Tolerancia a errores

Comprueba si los balanceadores de carga de aplicaciones están configurados para usar más de una zona de disponibilidad (AZ). Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Configure el balanceador de carga AZs en varias unidades de la misma región para mejorar la disponibilidad de la carga de trabajo.

c1dfprch08

Amarillo: ALB está en una única zona de disponibilidad.

Verde: ALB tiene dos o másAZs.

Asegúrese de que el balanceador de cargas esté configurado con al menos dos zonas de disponibilidad.

Para obtener más información, consulte Zonas de disponibilidad del equilibrador de carga de aplicación.

Para obtener más información, consulte la siguiente documentación sobre :

Comprueba si un SQL clúster de Amazon Aurora My tiene habilitada la función de retroceso.

El retroceso de mi SQL clúster de Amazon Aurora es una función que le permite restaurar un clúster de base de datos Aurora a un momento anterior sin crear un clúster nuevo. Permite revertir la base de datos a un momento específico en el tiempo dentro de un período de retención, sin necesidad de restaurar desde una instantánea.

Puede ajustar el intervalo de tiempo de retroceso (horas) en el BacktrackWindowInHoursparámetro de las AWS Config reglas.

Para obtener más información, consulte Búsqueda de datos anteriores de un clúster de bases de datos de Aurora.

c18d2gz131

AWS Config Managed Rule: aurora-mysql-backtracking-enabled

Amarillo: Amazon Aurora El retroceso de mis SQL clústeres no está habilitado.

Active el backtracking para su SQL clúster Amazon Aurora My.

Para obtener más información, consulte Búsqueda de datos anteriores de un clúster de bases de datos de Aurora.

Búsqueda de datos anteriores de un clúster de base de datos de Aurora

Verifica los casos en los que un clúster de base de datos de Amazon Aurora tenga instancias privadas y públicas.

En caso de error en la instancia principal, se puede promover una réplica a una instancia principal. Si dicha réplica es privada, los usuarios que solo tengan acceso público ya no podrán conectarse a la base de datos después de la conmutación por error. Se recomienda que todas las instancias de base de datos de un clúster tengan la misma accesibilidad.

xuy7H1avtl

Amarillo: las instancias de un clúster de base de datos de Aurora tienen una accesibilidad diferente (una combinación de pública y privada).

Modificar la configuración Publicly Accessible de las instancias en el clúster de base de datos para que todas sean públicas o privadas. Para obtener más información, consulte las instrucciones de Mis SQL instancias en Modificación de una instancia de base de datos que ejecuta el motor de mi SQL base de datos.

Tolerancia a errores de un clúster de base de datos de Aurora

Comprueba que un grupo de origen esté configurado para las distribuciones que incluyen dos orígenes en Amazon CloudFront.

Para obtener más información, consulte Optimización de la alta disponibilidad con la conmutación por error de CloudFront origen.

c18d2gz112

AWS Config Managed Rule: cloudfront-origin-failover-enabled

Amarillo: la conmutación por error de Amazon CloudFront Origin no está habilitada.

Asegúrese de activar la función de conmutación por error de origen en sus CloudFront distribuciones para garantizar una alta disponibilidad de la entrega de contenido a los usuarios finales. Al activar esta característica, el tráfico se direcciona automáticamente al servidor de origen de respaldo si el servidor de origen principal no está disponible. Esto minimiza el posible tiempo de inactividad y garantiza la disponibilidad continua del contenido.

Comprueba los permisos de la clave AWS Key Management Service (AWS KMS) de un punto final en el que se cifró el modelo subyacente mediante claves administradas por el cliente. Si la clave administrada por el cliente está desactivada, o si se ha modificado la política de clave para modificar los permisos permitidos para Amazon Comprehend, la disponibilidad del punto de enlace podría verse afectada.

Cm24dfsM13

Rojo: la clave administrada por el cliente está deshabilitada o se ha modificado la política de claves para modificar los permisos autorizados para el acceso a Amazon Comprehend.

Si la clave administrada por el cliente estaba deshabilitada, le recomendamos habilitarla. Para obtener más información, consulte Habilitar claves. Si la política clave se modificó y desea seguir utilizando el punto de conexión, le recomendamos que actualice la política AWS KMS clave. Para obtener más información, consulte Cambiar una política de claves.

AWS KMS Permisos

Comprueba si hay clústeres de Amazon DocumentDB configurados como Single-AZ.

La ejecución de cargas de trabajo de Amazon DocumentDB en una arquitectura Single-AZ no es suficiente para cargas de trabajo muy críticas y la recuperación de un fallo de un componente puede tardar hasta 10 minutos. Los clientes deben implementar instancias de réplica en zonas de disponibilidad adicionales para garantizar la disponibilidad durante el mantenimiento, los fallos de instancias, los fallos de los componentes o los fallos de la zona de disponibilidad.

c15vnddn2x

Amarillo: el clúster de Amazon DocumentDB tiene instancias en menos de tres zonas de disponibilidad.

Verde: el clúster de Amazon DocumentDB tiene instancias en tres zonas de disponibilidad.

Si su aplicación requiere una alta disponibilidad, modifique la instancia de base de datos para habilitar Multi-AZ mediante instancias de réplica. Consulte Alta disponibilidad y replicación de Amazon DocumentDB

Descripción de la tolerancia a errores del clúster de Amazon DocumentDB

Regiones y zonas de disponibilidad

Compruebe si la recuperación a un momento dado está habilitada para las tablas de Amazon DynamoDB.

La recuperación a un momento dado protege a las tablas de DynamoDB de operaciones accidentales de escritura o eliminación. Al habilitar la recuperación a un momento dado, ya no tiene que preocuparse por crear, mantener o planificar copias de seguridad bajo demanda. La recuperación a un momento dado restaura la tabla a cualquier momento de los últimos 35 días. DynamoDB mantiene backups acumulativos de la tabla.

Para obtener más información, consulte Point-in-time recuperación de DynamoDB.

c18d2gz138

AWS Config Managed Rule: dynamodb-pitr-enabled

Amarillo: Point-in-time la recuperación no está habilitada para las tablas de DynamoDB.

Active la point-in-time recuperación en Amazon DynamoDB para realizar copias de seguridad continuas de los datos de la tabla.

Para obtener más información, consulte Point-in-time Recuperación: Cómo funciona.

Point-in-time recuperación para DynamoDB

Comprueba si las tablas de Amazon DynamoDB forman parte de un plan. AWS Backup

AWS Backup proporciona copias de seguridad incrementales para las tablas de DynamoDB que capturan los cambios realizados desde la última copia de seguridad. La inclusión de tablas de DynamoDB en AWS Backup un plan ayuda a proteger los datos de situaciones de pérdida accidental de datos y automatiza el proceso de copia de seguridad. Esto proporciona una solución de respaldo confiable y escalable para las tablas de DynamoDB, lo que garantiza que los datos valiosos estén protegidos y disponibles para su recuperación según sea necesario.

Para obtener más información, consulte Crear copias de seguridad de tablas de DynamoDB con AWS Backup

c18d2gz107

AWS Config Managed Rule: dynamodb-in-backup-plan

Amarillo: la tabla Amazon DynamoDB no está incluida en el plan. AWS Backup

Asegúrese de que las tablas de Amazon DynamoDB formen parte de un plan. AWS Backup

Copias de seguridad programadas

¿Qué es? AWS Backup

Creación de planes de backup mediante la consola AWS Backup

Comprueba si EBS los volúmenes de Amazon están presentes en los planes de respaldo de AWS Backup.

Incluye EBS los volúmenes de Amazon en un AWS Backup plan para automatizar las copias de seguridad periódicas de los datos almacenados en esos volúmenes. Esto evita la pérdida de datos, simplifica la gestión de datos y posibilita la restauración cuando sea necesario. Un plan de respaldo ayuda a garantizar que sus datos estén seguros y que pueda cumplir los objetivos de tiempo y puntos de recuperación (RTO/RPO) de sus aplicaciones y servicios.

Para obtener más información, consulte Creación de un plan de copia de seguridad

c18d2gz106

AWS Config Managed Rule: ebs-in-backup-plan

Amarillo: el EBS volumen de Amazon no está incluido en el AWS Backup plan.

Asegúrate de que tus EBS volúmenes de Amazon formen parte de un AWS Backup plan.

Creación de planes de respaldo mediante la AWS Backup consola

¿Qué es AWS Backup?

Primeros pasos 3: creación de una copia de seguridad programada

Comprueba la antigüedad de las instantáneas de tus EBS volúmenes de Amazon (disponibles o en uso). Se pueden producir errores incluso si se replican EBS los volúmenes de Amazon. Las instantáneas se conservan en toAmazon S3 para un almacenamiento y una recuperación duraderos. point-in-time

H7IgTzjTYb

Cree instantáneas semanales o mensuales de los volúmenes. Para obtener más información, consulta Cómo crear una EBS instantánea de Amazon.

Para automatizar la creación de EBS instantáneas, puede considerar la posibilidad de utilizar AWS BackupAmazon Data Lifecycle Manager.

Tienda Amazon Elastic Block (AmazonEBS)

EBSInstantáneas de Amazon

AWS Backup

Gestionador de vida útil de datos de Amazon

Comprueba si los grupos de Amazon EC2 Auto Scaling asociados a un Classic Load Balancer utilizan comprobaciones de estado de Elastic Load Balancing. Las comprobaciones de estado predeterminadas para un grupo de Auto Scaling son únicamente comprobaciones de EC2 estado de Amazon. Si una instancia no supera estas comprobaciones de estado, se marca como en mal estado y se termina. Amazon EC2 Auto Scaling lanza una nueva instancia de reemplazo. La comprobación de estado de Elastic Load Balancing monitorea periódicamente EC2 las instancias de Amazon para detectar y terminar las instancias en mal estado y, a continuación, lanzar nuevas instancias.

Para obtener más información, consulte Añadir comprobaciones de estado de Elastic Load Balancing.

c18d2gz104

AWS Config Managed Rule: autoscaling-group-elb-healthcheck-required

Amarillo: el grupo Amazon EC2 Auto Scaling adjunto a Classic Load Balancer no ha activado las comprobaciones de estado de Elastic Load Balancing.

Asegúrese de que los grupos de escalado automático asociados a un equilibrador de carga clásico utilizan las comprobaciones de estado de Elastic Load Balancing.

Las comprobaciones de estado de Elastic Load Balancing indican si el equilibrador de carga está en buen estado y disponible para gestionar las solicitudes. Esto garantiza una alta disponibilidad de la aplicación.

