내결함성

Application Load Balancer가 둘 이상의 가용 영역(AZ)을 사용하도록 구성되어 있는지 확인합니다. AZ는 다른 영역의 장애로부터 격리된 별개의 위치입니다. 워크로드 가용성을 개선하려면 동일한 리전의 여러 AZs 에 로드 밸런서를 구성합니다.

c1dfprch08

노란색: ALB는 단일 AZ에 있습니다.

녹색: ALB에 둘 이상의 이 있습니다AZs.

로드 밸런서가 두 개 이상의 가용 영역으로 구성되어 있는지 확인합니다.

자세한 내용은 Application Load Balancer 가용 영역을 참조하세요.

자세한 내용은 다음 설명서를 참조하세요.

Amazon Aurora MySQL 클러스터에 역추적이 활성화되어 있는지 확인합니다.

Amazon Aurora MySQL 클러스터 역추적은 새 클러스터를 생성하지 않고 Aurora DB 클러스터를 이전 시점으로 복원할 수 있는 기능입니다. 스냅샷에서 복원할 필요 없이 데이터베이스를 보존 기간 내의 특정 시점으로 롤백할 수 있습니다.

AWS Config 규칙의 BacktrackWindowInHours 파라미터에서 역추적 기간(시간)을 조정할 수 있습니다.

자세한 내용은 Amazon Aurora DB 클러스터 역추적을 참조하십시오.

c18d2gz131

AWS Config Managed Rule: aurora-mysql-backtracking-enabled

노란색: Amazon Aurora MySQL 클러스터 역추적이 활성화되지 않았습니다.

Amazon Aurora MySQL 클러스터의 역추적을 켭니다.

자세한 내용은 Amazon Aurora DB 클러스터 역추적을 참조하십시오.

Aurora DB 클러스터 역추적

Amazon Aurora DB 클러스터에 프라이빗 인스턴스와 퍼블릭 인스턴스가 모두 있는 사례를 확인합니다.

기본 인스턴스에 장애가 발생하면 복제본이 기본 인스턴스로 승격됩니다. 복제본이 프라이빗인 경우 퍼블릭 액세스 권한만 있는 사용자는 장애 조치(failover) 후에 더는 데이터베이스에 연결할 수 없습니다. 클러스터의 모든 DB 인스턴스는 동일한 액세스 가능성을 갖는 것이 좋습니다.

xuy7H1avtl

노란색: Aurora DB 클러스터에 있는 인스턴스의 액세스 수준(퍼블릭 및 프라이빗의 조합)이 서로 다릅니다.

모두 퍼블릭 또는 프라이빗으로 설정되도록 DB 클러스터에 있는 인스턴스의 Publicly Accessible 설정을 수정합니다. 자세한 내용은 내SQL 데이터베이스 엔진 을 실행하는 DB 인스턴스 수정의 내SQL 인스턴스에 대한 지침을 참조하세요.

Aurora DB 클러스터의 내결함성

Amazon 에서 두 개의 오리진을 포함하는 배포에 대해 오리진 그룹이 구성되어 있는지 확인합니다 CloudFront.

자세한 내용은 CloudFront 오리진 장애 조치로 고가용성 최적화를 참조하세요.

c18d2gz112

AWS Config Managed Rule: cloudfront-origin-failover-enabled

노란색: Amazon CloudFront 오리진 장애 조치가 활성화되지 않았습니다.

배포에 대한 오리진 장애 조치 기능을 켜야 최종 사용자에게 콘텐츠 디일리베어리를 고가용성으로 CloudFront 제공할 수 있습니다. 이 기능을 켜면 기본 오리진 서버를 사용할 수 없는 경우 트래픽이 백업 오리진 서버로 자동으로 라우팅됩니다. 이렇게 하면 잠재적인 다운타임이 최소화되고 콘텐츠의 지속적인 가용성이 보장됩니다.

고객 관리형 키를 사용하여 기본 모델이 암호화된 엔드포인트에 대한 AWS Key Management Service (AWS KMS) 키 권한을 확인합니다. 고객 관리형 키가 비활성화된 경우, 또는 Amazon Comprehend에 허용된 권한을 변경하기 위해 키 정책이 변경되면 엔드포인트 가용성에 영향이 있을 수 있습니다.

Cm24dfsM13

빨간색: 고객 관리형 키가 비활성화된 경우, 또는 Amazon Comprehend에 허용된 액세스 권한을 변경하기 위해 키 정책이 변경된 경우입니다.

고객 관리형 키가 비활성화된 경우 활성화하는 것이 좋습니다. 자세한 내용은 키 활성화를 참조하세요. 키 정책이 변경되어 엔드포인트를 계속 사용하려면 AWS KMS 키 정책을 업데이트하는 것이 좋습니다. 자세한 내용은 키 정책 변경을 참조하세요.

AWS KMS 권한

단일 AZ로 구성된 Amazon DocumentDB 클러스터가 있는지 확인합니다.

단일 AZ 아키텍처에서 Amazon DocumentDB 워크로드를 실행하는 것으로는 매우 중요한 워크로드에는 충분하지 않으며 구성 요소 장애로부터 복구하는 데 최대 10분이 걸릴 수 있습니다. 고객은 추가 가용 영역에 복제본 인스턴스를 배포하여 유지 관리, 인스턴스 장애, 구성 요소 장애 또는 가용 영역 장애 중에 가용성을 보장해야 합니다.

c15vnddn2x

노란색: Amazon DocumentDB 클러스터의 인스턴스가 3개 미만의 가용 영역에 있습니다.

녹색: Amazon DocumentDB 클러스터에는 세 가지 가용 영역에 인스턴스가 있습니다.

애플리케이션에 고가용성이 필요한 경우 복제본 인스턴스를 사용하여 다중 AZ를 활성화하도록 DB 인스턴스를 수정합니다. Amazon DocumentDB 고가용성 및 복제 참조

Amazon DocumentDB 클러스터 내결함성 이해

리전 및 가용 영역

Amazon DynamoDB 테이블에 대해 특정 시점으로 복구가 활성화되어 있는지 확인합니다.

특정 시점으로 복구를 사용하면 우발적인 쓰기 또는 삭제 작업으로부터 DynamoDB 테이블을 보호할 수 있습니다. 특정 시점으로 복구를 설정해 두면 온디맨드 백업의 생성, 유지 관리, 예약을 걱정할 필요가 없습니다. 특정 시점 복구는 지난 35일 동안의 특정 시점으로 테이블을 복구합니다. DynamoDB는 테이블의 증분식 백업을 관리합니다.

자세한 내용은 Point-in-time DynamoDB 복구를 참조하세요.

c18d2gz138

AWS Config Managed Rule: dynamodb-pitr-enabled

노란색: Point-in-time DynamoDB 테이블에는 복구가 활성화되지 않습니다.

Amazon DynamoDB에서 복구를 켜 point-in-time서 테이블 데이터를 지속적으로 백업합니다.

자세한 내용은 Point-in-time 복구: 작동 방식 을 참조하세요.

Point-in-time DynamoDB에 대한 복구

Amazon DynamoDB 테이블이 AWS Backup 계획의 일부인지 확인합니다.

AWS Backup 는 마지막 백업 이후 수행된 변경 사항을 캡처하는 DynamoDB 테이블에 대한 증분 백업을 제공합니다. AWS Backup 계획에 DynamoDB 테이블을 포함하면 우발적 데이터 손실 시나리오로부터 데이터를 보호하고 백업 프로세스를 자동화하는 데 도움이 됩니다. 이를 통해 DynamoDB 테이블을 위한 안정적이고 확장 가능한 백업 솔루션이 제공되므로 귀중한 데이터를 보호하고 필요에 따라 복구할 수 있습니다.

자세한 내용은 를 사용하여 DynamoDB 테이블의 백업 생성을 참조하세요. AWS Backup

c18d2gz107

AWS Config Managed Rule: dynamodb-in-backup-plan

노란색: Amazon DynamoDB 테이블은 AWS Backup 계획에 포함되지 않습니다.

Amazon DynamoDB 테이블이 AWS Backup 계획의 일부인지 확인합니다.

예약한 백업

란 무엇입니까 AWS Backup?

백업 콘솔을 사용하여 AWS 백업 계획 생성

의 백업 계획에 Amazon EBS 볼륨이 있는지 확인합니다 AWS Backup.

Amazon EBS 볼륨을 AWS Backup 계획에 포함시켜 해당 볼륨에 저장된 데이터에 대한 정기 백업을 자동화합니다. 이렇게 하면 데이터 손실을 방지하고, 데이터 관리를 더 쉽게 하고, 필요할 때 데이터를 복원할 수 있습니다. 백업 계획은 데이터가 안전하고 애플리케이션 및 서비스의 복구 시간 및 시점 목표(RTO/RPO)를 충족할 수 있도록 하는 데 도움이 됩니다.

자세한 내용은 백업 계획 생성을 참조하세요

c18d2gz106

AWS Config Managed Rule: ebs-in-backup-plan

노란색: Amazon EBS 볼륨은 AWS Backup 계획에 포함되지 않습니다.

Amazon EBS 볼륨이 AWS Backup 계획의 일부인지 확인합니다.

AWS Backup 콘솔을 사용하여 백업 계획 생성

란 무엇입니까 AWS Backup?

시작하기 3: 예약 백업 생성

Amazon EBS 볼륨(사용 가능 또는 사용 중)에 대한 스냅샷의 기간을 확인합니다. Amazon EBS 볼륨이 복제되더라도 오류가 발생할 수 있습니다. 스냅샷은 내구성이 뛰어난 스토리지 및 point-in-time 복구를 위해 toAmazon S3로 유지됩니다.

H7IgTzjTYb

주 1회 또는 월 1회 볼륨의 스냅샷을 생성합니다. 자세한 내용은 Amazon EBS 스냅샷 생성을 참조하세요.

EBS 스냅샷 생성을 자동화하려면 AWS Backup 또는 Amazon Data Lifecycle Manager 를 사용하는 것이 좋습니다.

Amazon Elastic Block Store(AmazonEBS)

Amazon EBS 스냅샷

AWS Backup

Amazon Data Lifecycle Manager

Classic Load Balancer와 연결된 Amazon EC2 Auto Scaling 그룹이 Elastic Load Balancing 상태 확인을 사용하고 있는지 확인합니다. Auto Scaling 그룹에 대한 기본 상태 확인은 Amazon EC2 상태 확인 전용입니다. 인스턴스가 상태 확인을 통과하지 못하면 비정상으로 표시되고 종료됩니다. Amazon EC2 Auto Scaling에서 새 대체 인스턴스를 시작합니다. Elastic Load Balancing 상태 확인은 Amazon EC2 인스턴스를 주기적으로 모니터링하여 비정상 인스턴스를 감지 및 종료한 다음 새 인스턴스를 시작합니다.

