eq 1
order ord_sap_SCT_first_start_ascs Optional: rsc_sap_SCT_ASCS10:start rsc_sap_SCT_ERS11:stop symmetrical=false
...
wo `sapascsvirt` sich auf den virtuellen Hostnamen für die ASCS-Instanzen `sapersvirt` bezieht, sich auf den virtuellen Hostnamen für die ERS-Instanzen bezieht und `SCT` sich auf die SAP-System-ID bezieht. | AWS-Systemadministrator |
| Entfernen Sie die Failover-Colocation-Einschränkung. | Im vorherigen Beispiel `loc_sap_SCT_failover_to_ers` gibt die Standortbeschränkung an, dass die ENSA1 ASCS-Funktion beim Failover immer der ERS-Instanz folgen soll. Mit sollte ASCS in der Lage sein ENSA2, ungehindert ein Failover zu allen beteiligten Knoten durchzuführen, sodass Sie diese Einschränkung aufheben können.`crm configure delete loc_sap_SCT_failover_to_ers` | AWS-Systemadministrator |
| Passen Sie die Primitive an. | Sie müssen auch geringfügige Änderungen an den ASCS SAPInstance - und ERS-Primitiven vornehmen.Hier ist ein Beispiel für ein SAPInstance ASCS-Primitiv, für das konfiguriert ist. ENSA1primitive rsc_sap_SCT_ASCS10 SAPInstance \
operations $id=rsc_sap_SCT_ASCS10-operations \
op monitor interval=120 timeout=60 on-fail=restart \
params InstanceName=SCT_ASCS10_sapascsvirt START_PROFILE="/sapmnt/SCT/profile/SCT_ASCS10_sapascsvirt" \
AUTOMATIC_RECOVER=false \
meta resource-stickiness=5000 failure-timeout=60 migration-threshold=1 priority=10
Um ein Upgrade auf durchzuführen ENSA2, ändern Sie diese Konfiguration wie folgt.primitive rsc_sap_SCT_ASCS10 SAPInstance \
operations $id=rsc_sap_SCT_ASCS10-operations \
op monitor interval=120 timeout=60 on-fail=restart \
params InstanceName=SCT_ASCS10_sapascsvirt START_PROFILE="/sapmnt/SCT/profile/SCT_ASCS10_sapascsvirt" \
AUTOMATIC_RECOVER=false \
meta resource-stickiness=3000
Dies ist ein Beispiel für ein SAPInstance ERS-Primitiv, für das konfiguriert ist ENSA1.primitive rsc_sap_SCT_ERS11 SAPInstance \
operations $id=rsc_sap_SCT_ERS11-operations \
op monitor interval=120 timeout=60 on-fail=restart \
params InstanceName=SCT_ERS11_sapersvirt START_PROFILE="/sapmnt/SCT/profile/SCT_ERS11_sapersvirt" \
AUTOMATIC_RECOVER=false IS_ERS=true \
meta priority=1000
Um ein Upgrade durchzuführen ENSA2, ändern Sie diese Konfiguration wie folgt.primitive rsc_sap_SCT_ERS11 SAPInstance \
operations $id=rsc_sap_SCT_ERS11-operations \
op monitor interval=120 timeout=60 on-fail=restart \
params InstanceName=SCT_ERS11_sapersvirt START_PROFILE="/sapmnt/SCT/profile/SCT_ERS11_sapersvirt" \
AUTOMATIC_RECOVER=false IS_ERS=true
Sie können Primitive auf verschiedene Arten ändern. Sie können sie beispielsweise in einem Editor wie vi überarbeiten, wie im folgenden Beispiel.`crm configure edit rsc_sap_SCT_ERS11` | AWS-Systemadministrator |
| Deaktivieren Sie den Wartungsmodus. | Deaktivieren Sie den Wartungsmodus auf dem Cluster.`crm configure property maintenance-mode="false"`Wenn sich der Cluster außerhalb des Wartungsmodus befindet, versucht er, die ASCS- und ERS-Instances mit den neuen ENSA2 Einstellungen online zu schalten. | AWS-Systemadministrator |
### (Optional) Fügen Sie Clusterknoten hinzu
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Informieren Sie sich über bewährte Verfahren. | Bevor Sie weitere Knoten hinzufügen, sollten Sie sich mit den bewährten Methoden vertraut machen, z. B. ob Sie eine ungerade oder eine gerade Anzahl von Knoten verwenden sollten. | AWS-Systemadministrator |
| Knoten hinzufügen. | Das Hinzufügen weiterer Knoten umfasst eine Reihe von Aufgaben, wie z. B. die Aktualisierung des Betriebssystems, die Installation von Softwarepaketen, die den vorhandenen Knoten entsprechen, und die Bereitstellung von Halterungen. Sie können die Option „**Zusätzlichen Host vorbereiten**“ im SAP Software Provisioning Manager (SWPM) verwenden, um eine SAP-spezifische Baseline des Hosts zu erstellen. Weitere Informationen finden Sie in den SAP-Leitfäden, die im nächsten Abschnitt aufgeführt sind. | AWS-Systemadministrator |
## Zugehörige Ressourcen
**SAP- und SUSE-Referenzen**
Um auf SAP Notes zugreifen zu können, benötigen Sie ein SAP ONE Support Launchpad-Benutzerkonto. Weitere Informationen finden Sie auf der [SAP-Supportwebsite](https://support.sap.com/en/my-support/knowledge-base.html).
+ [SAP-Hinweis 2501860 ‒ Dokumentation für den NetWeaver SAP-Anwendungsserver für ABAP 7.52](https://launchpad.support.sap.com/#/notes/2501860)
+ [SAP-Hinweis 2641019 ‒ Installation von ENSA2 und Update von bis ENSA1 in der SUSE HA-Umgebung ENSA2 ](https://launchpad.support.sap.com/#/notes/2641019)
+ [SAP-Hinweis 2641322 ‒ Installation von ENSA2 und Update von ENSA1 bis ENSA2 bei Verwendung der Red Hat HA-Lösungen für SAP](https://launchpad.support.sap.com/#/notes/2641322)
+ [SAP-Hinweis 2711036 ‒ Verwendung des Standalone Enqueue Servers 2 in einer HA-Umgebung](https://launchpad.support.sap.com/#/notes/2711036)
+ [Eigenständiger Enqueue-Server 2 (SAP-Dokumentation)](https://help.sap.com/docs/ABAP_PLATFORM/cff8531bc1d9416d91bb6781e628d4e0/902412f09e134f5bb875adb6db585c92.html)
+ [SAP S/4 HANA ‒ Hochverfügbarkeitscluster von Enqueue Replication 2 — Einrichtungshandbuch](https://documentation.suse.com/sbp/all/html/SAP_S4HA10_SetupGuide-SLE12/index.html) (SUSE-Dokumentation)
**AWS-Referenzen**
+ [SAP HANA on AWS: Leitfaden zur Hochverfügbarkeitskonfiguration für SLES und RHEL](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-hana-on-aws-ha-configuration.html)
+ [SAP Lens — AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/sap-lens/sap-lens.html)
# Verwenden Sie konsistente Availability Zones VPCs für verschiedene AWS-Konten
*Adam Spicer, Amazon Web Services*
## Zusammenfassung
In der Amazon Web Services (AWS) -Cloud hat eine Availability Zone einen Namen, der je nach Ihren AWS-Konten variieren kann, und eine [Availability Zone ID (AZ ID)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html), die ihren Standort identifiziert. Wenn Sie AWS verwenden CloudFormation , um virtuelle private Clouds (VPCs) zu erstellen, müssen Sie beim Erstellen der Subnetze den Namen oder die ID der Availability Zone angeben. Wenn Sie mehrere Konten erstellen VPCs , wird der Name der Availability Zone nach dem Zufallsprinzip ausgewählt, was bedeutet, dass Subnetze in jedem Konto unterschiedliche Availability Zones verwenden.