Para más información, consulte Adición de comprobaciones de estado de Elastic Load Balancing a un grupo de escalado automático

Comprueba si el reequilibrio de capacidad está activado para los grupos de Amazon EC2 Auto Scaling que utilizan varios tipos de instancias.

La configuración de los grupos de Amazon EC2 Auto Scaling con el reequilibrio de capacidad ayuda a garantizar que EC2 las instancias de Amazon se distribuyan uniformemente entre las zonas de disponibilidad, independientemente de los tipos de instancias y las opciones de compra. Utiliza una política de seguimiento segmentada asociada al grupo, como la CPU utilización o el tráfico de red.

Para obtener más información, consulte Grupos de escalado automático con varios tipos de instancia y opciones de compra.

AWS Config c18d2gz103

AWS Config Regla gestionada: autoscaling-capacity-rebalancing

Amarillo: el reequilibrio de capacidad del grupo Amazon EC2 Auto Scaling no está activado.

Asegúrese de que el reequilibrio de capacidad esté habilitado para los grupos de Amazon EC2 Auto Scaling que utilizan varios tipos de instancias.

Para obtener más información, consulte Habilitar reequilibrio de capacidad (consola)

Comprueba si el grupo Amazon EC2 Auto Scaling está desplegado en varias zonas de disponibilidad o en el número mínimo de zonas de disponibilidad especificado. Implemente EC2 instancias de Amazon en varias zonas de disponibilidad para garantizar una alta disponibilidad.

Puede ajustar el número mínimo de zonas de disponibilidad mediante el minAvailibilityZonesparámetro de sus AWS Config reglas.

Para obtener más información, consulte Grupos de escalado automático con varios tipos de instancia y opciones de compra.

c18d2gz101

AWS Config Managed Rule: autoscaling-multiple-az

Rojo: El grupo Amazon EC2 Auto Scaling no tiene AZs configuradas varias unidades o no cumple con el número mínimo AZs especificado.

Asegúrese de que su grupo de Amazon EC2 Auto Scaling esté configurado con variosAZs. Implemente EC2 instancias de Amazon en varias zonas de disponibilidad para garantizar una alta disponibilidad.

Creación de un grupo de escalado automático mediante una plantilla de lanzamiento

Crear un grupo de escalado automático mediante una configuración de lanzamiento

Comprueba la distribución de las instancias de Amazon Elastic Compute Cloud (AmazonEC2) en las zonas de disponibilidad de una región.

Las zonas de disponibilidad son ubicaciones diferentes aisladas de los errores que se producen en otras zonas de disponibilidad. Proporcionan conectividad de red económica y de baja latencia entre las zonas de disponibilidad de la misma región. Al lanzar instancias en múltiples zonas de disponibilidad de una misma región, puede proteger sus aplicaciones frente a los puntos de error únicos.

wuy7G1zxql

Equilibre sus EC2 instancias de Amazon de manera uniforme en varias zonas de disponibilidad. Para ello, lance instancias manualmente o utilice Auto Scaling para hacerlo automáticamente. Para obtener más información, consulte Lanzar la instancia y Usar un equilibrador de carga con un grupo de escalado automático.

Comprueba si la supervisión detallada está habilitada para yourAmazon EC2 las instancias.

La monitorización EC2 detallada de Amazon proporciona métricas más frecuentes, publicadas en intervalos de un minuto, en lugar de los intervalos de cinco minutos que se utilizan en la monitorización EC2 básica de Amazon. Habilitar la supervisión detallada de Amazon te EC2 ayuda a gestionar mejor tus EC2 recursos de Amazon, de forma que puedas encontrar tendencias y actuar con mayor rapidez.

Para obtener más información, consulte Supervisión básica y detallada.

AWS Config c18d2gz144

AWS Config Regla gestionada: ec2- instance-detailed-monitoring-enabled

Amarillo: la supervisión detallada no está habilitada para las EC2 instancias de Amazon.

Activa la supervisión detallada de tus EC2 instancias de Amazon para aumentar la frecuencia con la que se publican los datos de las EC2 métricas de Amazon en Amazon CloudWatch (de 5 a 1 minuto).

Comprueba las definiciones de ECS tareas de Amazon configuradas con el controlador de registro AWS Logs en modo de bloqueo. Un controlador configurado en el modo de bloqueo pone en riesgo la disponibilidad del sistema.

c1dvkm4z6b

Amarillo: el modo de parámetro de configuración de registro del controlador awslogs está configurado como bloqueado o ausente. Si falta un parámetro de modo, se indica una configuración de bloqueo predeterminada.

Verde: la definición de ECS tareas de Amazon no utiliza el controlador awslogs o el controlador awslogs está configurado en modo sin bloqueo.

Para mitigar el riesgo de disponibilidad, considere la posibilidad de cambiar la configuración del controlador de AWS registros de la definición de tareas de bloqueante a no bloqueante. En el modo sin bloqueo, tendrá que establecer un valor para el max-buffer-size parámetro. Para obtener más información y orientación sobre los parámetros de configuración, consulte. Consulte Evitar la pérdida de registros con el modo sin bloqueo en el controlador de registro del contenedor de AWS registros

Uso del controlador de registro AWS de registros

Elegir las opciones de registro de contenedores para evitar la contrapresión

Evitar la pérdida de registros con el modo sin bloqueo en el controlador de AWS registros del contenedor Logs

Compruebe que la configuración del servicio utiliza una única zona de disponibilidad (AZ).

Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Esto permite una conectividad de red económica y de baja latencia entre AZs las mismas Región de AWS. Al lanzar instancias en varias instancias AZs en la misma región, puede ayudar a proteger sus aplicaciones frente a un único punto de fallo.

c1z7dfpz01

Cree al menos una tarea más para el servicio en una zona de disponibilidad diferente.

ECSCapacidad y disponibilidad de Amazon

Comprueba que tu ECS servicio de Amazon utiliza la estrategia de ubicación de los diferenciales basada en la zona de disponibilidad (AZ). Esta estrategia distribuye las tareas entre las distintas zonas de disponibilidad de forma homogénea Región de AWS y puede ayudar a proteger sus aplicaciones frente a un único punto de fallo.

Para las tareas que se ejecutan como parte de un ECS servicio de Amazon, la estrategia de ubicación de tareas predeterminada es la dispersión.

Esta comprobación también verifica que la distribución sea la primera o la única estrategia de la lista de estrategias de ubicación habilitadas.

c1z7dfpz02

Activa la estrategia de distribución de tareas para distribuir las tareas entre múltiplesAZs. Compruebe que la distribución por zonas de disponibilidad sea la primera estrategia para todas las estrategias de ubicación de tareas habilitadas o la única estrategia utilizada. Si opta por administrar la ubicación de las zonas de disponibilidad, puede utilizar un servicio duplicado en otra zona de disponibilidad para mitigar estos riesgos.

Estrategias de ubicación de ECS tareas de Amazon

Comprueba si los objetivos de montaje existen en varias zonas de disponibilidad de un sistema de EFS archivos de Amazon.

Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Al crear objetivos de montaje en varias zonas de disponibilidad separadas geográficamente dentro de una AWS región, puede lograr los niveles más altos de disponibilidad y durabilidad para sus sistemas de EFS archivos de Amazon.

c1dfprch01

Para los sistemas de EFS archivos que utilizan clases de almacenamiento de One Zone, le recomendamos que cree nuevos sistemas de archivos que utilicen las clases de almacenamiento estándar restaurando una copia de seguridad en un nuevo sistema de archivos. Luego, cree puntos de montaje en varias zonas de disponibilidad.

Para los sistemas de EFS archivos que utilizan clases de almacenamiento estándar, se recomienda crear destinos de montaje en varias zonas de disponibilidad.

Comprueba si los sistemas de EFS archivos de Amazon están incluidos en los planes de respaldo con AWS Backup.

AWS Backup es un servicio de copias de seguridad unificado diseñado para simplificar la creación, migración, restauración y eliminación de copias de seguridad y, al mismo tiempo, mejorar la elaboración de informes y la auditoría.

Para obtener más información, consulta Cómo hacer copias de seguridad de los sistemas de EFS archivos de Amazon.

c18d2gz117

AWS Config Managed Rule: EFS_IN_BACKUP_PLAN

Rojo: Amazon no EFS está incluido en el AWS Backup plan.

Asegúrese de que sus sistemas de EFS archivos de Amazon estén incluidos en su AWS Backup plan para protegerlos contra la pérdida accidental o la corrupción de datos.

Hacer copias de seguridad de los sistemas de EFS archivos de Amazon

Amazon EFS Backup and Restore utilizando AWS Backup.

Comprueba los ElastiCache clústeres que se despliegan en una única zona de disponibilidad (AZ). Esta comprobación avisa si Multi-AZ está inactiva en un clúster.

Las implementaciones en varias zonas AZs mejoran la disponibilidad de los ElastiCache clústeres al replicar de forma asíncrona en réplicas de solo lectura en una zona de disponibilidad diferente. Cuando se realiza un mantenimiento planificado del clúster o si un nodo principal no está disponible, se convierte automáticamente una réplica en principal. ElastiCache Esta conmutación por error permite reanudar las operaciones de escritura del clúster y no requiere la intervención de un administrador.

ECHdfsQ402

Cree al menos una réplica por partición, en una AZ diferente a la principal.

Para obtener más información, consulte Minimizar el tiempo de inactividad en ElastiCache (RedisOSS) con Multi-AZ.

Comprueba si los clústeres de Amazon ElastiCache (RedisOSS) tienen activada la copia de seguridad automática y si el período de retención de instantáneas supera el límite especificado o predeterminado de 15 días. Cuando las copias de seguridad automáticas están habilitadas, ElastiCache crea una copia de seguridad del clúster a diario.

Puede especificar el límite de retención de instantáneas que desee mediante los snapshotRetentionPeriodparámetros de sus AWS Config reglas.

Para obtener más información, consulte Backup and restore for ElastiCache (RedisOSS).

c18d2gz178

AWS Config Managed Rule: elasticache-redis-cluster-automatic-backup-check

Rojo: los clústeres de Amazon ElastiCache (RedisOSS) no tienen activada la copia de seguridad automática o el período de retención de instantáneas está por debajo del límite.

Asegúrese de que los clústeres de Amazon ElastiCache (RedisOSS) tengan la copia de seguridad automática activada y que el período de retención de instantáneas supere el límite especificado o predeterminado de 15 días. Las copias de seguridad automáticas pueden ayudarle a protegerse frente a la pérdida de datos. En caso de error, puede crear un nuevo clúster y restaurar los datos de la copia de seguridad más reciente.