자세한 내용은 Elastic Load Balancing 상태 확인 추가를 참조하세요.

c18d2gz104

AWS Config Managed Rule: autoscaling-group-elb-healthcheck-required

노란색: Classic Load Balancer에 연결된 Amazon EC2 Auto Scaling 그룹이 Elastic Load Balancing 상태 확인을 활성화하지 않았습니다.

Classic Load Balancer에 연결된 Auto Scaling 그룹이 Elastic Load Balancing 상태 확인을 사용하는지 확인합니다.

Elastic Load Balancing 상태 점검은 로드 밸런서가 정상이고 요청을 처리할 수 있는지 여부를 보고합니다. 이렇게 하면 애플리케이션의 고가용성이 보장됩니다.

자세한 내용은 Auto Scaling 그룹에 Elastic Load Balancing 상태 확인 추가를 참조하세요

여러 인스턴스 유형을 사용하는 Amazon EC2 Auto Scaling 그룹에 용량 재조정이 활성화되어 있는지 확인합니다.

용량 리밸런싱을 사용하여 Amazon EC2 Auto Scaling 그룹을 구성하면 EC2 인스턴스 유형 및 구매 옵션에 관계없이 Amazon 인스턴스가 가용 영역에 고르게 분산됩니다. 사용CPU률 또는 네트워크 트래픽과 같이 그룹과 연결된 대상 추적 정책을 사용합니다.

자세한 내용은 여러 인스턴스 유형 및 구매 옵션이 포함된 Auto Scaling 그룹을 참조하세요.

AWS Config c18d2gz103

AWS Config 관리형 규칙: autoscaling-capacity-rebalancing

노란색: Amazon EC2 Auto Scaling 그룹 용량 리밸런싱이 활성화되지 않았습니다.

여러 인스턴스 유형을 사용하는 Amazon EC2 Auto Scaling 그룹에 대해 용량 재조정이 활성화되어 있는지 확인합니다.

자세한 내용은 용량 재분배 활성화(콘솔)를 참조하세요.

Amazon EC2 Auto Scaling 그룹이 여러 가용 영역에 배포되었는지 또는 지정된 최소 가용 영역 수를 확인합니다. 여러 가용 영역에 Amazon EC2 인스턴스를 배포하여 고가용성을 보장합니다.

AWS Config 규칙의 minAvailibilityZones 파라미터를 사용하여 최소 가용 영역 수를 조정할 수 있습니다.

자세한 내용은 여러 인스턴스 유형 및 구매 옵션이 포함된 Auto Scaling 그룹을 참조하세요.

c18d2gz101

AWS Config Managed Rule: autoscaling-multiple-az

빨간색: Amazon EC2 Auto Scaling 그룹에 여러 AZs 구성이 없거나 AZs 지정된 최소 수를 충족하지 않습니다.

Amazon EC2 Auto Scaling 그룹이 여러 로 구성되어 있는지 확인합니다AZs. 여러 가용 영역에 Amazon EC2 인스턴스를 배포하여 고가용성을 보장합니다.

시작 템플릿을 사용하여 Auto Scaling 그룹 생성

시작 구성을 사용하여 Auto Scaling 그룹 생성

리전의 가용 영역에 대한 Amazon Elastic Compute Cloud(AmazonEC2) 인스턴스의 배포를 확인합니다.

가용 영역은 다른 가용 영역에서 발생한 장애가 차단되는 리전 내 별도 위치입니다. 가용 영역은 같은 리전에 있는 다른 가용 영역에 대해 저렴하고 대기 시간이 짧은 네트워크 연결을 제공합니다. 같은 리전에 있는 다수의 가용 영역에서 인스턴스를 시작하면 단일 위치에서 장애가 발생할 경우 애플리케이션을 보호할 수 있습니다.

wuy7G1zxql

여러 가용 영역에 걸쳐 Amazon EC2 인스턴스의 균형을 고르게 유지합니다. 인스턴스를 수동으로 시작하거나 오토 스케일링을 사용하여 자동으로 실행하면 됩니다. 자세한 내용은 인스턴스 시작 및 오토 스케일링 그룹의 로드 밸런싱을 참조하세요.

Amazon EC2 Auto Scaling 사용 설명서

인스턴스에 대한 yourAmazon EC2 세부 모니터링이 활성화되어 있는지 확인합니다.

Amazon EC2 세부 모니터링은 Amazon EC2 기본 모니터링에 사용되는 5분 간격 대신 1분 간격으로 게시되는 더 빈번한 지표를 제공합니다. Amazon에 대한 세부 모니터링을 활성화EC2하면 Amazon EC2 리소스를 더 잘 관리할 수 있으므로 추세를 찾고 더 빠르게 조치를 취할 수 있습니다.

자세한 내용은 기본 모니터링 및 세부 모니터링을 참조하세요.

AWS Config c18d2gz144

AWS Config 관리형 규칙: ec2-instance-detailed-monitoring-enabled

노란색: Amazon EC2 인스턴스에 대해 세부 모니터링이 활성화되지 않았습니다.

Amazon EC2 인스턴스에 대한 세부 모니터링을 켜서 Amazon EC2 지표 데이터가 Amazon에 게시되는 빈도를 늘립니다 CloudWatch (5분 간격에서 1분 간격으로).

AWS로그 로깅 드라이버가 차단 모드로 구성된 Amazon ECS 작업 정의를 확인합니다. 차단 모드로 구성된 드라이버는 시스템 가용성을 위험에 빠뜨립니다.

c1dvkm4z6b

노란색: awslogs 드라이버 로깅 구성 파라미터 모드가 차단 또는 누락으로 설정되어 있습니다. 누락된 모드 파라미터는 기본 차단 구성을 나타냅니다.

녹색: Amazon ECS 작업 정의가 awslogs 드라이버를 사용하지 않거나 awslogs 드라이버가 비차단 모드로 구성되어 있습니다.

가용성 위험을 완화하려면 작업 정의 AWS Logs 드라이버 구성을 차단에서 비차단으로 변경하는 것이 좋습니다. 비차단 모드에서는 파라미터 값을 max-buffer-size 설정해야 합니다. 구성 파라미터에 대한 자세한 내용과 지침은 섹션을 참조하세요. AWS Logs 컨테이너 로그 드라이버의 비차단 모드로 로그 손실 방지를 참조하세요.

로그 로그 드라이버 사용 AWS

역압을 방지하기 위한 컨테이너 로깅 옵션 선택

AWS Logs 컨테이너 로그 드라이버에서 비차단 모드로 로그 손실 방지

서비스 구성에서 단일 가용 영역(AZ)을 사용하는지 확인합니다.

AZ는 다른 영역의 장애로부터 격리된 별개의 위치입니다. 이렇게 하면 동일한 AZs에서 의 저렴한 저지연 네트워크 연결을 지원합니다 AWS 리전. 동일한 리전에서 여러 인스턴스AZs를 시작하면 단일 장애 지점으로부터 애플리케이션을 보호할 수 있습니다.

c1z7dfpz01

다른 AZ에서 서비스에 대해 하나 이상의 작업을 생성합니다.

Amazon ECS 용량 및 가용성

Amazon ECS 서비스가 가용 영역(AZ)을 기반으로 스프레드 배치 전략을 사용하는지 확인합니다. 이 전략은 동일한 의 가용 영역에 태스크를 분산 AWS 리전 하며 단일 장애 지점으로부터 애플리케이션을 보호하는 데 도움이 될 수 있습니다.

Amazon ECS 서비스의 일부로 실행되는 태스크의 경우 분산이 기본 태스크 배치 전략입니다.

또한 이 검사를 통해 활성화된 배치 전략 목록에서 스프레드가 첫 번째 또는 유일한 전략인지 확인할 수 있습니다.

c1z7dfpz02

분산 태스크 배치 전략을 활성화하여 여러 에 태스크를 분산합니다AZs. 가용 영역별 분산이 모든 사용 가능한 작업 배치 전략의 첫 번째 전략인지 아니면 사용된 유일한 전략인지 확인하십시오. AZ 배치를 관리하기로 선택한 경우 다른 AZ의 미러링된 서비스를 사용하여 이러한 위험을 완화할 수 있습니다.

Amazon ECS 작업 배치 전략

Amazon EFS 파일 시스템의 여러 가용 영역에 탑재 대상이 있는지 확인합니다.

가용 영역은 다른 영역으로부터 분리된 개별적인 지점입니다. AWS 리전 내에서 지리적으로 분리된 여러 가용 영역에 탑재 대상을 생성하면 Amazon EFS 파일 시스템의 최고 수준의 가용성과 내구성을 달성할 수 있습니다.

c1dfprch01

One Zone 스토리지 클래스를 사용하는 EFS 파일 시스템의 경우 백업을 새 파일 시스템으로 복원하여 표준 스토리지 클래스를 사용하는 새 파일 시스템을 생성하는 것이 좋습니다. 그런 다음 여러 가용 영역에 탑재 대상을 생성합니다.

표준 스토리지 클래스를 사용하는 EFS 파일 시스템의 경우 여러 가용 영역에 탑재 대상을 생성하는 것이 좋습니다.

Amazon EFS 파일 시스템이 를 사용한 백업 계획에 포함되어 있는지 확인합니다 AWS Backup.

AWS Backup 는 백업의 생성, 마이그레이션, 복원 및 삭제를 간소화하는 동시에 향상된 보고 및 감사를 제공하도록 설계된 통합 백업 서비스입니다.

자세한 내용은 Amazon EFS 파일 시스템 백업을 참조하세요.

c18d2gz117

AWS Config Managed Rule: EFS_IN_BACKUP_PLAN

빨간색: AmazonEFS은 AWS Backup 계획에 포함되지 않습니다.

실수로 인한 데이터 손실 또는 데이터 손상으로부터 보호하기 위해 Amazon EFS 파일 시스템이 AWS Backup 계획에 포함되어 있는지 확인합니다.

Amazon EFS 파일 시스템 백업

를 사용한 Amazon EFS Backup and Restore. AWS Backup

단일 가용 영역(AZ)에 배포되는 ElastiCache 클러스터를 확인합니다. 이 검사는 다중 AZ가 클러스터에서 비활성 상태인 경우 경고합니다.