Um dieselbe Availability Zone für Ihre Konten zu verwenden, müssen Sie den Availability Zone-Namen in jedem Konto derselben AZ-ID zuordnen. Das folgende Diagramm zeigt beispielsweise, dass die `use1-az6` AZ-ID `us-east-1a` in AWS-Konto A und `us-east-1c` AWS-Konto Z benannt ist.
![\[Die use1-az6 AZ-ID heißt us-east-1a in AWS-Konto A und us-east-1c in AWS-Konto Z.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/9954e7f9-d6ce-44bd-af99-0c6bb7cd3cb0/images/23c8a37b-2408-4534-a1e0-bccfa4d7fbe3.png)
Dieses Muster trägt dazu bei, die zonale Konsistenz sicherzustellen, indem es eine kontoübergreifende, skalierbare Lösung für die Verwendung derselben Availability Zones in Ihren Subnetzen bietet. Durch die zonale Konsistenz wird sichergestellt, dass Ihr kontenübergreifender Netzwerkverkehr Netzwerkpfade zwischen Availability Zones vermeidet, wodurch die Datenübertragungskosten gesenkt und die Netzwerklatenz zwischen Ihren Workloads verringert wird.
Dieses Muster ist ein alternativer Ansatz zur CloudFormation [AvailabilityZoneId AWS-Eigenschaft](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-subnet.html#cfn-ec2-subnet-availabilityzoneid).
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Mindestens zwei aktive AWS-Konten in derselben AWS-Region.
+ Prüfen Sie, wie viele Availability Zones zur Unterstützung Ihrer VPC-Anforderungen in der Region erforderlich sind.
+ Identifizieren und notieren Sie die AZ-ID für jede Availability Zone, die Sie unterstützen müssen. Weitere Informationen dazu finden Sie unter [Availability Zone IDs für Ihre AWS-Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) in der AWS Resource Access Manager-Dokumentation.
+ Eine geordnete, durch Kommas getrennte Liste Ihrer AZ. IDs Beispielsweise wird die erste Availability Zone auf Ihrer Liste als zugeordnet`az1`, die zweite Availability Zone als, und diese Zuordnungsstruktur wird fortgesetzt`az2`, bis Ihre kommagetrennte Liste vollständig zugeordnet ist. Es gibt keine maximale Anzahl von AZ, die zugeordnet werden können. IDs
+ Die `az-mapping.yaml` Datei aus dem [Mapping-Repository für die Availability Zone mit GitHub mehreren Konten](https://github.com/aws-samples/multi-account-az-mapping/), die auf Ihren lokalen Computer kopiert wurde
## Architektur
Das folgende Diagramm zeigt die Architektur, die in einem Konto bereitgestellt wird und die Werte für den AWS Systems Manager Parameter Store erstellt. Diese Parameter Store-Werte werden verwendet, wenn Sie eine VPC im Konto erstellen.
![\[Workflow zum Erstellen von Systems Manager Manager-Parameterspeicher-Werten für jede AZ-ID und zum Speichern des AZ-Namens.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/9954e7f9-d6ce-44bd-af99-0c6bb7cd3cb0/images/f1168464-55f8-4efc-9b28-6a0cda668b9e.png)
Das Diagramm zeigt den folgenden Workflow:
1. Die Lösung dieses Musters wird für alle Konten bereitgestellt, die zonale Konsistenz für eine VPC erfordern.
1. Die Lösung erstellt Parameter Store-Werte für jede AZ-ID und speichert den neuen Availability Zone-Namen.
1. Die CloudFormation AWS-Vorlage verwendet den Availability Zone-Namen, der in jedem Parameter Store-Wert gespeichert ist, und dies gewährleistet die zonale Konsistenz.
Das folgende Diagramm zeigt den Arbeitsablauf für die Erstellung einer VPC mit der Lösung dieses Musters.
![\[Der Workflow reicht eine CloudFormation Vorlage ein, um eine VPC mit der richtigen AZ zu erstellen. IDs\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/9954e7f9-d6ce-44bd-af99-0c6bb7cd3cb0/images/cd859430-ac25-479f-b56a-21da24cddf21.png)
Das Diagramm zeigt den folgenden Workflow:
1. Reichen Sie eine Vorlage für die Erstellung einer VPC an AWS CloudFormation ein.
1. AWS CloudFormation löst die Parameter Store-Werte für jede Availability Zone auf und gibt den Availability Zone-Namen für jede AZ-ID zurück.
1. Eine VPC wird mit der richtigen AZ erstellt, die für die zonale Konsistenz IDs erforderlich ist.
Nachdem Sie die Lösung für dieses Muster bereitgestellt haben, können Sie Subnetze erstellen, die auf die Parameter Store-Werte verweisen. Wenn Sie AWS verwenden CloudFormation, können Sie auf die Werte der Availability Zone-Zuordnungsparameter aus dem folgenden YAML-formatierten Beispielcode verweisen:
```
Resources:
PrivateSubnet1AZ1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
CidrBlock: !Ref PrivateSubnetAZ1CIDR
AvailabilityZone:
!Join
- ''
- - '{{resolve:ssm:/az-mapping/az1:1}}'
```
Dieser Beispielcode ist in der `vpc-example.yaml ` Datei aus dem Mapping-Repository für GitHub [mehrere Accounts Availability Zone](https://github.com/aws-samples/multi-account-az-mapping/) enthalten. Es zeigt Ihnen, wie Sie eine VPC und Subnetze erstellen, die sich aus Gründen der zonalen Konsistenz an den Werten des Parameterspeichers orientieren.
**Technologie-Stack**
+ AWS CloudFormation
+ AWS Lambda
+ AWS Systems Manager Parameter Store
**Automatisierung und Skalierung**
Sie können dieses Muster mithilfe von AWS CloudFormation StackSets oder der Lösung Customizations for AWS Control Tower für all Ihre AWS-Konten bereitstellen. Weitere Informationen finden Sie unter [Working with AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) in der AWS Cloudformation-Dokumentation und unter [Anpassungen für AWS Control Tower](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/) in der AWS-Lösungsbibliothek.
Nachdem Sie die CloudFormation AWS-Vorlage bereitgestellt haben, können Sie sie so aktualisieren, dass sie die Parameter Store-Werte verwendet und Ihre VPCs In-Pipelines oder gemäß Ihren Anforderungen bereitstellen.
## Tools
**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, Ihre AWS-Ressourcen zu modellieren und einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten. Sie können eine Vorlage verwenden, um Ihre Ressourcen und ihre Abhängigkeiten zu beschreiben und sie zusammen als Stapel zu starten und zu konfigurieren, anstatt Ressourcen einzeln zu verwalten. Sie können Stacks für mehrere AWS-Konten und AWS-Regionen verwalten und bereitstellen.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch – von einigen Anforderungen pro Tag bis zu Tausenden pro Sekunde. Sie bezahlen nur für die Datenverarbeitungszeit, die Sie wirklich nutzen und es werden keine Gebühren in Rechnung gestellt, wenn Ihr Code nicht ausgeführt wird.