Para obtener más información, consulte Backup and restore for ElastiCache (RedisOSS).

Para obtener más información, consulte Programar copias de seguridad automáticas.

Verifica los clústeres MemoryDB que se implementan en una sola zona de disponibilidad (AZ). Esta comprobación avisa si Multi-AZ está inactiva en un clúster.

Las implementaciones en varios nodos AZs mejoran la disponibilidad de los clústeres de MemoryDB mediante la replicación asíncrona en réplicas de solo lectura en una zona de disponibilidad diferente. Cuando se lleva a cabo el mantenimiento planificado del clúster o si un nodo principal no está disponible, MemoryDB promueve automáticamente una réplica al nodo principal. Esta conmutación por error permite reanudar las operaciones de escritura del clúster y no requiere la intervención de un administrador.

MDBdfsQ401

Cree al menos una réplica por partición, en una AZ diferente a la principal.

Para obtener más información, consulte Minimización del tiempo de inactividad en MemoryDB con Multi-AZ.

Comprueba que los intermediarios de un clúster de Managed Streaming for Kafka (MSK) no tengan asignadas más particiones que las recomendadas.

Cmsvnj8vf1

Siga las prácticas MSK recomendadas para escalar el MSK clúster o eliminar las particiones no utilizadas.

Comprueba el número de zonas de disponibilidad (AZs) del clúster MSK aprovisionado por Amazon. El MSK clúster de Amazon está formado por varios corredores que trabajan juntos y distribuyen los datos y la carga. La producción puede interrumpirse durante el mantenimiento o por problemas de intermediación en un clúster 2-AZ.

90046ff5b5

Para aumentar la disponibilidad del clúster, puedes crear otro clúster en una AZs configuración de 3. A continuación, migre el clúster existente al nuevo clúster que creó. Puede utilizar la MSK replicación de Amazon para esta migración.

MSKAlta disponibilidad de Amazon

MSKMigración a Amazon

Comprueba si los dominios OpenSearch de Amazon Service están configurados con al menos tres nodos de datos y ZoneAwarenessEnabled es verdadero. Si ZoneAwarenessEnabled está activado, Amazon OpenSearch Service garantiza que cada fragmento principal y su réplica correspondiente se asignen en distintas zonas de disponibilidad.

Para obtener más información, consulta Cómo configurar un dominio Multi-AZ en Amazon OpenSearch Service.

c18d2gz183

AWS Config Managed Rule: opensearch-data-node-fault-tolerance

Amarillo: los dominios OpenSearch de Amazon Service están configurados con menos de tres nodos de datos.

Asegúrese de que los dominios OpenSearch de Amazon Service estén configurados con un mínimo de tres nodos de datos. Configure un dominio Multi-AZ para mejorar la disponibilidad del clúster de Amazon OpenSearch Service mediante la asignación de nodos y la replicación de datos en tres zonas de disponibilidad de la misma región. Esta acción previene la pérdida de datos y minimiza el tiempo de inactividad en caso de error en el nodo o en el centro de datos (zona de disponibilidad).

Para obtener más información, consulte Aumentar la disponibilidad de Amazon OpenSearch Service mediante la implementación en tres zonas de disponibilidad.

Comprueba si hay copias de seguridad automatizadas de las instancias de Amazon RDS DB.

De forma predeterminada, las copias de seguridad están habilitadas con un periodo de retención de un día. Las copias de seguridad reducen el riesgo de pérdidas inesperadas de datos y permiten la point-in-time recuperación.

opQPADkZvH

Rojo: el periodo de retención de copia de seguridad en una instancia de base de datos es de 0 días.

Establezca el periodo de retención para la copia de seguridad automatizada de la instancia de base de datos en 1 a 35 días, lo que sea adecuado según los requisitos de la aplicación. Consulte Trabajo con copias de seguridad automatizadas.

Cómo empezar con Amazon RDS

Añada al menos otra instancia de base de datos al clúster de base de datos para mejorar la disponibilidad y el rendimiento.

c1qf5bt011

Amarillo: los clústeres de bases de datos solo tienen una instancia de base de datos.

Agregue una instancia de base de datos de lectura al clúster de base de datos.

En la configuración actual, se utiliza una instancia de base de datos para las operaciones de lectura y escritura. Puede añadir otra instancia de base de datos para permitir la redistribución de la lectura y una opción de conmutación por error.

Para obtener más información, consulte Alta disponibilidad para Amazon Aurora.

Actualmente, los clústeres de base de datos se encuentran en una sola zona de disponibilidad. Utilice varias zonas de disponibilidad para mejorar la disponibilidad.

c1qf5bt007

Amarillo: los clústeres de bases de datos tienen todas las instancias en la misma zona de disponibilidad.

Agregue las instancias de base de datos a varias zonas de disponibilidad de su clúster de base de datos.

Se recomienda añadir las instancias de base de datos a varias zonas de disponibilidad de un clúster de base de datos. Añadir instancias de base de datos a varias zonas de disponibilidad mejora la disponibilidad del clúster de base de datos.

Para obtener más información, consulte Alta disponibilidad para Amazon Aurora.

El clúster de base de datos dispone de todas las instancias de lector en la misma zona de disponibilidad. Le recomendamos que distribuya las instancias de Reader en varias zonas de disponibilidad de su clúster de base de datos.

La distribución aumenta la disponibilidad de la base de datos y mejora el tiempo de respuesta al reducir la latencia de la red entre los clientes y la base de datos.

c1qf5bt018

Rojo: los clústeres de bases de datos tienen las instancias de lectura en la misma zona de disponibilidad.

Distribuya las instancias de lectura en varias zonas de disponibilidad.

Las zonas de disponibilidad (AZs) son ubicaciones distintas entre sí para proporcionar aislamiento en caso de interrupciones en cada AWS región. Le recomendamos que distribuya la instancia principal y las instancias de lectura de su clúster de base de datos entre varias AZs para mejorar la disponibilidad de su clúster de base de datos. Puede crear un clúster Multi-AZ mediante AWS Management Console, AWS CLI, o Amazon RDS API al crear el clúster. También puede modificar el clúster de Aurora ya existente y convertirlo en un clúster multi-AZ agregando una nueva instancia de lector y especificando una AZ distinta.

Para obtener más información, consulte Alta disponibilidad para Amazon Aurora.

Comprueba si sus instancias de Amazon RDS DB tienen habilitada la monitorización mejorada.

Amazon RDS Enhanced Monitoring proporciona métricas en tiempo real para el sistema operativo (SO) en el que se ejecuta la instancia de base de datos. Todas las métricas del sistema y la información de procesos de sus RDS instancias de base de datos de Amazon se pueden ver en la RDS consola de Amazon. También puede personalizar el panel de control. Con Enhanced Monitoring, tiene visibilidad del estado operativo de su RDS instancia de Amazon prácticamente en tiempo real, lo que le permite responder a los problemas operativos con mayor rapidez.

Puede especificar el intervalo de monitoreo que desee mediante el monitoringIntervalparámetro de sus AWS Config reglas.

Para obtener más información, consulte Descripción general de la supervisión mejorada y las Métricas del sistema operativo en la supervisión mejorada.

c18d2gz158

AWS Config Managed Rule: rds-enhanced-monitoring-enabled

Amarillo: sus instancias de Amazon RDS DB no tienen habilitada la monitorización mejorada o no están configuradas con el intervalo deseado.

Habilite la monitorización mejorada de sus RDS instancias de base de datos de Amazon para mejorar la visibilidad del estado de las operaciones de sus RDS instancias de Amazon.

Para obtener más información sobre la supervisión mejorada de Amazon RDS, consulte Supervisión de las métricas del SO con la supervisión mejorada.

Métricas del sistema operativo en Supervisión mejorada

El escalado automático del RDS almacenamiento de Amazon no está activado en su instancia de base de datos. Cuando se produce un aumento en la carga de trabajo de la base de datos, el escalado automático de RDS Storage escala automáticamente la capacidad de almacenamiento sin tiempo de inactividad.

c1qf5bt013

Rojo: las instancias de base de datos no tienen activado el escalado automático del almacenamiento.

Activa el escalado automático del RDS almacenamiento de Amazon con un umbral de almacenamiento máximo especificado.

El escalado automático del RDS almacenamiento de Amazon escala automáticamente la capacidad de almacenamiento sin tiempo de inactividad cuando aumenta la carga de trabajo de la base de datos. El escalado automático del almacenamiento monitorea el uso del almacenamiento y aumenta automáticamente la capacidad cuando el uso se acerca a la capacidad de almacenamiento aprovisionada. Puede especificar un límite máximo de almacenamiento que Amazon RDS puede asignar a la instancia de base de datos. El escalado automático del almacenamiento no conlleva ningún coste adicional. Solo paga por los RDS recursos de Amazon asignados a su instancia de base de datos. Te recomendamos que actives el escalado automático del RDS almacenamiento de Amazon.

Para obtener más información, consulta Administrar la capacidad automáticamente con el escalado automático RDS de almacenamiento de Amazon.

Recomendamos usar la implementación multi-AZ. Las implementaciones multi-AZ mejoran la disponibilidad y la durabilidad de la instancia de base de datos.

c1qf5bt019

Amarillo: las instancias de base de datos no utilizan la implementación Multi-AZ.

Configure Multi-AZ para las instancias de base de datos afectadas.

En una implementación RDS Multi-AZ de Amazon, Amazon crea RDS automáticamente una instancia de base de datos principal y replica los datos en una instancia de una zona de disponibilidad diferente. Cuando detecta un error, Amazon realiza RDS automáticamente la conmutación por error a una instancia en espera sin intervención manual.

Para obtener más información, consulte Precios.

Comprueba si la CloudWatch métrica DiskQueueDepth muestra que el número de escrituras en cola en el almacenamiento de la base de datos de la RDS instancia ha aumentado hasta un nivel en el que debería sugerirse una investigación operativa.

Cmsvnj8db3

Considere la posibilidad de pasarse a instancias y volúmenes de almacenamiento que admitan las características de lectura y escritura.

Comprueba si la FreeStorageSpace CloudWatch métrica de una instancia de RDS base de datos ha disminuido por debajo de un umbral razonable desde el punto de vista operativo.

Cmsvnj8db2

Amplíe el espacio de almacenamiento de la instancia de RDS base de datos que se está quedando sin espacio de almacenamiento gratuito mediante Amazon RDS Management Console, Amazon RDS API o la interfaz de línea de AWS comandos.