여러 에 배포하면 다른 AZ의 읽기 전용 복제본에 비동기식으로 복제하여 ElastiCache 클러스터 가용성이 AZs 향상됩니다. 계획된 클러스터 유지 관리가 발생하거나 기본 노드를 사용할 수 없는 경우 는 자동으로 복제본을 기본 노드로 ElastiCache 승격합니다. 이 장애 조치를 통해 클러스터 쓰기 작업을 재개할 수 있으며 관리자가 개입할 필요가 없습니다.

ECHdfsQ402

기본 AZ와 다른 AZ에서 샤드당 하나 이상의 복제본을 생성합니다.

자세한 내용은 다중 AZ 를 사용한 ElastiCache (Redis OSS)의 가동 중지 시간 최소화를 참조하세요.

Amazon ElastiCache (RedisOSS) 클러스터에 자동 백업이 켜져 있는지, 스냅샷 보존 기간이 지정된 또는 15일 기본 한도를 초과하는지 확인합니다. 자동 백업이 활성화되면 는 매일 클러스터의 백업을 ElastiCache 생성합니다.

AWS Config 규칙의 snapshotRetentionPeriod 파라미터를 사용하여 원하는 스냅샷 보존 한도를 지정할 수 있습니다.

자세한 내용은 ElastiCache (Redis OSS)에 대한 백업 및 복원을 참조하세요.

c18d2gz178

AWS Config Managed Rule: elasticache-redis-cluster-automatic-backup-check

빨간색: Amazon ElastiCache (RedisOSS) 클러스터에 자동 백업이 활성화되어 있지 않거나 스냅샷 보존 기간이 한도 미만입니다.

Amazon ElastiCache (Redis OSS) 클러스터에 자동 백업이 켜져 있고 스냅샷 보존 기간이 지정된 또는 15일 기본 한도를 초과하는지 확인합니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 실패할 경우 새로운 클러스터를 생성해 최신 백업에서 모든 데이터를 복원할 수 있습니다.

자세한 내용은 ElastiCache (Redis OSS)에 대한 백업 및 복원을 참조하세요.

자세한 내용은 자동 백업 예약을 참조하세요.

단일 가용 영역(AZ)에 배포된 MemoryDB 클러스터가 있는지 확인합니다. 이 검사는 다중 AZ가 클러스터에서 비활성 상태인 경우 경고합니다.

여러 에 배포하면 다른 AZ의 읽기 전용 복제본에 비동기식으로 복제하여 MemoryDB 클러스터 가용성이 AZs 향상됩니다. 계획된 클러스터 유지 관리가 수행되거나 프라이머리 노드를 사용할 수 없는 경우 MemoryDB는 자동으로 복제본을 프라이머리 노드로 승격합니다. 이 장애 조치를 통해 클러스터 쓰기 작업을 재개할 수 있으며 관리자가 개입할 필요가 없습니다.

MDBdfsQ401

기본 AZ와 다른 AZ에서 샤드당 하나 이상의 복제본을 생성합니다.

자세한 정보는 다중 AZ로 MemoryDB의 가동 중지 시간 최소화를 참조하세요.

Kafka용 Managed Streaming(MSK) 클러스터의 브로커에 할당된 권장 파티션 수보다 많은 파티션이 없는지 확인합니다.

Cmsvnj8vf1

MSK 권장 모범 사례에 따라 MSK 클러스터를 조정하거나 사용하지 않는 파티션을 삭제합니다.

Amazon MSK 프로비저닝 클러스터의 가용 영역(AZs) 수를 확인합니다. Amazon MSK 클러스터는 함께 작동하고 데이터와 로드를 분산하는 여러 브로커로 구성됩니다. 2-AZ 클러스터의 유지 관리 또는 브로커 문제 중에 생산이 중단될 수 있습니다.

90046ff5b5

클러스터의 가용성을 높이기 위해 3가지 AZs 설정으로 다른 클러스터를 생성할 수 있습니다. 그런 다음 기존 클러스터를 생성한 새 클러스터로 마이그레이션합니다. 이 마이그레이션에 Amazon MSK 복제를 사용할 수 있습니다.

Amazon MSK고가용성

Amazon MSK 마이그레이션

Amazon OpenSearch Service 도메인이 3개 이상의 데이터 노드로 구성되어 있고 true ZoneAwarenessEnabled 인지 확인합니다. 를 ZoneAwarenessEnabled 활성화하면 Amazon OpenSearch Service는 각 기본 샤드와 해당 복제본이 서로 다른 가용 영역에 할당되도록 합니다.

자세한 내용은 Amazon OpenSearch Service에서 다중 AZ 도메인 구성을 참조하세요.

c18d2gz183

AWS Config Managed Rule: opensearch-data-node-fault-tolerance

노란색: Amazon OpenSearch Service 도메인은 3개 미만의 데이터 노드로 구성됩니다.

Amazon OpenSearch Service 도메인이 최소 3개의 데이터 노드로 구성되어 있는지 확인합니다. 노드를 할당하고 동일한 리전 내 3개의 가용 영역에 데이터를 복제하여 Amazon OpenSearch Service 클러스터의 가용성을 높이도록 다중 AZ 도메인을 구성합니다. 이는 데이터 손실을 방지하는 데 도움이 되며 노드 또는 데이터 센터(AZ) 장애가 발생할 경우 가동 중지 시간을 최소화합니다.

자세한 내용은 3개의 가용 영역에 배포하여 Amazon OpenSearch Service의 가용성 증가를 참조하세요.

Amazon RDS DB 인스턴스의 자동 백업을 확인합니다.

기본적으로 백업은 보존 기간이 하루인 상태로 활성화됩니다. 백업은 예기치 않은 데이터 손실 위험을 줄이고 복구를 point-in-time 허용합니다.

opQPADkZvH

빨간색: DB 인스턴스의 백업 보존 기간이 백업 보존 기간이 0으로 설정되어 있습니다.

자동 DB 인스턴스 백업의 보존 기간을 애플리케이션 요구 사항에 맞게 1~35일로 설정합니다. 자동 백업 작업을 참조하세요.

Amazon 시작하기 RDS

DB 클러스터에 최소 다른 DB 인스턴스를 추가하여 가용성과 성능을 개선합니다.

c1qf5bt011

노란색: DB 클러스터에는 하나의 DB 인스턴스만 있습니다.

DB 클러스터에 리더 DB 인스턴스를 추가합니다.

현재 구성에서는 읽기 및 쓰기 작업 모두에 하나의 DB 인스턴스가 사용됩니다. 다른 DB 인스턴스를 추가하여 읽기 재배포 및 장애 조치 옵션을 허용할 수 있습니다.

자세한 내용은 Amazon Aurora 의 고가용성을 참조하세요.

DB 클러스터는 현재 단일 가용 영역에 있습니다. 여러 가용 영역을 사용하여 가용성을 개선하세요.

c1qf5bt007

노란색: DB 클러스터에는 동일한 가용 영역에 있는 모든 인스턴스가 있습니다.

DB 클러스터의 여러 가용 영역에 DB 인스턴스를 추가합니다.

DB 클러스터의 여러 가용 영역에 DB 인스턴스를 추가하는 것이 좋습니다. DB 인스턴스를 여러 가용 영역에 추가하면 DB 클러스터의 가용성이 향상됩니다.

자세한 내용은 Amazon Aurora 의 고가용성을 참조하세요.

DB 클러스터의 모든 리더 인스턴스가 동일한 가용 영역에 있습니다. DB 클러스터의 여러 가용 영역에 리더 인스턴스를 배포하는 것이 좋습니다.

배포는 데이터베이스의 가용성을 높이고 클라이언트와 데이터베이스 간의 네트워크 지연 시간을 줄여 응답 시간을 개선합니다.

c1qf5bt018

빨간색: DB 클러스터에는 동일한 가용 영역에 리더 인스턴스가 있습니다.

여러 가용 영역에 리더 인스턴스를 배포합니다.

가용 영역(AZs)은 각 AWS 리전 내에서 중단이 발생할 경우 격리를 제공하기 위해 서로 구별되는 위치입니다. DB 클러스터의 가용성을 높이AZs려면 DB 클러스터의 기본 인스턴스와 리더 인스턴스를 여러 에 분산하는 것이 좋습니다. 클러스터를 생성할 RDS API 때 AWS Management Console AWS CLI, 또는 Amazon을 사용하여 다중 AZ 클러스터를 생성할 수 있습니다. 새 리더 인스턴스를 추가하고 다른 AZ를 지정하여 기존 Aurora 클러스터를 다중 AZ 클러스터로 수정할 수 있습니다.

자세한 내용은 Amazon Aurora 의 고가용성을 참조하세요.

Amazon RDS DB 인스턴스에 Enhanced Monitoring이 활성화되어 있는지 확인합니다.

Amazon RDS Enhanced Monitoring은 DB 인스턴스가 실행되는 운영 체제(OS)에 대한 지표를 실시간으로 제공합니다. Amazon RDS DB 인스턴스에 대한 모든 시스템 지표 및 프로세스 정보는 Amazon RDS 콘솔에서 볼 수 있습니다. 그리고 대시보드를 사용자 지정할 수 있습니다. Enhanced Monitoring을 사용하면 Amazon RDS 인스턴스 작업 상태를 거의 실시간으로 확인할 수 있으므로 운영 문제에 더 빠르게 대응할 수 있습니다.

AWS Config 규칙의 monitoringInterval 파라미터를 사용하여 원하는 모니터링 간격을 지정할 수 있습니다.

자세한 내용은 향상된 모니터링 개요 및 향상된 모니터링의 OS 지표를 참조하세요.

c18d2gz158

AWS Config Managed Rule: rds-enhanced-monitoring-enabled

노란색: Amazon RDS DB 인스턴스에 Enhanced Monitoring이 활성화되어 있지 않거나 원하는 간격으로 구성되지 않았습니다.

Amazon RDS DB 인스턴스에 대해 Enhanced Monitoring을 활성화하여 Amazon RDS 인스턴스 작업 상태의 가시성을 개선합니다.

자세한 내용은 Enhanced Monitoring을 사용하여 OS 지표 모니터링을 참조하세요.

향상된 모니터링의 OS 지표

DB 인스턴스에 대해 Amazon RDS 스토리지 Autoscaling이 켜져 있지 않습니다. 데이터베이스 워크로드가 증가하면 RDS Storage Autoscaling은 가동 중지 시간 없이 스토리지 용량을 자동으로 확장합니다.

c1qf5bt013

빨간색: DB 인스턴스에 스토리지 Autoscaling이 켜져 있지 않습니다.