+ [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) ist eine Funktion von AWS Systems Manager. Es bietet sicheren, hierarchischen Speicher für die Verwaltung von Konfigurationsdaten und Geheimnissen.
**Code**
Der Code für dieses Muster befindet sich im [Mapping-Repository für die Availability Zone mit GitHub mehreren Konten](https://github.com/aws-samples/multi-account-az-mapping/).
## Epen
### Stellen Sie die Datei az-mapping.yaml bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Ermitteln Sie die erforderlichen Availability Zones für die Region. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/use-consistent-availability-zones-in-vpcs-across-different-aws-accounts.html) | Cloud-Architekt |
| Stellen Sie die Datei az-mapping.yaml bereit. | Verwenden Sie die `az-mapping.yaml` Datei, um einen CloudFormation AWS-Stack in allen erforderlichen AWS-Konten zu erstellen. Verwenden Sie im `AZIds` Parameter die kommagetrennte Liste, die Sie zuvor erstellt haben. Wir empfehlen Ihnen, [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) oder die [Customizations for AWS Control Tower Solution](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/) zu verwenden. | Cloud-Architekt |
### Stellen Sie das VPCs in Ihren Konten bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Passen Sie die CloudFormation AWS-Vorlagen an. | Wenn Sie die Subnetze mit AWS erstellen CloudFormation, passen Sie die Vorlagen so an, dass sie die Parameter Store-Werte verwenden, die Sie zuvor erstellt haben.Eine Beispielvorlage finden Sie in der `vpc-example.yaml` Datei im [Mapping-Repository für die Availability Zone mit GitHub mehreren Konten](https://github.com/aws-samples/multi-account-az-mapping/). | Cloud-Architekt |
| Stellen Sie das bereit VPCs. | Stellen Sie die benutzerdefinierten CloudFormation AWS-Vorlagen in Ihren Konten bereit. Jede VPC in der Region hat dann zonale Konsistenz in den Availability Zones, die für die Subnetze verwendet werden. | Cloud-Architekt |
## Zugehörige Ressourcen
+ [Availability Zone IDs für Ihre AWS-Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) (AWS Resource Access Manager-Dokumentation)
+ [AWS::EC2::Subnet](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-subnet.html)( CloudFormation AWS-Dokumentation)
# Verwenden Sie Benutzer IDs in IAM-Richtlinien für Zugriffskontrolle und Automatisierung
*Srinivas Ananda Babu und Ram Kandaswamy, Amazon Web Services*
## Zusammenfassung
Dieses Muster erklärt die potenziellen Fallstricke bei der Verwendung von benutzernamenbasierten Richtlinien in AWS Identity and Access Management (IAM), die Vorteile der Verwendung von Benutzern und die Integration dieses Ansatzes in die Automatisierung. IDs AWS CloudFormation
In der hilft Ihnen der IAM-Dienst dabei AWS Cloud, Benutzeridentitäten und Zugriffskontrolle präzise zu verwalten. Wenn Sie sich bei der Erstellung von IAM-Richtlinien auf Benutzernamen verlassen, kann dies jedoch zu unvorhergesehenen Sicherheitsrisiken und Problemen mit der Zugriffskontrolle führen. Stellen Sie sich zum Beispiel dieses Szenario vor: Ein neuer Mitarbeiter, John Doe, tritt Ihrem Team bei, und Sie erstellen ein IAM-Benutzerkonto mit dem Benutzernamen, der ihm über IAM-Richtlinien`j.doe`, die auf Benutzernamen verweisen, Berechtigungen gewährt. Wenn John das Unternehmen verlässt, wird das Konto gelöscht. Das Problem beginnt, wenn eine neue Mitarbeiterin, Jane Doe, Ihrem Team beitritt und der `j.doe` Benutzername neu erstellt wird. Die bestehenden Richtlinien gewähren Jane Doe jetzt dieselben Berechtigungen wie John Doe. Dies führt zu einem potenziellen Sicherheits- und Compliance-Albtraum.
Die manuelle Aktualisierung jeder Richtlinie, um neue Benutzerdaten zu berücksichtigen, ist ein zeitaufwändiger und fehleranfälliger Prozess, insbesondere wenn Ihr Unternehmen wächst. Die Lösung besteht darin, eine eindeutige und unveränderliche Benutzer-ID zu verwenden. Wenn Sie ein IAM-Benutzerkonto erstellen, AWS weist Sie dem IAM-Benutzer eine eindeutige Benutzer-ID (oder Prinzipal-ID) zu. Sie können diese Benutzer IDs in Ihren IAM-Richtlinien verwenden, um eine konsistente und zuverlässige Zugriffskontrolle zu gewährleisten, die nicht durch Änderungen oder Wiederverwendung von Benutzernamen beeinträchtigt wird.
Eine IAM-Richtlinie, die eine Benutzer-ID verwendet, könnte beispielsweise so aussehen:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::example-bucket",
"Principal": { "AWS": "arn:aws:iam::123456789012:user/abcdef01234567890" }
}
]
}
```
Die Verwendung von Usern IDs in IAM-Richtlinien bietet unter anderem folgende Vorteile:
+ **Einzigartigkeit.** Benutzer IDs sind in allen AWS-Konten Bereichen einzigartig und bieten daher eine korrekte und konsistente Berechtigungsanwendung.
+ **Unveränderlichkeit.** Der Benutzer IDs kann nicht geändert werden, daher bieten sie eine stabile Kennung für die Referenzierung von Benutzern in Richtlinien.
+ **Prüfung und Einhaltung der Vorschriften.** AWS-Services nehmen häufig Benutzer IDs in Logs und Audit-Trails auf, sodass Aktionen leicht auf bestimmte Benutzer zurückgeführt werden können.
+ **Automatisierung und Integration.** Durch die Verwendung von IDs AWS APIs SDKs Benutzerprogrammierungsskripten oder Automatisierungsskripten wird sichergestellt, dass Prozesse von Benutzernamenänderungen nicht beeinträchtigt werden.
+ **Zukunftssicherheit.** Durch die Verwendung von IDs Benutzerrichtlinien von Anfang an können potenzielle Probleme mit der Zugriffskontrolle oder umfangreiche Richtlinienaktualisierungen vermieden werden.
**Automation**
Wenn Sie IaC-Tools (Infrastructure as Code) verwenden AWS CloudFormation, können die Fallstricke benutzernamenbasierter IAM-Richtlinien immer noch zu Problemen führen. Die IAM-Benutzerressource gibt den Benutzernamen zurück, wenn Sie die systeminterne Funktion aufrufen. `Ref` Im Zuge der Weiterentwicklung der Infrastruktur Ihres Unternehmens kann der Zyklus des Erstellens und Löschens von Ressourcen, einschließlich IAM-Benutzerkonten, zu unbeabsichtigten Problemen bei der Zugriffskontrolle führen, wenn Sie Benutzernamen wiederverwenden.