Cuando log_output está establecido en TABLE, se utiliza más espacio de almacenamiento que cuando log_output está establecido en. FILE Se recomienda configurar el parámetro en FILE, para evitar alcanzar el límite de tamaño de almacenamiento.

c1qf5bt023

Amarillo: los grupos de parámetros de base de datos tienen el parámetro log_output establecido en. TABLE

Defina el valor del parámetro log_output en sus grupos de parámetros de base FILEde datos.

Para obtener más información, consulte los archivos de registro de mi SQL base de datos.

Su instancia de base de datos encuentra un problema conocido: una tabla creada en una SQL versión My anterior a la 8.0.26 con el formato row_format establecido en o es inaccesible e irrecuperable cuando el índice supera los 767 bytes. COMPACTREDUNDANT

Se recomienda establecer el valor del parámetro innodb_default_row_format en. DYNAMIC

c1qf5bt036

Rojo: los grupos de parámetros de base de datos tienen una configuración insegura para el parámetro innodb_default_row_format.

Defina el parámetro DYNAMICinnodb_default_row_format en.

Cuando se crea una tabla con Mi SQL versión anterior a la 8.0.26 con row_format establecido en COMPACTo REDUNDANT, no se exige la creación de índices con un key prefijo inferior a 767 bytes. Una vez reiniciada la base de datos, no se podrá acceder a estas tablas ni recuperarlas.

Para obtener más información, consulte Cambios en la versión SQL 8.0.26 de mayo (20 de julio de 2021, disponibilidad general) n en el sitio web de documentación de My. SQL

El valor del parámetro innodb_flush_log_at_trx_commit de su instancia de base de datos no es un valor seguro. Este parámetro controla la persistencia de las operaciones de confirmación en el disco.

Se recomienda establecer el parámetro innodb_flush_log_at_trx_commit en 1.

c1qf5bt030

Amarillo: los grupos de parámetros de base de datos tienen el valor innodb_flush_log_at_trx_commit establecido en un valor distinto de 1.

Establezca el valor del parámetro innodb_flush_log_at_trx_commit en 1

La transacción de la base de datos es duradera cuando el búfer de registro se guarda en el almacenamiento duradero. Sin embargo, guardar en el disco afecta al rendimiento. Según el valor establecido para el parámetro innodb_flush_log_at_trx_commit, el comportamiento de cómo se escriben y guardan los registros en el disco puede variar.

Para obtener más información, consulte Prácticas recomendadas para configurar los parámetros de Amazon RDS for MySQL, parte 1: Parámetros relacionados con el rendimiento.

La instancia de base de datos tiene un valor bajo para el número máximo de conexiones simultáneas para cada cuenta de base de datos.

Recomendamos establecer el parámetro max_user_connections en un número superior a 5.

c1qf5bt034

Amarillo: los grupos de parámetros de base de datos tienen max_user_connections mal configurado.

Aumente el valor del parámetro max_user_connections a un número superior a 5.

La configuración max_user_connections controla el número máximo de conexiones simultáneas permitidas para una cuenta de Mi usuario. SQL Si se alcanza este límite de conexión, se producen errores en las operaciones de administración de RDS instancias de Amazon, como las copias de seguridad, la aplicación de parches y los cambios de parámetros.

Para obtener más información, consulte Cómo establecer los límites de recursos de la cuenta en el sitio web Mi SQL documentación.

Verifica las instancias de base de datos que están implementadas en una implementan en una sola zona de disponibilidad (AZ).

Las implementaciones Multi-AZ mejoran la disponibilidad de la base de datos mediante la replicación sincrónica en una instancia en espera de otra zona de disponibilidad distinta. Durante el mantenimiento planificado de la base de datos o cuando se produce un error en una instancia de base de datos o en una zona de disponibilidad, Amazon pasa RDS automáticamente a la instancia de espera. Dicha conmutación por error permite reanudar rápidamente las operaciones de base de datos sin intervención administrativa. Como Amazon RDS no admite la implementación Multi-AZ para Microsoft SQL Server, esta comprobación no examina las instancias de SQL servidor.

f2iK5R6Dep

Amarillo: una instancia de base de datos se implementa en una única zona de disponibilidad.

Si la aplicación requiere alta disponibilidad, modifique la instancia de base de datos para habilitar la implementación Multi-AZ. Consulte Alta disponibilidad (Multi-AZ).

Regiones y zonas de disponibilidad

Comprueba si sus instancias de Amazon RDS DB están incluidas en un plan de respaldo en AWS Backup.

AWS Backup es un servicio de backup totalmente gestionado que facilita la centralización y la automatización de las copias de seguridad de los datos en todos los AWS servicios.

La inclusión de su RDS instancia de base de datos de Amazon en un plan de respaldo es importante para cumplir con las obligaciones normativas, la recuperación ante desastres, las políticas empresariales de protección de datos y los objetivos de continuidad empresarial.

Para obtener más información, consulte ¿Qué es AWS Backup? .

c18d2gz159

AWS Config Managed Rule: rds-in-backup-plan

Amarillo: una instancia de Amazon RDS DB no está incluida en un plan de respaldo con AWS Backup.

Incluya sus instancias de Amazon RDS DB en un plan de respaldo con AWS Backup.

Para obtener más información, consulte Amazon RDS Backup and Restore Using AWS Backup.

Asignación de recursos a un plan de copia de seguridad

Su instancia de base de datos tiene la réplica de lectura en modo de escritura, lo que permite actualizaciones de los clientes.

Le recomendamos que configure el parámetro read_only para que las réplicas de lectura no estén en TrueIfReplicamodo de escritura.

c1qf5bt035

Amarillo: los grupos de parámetros de base de datos activan el modo grabable para las réplicas de lectura.

Defina el valor del parámetro read_only en. TrueIfReplica

El parámetro read_only controla el permiso de escritura de los clientes en una instancia de base de datos. El valor predeterminado de este parámetro es. TrueIfReplica Para una instancia de réplica, TrueIfReplicaestablece el valor read_only en ON (1) y desactiva cualquier actividad de escritura de los clientes. Para una instancia maestro/de escritura, TrueIfReplicaestablece el valor en OFF (0) y habilita la actividad de escritura de los clientes de la instancia. Cuando la réplica de lectura se abre en modo grabable, los datos almacenados en esta instancia pueden diferir de los de la instancia principal, lo que provoca errores de replicación.

Para obtener más información, consulte Prácticas recomendadas para configurar los parámetros de Amazon RDS for MySQL, parte 2: Parámetros relacionados con la replicación, en el sitio web de SQL documentación My.

Las copias de seguridad automatizadas están deshabilitadas en sus recursos de base de datos. Las copias de seguridad automatizadas permiten la point-in-time recuperación de su instancia de base de datos.

c1qf5bt001

Rojo: RDS los recursos de Amazon no tienen activadas las copias de seguridad automáticas

Active las copias de seguridad automatizadas con un período de retención de hasta 14 días.

Las copias de seguridad automatizadas permiten la point-in-time recuperación de sus instancias de base de datos. Recomendamos activar las copias de seguridad automatizadas. Al activar las copias de seguridad automatizadas para una instancia de base de datos, Amazon realiza RDS automáticamente una copia de seguridad completa de sus datos todos los días durante el período de copia de seguridad que prefiera. La copia de seguridad captura los registros de transacciones cuando hay actualizaciones en su instancia de base de datos. Obtendrá un almacenamiento de respaldo equivalente al tamaño de almacenamiento de su instancia de base de datos sin coste adicional.

Para obtener más información, consulte los siguientes recursos:

La sincronización del registro binario con el disco no se aplica antes de que la confirmación de las transacciones se reconozca en la instancia de base de datos.

Se recomienda establecer el valor del parámetro sync_binlog en 1.

c1qf5bt031

Amarillo: los grupos de parámetros de base de datos tienen el registro binario sincrónico desactivado.

Establezca el parámetro sync_binlog en 1.

El parámetro sync_binlog controla la forma en que My inserta el registro binario en el SQL disco. Cuando el valor de este parámetro se establece en 1, activa la sincronización del registro binario con el disco antes de que se confirmen las transacciones. Cuando el valor de este parámetro se establece en 0, se desactiva la sincronización del registro binario con el disco. Por lo general, mi SQL servidor depende del sistema operativo para enviar el registro binario al disco con regularidad, de forma similar a como ocurre con otros archivos. El valor del parámetro sync_binlog establecido en 0 puede mejorar el rendimiento. Sin embargo, durante un corte de energía o un fallo del sistema operativo, el servidor pierde todas las transacciones confirmadas que no estaban sincronizadas con los registros binarios.

Para obtener más información, consulte Prácticas recomendadas para configurar los parámetros de Amazon RDS for MySQL, parte 2: Parámetros relacionados con la replicación.

Comprueba si los clústeres de Amazon RDS DB tienen habilitada la replicación Multi-AZ.

Un clúster de base de datos Multi-AZ tiene una instancia de base de datos del escritor y dos instancias de base de datos del lector en tres zonas de disponibilidad diferentes. Los clústeres de base de datos Multi-AZ proporcionan alta disponibilidad, mayor capacidad para cargas de trabajo de lectura y menor latencia en comparación con las implementaciones Multi-AZ.

Para obtener más información, consulte Crear un clúster de base de datos Multi-AZ.

c18d2gz161

AWS Config Managed Rule: rds-cluster-multi-az-enabled

Amarillo: su clúster de Amazon RDS DB no tiene configurada la replicación Multi-AZ

Active la implementación del clúster de base de datos Multi-AZ al crear un clúster de RDS base de datos de Amazon.

Para obtener más información, consulte Crear un clúster de base de datos Multi-AZ.

Implementaciones de clústeres de base de datos Multi-AZ

Comprueba si las instancias de Amazon RDS DB tienen configurada una réplica en espera Multi-AZ.

Amazon RDS Multi-AZ proporciona alta disponibilidad y durabilidad para las instancias de bases de datos al replicar los datos en una réplica en espera situada en una zona de disponibilidad diferente. Esto proporciona una conmutación por error automática, mejora el rendimiento y mejora la durabilidad de los datos. En una implementación de instancia de base de datos Multi-AZ, Amazon aprovisiona y mantiene RDS automáticamente una réplica síncrona en espera en una zona de disponibilidad diferente. La instancia de base de datos principal se replica de forma síncrona en distintas zonas de disponibilidad en una réplica en espera para proporcionar redundancia de datos y minimizar los picos de latencia durante las copias de seguridad del sistema. La ejecución de una instancia de base de datos con alta disponibilidad mejora la disponibilidad durante el mantenimiento planificado del sistema. También ayuda a proteger las bases de datos contra los errores de las instancias de base de datos y las interrupciones de las zonas de disponibilidad.