지정된 최대 RDS 스토리지 임계값으로 Amazon 스토리지 Autoscaling을 켭니다.

Amazon RDS 스토리지 오토스케일링은 데이터베이스 워크로드가 증가할 때 가동 중지 시간 없이 스토리지 용량을 자동으로 확장합니다. 스토리지 오토스케일링은 스토리지 사용량을 모니터링하고 사용량이 프로비저닝된 스토리지 용량에 가까워지면 용량을 자동으로 확장합니다. Amazon이 DB 인스턴스에 할당할 수 있는 스토리지의 최대 한도를 지정할 RDS 수 있습니다. 스토리지 오토스케일링에 대한 추가 비용은 없습니다. DB 인스턴스에 할당된 Amazon RDS 리소스에 대해서만 비용을 지불합니다. Amazon RDS 스토리지 오토스케일링을 활성화하는 것이 좋습니다.

자세한 내용은 Amazon RDS 스토리지 오토스케일링을 사용하여 용량 자동 관리를 참조하세요.

다중 AZ 배포를 사용하는 것이 좋습니다. 다중 AZ 배포는 DB 인스턴스의 가용성과 내구성을 향상합니다.

c1qf5bt019

노란색: DB 인스턴스가 다중 AZ 배포를 사용하지 않습니다.

영향을 받는 DB 인스턴스에 대해 다중 AZ를 설정합니다.

Amazon RDS Multi-AZ 배포에서 Amazon은 RDS 자동으로 기본 데이터베이스 인스턴스를 생성하고 데이터를 다른 가용 영역의 인스턴스에 복제합니다. 장애가 감지되면 Amazon은 수동 개입 없이 RDS 자동으로 대기 인스턴스로 장애 조치합니다.

자세한 내용은 요금을 참조하세요.

CloudWatch 지표가 RDS 인스턴스 데이터베이스 스토리지에 대한 대기 중인 쓰기 수가 운영 조사를 제안해야 하는 수준으로 증가했음을 DiskQueueDepth 나타내는지 확인합니다.

Cmsvnj8db3

읽기/쓰기 특성을 지원하는 인스턴스 및 스토리지 볼륨으로 이동하는 것을 고려해 보십시오.

RDS 데이터베이스 인스턴스의 FreeStorageSpace CloudWatch 지표가 운영상 합리적인 임계값 미만으로 감소했는지 확인합니다.

Cmsvnj8db2

Amazon RDS Management Console, Amazon RDS API 또는 AWS Command Line Interface를 사용하여 무료 스토리지에서 부족하게 실행되는 RDS 데이터베이스 인스턴스의 스토리지 공간을 확장합니다.

log_output이 로 설정된 경우 log_output이 로 설정된 경우보다 TABLE더 많은 스토리지가 사용됩니다FILE. 스토리지 크기 제한에 도달하지 FILE않도록 파라미터를 로 설정하는 것이 좋습니다.

c1qf5bt023

노란색: DB 파라미터 그룹에는 log_output 파라미터가 로 설정되어 있습니다TABLE.

DB 파라미터 그룹에서 log_output 파라미터 값을 FILE 로 설정합니다.

자세한 내용은 내SQL 데이터베이스 로그 파일 을 참조하세요.

DB 인스턴스에 알려진 문제가 발생합니다. row_format이 로 설정된 내SQL 버전 8.0.26보다 낮은 에서 생성된 테이블 COMPACT 또는 인덱스REDUNDANT가 767바이트를 초과하면 액세스할 수 없고 복구할 수 없습니다.

innodb_default_row_format 파라미터 값을 로 설정하는 것이 좋습니다DYNAMIC.

c1qf5bt036

빨간색: DB 파라미터 그룹에 innodb_default_row_format 파라미터에 대한 안전하지 않은 설정이 있습니다.

innodb_default_row_format 파라미터를 로 설정합니다DYNAMIC.

내SQL 버전이 8.0.26 미만이고 row_format이 COMPACT 또는 로 설정된 테이블을 생성하면 키 접두사가 767바이트 미만인 인덱스를 REDUNDANT생성하지 않습니다. 데이터베이스를 다시 시작한 후에는 이러한 테이블에 액세스하거나 복구할 수 없습니다.

자세한 내용은 내SQL 설명서 웹 사이트의 내 8.0.26(2021-07-20, 일반 가용성)n의 변경 사항을 참조하세요SQL.

DB 인스턴스의 innodb_flush_log_at_trx_commit 파라미터 값은 안전한 값이 아닙니다. 이 파라미터는 디스크에 대한 커밋 작업의 지속성을 제어합니다.

innodb_flush_log_at_trx_commit 파라미터를 1로 설정하는 것이 좋습니다.

c1qf5bt030

노란색: DB 파라미터 그룹에 innodb_flush_log_at_trx_commit이 1 이외의 값으로 설정되어 있습니다.

innodb_flush_log_at_trx_commit 파라미터 값을 1로 설정합니다.

로그 버퍼가 내구성 있는 스토리지에 저장될 때 데이터베이스 트랜잭션은 내구성이 뛰어납니다. 하지만 디스크에 저장하면 성능에 영향을 미칩니다. innodb_flush_log_at_trx_commit 파라미터에 대해 설정된 값에 따라 로그를 쓰고 디스크에 저장하는 방식의 동작이 달라질 수 있습니다.

자세한 내용은 Amazon RDS for My 에 대한 파라미터 구성 모범 사례SQL, 1부: 성능 관련 파라미터를 참조하세요.

DB 인스턴스의 각 데이터베이스 계정에 대한 최대 동시 연결 수 값이 낮습니다.

max_user_connections 파라미터를 5보다 큰 숫자로 설정하는 것이 좋습니다.

c1qf5bt034

노란색: DB 파라미터 그룹에 max_user_connections가 잘못 구성되었습니다.

max_user_connections 파라미터의 값을 5보다 큰 숫자로 늘립니다.

max_user_connections 설정은 내SQL 사용자 계정에 허용되는 최대 동시 연결 수를 제어합니다. 이 연결 한도에 도달하면 백업, 패치 적용 및 파라미터 변경과 같은 Amazon RDS 인스턴스 관리 작업에 장애가 발생합니다.

자세한 내용은 내SQL 설명서 웹 사이트의 계정 리소스 제한 설정을 참조하세요.

단일 가용 영역(AZ)에 배포된 DB 인스턴스가 있는지 확인합니다.

다중 AZ 배포는 서로 다른 가용 영역에 있는 대기 인스턴스에 동기식으로 복제하여 데이터베이스 가용성을 향상시킵니다. 계획된 데이터베이스 유지 관리 또는 DB 인스턴스 또는 가용 영역의 실패 중에 Amazon은 RDS 자동으로 대기 모드로 전환됩니다. 이 장애 조치를 통해 관리자의 개입 없이 데이터베이스 작업을 신속하게 재개할 수 있습니다. AmazonRDS은 Microsoft SQL Server에 대한 다중 AZ 배포를 지원하지 않으므로 이 확인은 SQL 서버 인스턴스를 검사하지 않습니다.

f2iK5R6Dep

노란색: DB 인스턴스가 단일 가용 영역에 배포되어 있습니다.

애플리케이션에 고가용성이 필요한 경우 DB 인스턴스를 수정하여 다중 AZ 배포를 활성화합니다. 고가용성(다중 AZ)를 참조하세요.

리전 및 가용 영역

Amazon RDS DB 인스턴스가 의 백업 계획에 포함되어 있는지 확인합니다 AWS Backup.

AWS Backup 는 서비스 간에 데이터 백업을 쉽게 중앙 집중화하고 자동화할 수 있는 완전 관리형 백업 AWS 서비스입니다.

Amazon RDS DB 인스턴스를 백업 계획에 포함시키는 것은 규정 준수 의무, 재해 복구, 데이터 보호를 위한 비즈니스 정책 및 비즈니스 연속성 목표에 중요합니다.

자세한 내용은 AWS 백업이란 무엇입니까?를 참조하세요.

c18d2gz159

AWS Config Managed Rule: rds-in-backup-plan

노란색: Amazon RDS DB 인스턴스는 를 사용한 백업 계획에 포함되지 않습니다 AWS Backup.

를 사용하여 백업 계획에 Amazon RDS DB 인스턴스를 포함합니다 AWS Backup.

자세한 내용은 Amazon RDS Backup and Restore Using AWS Backup 을 참조하세요.

백업 계획에 리소스 할당

DB 인스턴스에 쓰기 가능 모드의 읽기 전용 복제본이 있어 클라이언트의 업데이트를 허용합니다.

읽기 전용 복제본이 쓰기 가능 모드가 되도록 read_only 파라미터를 로 설정하는 것이 좋습니다. TrueIfReplica

c1qf5bt035

노란색: DB 파라미터 그룹이 읽기 전용 복제본에 대해 쓰기 가능 모드를 활성화합니다.

read_only 파라미터 값을 로 설정합니다TrueIfReplica.

read_only 파라미터는 클라이언트에서 데이터베이스 인스턴스에 대한 쓰기 권한을 제어합니다. 이 파라미터의 기본값은 입니다TrueIfReplica. 복제본 인스턴스의 경우 read_only 값을 ON(1)으로 TrueIfReplica 설정하고 클라이언트의 쓰기 활동을 비활성화합니다. 마스터/라이터 인스턴스의 경우 는 값을 OFF (0)으로 TrueIfReplica 설정하고 인스턴스에 대한 클라이언트의 쓰기 활동을 활성화합니다. 읽기 전용 복제본이 쓰기 가능 모드로 열리면 이 인스턴스에 저장된 데이터가 기본 인스턴스에서 분기되어 복제 오류가 발생할 수 있습니다.

자세한 내용은 내 설명서 웹 사이트에서 Amazon RDS for My 에 대한 파라미터 구성 모범 사례SQL, 2부: 복제 관련 파라미터를 참조하세요SQL.

DB 리소스에서는 자동 백업이 비활성화됩니다. 자동 백업을 사용하면 point-in-time DB 인스턴스를 복구할 수 있습니다.

c1qf5bt001

빨간색: Amazon RDS 리소스에 자동 백업이 활성화되어 있지 않음

보존 기간이 최대 14일인 자동 백업을 활성화하세요.

자동 백업을 사용하면 point-in-time DB 인스턴스를 복구할 수 있습니다. 자동 백업을 활성화하는 것이 좋습니다. DB 인스턴스에 대한 자동 백업을 켜면 Amazon은 기본 백업 기간 동안 매일 데이터의 전체 백업을 RDS 자동으로 수행합니다. 백업은 DB 인스턴스에 업데이트가 있을 때 트랜잭션 로그를 캡처합니다. 추가 비용 없이 DB 인스턴스의 스토리지 크기까지 백업 스토리지를 사용할 수 있습니다.