Um dieses Problem zu beheben, empfehlen wir Ihnen, Benutzer IDs in Ihre Vorlagen zu integrieren. CloudFormation Es kann jedoch schwierig sein, Benutzer IDs für diesen Zweck zu finden. Hier können benutzerdefinierte Ressourcen hilfreich sein. Sie können CloudFormation benutzerdefinierte Ressourcen verwenden, um die Funktionalität des Dienstes zu erweitern, indem Sie ihn mit AWS APIs oder mit externen Diensten integrieren. Indem Sie eine benutzerdefinierte Ressource erstellen, die die Benutzer-ID für einen bestimmten IAM-Benutzer abruft, können Sie die Benutzer-ID in Ihren CloudFormation Vorlagen verfügbar machen. Dieser Ansatz rationalisiert den Prozess der Benutzerreferenzierung IDs und stellt sicher, dass Ihre Automatisierungsworkflows robust und zukunftssicher bleiben.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Eine IAM-Rolle für einen Cloud-Administrator zum Ausführen der Vorlage CloudFormation
**Einschränkungen**
+ Einige AWS-Services sind nicht in allen AWS-Regionen verfügbar. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie [AWS-Services unter Nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie auf der Seite [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
## Architektur
**Zielarchitektur**
Das folgende Diagramm zeigt, wie eine benutzerdefinierte Ressource, unterstützt von, CloudFormation verwendet wird AWS Lambda , um die IAM-Benutzer-ID abzurufen.
![\[Abrufen der IAM-Benutzer-ID mithilfe einer CloudFormation benutzerdefinierten Ressource.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/71698647-274e-4911-92f0-549e444b53f6/images/7e507df4-f597-499e-bd5b-6d7a55e64146.png)
**Automatisierung und Skalierung**
Sie können die CloudFormation Vorlage mehrfach für verschiedene AWS-Regionen Konten verwenden. Sie müssen sie in jeder Region oder jedem Konto nur einmal ausführen.
## Tools
**AWS-Services**
+ [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — AWS Identity and Access Management (IAM) ist ein Webservice, mit dem Sie den Zugriff AWS auf Ressourcen sicher kontrollieren können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)— AWS CloudFormation unterstützt Sie bei der Modellierung und Einrichtung Ihrer AWS Ressourcen, sodass Sie weniger Zeit mit der Verwaltung dieser Ressourcen verbringen und sich mehr auf Ihre Anwendungen konzentrieren können, auf denen sie ausgeführt werden. AWS Sie erstellen eine Vorlage, die die AWS Ressourcen beschreibt, die Sie benötigen, und CloudFormation kümmert sich um die Bereitstellung und Konfiguration dieser Ressourcen für Sie.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)— AWS Lambda ist ein Rechendienst, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch – von einigen Anforderungen pro Tag bis zu Tausenden pro Sekunde.
## Best Practices
Wenn Sie bei Null anfangen oder eine Implementierung auf der grünen Wiese planen, empfehlen wir Ihnen dringend, eine zentralisierte [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)Benutzerverwaltung zu verwenden. IAM Identity Center lässt sich in Ihre vorhandenen Identitätsanbieter (wie Active Directory oder Okta) integrieren, um Benutzeridentitäten zu bündeln AWS, sodass Sie IAM-Benutzer nicht mehr direkt erstellen und verwalten müssen. Dieser Ansatz gewährleistet nicht nur eine konsistente Zugriffskontrolle, sondern vereinfacht auch die Verwaltung des Benutzerlebenszyklus und trägt zur Verbesserung von Sicherheit und Compliance in Ihrer gesamten Umgebung bei. AWS
## Epen
### Bestätigen Sie die Berechtigungen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestätigen Sie Ihre AWS-Konto und Ihre IAM-Rolle. | Vergewissern Sie sich, dass Sie über eine IAM-Rolle mit Berechtigungen zum Bereitstellen von CloudFormation Vorlagen in Ihrem verfügen. AWS-KontoWenn Sie planen, die Vorlage im letzten Schritt dieses Verfahrens AWS CLI anstelle der CloudFormation Konsole bereitzustellen, sollten Sie auch temporäre Anmeldeinformationen für die Ausführung von AWS CLI Befehlen einrichten. Anweisungen finden Sie in der [IAM-Dokumentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli). | Cloud-Architekt |
### Erstellen Sie eine CloudFormation Vorlage
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine CloudFormation Vorlage. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/use-user-ids-iam-policies-access-control-automation.html) | AWS DevOps, Cloud-Architekt |
| Fügen Sie einen Eingabeparameter für den Benutzernamen hinzu. | Fügen Sie dem `Parameters` Abschnitt der CloudFormation Vorlage den folgenden Code hinzu:Parameters:
NewIamUserName:
Type: String
Description: Unique username for the new IAM user
Dieser Parameter fordert den Benutzer zur Eingabe des Benutzernamens auf. | AWS DevOps, Cloud-Architekt |
| Fügen Sie eine benutzerdefinierte Ressource hinzu, um einen IAM-Benutzer zu erstellen. | Fügen Sie dem `Resources` Abschnitt der CloudFormation Vorlage den folgenden Code hinzu:Resources:
rNewIamUser:
Type: 'AWS::IAM::User'
Properties:
UserName: !Ref NewIamUserName
Dieser Code fügt eine CloudFormation Ressource hinzu, die einen IAM-Benutzer mit dem durch den `NewIamUserName` Parameter angegebenen Namen erstellt. | AWS DevOps, Cloud-Architekt |
| Fügen Sie eine Ausführungsrolle für die Lambda-Funktion hinzu. | In diesem Schritt erstellen Sie eine IAM-Rolle, die einer AWS Lambda Funktion die Berechtigung zum Abrufen des IAM erteilt. `UserId` Geben Sie die folgenden Mindestberechtigungen an, die für die Ausführung von Lambda erforderlich sind:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/use-user-ids-iam-policies-access-control-automation.html)Anweisungen zum Erstellen einer Ausführungsrolle finden Sie in der [Lambda-Dokumentation](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html). Sie werden im nächsten Schritt, wenn Sie die Lambda-Funktion erstellen, auf diese Rolle verweisen. | AWS-Administrator, Cloud-Architekt |
| Fügen Sie eine Lambda-Funktion hinzu, um das eindeutige `UserId` IAM zu erhalten. | In diesem Schritt definieren Sie eine Lambda-Funktion mit einer Python-Laufzeit, um das eindeutige `UserId` IAM zu erhalten. Fügen Sie dazu dem `Resources` Abschnitt der Vorlage den folgenden Code hinzu. CloudFormation `<>`Ersetzen Sie ihn durch den Namen der Ausführungsrolle, die Sie im letzten Schritt erstellt haben. GetUserLambdaFunction:
Type: 'AWS::Lambda::Function'
Properties:
Handler: index.handler
Role: <>
Timeout: 30
Runtime: python3.11
Code:
ZipFile: |
import cfnresponse, boto3
def handler(event, context):
try:
print(event)
user = boto3.client('iam').get_user(UserName=event['ResourceProperties']['NewIamUserName'])['User']
cfnresponse.send(event, context, cfnresponse.SUCCESS, {'NewIamUserId': user['UserId'], 'NewIamUserPath': user['Path'], 'NewIamUserArn': user['Arn']})
except Exception as e:
cfnresponse.send(event, context, cfnresponse.FAILED, {'NewIamUser': str(e)})
| AWS DevOps, Cloud-Architekt |
| Fügen Sie eine benutzerdefinierte Ressource hinzu. | Fügen Sie dem `Resources` Abschnitt der CloudFormation Vorlage den folgenden Code hinzu: rCustomGetUniqueUserId:
Type: 'Custom::rCustomGetUniqueUserIdWithLambda'
Properties:
ServiceToken: !GetAtt GetUserLambdaFunction.Arn
NewIamUserName: !Ref NewIamUserName
Diese benutzerdefinierte Ressource ruft die Lambda-Funktion auf, um das `UserID` IAM abzurufen. | AWS DevOps, Cloud-Architekt |
| Definieren Sie CloudFormation Ausgaben. | Fügen Sie dem `Outputs` Abschnitt der CloudFormation Vorlage den folgenden Code hinzu:Outputs:
NewIamUserId:
Value: !GetAtt rCustomGetUniqueUserId.NewIamUserId
Dadurch wird das IAM `UserID` für den neuen IAM-Benutzer angezeigt. | AWS DevOps, Cloud-Architekt |
| Speichern Sie die Vorlage. | Speichern Sie Ihre Änderungen an der CloudFormation Vorlage. | AWS DevOps, Cloud-Architekt |
### Stellen Sie die CloudFormation Vorlage bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie die CloudFormation Vorlage bereit. | Folgen Sie den Anweisungen in der [CloudFormation Dokumentation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html), um die `get_unique_user_id.yaml` Vorlage mithilfe der CloudFormation Konsole bereitzustellen.Alternativ können Sie den folgenden AWS CLI Befehl ausführen, um die Vorlage bereitzustellen:aws cloudformation create-stack \
--stack-name DemoNewUser \
--template-body file://get_unique_user_id.yaml \
--parameters ParameterKey=NewIamUserName,ParameterValue=demouser \
--capabilities CAPABILITY_NAMED_IAM
| AWS DevOps, Cloud-Architekt |
## Zugehörige Ressourcen
+ [Erstellen Sie einen Stack von der CloudFormation Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) aus (CloudFormation Dokumentation)
+ [Lambda-gestützte benutzerdefinierte Ressourcen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources-lambda.html) (Dokumentation) CloudFormation
+ [Eindeutige Identifikatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) (IAM-Dokumentation)
+ [Verwenden Sie temporäre Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) (IAM-Dokumentation)
# Validieren Sie den Code von Account Factory for Terraform (AFT) lokal
*Alexandru Pop und Michal Gorniak, Amazon Web Services*
## Zusammenfassung
Dieses Muster zeigt, wie HashiCorp Terraform-Code, der von AWS Control Tower Account Factory for Terraform (AFT) verwaltet wird, lokal getestet wird. Terraform ist ein IaC-Tool (Infrastructure as Code), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können. AFT richtet eine Terraform-Pipeline ein, mit der Sie mehrere Eingänge bereitstellen und anpassen können. AWS-Konten AWS Control Tower
Während der Codeentwicklung kann es hilfreich sein, Ihre Terraform-Infrastruktur als Code (IaC) lokal außerhalb der AFT-Pipeline zu testen. Dieses Muster zeigt, wie Sie Folgendes tun können:
+ Rufen Sie eine lokale Kopie des Terraform-Codes ab, der in den AWS CodeCommit Repositorys Ihres AFT-Verwaltungskontos gespeichert ist.
+ Simulieren Sie die AFT-Pipeline lokal mithilfe des abgerufenen Codes.
Dieses Verfahren kann auch verwendet werden, um Terraform-Befehle auszuführen, die nicht Teil der normalen AFT-Pipeline sind. Sie können diese Methode beispielsweise verwenden, um Befehle wie`terraform validate`, `terraform plan``terraform destroy`, und auszuführen. `terraform import`
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine aktive Umgebung AWS mit mehreren Konten, die Folgendes verwendet [AWS Control Tower](https://aws.amazon.com/controltower)
+ Eine vollständig bereitgestellte [AFT-Umgebung](https://docs.aws.amazon.com/controltower/latest/userguide/taf-account-provisioning.html)
+ AWS Command Line Interface (AWS CLI), [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ [AWS CLI Credential Helper für AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-https-unixes.html), installiert und konfiguriert
+ Python 3.x
+ [Git](https://git-scm.com/book/en/v2/Getting-Started-Installing-Git), auf Ihrem lokalen Computer installiert und konfiguriert
+ `git-remote-commit`Hilfsprogramm, [installiert und konfiguriert](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-git-remote-codecommit.html#setting-up-git-remote-codecommit-install)
+ [Terraform](https://learn.hashicorp.com/collections/terraform/aws-get-started?utm_source=WEBSITE&utm_medium=WEB_IO&utm_offer=ARTICLE_PAGE&utm_content=DOCS), installiert und konfiguriert (die lokale Terraform-Paketversion muss mit der Version übereinstimmen, die in der AFT-Bereitstellung verwendet wird)
**Einschränkungen**
+ Dieses Muster deckt nicht die Bereitstellungsschritte ab AWS Control Tower, die für AFT oder bestimmte Terraform-Module erforderlich sind.
+ Die Ausgabe, die während dieses Vorgangs lokal generiert wird, wird nicht in den Laufzeitprotokollen der AFT-Pipeline gespeichert.
## Architektur
**Zieltechnologie-Stack**
+ AFT-Infrastruktur, die innerhalb einer AWS Control Tower Bereitstellung bereitgestellt wird
+ Terraform
+ Git
+ AWS CLI Version 2
**Automatisierung und Skalierung**
Dieses Muster zeigt, wie Terraform-Code für globale AFT-Kontoanpassungen in einem einzigen von AFT verwalteten System lokal aufgerufen wird. AWS-Konto Nachdem Ihr Terraform-Code validiert wurde, können Sie ihn auf die verbleibenden Konten in Ihrer Umgebung mit mehreren Konten anwenden. Weitere Informationen finden Sie in der Dokumentation unter [Anpassungen erneut aufrufen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-account-customization-options.html#aft-re-invoke-customizations). AWS Control Tower
Sie können auch einen ähnlichen Prozess verwenden, um AFT-Kontoanpassungen in einem lokalen Terminal auszuführen. Um Terraform-Code lokal aus AFT-Kontoanpassungen aufzurufen, klonen Sie das **aft-account-customizations**Repository anstelle des Repositorys CodeCommit in Ihrem **aft-global-account-customizations**AFT-Verwaltungskonto.
## Tools
**AWS-Services**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)hilft Ihnen bei der Einrichtung und Verwaltung einer Umgebung mit AWS mehreren Konten und folgt dabei den vorgeschriebenen Best Practices.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
**Andere Dienste**
+ [HashiCorp Terraform](https://www.terraform.io/docs) ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können.
+ [Git](https://git-scm.com/docs) ist ein verteiltes Open-Source-Versionskontrollsystem.
**Code**
Im Folgenden finden Sie ein Beispiel für ein Bash-Skript, mit dem Terraform-Code, der von AFT verwaltet wird, lokal ausgeführt werden kann. Folgen Sie den Anweisungen im Abschnitt [Epics](#validate-account-factory-for-terraform-aft-code-locally-epics) dieses Musters, um das Skript zu verwenden.
```
#! /bin/bash
# Version: 1.1 2022-06-24 Unsetting AWS_PROFILE since, when set, it interferes with script operation
# 1.0 2022-02-02 Initial Version
#
# Purpose: For use with AFT: This script runs the local copy of TF code as if it were running within AFT pipeline.
# * Facilitates testing of what the AFT pipline will do
# * Provides the ability to run terraform with custom arguments (like 'plan' or 'move') which are currently not supported within the pipeline.