Para obtener más información, consulte Implementaciones de instancias de base de datos Multi-AZ.

c18d2gz156

AWS Config Managed Rule: rds-multi-az-support

Amarillo: una RDS instancia de base de datos de Amazon no tiene configurada una réplica Multi-AZ.

Active la implementación Multi-AZ al crear una RDS instancia de base de datos de Amazon.

Esta comprobación no se puede excluir de la vista de la Trusted Advisor consola.

Implementaciones de instancias de base de datos Multi-AZ

Comprueba si la ReplicaLag CloudWatch métrica de una instancia de RDS base de datos ha superado un umbral razonable desde el punto de vista operativo durante la semana pasada.

ReplicaLag La métrica mide el número de segundos que una réplica de lectura está por detrás de la instancia principal. El retraso en la replicación se produce cuando las actualizaciones asíncronas realizadas en la réplica de lectura no pueden seguir el ritmo de las actualizaciones que se producen en la instancia de base de datos principal. En caso de que se produzca un error en la instancia principal, ReplicaLag es posible que falten datos en la réplica de lectura si están por encima de un umbral razonable desde el punto de vista operativo.

Cmsvnj8db1

Existen varias causas posibles ReplicaLag para que el aumento supere los niveles operacionalmente seguros. Por ejemplo, puede deberse a un retraso reciente, lo que ocasiona que en ocasiones se ReplicaLag retrasereplaced/launched replica instances from older backups and these replicas requiring substantial time to “catch-up” to the primary database instance and live transactions. This ReplicaLag may dwindle over time as catch-up occurs. Another example could be that the transaction velocity able to be achieved on the primary database instance is higher than the replication process or replica infrastructure is able to match. This ReplicaLag may grow over time as replication fails to keep pace with the primary database performance. Finally, the workload may be bursty throughout different periods of the day/month/etc. Su equipo debería investigar qué posible causa raíz ha contribuido a que la base de datos se ReplicaLag dispare y, posiblemente, cambiar el tipo de instancia de la base de datos u otras características de la carga de trabajo para garantizar que la continuidad de los datos en la réplica se ajuste a sus necesidades.

Cuando el parámetro synchronous_commit está desactivado, es posible que se pierdan datos en caso de que la base de datos se bloquee. La durabilidad de la base de datos está en riesgo.

Se recomienda activar el parámetro synchronous_commit.

c1qf5bt026

Rojo: los grupos de parámetros de base de datos tienen el parámetro synchronous_commit desactivado.

Active el parámetro synchronous_commit en sus grupos de parámetros de base de datos.

El parámetro synchronous_commit define la finalización del proceso Write-Ahead Logging (WAL) antes de que el servidor de base de datos envíe una notificación correcta al cliente. Esta confirmación se denomina confirmación asíncrona porque el cliente reconoce la confirmación antes de guardar la transacción en el disco. WAL Si el parámetro synchronous_commit está desactivado, es posible que las transacciones se pierdan, que la durabilidad de la instancia de base de datos se vea comprometida y que se pierdan datos cuando una base de datos se bloquea.

Para obtener más información, consulte los archivos de registro de mi SQL base de datos.

Compruebe si las instantáneas automatizadas están habilitadas para sus clústeres de Amazon Redshift.

Amazon Redshift realiza instantáneas progresivas de forma automática que hacen un seguimiento de los cambios realizados en el clúster desde la instantánea automatizada anterior. Las instantáneas automatizadas conservan todos los datos requeridos para restaurar un clúster a partir de una instantánea. Para desactivar las instantáneas automatizadas, establezca el período de retención en cero. No puede deshabilitar las instantáneas automatizadas para los tipos de RA3 nodos.

Puede especificar el período de retención mínimo y máximo que desee mediante el MaxRetentionPeriodparámetro MinRetentionPeriody de sus AWS Config reglas.

Instantáneas y copias de seguridad de Amazon Redshift

c18d2gz135

AWS Config Managed Rule: redshift-backup-enabled

Rojo: Amazon Redshift no tiene configuradas las instantáneas automatizadas dentro del período de retención deseado.

Asegúrese de que las instantáneas automatizadas estén habilitadas para los clústeres de Amazon Redshift.

Para obtener más información, consulte Administración de instantáneas a través de la consola.

Instantáneas y copias de seguridad de Amazon Redshift

Para obtener más información, consulte Trabajar con copias de seguridad.

Verifica los conjuntos de registros de recursos asociados con las comprobaciones de estado que se han eliminado.

Route 53 no le impide eliminar una comprobación de estado asociada con uno o varios conjuntos de registros de recursos. Si elimina una comprobación de estado sin actualizar los conjuntos de registros de recursos asociados, el enrutamiento de DNS las consultas de la configuración de DNS conmutación por error no funcionará según lo previsto.

Las zonas alojadas creadas por AWS los servicios no aparecerán en los resultados de la comprobación.

Cb877eB72b

Amarillo: un conjunto de registros de recursos está asociado a una comprobación de estado que se ha eliminado.

Cree una nueva comprobación de estado y asóciela al conjunto de registros de recursos. Consulte Creación, actualización y eliminación de comprobaciones de estado y Adición de comprobaciones de estado a conjuntos de registros de recursos.

Verifica si hay conjuntos de registros de recursos de conmutación por error de Amazon Route 53 que tienen una configuración incorrecta.

Cuando las comprobaciones de estado de Amazon Route 53 determinan que el recurso principal no está en buen estado, Amazon Route 53 responde a las consultas con un conjunto de registros de recursos de copia de seguridad secundario. Debe crear conjuntos de registros de recursos primarios y secundarios configurados correctamente para que la conmutación por error funcione.

Las zonas alojadas creadas por AWS los servicios no aparecerán en los resultados de las comprobaciones.

b73EEdD790

Si falta un conjunto de recursos de conmutación por error, cree el conjunto de registros de recursos correspondiente. Consulte Creación de conjuntos de registros de recursos de conmutación por error.

Si los conjuntos de registros de recursos están asociados a la misma comprobación de estado, cree comprobaciones de estado separadas para cada uno. Consulte Creación, actualización y eliminación de comprobaciones de estado.

Comprobaciones de estado y DNS conmutación por error de Amazon Route 53

Comprueba si hay conjuntos de registros de recursos que puedan beneficiarse de tener un valor inferior time-to-live (TTL).

TTLes el número de segundos que los DNS resolutores almacenan en caché un conjunto de registros de recursos. Si especificas un valor largoTTL, los DNS solucionadores tardan más en solicitar los DNS registros actualizados, lo que puede provocar demoras innecesarias en el redireccionamiento del tráfico (por ejemplo, cuando DNS Failover detecta un fallo en uno de los puntos finales y responde a él). Esta comprobación solo analiza los registros con una política de conmutación por error o si hay una comprobación de estado asociada.

Las zonas alojadas creadas por AWS los servicios no aparecerán en los resultados de la comprobación.

C056F80cR3

Introduzca un TTL valor de 60 segundos para los conjuntos de registros de recursos de la lista. Para obtener más información, consulte Trabajar con conjuntos de registros de recursos.

Comprobaciones de estado y DNS conmutación por error de Amazon Route 53

Comprueba si hay zonas alojadas en Amazon Route 53 para las que su registrador de dominios DNS utiliza o no los servidores de nombres de Route 53 correctos.

Cuando se crea una zona alojada, Route 53 asigna un conjunto de delegación de cuatro servidores de nombres. Los nombres de estos servidores son ns-###.awsdns-##.com, .net, .org y .co.uk, donde ### y ## suelen representar números diferentes. Para que Route 53 pueda enrutar DNS las consultas de su dominio, debe actualizar la configuración del servidor de nombres del registrador para eliminar los servidores de nombres que el registrador asignó. A continuación, debe agregar los cuatro servidores de nombres en el conjunto de delegación de Route 53. Para obtener la máxima disponibilidad, debe agregar los cuatro servidores de nombres de Route 53.

Las zonas alojadas creadas por AWS los servicios no aparecerán en los resultados de la comprobación.

cF171Db240

Amarillo: una zona alojada en la que el registrador del dominio no utiliza los cuatro servidores de nombres de Route 53 del conjunto de delegación.

Agregue o actualice los registros de servidores de nombres con su registrador o con el DNS servicio actual de su dominio para incluir los cuatro servidores de nombres en su conjunto de delegación de Route 53. Para encontrar estos valores, consulte Obtención de servidores de nombres para una zona alojada. Para obtener información sobre cómo agregar o actualizar registros del servidor de nombres, consulte Creación y migración de dominios y subdominios a Amazon Route 53.

Uso de zonas hospedadas

Comprueba si la configuración del servicio tiene direcciones IP especificadas en al menos dos zonas de disponibilidad (AZs) para garantizar la redundancia. Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Al especificar varias direcciones IP AZs en la misma región, puede ayudar a proteger sus aplicaciones frente a un único punto de error.

Chrv231ch1

Especificar las direcciones IP al menos en dos zonas de disponibilidad para la redundancia.

Verifica la configuración de registro de los buckets de Amazon Simple Storage Service (Amazon S3).

Cuando se habilita el registro de acceso al servidor, los registros de acceso detallados se entregan cada hora en un bucket especificado. Los registros de acceso contienen detalles sobre cada solicitud, como, por ejemplo, el tipo de solicitud, los recursos especificados en la solicitud y la fecha y hora en que se procesó la solicitud. De forma predeterminada, el registro de bucket no está habilitado. Debe habilitar el registro si desea llevar a cabo auditorías de seguridad u obtener más información sobre los usuarios y los patrones de uso.

Cuando el registro está habilitado inicialmente, la configuración se valida automáticamente. No obstante, las modificaciones futuras pueden dar lugar a errores de registro. Esta verificación examina los permisos de bucket explícitos de Amazon S3, pero no examina las políticas de bucket asociadas que podrían invalidar los permisos de bucket.

BueAdJ7NrP

Habilite el registro de buckets para la mayoría de los buckets. Consulte Habilitación del registro con la consola y Habilitación de registros mediante programación.

Si los permisos del bucket de destino no incluyen la cuenta raíz y quieres Trusted Advisor comprobar el estado del registro, añade la cuenta raíz como beneficiaria. Consulte Edición de permisos de bucket.

Si el bucket de destino no existe, seleccione un bucket existente como destino o cree uno nuevo y selecciónelo. Consulte Administración del registro de buckets.