자세한 정보는 다음 자료를 참조하십시오.

트랜잭션 커밋이 DB 인스턴스에서 확인되기 전에는 이진 로그를 디스크에 동기화하지 않습니다.

sync_binlog 파라미터 값을 1로 설정하는 것이 좋습니다.

c1qf5bt031

노란색: DB 파라미터 그룹에 동기 바이너리 로깅이 꺼져 있습니다.

sync_binlog 파라미터를 1로 설정합니다.

sync_binlog 파라미터는 MySQL가 바이너리 로그를 디스크에 푸시하는 방식을 제어합니다. 이 파라미터의 값을 1로 설정하면 트랜잭션이 커밋되기 전에 디스크에 대한 이진 로그 동기화가 켜집니다. 이 파라미터의 값을 0으로 설정하면 디스크에 대한 바이너리 로그 동기화가 꺼집니다. 일반적으로 내SQL 서버는 운영 체제에 따라 바이너리 로그를 다른 파일과 정기적으로 유사한 디스크로 푸시합니다. sync_binlog 파라미터 값을 0으로 설정하면 성능이 향상될 수 있습니다. 그러나 정전 또는 운영 체제 충돌 시 서버는 바이너리 로그와 동기화되지 않은 모든 커밋된 트랜잭션을 잃게 됩니다.

자세한 내용은 Amazon RDS for My 에 대한 파라미터 구성 모범 사례SQL, 2부: 복제 관련 파라미터를 참조하세요.

Amazon RDS DB 클러스터에 다중 AZ 복제가 활성화되어 있는지 확인합니다.

다중 AZ DB 클러스터에는 라이터 DB 인스턴스와 두 개의 리더 DB 인스턴스가 세 개의 개별 가용 영역에 있습니다. 다중 AZ DB 클러스터는 다중 AZ 배포에 비해 고가용성, 높은 읽기 워크로드 용량 및 짧은 대기 시간을 제공합니다.

자세한 내용은 다중 AZ DB 클러스터 생성을 참조하세요.

c18d2gz161

AWS Config Managed Rule: rds-cluster-multi-az-enabled

노란색: Amazon RDS DB 클러스터에 다중 AZ 복제가 구성되지 않았습니다.

Amazon DB 클러스터를 생성할 때 다중 AZ RDS DB 클러스터 배포를 켭니다.

자세한 내용은 다중 AZ DB 클러스터 생성을 참조하세요.

다중 AZ DB 클러스터 배포

Amazon RDS DB 인스턴스에 다중 AZ 대기 복제본이 구성되어 있는지 확인합니다.

Amazon RDS Multi-AZ는 다른 가용 영역의 대기 복제본에 데이터를 복제하여 데이터베이스 인스턴스에 대한 고가용성과 내구성을 제공합니다. 이는 자동 장애 조치를 제공하고 성능을 개선하며 데이터 내구성을 향상시킵니다. 다중 AZ DB 인스턴스 배포에서 Amazon은 다른 가용 영역에 동기 대기 복제본을 RDS 자동으로 프로비저닝하고 유지합니다. 프라이머리 DB 인스턴스는 전체 가용 영역에서 대기 복제본으로 동기식으로 복제되어 시스템 백업 중에 데이터 이중화를 제공하고 대기 시간 급증을 최소화합니다. DB 인스턴스를 고가용성으로 실행하면 계획된 시스템 유지 관리 중 가용성을 높입니다. 또한, DB 인스턴스 오류 및 가용 영역 중단이 일어나지 않도록 방지할 수 있습니다.

자세한 내용은 다중 AZ DB 인스턴스 배포를 참조하세요.

c18d2gz156

AWS Config Managed Rule: rds-multi-az-support

노란색: Amazon RDS DB 인스턴스에 다중 AZ 복제본이 구성되어 있지 않습니다.

Amazon RDS DB 인스턴스를 생성할 때 다중 AZ 배포를 켭니다.

이 검사는 Trusted Advisor 콘솔의 보기에서 제외할 수 없습니다.

다중 AZ DB 인스턴스 배포

RDS 데이터베이스 인스턴스의 ReplicaLag CloudWatch 지표가 지난 한 주 동안 운영상 합리적인 임계값 이상으로 증가했는지 확인합니다.

ReplicaLag 지표는 읽기 전용 복제본이 기본 인스턴스 뒤에 있는 초 수를 측정합니다. 읽기 전용 복제본에 대한 비동기 업데이트가 기본 데이터베이스 인스턴스에서 발생하는 업데이트를 따라가지 못할 때 복제 지연이 발생합니다. 기본 인스턴스에 장애가 발생할 경우 이 운영상 합당한 임계값을 ReplicaLag 초과하면 읽기 전용 복제본에서 데이터가 누락될 수 있습니다.

Cmsvnj8db1

가 운영상 안전한 수준을 벗어나 ReplicaLag 는 몇 가지 가능한 원인이 있습니다. 예를 들어 최근 로 인해 발생할 수 있습니다replaced/launched replica instances from older backups and these replicas requiring substantial time to “catch-up” to the primary database instance and live transactions. This ReplicaLag may dwindle over time as catch-up occurs. Another example could be that the transaction velocity able to be achieved on the primary database instance is higher than the replication process or replica infrastructure is able to match. This ReplicaLag may grow over time as replication fails to keep pace with the primary database performance. Finally, the workload may be bursty throughout different periods of the day/month/etc. 이로 인해 가끔 뒤처질 ReplicaLag 수 있습니다. 팀은 데이터베이스의 어떤 가능한 근본 원인이 높은지에 ReplicaLag 대해 조사하고, 복제본의 데이터 연속성이 요구 사항과 일치하는지 확인하기 위해 데이터베이스 인스턴스 유형 또는 워크로드의 기타 특성을 변경해야 합니다.

synchronous_commit 파라미터를 끄면 데이터베이스 충돌 시 데이터가 손실될 수 있습니다. 데이터베이스의 내구성에 악영향을 미칠 수 있습니다.

synchronous_commit 파라미터를 켜는 것이 좋습니다.

c1qf5bt026

빨간색: DB 파라미터 그룹에 synchronous_commit 파라미터가 꺼져 있습니다.

DB 파라미터 그룹에서 synchronous_commit 파라미터를 켭니다.

synchronous_commit 파라미터는 데이터베이스 서버가 클라이언트에 성공적인 알림을 보내기 전에 Write-Ahead Logging(WAL) 프로세스 완료를 정의합니다. 클라이언트가 커밋을 확인한 후 트랜잭션을 디스크에 WAL 저장하기 때문에 이 커밋을 비동기 커밋이라고 합니다. synchronous_commit 파라미터가 꺼지면 트랜잭션이 손실되고 DB 인스턴스 내구성이 저하될 수 있으며 데이터베이스가 충돌할 때 데이터가 손실될 수 있습니다.

자세한 내용은 내SQL 데이터베이스 로그 파일 섹션을 참조하세요.

Amazon Redshift 클러스터에 대해 자동 스냅샷이 활성화되어 있는지 확인합니다.

Amazon Redshift는 이전 자동 스냅샷 이후 클러스터의 변경 사항을 추적하는 증분 스냅샷을 자동으로 생성합니다. 자동 스냅샷은 클러스터를 복원하는 데 필요한 모든 데이터를 유지합니다. 자동 스냅샷을 비활성화하려면 보존 기간을 0으로 설정합니다. RA3 노드 유형에 대한 자동 스냅샷은 비활성화할 수 없습니다.

AWS Config 규칙의 MinRetentionPeriod 및 MaxRetentionPeriod 파라미터를 사용하여 원하는 최소 및 최대 보존 기간을 지정할 수 있습니다.

Amazon Redshift 스냅샷 및 백업

c18d2gz135

AWS Config Managed Rule: redshift-backup-enabled

빨간색: Amazon Redshift에는 원하는 보존 기간 내에 구성된 자동 스냅샷이 없습니다.

Amazon Redshift 클러스터에 자동 스냅샷이 활성화되어 있는지 확인하세요.

자세한 내용은 콘솔을 사용한 클러스터 관리를 참조하십시오.

Amazon Redshift 스냅샷 및 백업

자세한 내용은 백업 작업을 참조하세요.

삭제된 상태 확인과 연결된 리소스 레코드 세트를 확인합니다.

Route 53은 사용자가 하나 이상의 리소스 레코드 세트와 연결된 상태 확인을 삭제하는 것을 방지하지 않습니다. 연결된 리소스 레코드 세트를 업데이트하지 않고 상태 확인을 삭제하면 DNS 장애 조치 구성에 대한 DNS 쿼리 라우팅이 의도한 대로 작동하지 않습니다.

AWS 서비스에서 생성한 호스팅 영역은 검사 결과에 표시되지 않습니다.

Cb877eB72b

노란색: 리소스 레코드 세트가 삭제된 상태 확인과 연결되어 있습니다.

새 상태 확인을 생성한 후, 리소스 레코드 세트와 연결합니다. 상태 확인의 생성, 업데이트, 및 삭제와 리소스 레코드 세트에 상태 확인 추가를 참조하세요.

구성이 잘못된 Amazon Route 53 장애 조치 리소스 레코드 세트가 있는지 확인합니다.

Amazon Route 53 상태 확인에서 기본 리소스가 비정상이라고 판단하면 Amazon Route 53는 보조 백업 리소스 레코드 세트를 사용하여 쿼리에 응답합니다. 장애 조치가 작동하려면 올바르게 구성된 기본 및 보조 리소스 레코드 세트를 생성해야 합니다.

AWS 서비스에서 생성한 호스팅 영역은 검사 결과에 표시되지 않습니다.

b73EEdD790

장애 조치 리소스 세트가 누락된 경우 해당 리소스 레코드 세트를 생성합니다. 장애 조치 리소스 레코드 세트 생성을 참조하세요.

두 리소스 레코드 세트가 동일한 상태 확인에 연결되어 있는 경우 각각에 대해 별도의 상태 확인을 생성합니다. 상태 확인의 생성, 업데이트, 및 삭제를 참조하세요.

Amazon Route 53 상태 확인 및 DNS 장애 조치

더 낮은 time-to-live (TTL) 값을 가질 때 이점을 얻을 수 있는 리소스 레코드 세트를 확인합니다.