#
# © 2021 Amazon Web Services, Inc. or its affiliates. All Rights Reserved.
# This AWS Content is provided subject to the terms of the AWS Customer Agreement
# available at http://aws.amazon.com/agreement or other written agreement between
# Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
#
# Note: Arguments to this script are passed directly to 'terraform' without parsing nor validation by this script.
#
# Prerequisites:
# 1. local copy of ct GIT repositories
# 2. local backend.tf and aft-providers.tf filled with data for the target account on which terraform is to be run
# Hint: The contents of above files can be obtain from the logs of a previous execution of the AFT pipeline for the target account.
# 3. 'terraform' binary is available in local PATH
# 4. Recommended: .gitignore file containing 'backend.tf', 'aft_providers.tf' so the local copy of these files are not pushed back to git
readonly credentials=$(aws sts assume-role \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query "Account" --output text ):role/AWSAFTAdmin \
--role-session-name AWSAFT-Session \
--query Credentials )
unset AWS_PROFILE
export AWS_ACCESS_KEY_ID=$(echo $credentials | jq -r '.AccessKeyId')
export AWS_SECRET_ACCESS_KEY=$(echo $credentials | jq -r '.SecretAccessKey')
export AWS_SESSION_TOKEN=$(echo $credentials | jq -r '.SessionToken')
terraform "$@"
```
## Epen
### Speichern Sie den Beispielcode als lokale Datei
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Speichern Sie den Beispielcode als lokale Datei. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html) | AWS-Administrator |
| Machen Sie den Beispielcode lauffähig. | Öffnen Sie ein Terminalfenster und authentifizieren Sie sich AWS bei Ihrem AFT-Verwaltungskonto, indem Sie einen der folgenden Schritte ausführen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html)Ihre Organisation verfügt möglicherweise auch über ein benutzerdefiniertes Tool, mit dem Sie Anmeldeinformationen für Ihre AWS Umgebung bereitstellen können. | AWS-Administrator |
| Überprüfen Sie den korrekten Zugriff auf das AFT-Verwaltungskonto AWS-Region. | Stellen Sie sicher, dass Sie dieselbe Terminalsitzung verwenden, mit der Sie sich bei Ihrem AFT-Verwaltungskonto authentifiziert haben.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html) | AWS-Administrator |
| Erstellen Sie ein neues, lokales Verzeichnis zum Speichern des AFT-Repository-Codes. | Führen Sie in derselben Terminalsitzung die folgenden Befehle aus:mkdir my_aft
cd my_aft
| AWS-Administrator |
| Klonen Sie den Remote-AFT-Repository-Code. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html) | AWS-Administrator |
### Erstellen Sie die Terraform-Konfigurationsdateien, die für die lokale Ausführung der AFT-Pipeline erforderlich sind
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Öffnen Sie eine zuvor ausgeführte AFT-Pipeline und kopieren Sie die Terraform-Konfigurationsdateien in einen lokalen Ordner. | Die `backend.tf` in diesem Epos erstellten `aft-providers.tf` Konfigurationsdateien werden benötigt, damit die AFT-Pipeline lokal ausgeführt werden kann. Diese Dateien werden automatisch innerhalb der cloudbasierten AFT-Pipeline erstellt, müssen aber manuell erstellt werden, damit die Pipeline lokal ausgeführt werden kann. Für die lokale Ausführung der AFT-Pipeline ist ein Satz von Dateien erforderlich, die den Betrieb der Pipeline innerhalb einer einzigen Datei repräsentieren AWS-Konto.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html)**Beispiel für eine automatisch generierte backend.tf-Anweisung**## Autogenerated backend.tf ##
## Updated on: 2022-05-31 16:27:45 ##
terraform {
required_version = ">= 0.15.0"
backend "s3" {
region = "us-east-2"
bucket = "aft-backend-############-primary-region"
key = "############-aft-global-customizations/terraform.tfstate"
dynamodb_table = "aft-backend-############"
encrypt = "true"
kms_key_id = "########-####-####-####-############"
role_arn = "arn:aws:iam::#############:role/AWSAFTExecution"
}
}
****Die `aft-providers.tf` Dateien `backend.tf` und sind an eine bestimmte AFT-Bereitstellung und einen bestimmten AWS-Konto Ordner gebunden. Diese Dateien unterscheiden sich auch, je nachdem, ob sie sich im **aft-global-customizations**aft-account-customizations****and-Repository innerhalb derselben AFT-Bereitstellung befinden. Stellen Sie sicher, dass Sie beide Dateien aus derselben Runtime-Liste generieren. | AWS-Administrator |
### Führen Sie die AFT-Pipeline lokal aus, indem Sie das Bash-Beispielskript verwenden
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Implementieren Sie die Terraform-Konfigurationsänderungen, die Sie validieren möchten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html) | AWS-Administrator |
| Führen Sie das `ct_terraform.sh` Skript aus und überprüfen Sie die Ausgabe. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html)** **[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html) | AWS-Administrator |
### Übertragen Sie Ihre lokalen Codeänderungen zurück in das AFT-Repository
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Fügen Sie Verweise auf die `aft-providers.tf` Dateien `backend.tf` und zu einer `.gitignore` Datei hinzu. | Fügen Sie die `aft-providers.tf` Dateien `backend.tf`**** und, die Sie erstellt haben, zu einer `.gitignore` Datei hinzu, indem Sie die folgenden Befehle ausführen:echo backend.tf >> .gitignore
echo aft-providers.tf >>.gitignore
Durch das Verschieben der Dateien in die `.gitignore`**** Datei wird sichergestellt, dass sie nicht festgeschrieben und in das Remote-AFT-Repository zurückgeschickt werden. | AWS-Administrator |
| Übergeben Sie Ihre Codeänderungen und übertragen Sie sie an das Remote-AFT-Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/validate-account-factory-for-terraform-aft-code-locally.html)Die Codeänderungen, die Sie vornehmen, wenn Sie dieses Verfahren bis zu diesem Zeitpunkt befolgen, gelten AWS-Konto nur für eine. | AWS-Administrator |
### Führen Sie die Änderungen auf mehrere Konten aus
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Nehmen Sie die Änderungen auf all Ihre Konten vor, die von AFT verwaltet werden. | Folgen Sie den Anweisungen in der Dokumentation unter [Anpassungen erneut aufrufen AWS-Konten](https://docs.aws.amazon.com/controltower/latest/userguide/aft-account-customization-options.html#aft-re-invoke-customizations), um die Änderungen auf mehrere, die von AFT verwaltet werden, anzuwenden. AWS Control Tower | AWS-Administrator |