Si el origen y el destino tienen propietarios diferentes, cambie el bucket de destino por uno que tenga el mismo propietario que el bucket de origen. Consulte Administración del registro de buckets.

Si el emisor de registros no tiene permisos de escritura en el destino (no está habilitada la escritura), conceda permisos de carga/eliminación al grupo de entrega de registros. Consulte Edición de permisos de bucket.

Compruebe si los buckets de Amazon S3 tienen reglas de replicación habilitadas para la replicación entre regiones, la replicación en la misma región o ambas.

La replicación consiste en la copia automática y asincrónica de objetos entre depósitos de la misma región o de regiones diferentes. AWS La replicación copia los objetos recientemente creados y las actualizaciones de objetos de un bucket de origen a un bucket o buckets de destino. Utilice la replicación de bucket de Amazon S3 para mejorar la resiliencia y la conformidad de sus aplicaciones y almacenamiento de datos.

Para obtener más información, consulte Replicar objetos.

c18d2gz119

AWS Config Managed Rule: s3-bucket-replication-enabled

Amarillo: las reglas de replicación de bucket de Amazon S3 no están habilitadas para la replicación entre regiones, la replicación en la misma región o ambas.

Active las reglas de replicación de bucket de Amazon S3 para mejorar la resiliencia y la conformidad de sus aplicaciones y almacenamiento de datos.

Para obtener más información, consulte Ver trabajos de copia de seguridad y puntos de recuperación y Configuración de la replicación.

Tutoriales: ejemplos para configurar la replicación

Verifica si existen buckets de Amazon Simple Storage Service que no tengan el habilitado el control de versiones o que lo tienen suspendido.

Cuando el control de versiones está habilitado, puede recuperarse fácilmente de acciones no deseadas del usuario y de errores de la aplicación. El control de versiones permite conservar, recuperar y restaurar cualquier versión de cualquier objeto almacenado en un bucket. Puede utilizar reglas de ciclo de vida para administrar todas las versiones de los objetos, así como sus costos asociados mediante el archivo automático de los objetos en la clase de almacenamiento de Glacier. Las reglas también se pueden configurar para eliminar versiones de los objetos una vez transcurrido un periodo de tiempo especificado. También puede requerir la autenticación multifactorial (MFA) para eliminar objetos o cambiar la configuración de sus buckets.

El control de versiones no se puede desactivar después de haberlo habilitado. Sin embargo, se puede suspender, lo que impide que se creen nuevas versiones de objetos. El uso del control de versiones puede aumentar los costos de Amazon S3, ya que se paga por el almacenamiento de varias versiones de un objeto.

R365s2Qddf

Habilite el control de versiones de buckets en la mayoría de los buckets para evitar que se eliminen o sobrescriban accidentalmente. Consulte Uso del control de versiones y Habilitación del control de versiones mediante programación.

Si el control de versiones del bucket está suspendido, considere volver a habilitar el control de versiones. Para obtener información sobre el trabajo con objetos en un bucket con control de versiones suspendido, consulte Administración de objetos en un bucket con control de versiones suspendido.

Cuando el control de versiones está habilitado o suspendido, puede definir las reglas de configuración del ciclo de vida para marcar determinadas versiones de objetos como vencidas o para eliminar permanentemente las versiones de objetos innecesarias. Para obtener más información, consulte Administración del ciclo de vida de los objetos.

MFALa eliminación requiere una autenticación adicional cuando se cambia el estado de control de versiones del bucket o cuando se eliminan las versiones de un objeto. Se requiere que el usuario ingrese sus credenciales y un código desde un dispositivo de autenticación aprobado. Para obtener más información, consulte MFAEliminar.

Trabajo con buckets

Compruebe si los equilibradores de carga (equilibrador de carga de aplicaciones, redes y puertas de enlace) están configurados con subredes en varias zonas de disponibilidad.

Puede especificar las zonas de disponibilidad mínima que desee en los minAvailabilityZonesparámetros de sus AWS Config reglas.

Para obtener más información, consulte Zonas de disponibilidad para el equilibrador de carga de aplicación, Zonas de disponibilidad - Equilibrador de carga de red y Crear un equilibrador de carga de puerta de enlace.

c18d2gz169

AWS Config Managed Rule: elbv2-multiple-az

Amarillo: equilibradores de carga de aplicaciones, redes o puertas de enlace configurados con subredes en menos de dos zonas de disponibilidad.

Configure sus equilibradores de carga de aplicaciones, redes y puertas de enlace con subredes en varias zonas de disponibilidad.

Zonas de disponibilidad para el equilibrador de carga de aplicación

Zonas de disponibilidad (Elastic Load Balancing)

Creación de un equilibrador de carga de puerta de enlace

Comprueba que haya suficiente disponibilidad IPs en las subredes de destino. Tener suficiente IPs disponibilidad para su uso ayudaría cuando Auto Scaling Group alcance su tamaño máximo y necesite lanzar instancias adicionales.

Cjxm268ch1

Aumentar el número de direcciones IP disponibles

Examina la configuración de la comprobación de estado de los grupos de Auto Scaling.

Si Elastic Load Balancing se está utilizando para un grupo de Auto Scaling, se recomienda habilitar una comprobación de estado de Elastic Load Balancing. Si no se utiliza una comprobación de estado de Elastic Load Balancing, Auto Scaling solo puede actuar en función del estado de la instancia de Amazon Elastic Compute Cloud (AmazonEC2). Auto Scaling no actuará en la aplicación que esté en ejecución en la instancia.

CLOG40CDO8

Si el grupo de escalado automático tiene un equilibrador de carga asociado, pero la comprobación de estado de Elastic Load Balancing no está habilitada, consulte Adición de una comprobación de estado de Elastic Load Balancing al grupo de escalado automático.

Si la comprobación de estado de Elastic Load Balancing está habilitada, pero no hay un equilibrador de carga asociado al grupo de escalado automático, consulte Configuración de una aplicación con escalado automático y balanceo de carga.

Guía del usuario EC2 de Amazon Auto Scaling

Verifica la disponibilidad de los recursos asociados con las configuraciones de lanzamiento y los grupos de Auto Scaling.

Los grupos de Auto Scaling que apuntan a recursos no disponibles no pueden lanzar nuevas instancias de Amazon Elastic Compute Cloud (AmazonEC2). Cuando se configura correctamente, Auto Scaling hace que la cantidad de EC2 instancias de Amazon aumente sin problemas durante los picos de demanda y disminuya automáticamente durante los períodos de calma de la demanda. Los grupos de Auto Scaling y las configuraciones de lanzamiento que apuntan a recursos que no están disponibles no funcionan según lo previsto.

8CNsSllI5v

Si el equilibrador de carga se ha eliminado, cree uno nuevo o cree un grupo de destino y asócielo al grupo de escalado automático, o cree un nuevo grupo de escalado automático sin el equilibrador de carga. Para obtener información acerca de la creación de un nuevo grupo de escalado automático con un nuevo equilibrador de carga, consulte Configuración de una aplicación con escalado automático y balanceo de carga. Para obtener información sobre cómo crear un nuevo grupo de escalado automático sin un equilibrador de carga, consulte Crear un grupo de escalado automático en Introducción a Auto Scaling con la consola.

Si se AMI ha eliminado, cree una nueva plantilla de lanzamiento o versión de la plantilla de lanzamiento con una válida AMI y asóciela a un grupo de Auto Scaling. Consulte Crear configuración de lanzamiento en Introducción a Auto Scaling con la consola.

Si la plantilla de lanzamiento especifica un AWS Systems Manager parámetro que hace referencia a un ID de Amazon Machine Image (AMI) no válido o incluye un parámetro no válido, revisa la plantilla de lanzamiento para actualizar el parámetro válido o realiza los cambios adecuados en el almacén de AWS Systems Manager parámetros. Para obtener más información, consulte Usar AWS Systems Manager parámetros en lugar de AMI IDs en la Guía del usuario de Amazon EC2 Auto Scaling.

Comprueba los clústeres que ejecutan HSM instancias en una única zona de disponibilidad (AZ). Esta comprobación avisa si sus clústeres corren el riesgo de no tener la copia de seguridad más reciente.

hc0dfs7601

Cree al menos una instancia más para el clúster en una zona de disponibilidad diferente.

Prácticas recomendadas para AWS CloudHSM

Comprueba la resistencia del AWS Direct Connect utilizado para conectar su entorno local a cada puerta de enlace de Direct Connect o puerta de enlace privada virtual.

Esta comprobación le avisa si alguna puerta de enlace de Direct Connect o puerta de enlace privada virtual no está configurada con interfaces virtuales en al menos dos ubicaciones distintas de Direct Connect. La falta de resiliencia de la ubicación puede provocar un tiempo de inactividad inesperado durante el mantenimiento, un corte de fibra, un fallo del dispositivo o un fallo total de la ubicación.

c1dfpnchv2

Rojo: la puerta de enlace Direct Connect o la puerta de enlace privada virtual está configurada con una o más interfaces virtuales en un único dispositivo de Direct Connect.

Amarillo: la puerta de enlace Direct Connect o puerta de enlace privada virtual está configurada con interfaces virtuales en varios dispositivos de Direct Connect en una única ubicación de Direct Connect.

Verde: la puerta de enlace Direct Connect o la puerta de enlace privada virtual está configurada con interfaces virtuales en dos o más ubicaciones distintas de Direct Connect.

Para aumentar la resiliencia de ubicación de Direct Connect, puede configurar la puerta de enlace Direct Connect o la puerta de enlace privada virtual para que se conecte a al menos dos ubicaciones distintas de Direct Connect. Para obtener más información, consulte la recomendación de AWS Direct Connect resiliencia.

AWS Direct Connect Recomendaciones de resiliencia

AWS Direct Connect Prueba de conmutación por error

Comprueba si una AWS Lambda función está configurada con una cola de letras muertas.

Una cola de texto sin procesar es una función AWS Lambda que permite capturar y analizar los eventos fallidos, lo que proporciona una forma de gestionar esos eventos en consecuencia. Es posible que el código genere una excepción, agote el tiempo de espera o se quede sin memoria, dando lugar a ejecuciones asíncronas fallidas de la función de Lambda. Una cola de mensajes fallidos almacena los mensajes de las invocaciones fallidas, lo que proporciona una forma de gestionar los mensajes y solucionar los errores.

Puede especificar el recurso de cola de letra muerta que desea comprobar mediante el parámetro de sus reglas. dlqArns AWS Config

Para obtener más información, consulte Colas de mensajes fallidos.

c18d2gz182

AWS Config Managed Rule: lambda-dlq-check

Amarillo: AWS Lambda la función no tiene configurada una cola de letras muertas.