TTL 는 리소스 레코드 세트가 DNS 해석기에 의해 캐시되는 초 수입니다. 긴 를 지정하면 TTL DNS 해석기가 업데이트된 DNS 레코드를 요청하는 데 시간이 오래 걸리므로 트래픽 경로 변경에 불필요한 지연이 발생할 수 있습니다(예: DNS 장애 조치가 엔드포인트 중 하나의 실패를 감지하고 이에 응답하는 경우). 이 확인은 장애 조치 정책이 있는 레코드 또는 연결된 상태 확인이 있는 경우에만 확인합니다.

AWS 서비스에서 생성한 호스팅 영역은 검사 결과에 표시되지 않습니다.

C056F80cR3

나열된 리소스 레코드 세트에 60초의 TTL 값을 입력합니다. 자세한 내용은 리소스 레코드 세트 관련 작업을 참조하세요.

Amazon Route 53 상태 확인 및 DNS 장애 조치

도메인 등록자가 올바른 Route 53 이름 서버를 사용하고 DNS 있지 않거나 도메인 등록자가 있는 Amazon Route 53 호스팅 영역을 확인합니다.

호스팅 영역을 생성할 때 Route 53은 호스팅 영역에 4개의 네임 서버 세트를 할당합니다. 이러한 서버의 이름은 ns-입니다.###.awsdns-##.com, .net, .org 및 .co.uk. 여기서 ### 그리고 ## 는 일반적으로 서로 다른 숫자를 나타냅니다. Route 53이 도메인에 대한 DNS 쿼리를 라우팅하려면 먼저 등록 기관의 이름 서버 구성을 업데이트하여 등록 기관이 할당한 이름 서버를 제거해야 합니다. 그런 다음 Route 53 위임 집합에 네 개의 네임 서버를 모두 추가해야 합니다. 가용성을 극대화하려면 Route 53 네임 서버 4개를 모두 추가해야 합니다.

AWS 서비스에서 생성한 호스팅 영역은 검사 결과에 표시되지 않습니다.

cF171Db240

노란색: 도메인의 등록 기관이 위임 세트의 Route 53 이름 서버 4개를 모두 사용하지 않는 호스팅 영역이 있습니다.

이름 서버 레코드를 등록 기관 또는 도메인의 현재 DNS 서비스로 추가하거나 업데이트하여 Route 53 위임 세트에 네 개의 이름 서버를 모두 포함합니다. 이 값을 찾으려면 호스팅 영역에 대한 이름 서버 가져오기를 참조하세요. 이름 서버 레코드를 추가 또는 업데이트하는 방법에 대한 자세한 내용은 Amazon Route 53에서 도메인 및 하위 도메인 생성 및 마이그레이션을 참조하세요.

호스팅 영역 작업

서비스 구성에 중복을 위해 두 개 이상의 가용 영역(AZs)에 지정된 IP 주소가 있는지 확인합니다. AZ는 다른 영역의 장애로부터 격리된 별개의 위치입니다. 동일한 리전에서 여러 AZs 에 IP 주소를 지정하면 단일 장애 지점으로부터 애플리케이션을 보호하는 데 도움이 될 수 있습니다.

Chrv231ch1

중복성을 위해 가용 영역 2개 이상에서 IP 주소를 지정합니다.

Amazon Simple Storage Service(Amazon S3) 버킷의 로깅 구성을 확인합니다.

서버 액세스 로깅이 활성화되면 세부 액세스 로그가 선택한 버킷에 매시간 전송됩니다. 액세스 로그 레코드에는 요청 유형, 요청과 관련된 리소스, 요청 처리 시간과 날짜 같은 각 요청에 관한 세부 정보가 포함됩니다. 기본적으로 버킷 로깅은 활성화되지 않습니다. 보안 감사를 수행하거나 사용자 및 사용 패턴에 대해 자세히 알아보려면 로깅을 사용하도록 활성화해야 합니다.

로깅을 처음 활성화하면 구성이 자동으로 검증됩니다. 그러나 나중에 수정하면 로깅 오류가 발생할 수 있습니다. 이 검사는 명시적인 Amazon S3 버킷 권한이 있는지 검사하지만 버킷 권한을 재정의할 수 있는 연결된 버킷 정책은 검사하지 않습니다.

BueAdJ7NrP

대부분의 버킷에 대해 버킷 로깅을 활성화합니다. 콘솔을 이용하여 로깅 활성화와 프로그래밍 방식으로 로깅 활성화를 참조하세요.

대상 버킷 권한에 루트 계정이 포함되어 있지 않고 로깅 상태를 Trusted Advisor 확인하려면 루트 계정을 권한 부여자로 추가합니다. 버킷 권한 편집을 참조하세요.

대상 버킷이 없는 경우 기존 버킷을 대상으로 선택하거나, 새 버킷을 생성하여 대상으로 선택합니다. 버킷 로깅 관리를 참조하세요.

대상과 소스의 소유자가 서로 다른 경우, 대상 버킷을 소스 버킷과 소유자가 같은 버킷으로 변경합니다. 버킷 로깅 관리를 참조하세요.

대상에 대한 쓰기 권한이 로그 전달자에 없는 경우(쓰기가 활성화되어 있지 않음) 로그 전달 그룹에 업로드/삭제 권한을 부여합니다. 버킷 권한 편집을 참조하세요.

Amazon S3 버킷에 교차 리전 복제, 동일 리전 복제 또는 둘 다에 대해 활성화된 복제 규칙이 있는지 확인합니다.

복제는 동일하거나 다른 AWS 리전의 버킷 간에 객체를 비동기식으로 자동 복사하는 것입니다. 복제는 새로 생성된 객체 및 객체 업데이트를 원본 버킷에서 지정된 대상 버킷으로 복사합니다. Amazon S3 버킷 복제를 사용하면 애플리케이션 및 데이터 스토리지의 복원력과 규정 준수를 개선하는 데 도움이 됩니다.

자세한 내용은 객체 복제를 참조하세요.

c18d2gz119

AWS Config Managed Rule: s3-bucket-replication-enabled

노란색: Amazon S3 버킷 복제 규칙은 교차 리전 복제, 동일 리전 복제 또는 둘 다에 대해 활성화되지 않습니다.

Amazon S3 버킷 복제 규칙을 활성화하여 애플리케이션 및 데이터 스토리지의 복원력과 규정 준수를 개선합니다.

자세한 내용은 백업 작업 및 복구 지점 보기 및 복제 설정을 참조하세요.

연습: 복제 구성 예제

버전 관리가 활성화되지 않았거나 버전 관리가 중지된Amazon Simple Storage Service 버킷에 대한 내결함성을 확인합니다.

버전 관리를 활성화하면 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 쉽게 복구할 수 있습니다. 버전 관리를 사용하면 버킷에 저장된 모든 버전의 객체를 모두 보존, 검색 및 복원할 수 있습니다. 객체를 Glacier 스토리지 클래스에 자동으로 아카이빙하여 수명 주기 규칙을 사용하여 객체의 모든 버전뿐만 아니라 관련 비용을 관리할 수 있습니다. 지정된 기간 후에 객체의 버전을 제거하도록 규칙을 구성할 수도 있습니다. 버킷의 객체 삭제 또는 구성 변경에 대해 다중 인증(MFA)이 필요할 수도 있습니다.

버전 관리를 활성화한 후에는 비활성화할 수 없습니다. 그러나 새 버전의 객체가 만들어지지 않도록 일시 중단할 수 있습니다. 버전 관리를 사용하면 여러 버전의 객체 스토리지에 대한 비용을 지급하므로 Amazon S3 대한 비용이 증가할 수 있습니다.

R365s2Qddf

대부분의 버킷에 대해 버킷 버전 관리를 활성화하여 실수로 삭제하거나 덮어쓰지 않도록 합니다. 버전 관리 사용과 프로그래밍 방식으로 버전 관리 활성화를 참조하세요.

버킷 버전 관리가 일시 중지된 경우 버전 관리를 다시 활성화하는 것이 좋습니다. 버전 관리가 일시 중지된 버킷의 객체 작업에 대한 자세한 내용은 버전 관리가 일시 중지된 버킷의 객체 관리를 참조하세요.

버전 관리가 활성화되거나 일시 중지된 경우, 특정 객체 버전을 만료된 것으로 표시하거나 필요 없는 객체 버전을 영구적으로 제거하는 수명 주기 구성 규칙을 정의할 수 있습니다. 자세한 내용은 객체 수명 주기 관리를 참조하세요.

MFA 삭제하려면 버킷의 버전 관리 상태가 변경되거나 객체의 버전이 삭제될 때 추가 인증이 필요합니다. 사용자가 승인된 인증 디바이스의 자격 증명과 코드를 입력하도록 요구합니다. 자세한 내용은 MFA 삭제를 참조하세요.

버킷을 사용한 작업

로드 밸런서(애플리케이션, 네트워크, 게이트웨이 로드 밸런서)가 여러 가용 영역에 걸쳐 서브넷으로 구성되어 있는지 확인합니다.

AWS Config 규칙의 minAvailabilityZones 파라미터에서 원하는 최소 가용 영역을 지정할 수 있습니다.

자세한 내용은 Application Load Balancer의 가용 영역, 가용 영역 - Network Load Balancer, 게이트웨이 로드 밸런서 생성을 참조하세요.

c18d2gz169

AWS Config Managed Rule: elbv2-multiple-az

노란색: 2개 미만의 가용 영역에 서브넷으로 구성된 애플리케이션, 네트워크 또는 게이트웨이 로드 밸런서.

여러 가용 영역의 서브넷으로 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서를 구성합니다.

Application Load Balancer 가용 영역

가용 영역(Elastic Load Balancing)

Gateway Load Balancer 생성

대상 서브넷 간에 사용 가능한 충분한 상태가 IPs 유지되는지 확인합니다. Auto Scaling Group이 최대 크기에 도달하여 추가 인스턴스를 시작해야 하는 경우 사용할 IPs 수 있는 충분한 공간이 있으면 도움이 됩니다.

Cjxm268ch1

사용 가능한 IP 주소의 수 증가

Auto Scaling 그룹의 상태 확인 구성을 검사합니다.

Auto Scaling 그룹에 Elastic Load Balancing 사용하는 경우 구성할 때 Elastic Load Balancing 상태 확인을 활성화하는 것이 좋습니다. Elastic Load Balancing 상태 확인을 사용하지 않는 경우 Auto Scaling은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 상태만 수행할 수 있습니다. Auto Scaling은 인스턴스에서 실행되는 애플리케이션에서는 작동하지 않습니다.