# Mehr Muster
**Topics**
+ [Fügen Sie HA mithilfe einer Read Replica zu Oracle PeopleSoft auf Amazon RDS Custom hinzu](add-ha-to-oracle-peoplesoft-on-amazon-rds-custom-by-using-a-read-replica.md)
+ [Automatisches AWS Überwachen von Sicherheitsgruppen, die den Zugriff von öffentlichen IP-Adressen aus ermöglichen](audit-security-groups-access-public-ip.md)
+ [Automatisieren Sie die Kontoerstellung mit dem Landing Zone Accelerator auf AWS](automate-account-creation-lza.md)
+ [Automatisieren Sie das Hinzufügen oder Aktualisieren von Windows-Registrierungseinträgen mit AWS Systems Manager](automate-adding-or-updating-windows-registry-entries-using-aws-systems-manager.md)
+ [Automatisieren Sie die AWS-Ressourcenbewertung](automate-aws-resource-assessment.md)
+ [Automatisieren Sie das AWS Service Catalog-Portfolio und die Produktbereitstellung mithilfe von AWS CDK](automate-aws-service-catalog-portfolio-and-product-deployment-by-using-aws-cdk.md)
+ [Automatisieren Sie regionsübergreifendes Failover und Failback mithilfe des DR Orchestrator Framework](automate-cross-region-failover-and-failback-by-using-dr-orchestrator-framework.md)
+ [Automatisieren Sie das Löschen von AWS CloudFormation Stacks und zugehörigen Ressourcen](automate-deletion-cloudformation-stacks-associated-resources.md)
+ [Automatisieren Sie die Erfassung und Visualisierung von benutzerdefinierten Amazon MWAA-Metriken auf Amazon Managed Grafana mithilfe von Terraform](automate-ingestion-and-visualization-of-amazon-mwaa-custom-metrics.md)
+ [Automatisieren Sie die RabbitMQ-Konfiguration in Amazon MQ](automate-rabbitmq-configuration-in-amazon-mq.md)
+ [Automatisieren Sie AWS Supply Chain die Bereitstellung von Data Lakes in einem Multi-Repository-Setup](automate-the-deployment-of-aws-supply-chain-data-lakes.md)
+ [Automatisieren Sie die Replikation von Amazon RDS-Instances auf AWS-Konten](automate-the-replication-of-amazon-rds-instances-across-aws-accounts.md)
+ [Automatisches Hinzufügen einer von AWS verwalteten Richtlinie für Systems Manager zu EC2 Instanzprofilen mithilfe von Cloud Custodian und AWS CDK](automatically-attach-an-aws-managed-policy-for-systems-manager-to-ec2-instance-profiles-using-cloud-custodian-and-aws-cdk.md)
+ [Automatisches Erstellen von CI/CD Pipelines und Amazon ECS-Clustern für Microservices mithilfe von AWS CDK](automatically-build-ci-cd-pipelines-and-amazon-ecs-clusters-for-microservices-using-aws-cdk.md)
+ [Automatische Erkennung von Änderungen und Initiierung verschiedener CodePipeline Pipelines für ein Monorepo in CodeCommit](automatically-detect-changes-and-initiate-different-codepipeline-pipelines-for-a-monorepo-in-codecommit.md)
+ [Erstellen Sie mit dem AWS DataOps Development Kit eine Datenpipeline, um Google Analytics-Daten aufzunehmen, zu transformieren und zu analysieren](build-a-data-pipeline-to-ingest-transform-and-analyze-google-analytics-data-using-the-aws-dataops-development-kit.md)
+ [Erstellen Sie ein Micro Focus Enterprise Server PAC mit Amazon EC2 Auto Scaling und Systems Manager](build-a-micro-focus-enterprise-server-pac-with-amazon-ec2-auto-scaling-and-systems-manager.md)
+ [Erstellen und übertragen Sie Docker-Images mithilfe von GitHub Actions und Terraform auf Amazon ECR](build-and-push-docker-images-to-amazon-ecr-using-github-actions-and-terraform.md)
+ [Erstellen Sie eine AWS landing zone, die MongoDB Atlas enthält](build-aws-landing-zone-that-includes-mongodb-atlas.md)
+ [Zentralisieren Sie die Verwaltung von IAM-Zugriffsschlüsseln in AWS Organizations mithilfe von Terraform](centralize-iam-access-key-management-in-aws-organizations-by-using-terraform.md)
+ [Zentralisieren Sie die Verteilung von Softwarepaketen in AWS Organizations mithilfe von Terraform](centralize-software-package-distribution-in-aws-organizations-by-using-terraform.md)
+ [Konfigurieren Sie die Protokollierung von Modellaufrufen in Amazon Bedrock mithilfe von AWS CloudFormation](configure-bedrock-invocation-logging-cloudformation.md)
+ [Konfigurieren Sie schreibgeschütztes Routing in AlwaysOn-Verfügbarkeitsgruppen in SQL Server auf AWS](configure-read-only-routing-in-an-always-on-availability-group-in-sql-server-on-aws.md)
+ [Erstellen Sie ein Portal für Mikro-Frontends mithilfe AWS Amplify von Angular und Module Federation](create-amplify-micro-frontend-portal.md)
+ [Erstellen Sie mit Actions und Terragrunt ein API-gesteuertes Framework GitHub zur Ressourcenorchestrierung](create-an-api-driven-resource-orchestration-framework-using-github-actions-and-terragrunt.md)
+ [Erstellen Sie eine kontoübergreifende EventBridge Amazon-Verbindung in einer Organisation](create-cross-account-amazon-eventbridge-connection-organization.md)
+ [Automatisches Erstellen dynamischer CI-Pipelines für Java- und Python-Projekte](create-dynamic-ci-pipelines-for-java-and-python-projects-automatically.md)
+ [Stellen Sie eine Amazon API Gateway Gateway-API auf einer internen Website mithilfe von privaten Endpunkten und einem Application Load Balancer bereit](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Implementieren und verwalten Sie AWS Control Tower Kontrollen mithilfe von AWS CDK und CloudFormation](deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.md)
+ [Stellen Sie AWS Control Tower Kontrollen mithilfe von Terraform bereit und verwalten Sie sie](deploy-and-manage-aws-control-tower-controls-by-using-terraform.md)
+ [Stellen Sie CloudWatch Synthetics Canaries mithilfe von Terraform bereit](deploy-cloudwatch-synthetics-canaries-by-using-terraform.md)
+ [Stellen Sie mithilfe von Terraform einen CockroachDB-Cluster in Amazon EKS bereit](deploy-cockroachdb-on-eks-using-terraform.md)
+ [Stellen Sie mithilfe von Terraform und DRA ein Lustre-Dateisystem für die Hochleistungsdatenverarbeitung bereit](deploy-lustre-file-system-for-high-performance-data-processing-with-terraform-dra.md)
+ [Stellen Sie mithilfe AWS von Terraform und Amazon Bedrock einen RAG-Anwendungsfall bereit](deploy-rag-use-case-on-aws.md)
+ [Bereitstellen von Ressourcen in einer AWS Wavelength Zone mithilfe von Terraform](deploy-resources-wavelength-zone-using-terraform.md)
+ [Stellen Sie mithilfe von Terraform SQL Server-Failover-Cluster-Instances auf Amazon EC2 und Amazon FSx bereit](deploy-sql-server-failover-cluster-instances-on-amazon-ec2-and-amazon-fsx.md)
+ [Stellen Sie die Security Automations for AWS WAF Solution mithilfe von Terraform bereit](deploy-the-security-automations-for-aws-waf-solution-by-using-terraform.md)
+ [Erkennen Sie Amazon RDS- und Aurora-Datenbank-Instances mit ablaufenden CA-Zertifikaten](detect-rds-instances-expiring-certificates.md)
+ [Dokumentieren Sie Ihr AWS-Landingzone-Design](document-your-aws-landing-zone-design.md)