Asegúrese de que sus AWS Lambda funciones tengan una cola de texto sin procesar configurada para controlar la gestión de los mensajes en todas las invocaciones asíncronas fallidas.

Para obtener más información, consulte Colas de mensajes fallidos.

Comprueba que las funciones Lambda de su cuenta tengan el destino del evento On Failure o Dead Letter Queue (DLQ) configurado para las invocaciones asíncronas, de modo que los registros de las invocaciones fallidas se puedan enrutar a un destino para su posterior investigación o procesamiento.

c1dfprch05

Configure el destino del evento On Failure o DLQ que sus funciones de Lambda envíen las invocaciones fallidas junto con otros detalles a uno de los AWS servicios de destino disponibles para su posterior depuración o procesamiento.

Comprueba la LATEST versión $ de las funciones de Lambda VPC habilitadas que son vulnerables a la interrupción del servicio en una única zona de disponibilidad. Para garantizar una alta disponibilidad, se VPC recomienda conectar las funciones habilitadas a varias zonas de disponibilidad.

L4dfs2Q4C6

Amarillo: la LATEST versión $ de una función Lambda VPC habilitada está conectada a subredes de una única zona de disponibilidad.

Al configurar las funciones de acceso a la suyaVPC, elija subredes en varias zonas de disponibilidad para garantizar una alta disponibilidad.

Comprueba el saldo de Outposts Racks. Esto evalúa si las instancias de Outposts de un cliente están desplegadas en varios Outposts Racks o en un solo Outpost Rack. Un único rack de Outposts crea un único punto de fallo para los problemas relacionados con un único rack (por ejemplo, fallos medioambientales). Estos escenarios se pueden mitigar desplegando puestos de avanzada en varios racks.

c243hjzrhn

Si ejecuta cargas de trabajo de producción AWS Outposts, se recomienda utilizar la siguiente arquitectura flexible. Un único AWS Outposts rack crea un único punto de fallo. Considere la posibilidad de añadir un segundo AWS Outposts rack a esa ubicación con capacidad suficiente para un evento de conmutación por error y, a continuación, distribuir las cargas de trabajo entre los racks.

Modo de fallo 4: racks o centros de datos

Comprueba si un componente de la aplicación (AppComponent) de la aplicación es irrecuperable. Si an AppComponent no se recupera en caso de una interrupción, es posible que se produzca una pérdida de datos desconocida y un tiempo de inactividad del sistema.

RH23stmM04

Rojo: AppComponent es irrecuperable.

Para garantizar que la suya AppComponent sea recuperable, revise e implemente las recomendaciones de resiliencia y, a continuación, realice una nueva evaluación. Para obtener más información sobre la revisión de las recomendaciones de resiliencia, consulte Recursos adicionales.

Revisar las recomendaciones de resiliencia

Conceptos de AWS Resilience Hub

AWS Resilience Hub Guía del usuario

Comprueba en Resilience Hub las aplicaciones que no cumplen el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO) que define la política. La verificación le avisa si su aplicación no cumple RPO los objetivos RTO y los objetivos que ha establecido para una aplicación en Resilience Hub.

RH23stmM02

Inicie sesión en la consola de Resilience Hub y revise las recomendaciones para que su aplicación cumpla los RPO objetivos RTO y objetivos.

Conceptos de Resilience Hub

Comprueba si ha realizado una evaluación para sus aplicaciones en Resilience Hub. Esta comprobación avisa si sus puntuaciones de resiliencia están por debajo de un valor específico.

RH23stmM01

Inicie sesión en la consola de Resilience Hub y ejecute una evaluación de su aplicación. Revise las recomendaciones para mejorar la puntuación de resiliencia.

Conceptos de Resilience Hub

Compruebe el tiempo transcurrido desde la última vez que ejecutó una evaluación de la aplicación. Esta comprobación le avisa si no ha realizado una evaluación de la aplicación durante un número específico de días.

RH23stmM03

Inicie sesión en la consola de Resilience Hub y ejecute una evaluación de su aplicación.

Conceptos de Resilience Hub

Comprueba el número de túneles que están activos para cada uno de tus AWS Site-to-Site VPN s.

A VPN debe tener dos túneles configurados en todo momento. Esto proporciona redundancia en caso de interrupción o mantenimiento planificado de los dispositivos en el AWS punto final. Para determinados componentes de hardware, solo hay un túnel activo a la vez. Si a no VPN tiene túneles activos, es VPN posible que se sigan cobrando cargos por ellos.

Para obtener más información, consulte ¿Qué es AWS Site-to-SiteVPN?

c18d2gz123

AWS Config Managed Rule: vpc-vpn-2-tunnels-up

Amarillo: A Site-to-Site VPN tiene al menos un túnelDOWN.

Asegúrese de que haya dos túneles configurados para VPN las conexiones. Y, si su hardware lo admite, asegúrese de que ambos túneles estén activos. Si ya no necesitas una VPN conexión, elimínala para evitar cargos.

Para obtener más información, consulte Su dispositivo de enlace con el cliente y el contenido disponible en el Centro de AWS conocimiento.

Comprueba si hay problemas de alto riesgo (HRIs) en sus cargas de trabajo en el pilar de la fiabilidad. Esta comprobación se basa en su AWS-Well Architected reseñas. Los resultados de su comprobación dependen de si ha completado la evaluación de la carga de trabajo con AWS Well-Architected.

Wxdfp4B1L4

AWS Well-Architected detectó problemas de alto riesgo durante la evaluación de la carga de trabajo. Estos problemas presentan oportunidades para reducir el riesgo y ahorrar dinero. Inicie sesión en la herramienta AWS Well-Architected para revisar las respuestas y tomar medidas para resolver los problemas activos.

Comprueba si Classic Load Balancer abarca varias zonas de disponibilidad (). AZs

Un balanceador de carga distribuye el tráfico de aplicaciones entrante entre varias EC2 instancias de Amazon en varias zonas de disponibilidad. De forma predeterminada, el balanceador de carga distribuye equitativamente el tráfico entre las zonas de disponibilidad que se habilitan para el balanceador de carga. Si una Zona de Disponibilidad experimenta una interrupción, los nodos del equilibrador de carga reenvían automáticamente las solicitudes a las instancias registradas y saludables en una o más zonas de disponibilidad.

Puede ajustar el número mínimo de zonas de disponibilidad mediante el minAvailabilityZonesparámetro de sus reglas AWS Config

Para obtener más información, consulte ¿Qué es el equilibrador de carga clásico?.

c18d2gz154

AWS Config Managed Rule: clb-multiple-az

Amarillo: Classic Load Balancer no tiene la configuración Multi-AZ o no cumple con el número mínimo especificado. AZs

Asegúrese de que sus equilibradores de carga clásicos tengan configuradas varias zonas de disponibilidad. Distribuya el balanceador de carga en varios AZs para asegurarse de que su aplicación tiene una alta disponibilidad.

Para obtener más información, consulte Tutorial: crear un equilibrador de carga clásico.

Comprueba si los balanceadores de carga clásicos no tienen activado el drenaje de conexiones.

Cuando el drenaje de conexiones no está habilitado y cancelas el registro de una EC2 instancia de Amazon en un balanceador de cargas clásico, el balanceador de cargas clásico deja de enrutar el tráfico a esa instancia y cierra la conexión. Cuando se habilita el agotamiento de conexiones, el balanceador de cargas clásico deja de enviar nuevas solicitudes a la instancia que se ha cancelado el registro, pero mantiene la conexión abierta para atender las solicitudes activas.

7qGXsKIUw

Habilita el agotamiento de conexiones para el balanceador de cargas clásico. Para obtener más información, consulte Drenaje de conexiones y Habilitar o deshabilitar el drenaje de conexiones para el equilibrador de carga.

Conceptos de Elastic Load Balancing

Comprueba la distribución objetivo de los grupos objetivo en las zonas de disponibilidad (AZs) para Application Load Balancer ALB (), Network Load Balancer () y Gateway Load NLB Balancer (). GWLB

Esta comprobación excluye lo siguiente:

b92b83d667

Para mejorar la resiliencia, asegúrate de que tus grupos de objetivos tengan el mismo número de objetivos en todos AZs los grupos.

Grupos de destino para los Equilibradores de carga de aplicación

Registre los objetivos con su grupo objetivo de Application Load Balancer

Comprueba si los puntos finales del Gateway Load Balancer (GWLB) están configurados como destino de ruta desde otra zona de disponibilidad (AZ).

Los puntos finales del Gateway Load Balancer reenvían el tráfico de red a los dispositivos de firewall situados detrás de un Gateway Load Balancer para su inspección. Cada punto final de Gateway Load Balancer funciona dentro de una AZ designada y se crea con redundancia solo en esa AZ. Por lo tanto, cualquier recurso de una zona de disponibilidad determinada debe utilizar un punto final de Gateway Load Balancer en la misma zona de disponibilidad. Esto garantiza que cualquier posible interrupción de un punto final de Gateway Load Balancer o de su zona de disponibilidad no afecte a los recursos de otra zona de disponibilidad.

528d6f5ee7

Compruebe la AZ de su subred y configure su tabla de enrutamiento para enrutar el tráfico a través de un punto final de Gateway Load Balancer en la misma AZ.

Si no hay ningún punto final de Gateway Load Balancer en la zona de disponibilidad, cree uno nuevo y, a continuación, dirija el tráfico de subred a través de él.

Si tiene la misma tabla de enrutamiento asociada a subredes de diferentes subredesAZs, mantenga esta tabla de enrutamiento asociada a las subredes que residen en la misma zona de disponibilidad que el punto final de Gateway Load Balancer. Para las subredes de la otra zona de disponibilidad, puede asociar una tabla de enrutamiento independiente a una ruta a un punto final de Gateway Load Balancer en esta zona de disponibilidad.

Se recomienda elegir un período de mantenimiento para los cambios de arquitectura en AmazonVPC.

Verifica la configuración del balanceador de carga.

Para ayudar a aumentar el nivel de tolerancia a errores en Amazon Elastic Compute Cloud (AmazonEC2) al utilizar Elastic Load Balancing, recomendamos ejecutar el mismo número de instancias en varias zonas de disponibilidad de una región. Los balanceadores de carga configurados acumulan cargos, por lo que esta es también una verificación de optimización de costos.

iqdCTZKCUp

Asegúrese de que el equilibrador de carga apunte a instancias activas y en buen estado en al menos dos zonas de disponibilidad. Para obtener más información, consulte Agregar zona de disponibilidad.