CLOG40CDO8

오토 스케일링 그룹에 연결된 로드 밸런서가 있지만 Elastic Load Balancing 상태 확인이 활성화되어 있지 않은 경우 Auto Scaling 그룹에 Elastic Load Balancing 상태 확인 추가를 참조하세요.

Elastic Load Balancing 상태 확인이 활성화되어 있지만 오토 스케일링 그룹에 연결된 로드 밸런서가 없는 경우 자동 조정 및 로드 밸런싱된 애플리케이션 설정을 참조하세요.

Amazon EC2 Auto Scaling 사용 설명서

시작 구성 및 Auto Scaling 그룹과 연결된 리소스의 가용성을 확인합니다.

사용 불가능한 리소스를 가리키는 Auto Scaling 그룹은 새 Amazon Elastic Compute Cloud(AmazonEC2) 인스턴스를 시작할 수 없습니다. 제대로 구성되면 Auto Scaling은 수요가 급증하는 동안 Amazon EC2 인스턴스 수가 원활하게 증가하고 수요가 감소하는 동안 자동으로 감소합니다. 사용할 수 없는 리소스를 가리키는 Auto Scaling 그룹 및 시작 구성은 의도한 대로 작동하지 않습니다.

8CNsSllI5v

로드 밸런서가 삭제된 경우, 새 로드 밸런서 또는 대상 그룹을 생성한 다음 이를 Auto Scaling 그룹에 연결하거나 로드 밸런서 없이 새 Auto Scaling 그룹을 생성합니다. 새 로드 밸런서를 사용하여 새 오토 스케일링 그룹을 생성하는 방법에 대한 자세한 내용은 자동 조정 및 로드 밸런싱된 애플리케이션 설정을 참조하세요. 로드 밸런서 없이 새 오토 스케일링 그룹을 생성하는 방법에 대한 자세한 내용은 콘솔을 사용하여 오토 스케일링 시작하기에서 오토 스케일링 그룹 생성을 참조하세요.

AMI 이 삭제된 경우 유효한 를 사용하여 새 시작 템플릿 또는 시작 템플릿 버전을 생성하고 Auto Scaling 그룹과 AMI 연결합니다. 콘솔을 사용하여 오토 스케일링 시작하기에서 시작 구성 생성을 참조하세요.

단일 가용 영역(AZ)에서 HSM 인스턴스를 실행하는 클러스터를 확인합니다. 이 검사는 클러스터에 최신 백업이 없을 위험이 있는 경우 경고를 표시합니다.

hc0dfs7601

다른 가용 영역에서 클러스터에 대해 하나 이상의 인스턴스를 생성합니다.

모범 사례 AWS CloudHSM

온프레미스를 각 Direct Connect 게이트웨이 또는 가상 프라이빗 게이트웨이에 연결하는 데 AWS Direct Connect 사용되는 의 복원력을 확인합니다.

이 확인은 Direct Connect 게이트웨이 또는 가상 프라이빗 게이트웨이가 두 개 이상의 고유한 Direct Connect 위치에 걸쳐 가상 인터페이스로 구성되지 않은 경우 이를 알려줍니다. 위치 복원력이 부족하면 유지 관리 중에 예기치 않은 가동 중지, 광 케이블 절단, 디바이스 장애 또는 전체 위치 장애가 발생할 수 있습니다.

c1dfpnchv2

빨간색: Direct Connect 게이트웨이 또는 가상 프라이빗 게이트웨이는 단일 Direct Connect 디바이스에서 하나 이상의 가상 인터페이스로 구성됩니다.

노란색: Direct Connect 게이트웨이 또는 가상 프라이빗 게이트웨이는 단일 Direct Connect 위치의 여러 Direct Connect 디바이스에 걸쳐 가상 인터페이스로 구성됩니다.

녹색: Direct Connect 게이트웨이 또는 가상 프라이빗 게이트웨이는 두 개 이상의 고유한 Direct Connect 위치에 걸쳐 가상 인터페이스로 구성됩니다.

Direct Connect 위치 복원력을 구축하려면 Direct Connect 게이트웨이 또는 가상 프라이빗 게이트웨이를 두 개 이상의 고유한 Direct Connect 위치에 연결하도록 구성할 수 있습니다. 자세한 내용은 AWS Direct Connect 복원력 권장 사항 섹션을 참조하세요.

AWS Direct Connect 복원력 권장 사항

AWS Direct Connect 장애 조치 테스트

AWS Lambda 함수가 데드 레터 대기열로 구성되어 있는지 확인합니다.

데드 레터 대기열은 실패한 이벤트를 캡처하고 분석할 수 AWS Lambda 있는 의 기능으로, 해당 이벤트를 적절하게 처리할 수 있는 방법을 제공합니다. 코드에서 예외가 발생하거나, 시간 초과가 발생하거나, 메모리가 부족하여 Lambda 함수의 비동기 실행이 실패할 수 있습니다. DLQ(Dead Letter Queue)는 실패한 간접 호출의 메시지를 저장하여 메시지를 처리하고 실패 문제를 해결하는 방법을 제공합니다.

AWS Config 규칙의 dlqArns 파라미터를 사용하여 확인할 데드 레터 대기열 리소스를 지정할 수 있습니다.

자세한 내용은 DLQ(Dead Letter Queue)를 참조하세요.

c18d2gz182

AWS Config Managed Rule: lambda-dlq-check

노란색: AWS Lambda 함수에 데드 레터 대기열이 구성되지 않았습니다.

실패한 모든 비동기 호출 AWS Lambda 에 대한 메시지 처리를 제어하도록 함수에 데드 레터 대기열이 구성되어 있는지 확인합니다.

자세한 내용은 DLQ(Dead Letter Queue)를 참조하세요.

계정의 Lambda 함수에 비동기 호출에 대해 설정된 실패 시 이벤트 대상 또는 데드 레터 대기열(DLQ)이 있는지 확인하여 실패한 호출의 레코드를 추가 조사 또는 처리를 위해 대상으로 라우팅할 수 있습니다.

c1dfprch05

실패 시 이벤트 대상을 설정하거나 Lambda 함수DLQ가 실패한 호출을 다른 세부 정보와 함께 사용 가능한 대상 AWS 서비스 중 하나로 전송하여 추가 디버깅 또는 처리하도록 하십시오.

단일 가용 영역에서 서비스 중단에 취약한 VPC활성화 Lambda 함수의 $LATEST 버전을 확인합니다. VPC-활성화된 함수를 여러 가용 영역에 연결하여 고가용성을 제공하는 것이 가장 좋습니다.

L4dfs2Q4C6

노란색: VPC활성화된 Lambda 함수의 $LATEST 버전은 단일 가용 영역의 서브넷에 연결됩니다.

에 액세스하도록 함수를 구성할 때 VPC고가용성을 보장하려면 여러 가용 영역에서 서브넷을 선택합니다.

Outposts 랙 밸런스를 확인합니다. 이렇게 하면 고객 Outposts 인스턴스가 여러 Outposts 랙에 배포되는지 아니면 단일 Outpost 랙에 배포되는지 여부를 평가할 수 있습니다. 단일 Outposts 랙은 단일 랙과 관련된 문제(예: 환경 장애)에 대해 단일 장애 지점을 생성합니다. 이러한 시나리오는 여러 랙에 아웃포스트를 배포하여 완화할 수 있습니다.

c243hjzrhn

에서 프로덕션 워크로드를 실행하는 경우 다음과 같은 탄력적 아키텍처를 사용하는 AWS Outposts것이 가장 좋습니다. 단일 AWS Outposts 랙은 단일 장애 지점을 생성합니다. 장애 조치 이벤트에 충분한 용량을 가진 두 번째 AWS Outposts 랙을 해당 위치에 추가하는 것을 고려한 다음 랙에 워크로드를 분산합니다.

장애 모드 4: 랙 또는 데이터 센터

애플리케이션의 애플리케이션 구성 요소(AppComponent)를 복구할 수 없는지 확인합니다. 중단 이벤트 발생 시 가 복구되지 AppComponent 않으면 알 수 없는 데이터 손실 및 시스템 가동 중지가 발생할 수 있습니다.

RH23stmM04

Red: AppComponent 는 복구할 수 없습니다.

AppComponent 가 복구 가능한지 확인하려면 복원력 권장 사항을 검토 및 구현한 다음 새 평가를 실행합니다. 복원력 권장 사항 검토에 대한 자세한 내용은 추가 리소스를 참조하세요.

복원력 권장 사항 검토

AWS Resilience Hub 개념

AWS Resilience Hub 사용 설명서

정책이 정의하는 복구 시간 목표(RTO) 및 복구 시점 목표(RPO)를 충족하지 않는 애플리케이션이 있는지 Resilience Hub를 확인합니다. 이 확인은 애플리케이션이 Resilience Hub에서 애플리케이션에 대해 설정한 RTO 및 RPO 목표를 충족하지 못하는 경우 이를 알려줍니다.

RH23stmM02

Resilience Hub 콘솔에 로그인하고 애플리케이션이 RTO 및 RPO 목표를 충족할 수 있도록 권장 사항을 검토합니다.

Resilience Hub 개념

Resilience Hub에서 애플리케이션에 대한 평가를 실행했는지 확인합니다. 이 검사는 복원력 점수가 특정 값보다 낮으면 경고합니다.

RH23stmM01

Resilience Hub 콘솔에 로그인하고 애플리케이션에 대한 평가를 실행합니다. 권장 사항을 검토하여 복원력 점수를 개선하세요.

Resilience Hub 개념

애플리케이션 평가를 마지막으로 실행한 지 얼마나 지났는지 확인합니다. 이 검사는 지정된 일수 동안 애플리케이션 평가를 실행하지 않은 경우 알려줍니다.

RH23stmM03

Resilience Hub 콘솔에 로그인하고 애플리케이션에 대한 평가를 실행합니다.

Resilience Hub 개념

각 에 대해 활성 상태인 터널 수 AWS Site-to-Site VPN를 확인합니다.

에는 항상 두 개의 터널이 구성되어 VPN 있어야 합니다. 이렇게 하면 AWS 엔드포인트에서 디바이스가 중단되거나 계획된 유지 관리가 발생할 경우 중복성을 얻을 수 있습니다. 일부 하드웨어의 경우 한 번에 하나의 터널만 활성화됩니다. 에 활성 터널VPN이 없는 경우에도 에 대한 요금이 계속 적용될 VPN 수 있습니다.