+ [Exportieren Sie AWS Backup Backup-Berichte aus einer gesamten Organisation in AWS Organizations als CSV-Datei](export-aws-backup-reports-from-across-an-organization-in-aws-organizations-as-a-csv-file.md)
+ [Generieren Sie mit Amazon Personalize personalisierte und neu eingestufte Empfehlungen](generate-personalized-and-re-ranked-recommendations-using-amazon-personalize.md)
+ [Steuern Sie Berechtigungssätze für mehrere Konten mithilfe von Account Factory for Terraform](govern-permission-sets-aft.md)
+ [Identifizieren und benachrichtigen Sie, wenn Amazon Data Firehose-Ressourcen nicht mit einem AWS KMS Schlüssel verschlüsselt sind](identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key.md)
+ [Implementieren Sie Account Factory for Terraform (AFT) mithilfe einer Bootstrap-Pipeline](implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.md)
+ [Implementieren Sie die pfadbasierte API-Versionierung mithilfe benutzerdefinierter Domains in Amazon API Gateway](implement-path-based-api-versioning-by-using-custom-domains.md)
+ [Installieren Sie SSM Agent mithilfe von Kubernetes auf Amazon EKS-Worker-Knoten DaemonSet](install-ssm-agent-on-amazon-eks-worker-nodes-by-using-kubernetes-daemonset.md)
+ [Installieren Sie den SSM-Agent und den CloudWatch Agenten auf Amazon EKS-Worker-Knoten mit preBootstrapCommands](install-the-ssm-agent-and-cloudwatch-agent-on-amazon-eks-worker-nodes-using-prebootstrapcommands.md)
+ [Verwalten Sie AWS IAM Identity Center Berechtigungssätze als Code, indem Sie AWS CodePipeline](manage-aws-iam-identity-center-permission-sets-as-code-by-using-aws-codepipeline.md)
+ [Dynamisches Verwalten von AWS Berechtigungssätzen mithilfe von Terraform](manage-aws-permission-sets-dynamically-by-using-terraform.md)
+ [AWS Service Catalog-Produkte in mehreren AWS-Konten und AWS-Regionen verwalten](manage-aws-service-catalog-products-in-multiple-aws-accounts-and-aws-regions.md)
+ [Verwalten Sie lokale Containeranwendungen, indem Sie Amazon ECS Anywhere mit dem AWS CDK einrichten](manage-on-premises-container-applications-by-setting-up-amazon-ecs-anywhere-with-the-aws-cdk.md)
+ [AWS Organizations Richtlinien mithilfe AWS CodePipeline von Amazon Bedrock als Code verwalten](manage-organizations-policies-as-code.md)
+ [Massenmigrieren von DNS-Einträgen in eine private gehostete Zone von Amazon Route 53](migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.md)
+ [Migrieren Sie Oracle PeopleSoft zu Amazon RDS Custom](migrate-oracle-peoplesoft-to-amazon-rds-custom.md)
+ [Migrieren Sie RHEL-BYOL-Systeme mithilfe von AWS MGN zu Instances mit AWS-Lizenz](migrate-rhel-byol-systems-to-aws-license-included-instances-by-using-aws-mgn.md)
+ [Überwachen Sie ElastiCache Amazon-Cluster auf Verschlüsselung im Ruhezustand](monitor-amazon-elasticache-clusters-for-at-rest-encryption.md)
+ [Überwachen Sie die Anwendungsaktivität mithilfe von CloudWatch Logs Insights](monitor-application-activity-by-using-cloudwatch-logs-insights.md)
+ [Überwachen Sie SAP RHEL Pacemaker-Cluster mithilfe von AWS-Services](monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.md)
+ [Erstellen Sie mithilfe von Terraform eine hierarchische IPAM-Architektur mit mehreren Regionen AWS](multi-region-ipam-architecture.md)
+ [Optimieren Sie serverlose Bereitstellungen mit mehreren Konten mithilfe der AWS CDK Workflows und Aktionen GitHub](optimize-multi-account-serverless-deployments.md)
+ [Bereitstellen von AWS Service Catalog Produkten auf der Grundlage von AWS CloudFormation Vorlagen mithilfe von GitHub Aktionen](provision-aws-service-catalog-products-using-github-actions.md)
+ [Stellen Sie IAM-Rollen mit den geringsten Rechten bereit, indem Sie eine Rollenautomatenlösung bereitstellen](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)
+ [Entfernen Sie EC2 Amazon-Einträge AWS Managed Microsoft AD mithilfe AWS-Konten von AWS Lambda Automatisierung](remove-amazon-ec2-entries-across-aws-accounts-from-aws-managed-microsoft-ad.md)
+ [Entfernen Sie EC2 Amazon-Einträge in derselben AWS-Konto Form AWS Managed Microsoft AD mithilfe von AWS Lambda Automatisierung](remove-amazon-ec2-entries-in-the-same-aws-account-from-aws-managed-microsoft-ad.md)
+ [Sichere Dateiübertragungen mithilfe von Transfer Family, Amazon Cognito und GuardDuty](secure-file-transfers.md)
+ [Eine Benachrichtigung senden, wenn ein IAM-Benutzer erstellt wird](send-a-notification-when-an-iam-user-is-created.md)
+ [Richten Sie einen serverlosen Mobilfunkrouter für eine zellenbasierte Architektur ein](serverless-cell-router-architecture.md)
+ [Richten Sie mithilfe von AWS CDK eine CI/CD Pipeline für Hybrid-Workloads auf Amazon ECS Anywhere ein und GitLab](set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.md)
+ [Richten Sie eine HA/DR Architektur für Oracle E-Business Suite auf Amazon RDS Custom mit einer aktiven Standby-Datenbank ein](set-up-an-ha-dr-architecture-for-oracle-e-business-suite-on-amazon-rds-custom-with-an-active-standby-database.md)
+ [Richten Sie die DNS-Auflösung für Hybridnetzwerke in einer Umgebung mit mehreren Konten AWS ein](set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.md)
+ [Richten Sie mithilfe von Amazon eine Multi-AZ-Infrastruktur für einen SQL Server Always On FCI ein FSx](set-up-multi-az-infrastructure-for-a-sql-server-always-on-fci-by-using-amazon-fsx.md)
+ [Richten Sie die Oracle UTL\$1FILE-Funktionalität auf Aurora PostgreSQL-Compatible ein](set-up-oracle-utl_file-functionality-on-aurora-postgresql-compatible.md)
+ [Vereinfachen Sie die Anwendungsauthentifizierung mit gegenseitigem TLS in Amazon ECS mithilfe von Application Load Balancer](simplify-application-authentication-with-mutual-tls-in-amazon-ecs.md)
+ [Vereinfachen Sie die Verwaltung privater Zertifikate mithilfe von AWS Private CA und AWS RAM](simplify-private-certificate-management-by-using-aws-private-ca-and-aws-ram.md)
+ [Optimieren Sie mithilfe von SageMaker KI und Hydra Workflows für maschinelles Lernen — von der lokalen Entwicklung bis hin zu skalierbaren Experimenten](streamline-machine-learning-workflows-by-using-amazon-sagemaker.md)
+ [Automatisches Taggen Transit Gateway Gateway-Anhängen mithilfe von AWS Organizations](tag-transit-gateway-attachments-automatically-using-aws-organizations.md)
+ [Rollen für eine PeopleSoft Oracle-Anwendung auf Amazon RDS Custom for Oracle wechseln](transition-roles-for-an-oracle-peoplesoft-application-on-amazon-rds-custom-for-oracle.md)
+ [Verwenden Sie Amazon Q Developer als Programmierassistenten, um Ihre Produktivität zu steigern](use-q-developer-as-coding-assistant-to-increase-productivity.md)