Si el equilibrador de carga está configurado para una zona de disponibilidad sin instancias en buen estado o si hay un desequilibrio de instancias en las zonas de disponibilidad, determine si todas las zonas de disponibilidad son necesarias. Omita las zonas de disponibilidad innecesarias y asegúrese de que haya una distribución equilibrada de las instancias en las zonas de disponibilidad restantes. Para obtener más información, consulte Eliminar zona de disponibilidad.

Comprueba si sus NAT puertas de enlace están configuradas con independencia de la zona de disponibilidad (AZ).

Una NAT puerta de enlace permite que los recursos de su subred privada se conecten de forma segura a servicios externos a la subred mediante las direcciones IP de la NAT puerta de enlace y elimina cualquier tráfico entrante no solicitado. Cada NAT puerta de enlace funciona dentro de una zona de disponibilidad (AZ) designada y se crea con redundancia únicamente en esa zona. Por lo tanto, sus recursos en una zona de disponibilidad determinada deben utilizar una NAT puerta de enlace en la misma zona de disponibilidad para que cualquier posible interrupción de una NAT puerta de enlace o su zona de disponibilidad no afecte a sus recursos en otra zona de disponibilidad.

c1dfptbg10

Compruebe la AZ de su subred y dirija el tráfico a través de una NAT puerta de enlace en la misma AZ.

Si no hay ninguna NATGW en la AZ, cree una y, a continuación, dirija el tráfico de subred a través de ella.

Si tiene la misma tabla de enrutamiento asociada a subredes de distintas zonasAZs, mantenga esta tabla de enrutamiento asociada a las subredes que residen en la misma zona de disponibilidad que la NAT puerta de enlace y, en el caso de las subredes de la otra zona, asocie una tabla de enrutamiento independiente a una ruta a una NAT puerta de enlace en esta otra zona de disponibilidad.

Te recomendamos elegir un periodo de mantenimiento para los cambios de arquitectura en AmazonVPC.

Comprueba si sus AWS Network Firewall puntos de conexión están configurados como un destino de ruta desde otra zona de disponibilidad (AZ).

Los puntos finales de Network Firewall reenvían el tráfico de red a un Firewall de red para su inspección. Cada punto final de Network Firewall funciona dentro de una AZ designada y se construye con redundancia solo en esa AZ. Los recursos de una zona de disponibilidad determinada deben utilizar un punto final de Network Firewall en la misma zona de disponibilidad. Esto garantiza que cualquier posible interrupción de un punto final de Network Firewall o de su zona de disponibilidad no afecte a los recursos de otra zona de disponibilidad. El tráfico de red que se origina en una zona de disponibilidad diferente para inspeccionar el tráfico conlleva cargos por la transferencia de datos entre zonas de Arizona. Se recomienda asegurarse de que todos los recursos de una zona de disponibilidad específica utilicen un Network Firewall en la misma zona de disponibilidad para evitar cargos por datos entre zonas de disponibilidad.

7040ea389a

Compruebe la AZ de su subred y dirija el tráfico a través de un punto final de Network Firewall en la misma AZ.

Si no hay ningún punto final de Network Firewall en la zona de disponibilidad, cree un nuevo Network Firewall y dirija el tráfico de subred a través de él.

Si la misma tabla de enrutamiento está asociada a varias subredes de diferentes subredesAZs, mantenga esta tabla de enrutamiento asociada a las subredes que residen en la misma zona de disponibilidad que el punto final de Network Firewall. Para las subredes de otrasAZs, asocie una tabla de enrutamiento independiente a una ruta a un punto final de Network Firewall en esa zona de disponibilidad.

Se recomienda elegir un período de mantenimiento para los cambios de arquitectura en AmazonVPC.

Transferencia de datos dentro del mismo Región de AWS

Comprensión de los cargos por transferencia de datos

Independencia de la zona de disponibilidad

Pasos de alto nivel para implementar un firewall

Crear un firewall

AWS Well-Architected Tool - Utilice arquitecturas de mamparo para limitar el alcance del impacto

Comprueba si los firewalls de red están configurados para usar más de una zona de disponibilidad (AZ) como puntos finales de firewall.

Una AZ es una ubicación distinta que está aislada de los fallos en otras zonas. Si el punto final del Network Firewall se implementa solo en 1 AZ, puede tratarse de un único punto de error y afectar las cargas de trabajo de otros usuarios que AZs utilizan el Network Firewall para inspeccionar el tráfico. Se recomienda configurar los firewalls de red AZs en varios servidores de la misma región para mejorar la disponibilidad de la carga de trabajo.

c2vlfg0gqd

Asegúrese de que su Network Firewall esté configurado con al menos dos AZs para las cargas de trabajo de producción.

VPCconfiguración de subred para AWS Network Firewall

Crear un firewall

Zona de disponibilidad

AWS Well-Architected Tool - Despliegue la carga de trabajo en varias ubicaciones

Dispositivo en un servicio compartido VPC

Compruebe si el equilibrador de carga entre zonas está habilitado en los equilibradores de carga de red.

El equilibrador de carga entre zonas ayuda a mantener una distribución uniforme del tráfico entrante entre las instancias de distintas zonas de disponibilidad. Esto evita que el equilibrador de carga enrute todo el tráfico a instancias de la misma zona de disponibilidad, lo que puede provocar una distribución irregular del tráfico y una posible sobrecarga. La característica también contribuye a la fiabilidad de las aplicaciones al redirigir de forma automática el tráfico a instancias en buen estado de otras zonas de disponibilidad en caso de que se produzca un error en una sola zona de disponibilidad.

Para obtener más información, consulte Equilibrador de carga entre zonas.

c18d2gz105

AWS Config Managed Rule: nlb-cross-zone-load-balancing-enabled

Asegúrese de que el equilibrador de carga entre zonas esté habilitado en los equilibradores de carga de red.

Equilibrador de carga entre zonas (equilibradores de carga de red)

Comprueba si un Network Load Balancer NLB () con acceso a Internet está configurado con una subred privada. Se debe configurar un Network Load Balancer NLB () con acceso a Internet en las subredes públicas para recibir tráfico. Una subred pública se define como una subred que tiene una ruta directa a una puerta de enlace a Internet. Si la subred está configurada como privada, su zona de disponibilidad (AZ) no recibe tráfico, lo que puede provocar problemas de disponibilidad.

c1dfpnchv4

Rojo: NLB está configurado con una o más subredes privadas

Verde: no hay ninguna subred privada configurada para la conexión a Internet NLB

Confirma que las subredes configuradas en un balanceador de cargas con conexión a Internet sean públicas. Una subred pública se define como una subred que tiene una ruta directa a una puerta de enlace a Internet. Use una de las siguientes opciones:

Comprueba si los balanceadores de carga de red están configurados para usar más de una zona de disponibilidad (AZ). Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Configure el balanceador de carga AZs en varias unidades de la misma región para mejorar la disponibilidad de la carga de trabajo.

c1dfprch09

Amarillo: NLB está en una única zona de disponibilidad.

Verde: NLB tiene dos o másAZs.

Asegúrese de que el balanceador de cargas esté configurado con al menos dos zonas de disponibilidad.

Para obtener más información, consulte la siguiente documentación sobre :

Comprueba que la configuración de un conjunto de replicación de Incident Manager utiliza más de uno Región de AWS para admitir la conmutación por error y la respuesta regionales. En el caso de los incidentes creados por CloudWatch alarmas o EventBridge eventos, Incident Manager crea un incidente al Región de AWS igual que la regla de alarma o evento. Si Incident Manager no está disponible temporalmente en esa región, el sistema intenta crear un incidente en otra región dentro del conjunto de replicación. Si el conjunto de replicación incluye solo una región, el sistema no podrá crear un registro de incidentes mientras el administrador de incidentes no esté disponible.

cIdfp1js9r

Agregue al menos una región más al conjunto de replicación.

Para obtener más información, consulte Administración de incidentes entre regiones.

Compruebe a través de patrones de red si el tráfico de red de salida se direcciona a través de una única zona de disponibilidad (AZ).

Una zona de disponibilidad es una ubicación diferente que queda aislada de cualquier impacto en otras zonas. Al distribuir su servicio entre variosAZs, limita el radio de alcance de una falla en una zona de disponibilidad.

c1dfptbg11

Si su aplicación requiere alta disponibilidad, considere implementar una arquitectura Multi-AZ para obtener mayor disponibilidad.

Comprueba si los puntos finales de la AWS PrivateLink VPC interfaz están configurados para utilizar más de una zona de disponibilidad (AZ). Una zona de disponibilidad es una ubicación diferente que queda aislada en caso de error en otras zonas. Esto permite una conectividad de red económica y de baja latencia entre AZs la misma AWS región. Seleccione subredes en varias AZs al crear puntos finales de interfaz para ayudar a proteger sus aplicaciones frente a un único punto de fallo.

c1dfprch10

Amarillo: el VPC punto final se encuentra en una única zona de disponibilidad.

Verde: el VPC punto final está en al menos dosAZs.

Asegúrese de que el punto final de la VPC interfaz esté configurado con al menos dos zonas de disponibilidad.

Para obtener más información, consulte la siguiente documentación sobre :

Comprueba el número de túneles que están activos para cada uno de sus Site-to-SiteVPNs.

A VPN debe tener dos túneles configurados en todo momento. Esto proporciona redundancia en caso de interrupción o mantenimiento planificado de los dispositivos del punto de enlace AWS . Para determinados componentes de hardware, solo hay un túnel activo a la vez. Si a no VPN tiene túneles activos, es VPN posible que se sigan cobrando cargos por ellos. Para obtener más información, consulte la Guía AWS Site-to-Site VPN del usuario.

S45wrEXrLz

Asegúrese de que haya dos túneles configurados para la VPN conexión y que ambos estén activos si el hardware lo admite. Si ya no necesita una VPN conexión, puede eliminarla para evitar cargos. Para obtener más información, consulte Su dispositivo de pasarela de cliente o Eliminar una Site-to-Site VPN conexión.

Compruebe que los agentes de Amazon MQ para ActiveMQ estén configurados para una alta disponibilidad con un agente activo/de reserva en varias zonas de disponibilidad.

c1t3k8mqv1

Cree un nuevo agente con el modo de implementación activo/de reserva.

Compruebe que los agentes de Amazon MQ para RabbitMQ estén configurados con instancias de clúster distribuidas en varias zonas de disponibilidad para garantizar una alta disponibilidad.

c1t3k8mqv2

Cree un nuevo agente con el modo de implementación de clúster.