자세한 내용은 란 무엇입니까VPN?AWS Site-to-Site를 참조하세요.

c18d2gz123

AWS Config Managed Rule: vpc-vpn-2-tunnels-up

노란색: Site-to-SiteVPN에 터널이 하나 이상 있습니다DOWN.

두 터널이 VPN 연결용으로 구성되어 있는지 확인합니다. 그리고 하드웨어가 지원하는 경우 두 터널이 모두 활성 상태인지 확인합니다. 연결이 더 이상 필요하지 않은 경우 요금을 피하려면 VPN 삭제하세요.

자세한 내용은 고객 게이트웨이 디바이스와 AWS 지식 센터에서 사용할 수 있는 콘텐츠를 참조하세요.

신뢰성 영역에서 워크로드에 대한 고위험 문제(HRIs)가 있는지 확인합니다. 이 확인은 AWS-Well Architected 리뷰. 검사 결과는 워크로드 평가를 완료했는지 여부에 따라 달라집니다.AWS Well-Architected.

Wxdfp4B1L4

AWS Well-Architected는 워크로드 평가 중에 고위험 문제를 감지했습니다. 이러한 문제는 위험을 줄이고 비용을 절감할 수 있는 기회를 나타냅니다. AWS Well-Architected 도구에 로그인하여 답변을 검토하고 활성 문제를 해결하기 위한 조치를 취하세요.

Classic Load Balancer가 여러 가용 영역()에 걸쳐 있는지 확인합니다AZs.

로드 밸런서는 여러 가용 영역의 여러 Amazon EC2 인스턴스에 들어오는 애플리케이션 트래픽을 분산합니다. 기본적으로 로드 밸런서는 사용자의 로드 밸런서에 대해 활성화된 가용 영역에 트래픽을 고르게 분산합니다. 가용 영역 중 하나에 장애가 발생할 경우 로드 밸런서 노드는 자동으로 하나 이상의 가용 영역에서 정상 상태의 등록 인스턴스로 요청을 전달합니다.

AWS Config 규칙의 minAvailabilityZones 파라미터를 사용하여 최소 가용 영역 수를 조정할 수 있습니다.

자세한 내용은 Classic Load Balancer란 무엇입니까?를 참조하세요.

c18d2gz154

AWS Config Managed Rule: clb-multiple-az

노란색: Classic Load Balancer에 다중 AZ가 구성되어 있지 않거나 AZs 지정된 최소 수를 충족하지 않습니다.

클래식 로드 밸런서에 여러 가용 영역이 구성되어 있는지 확인하세요. 애플리케이션의 가용성이 높AZs도록 로드 밸런서를 여러 개로 확장합니다.

자세한 내용은 튜토리얼: Classic Load Balancer 생성을 참조하세요.

연결 드레이닝이 활성화되지 않은 Classic 로드 밸런서를 확인합니다.

연결 드레이닝이 활성화되어 있지 않고 Classic 로드 밸런서에서 Amazon EC2 인스턴스 등록을 취소하면 Classic 로드 밸런서가 해당 인스턴스로의 트래픽 라우팅을 중지하고 연결을 닫습니다. 연결 드레이닝이 활성화되면 Classic 로드 밸런서는 등록 취소된 인스턴스로 새 요청 전송을 중지하지만 활성 요청을 제공하기 위해 연결을 열린 상태로 유지합니다.

7qGXsKIUw

Classic 로드 밸런서에 대한 연결 드레이닝을 활성화합니다. 자세한 내용은 Connection Draining과 로드 밸런서에 대한 Connection Draining 활성화 또는 비활성화를 참조하세요.

Elastic Load Balancing 개념

Application Load Balancer(AZs), ALBNetwork Load Balancer() 및 Gateway Load Balancer Load Balancer()에 대해 가용 영역(NLB)에서 대상 그룹의 대상 분포를 확인합니다GWLB.

이 검사에는 단일 AZ로 구성되고 가장 많이 채워진 AZ와 가장 적게 채워진 AZ 간의 대상 수 차이가 1 이하인 로드 밸런서는 포함되지 않습니다.

b92b83d667

복원력을 높이려면 대상 그룹에 전체 대상 수가 동일한지 확인하세요AZs.

Application Load Balancer 대상 그룹

Application Load Balancer 대상 그룹에 대상 등록

Gateway Load Balancer(GWLB) 엔드포인트가 다른 가용 영역(AZ)의 라우팅 대상으로 구성되어 있는지 확인합니다.

Gateway Load Balancer 엔드포인트는 검사를 위해 네트워크 트래픽을 Gateway Load Balancer 뒤에 있는 방화벽 어플라이언스로 전달합니다. 각 Gateway Load Balancer 엔드포인트는 지정된 AZ 내에서 작동하며 해당 AZ에서만 중복성을 사용하여 구축됩니다. 따라서 특정 AZ의 모든 리소스는 동일한 AZ에서 Gateway Load Balancer 엔드포인트를 사용해야 합니다. 이렇게 하면 Gateway Load Balancer 엔드포인트 또는 해당 AZ의 잠재적 중단이 다른 AZ의 리소스에 영향을 주지 않습니다.

528d6f5ee7

서브넷의 AZ를 확인하고 동일한 AZ의 Gateway Load Balancer 엔드포인트를 통해 트래픽을 라우팅하도록 라우팅 테이블을 구성합니다.

AZ에 Gateway Load Balancer 엔드포인트가 없는 경우 새 엔드포인트를 생성한 다음 서브넷 트래픽을 통해 라우팅합니다.

서로 다른 의 서브넷 간에 연결된 라우팅 테이블이 동일한 경우 이 라우팅 테이블을 Gateway Load Balancer 엔드포인트와 동일한 AZ에 있는 서브넷에 연결된 상태로 AZs유지합니다. 다른 AZ의 서브넷의 경우 별도의 라우팅 테이블을 이 AZ의 Gateway Load Balancer 엔드포인트에 대한 라우팅과 연결할 수 있습니다.

Amazon 의 아키텍처 변경에 대한 유지 관리 기간을 선택하는 것이 가장 좋습니다VPC.

로드 밸런서 구성을 확인합니다.

Elastic Load Balancing을 사용할 때 Amazon Elastic Compute Cloud(Amazon EC2)의 내결함성 수준을 높이려면 리전의 여러 가용 영역에 걸쳐 동일한 수의 인스턴스를 실행하는 것이 좋습니다. 구성된 로드 밸런서는 요금이 발생하므로 비용 최적화 검사도 됩니다.

iqdCTZKCUp

로드 밸런서가 최소 2개의 가용 영역에서 활성 상태의 정상 인스턴스를 가리키는지 확인합니다. 자세한 내용은 가용 영역 추가를 참조하세요.

정상 상태의 인스턴스가 없는 가용 영역에 대해 로드 밸런서가 구성되어 있거나, 여러 가용 영역 전체에 걸쳐 인스턴스가 불균형하게 분산되어 있는 경우 모든 가용 영역이 필요한지 확인합니다. 불필요한 가용 영역을 생략하고 나머지 가용 영역에 인스턴스가 균형 있게 분산되도록 해야 합니다. 자세한 내용은 가용 영역 제거를 참조하세요.

NAT 게이트웨이가 가용 영역(AZ) 독립성으로 구성되어 있는지 확인합니다.

NAT Gateway를 사용하면 프라이빗 서브넷의 리소스가 NAT Gateway의 IP 주소를 사용하여 서브넷 외부의 서비스에 안전하게 연결하고 원치 않는 인바운드 트래픽을 삭제할 수 있습니다. 각 NAT Gateway는 지정된 가용 영역(AZ) 내에서 작동하며 해당 AZ에서만 중복성을 사용하여 구축됩니다. 따라서 특정 AZ의 리소스는 NAT 게이트웨이 또는 해당 AZ의 잠재적 중단이 다른 AZ의 리소스에 영향을 주지 않도록 동일한 AZ의 NAT 게이트웨이를 사용해야 합니다.

c1dfptbg10

서브넷의 AZ를 확인하고 동일한 AZ의 NAT 게이트웨이를 통해 트래픽을 라우팅하세요.

AZNATGW에 가 없는 경우 AZ를 생성한 다음 서브넷 트래픽을 통해 라우팅하세요.

서로 다른 의 서브넷 간에 동일한 라우팅 테이블이 연결된 경우 이 라우팅 테이블을 NAT 게이트웨이와 동일한 AZ에 있는 서브넷과 다른 AZ의 서브넷에 연결된 상태로 AZs유지하고 별도의 라우팅 테이블을 이 다른 AZ의 NAT 게이트웨이에 대한 라우팅과 연결하세요.

Amazon 의 아키텍처 변경 사항에 대한 유지 관리 기간을 선택하는 것이 좋습니다VPC.

AWS Network Firewall 엔드포인트가 다른 가용 영역(AZ)의 라우팅 대상으로 구성되어 있는지 확인합니다.

네트워크 방화벽 엔드포인트는 검사를 위해 네트워크 트래픽을 네트워크 방화벽으로 전달합니다. 각 Network Firewall 엔드포인트는 지정된 AZ 내에서 작동하며 해당 AZ에서만 중복성을 사용하여 구축됩니다. 특정 AZ의 리소스는 동일한 AZ의 네트워크 방화벽 엔드포인트를 사용해야 합니다. 이렇게 하면 Network Firewall 엔드포인트 또는 해당 AZ의 잠재적 중단이 다른 AZ의 리소스에 영향을 주지 않습니다. 트래픽 검사를 위해 다른 AZ에서 발생하는 네트워크 트래픽에는 AZ 간 데이터 전송 요금이 발생합니다. 특정 AZ의 모든 리소스가 동일한 AZ의 네트워크 방화벽을 사용하여 AZ 간 데이터 요금을 피하는 것이 가장 좋습니다.

7040ea389a

서브넷의 AZ를 확인하고 동일한 AZ의 Network Firewall 엔드포인트를 통해 트래픽을 라우팅합니다.

AZ에 네트워크 방화벽 엔드포인트가 없는 경우 새 네트워크 방화벽을 생성하고 서브넷 트래픽을 통해 라우팅합니다.

동일한 라우팅 테이블이 서로 다른 의 여러 서브넷에 연결된 경우 이 라우팅 테이블을 네트워크 방화벽 엔드포인트와 동일한 AZ에 있는 서브넷에 연결된 상태로 AZs유지합니다. 다른 의 서브넷의 경우 별도의 라우팅 테이블을 해당 AZ의 네트워크 방화벽 엔드포인트에 대한 라우팅과 AZs연결합니다.

Amazon 의 아키텍처 변경에 대한 유지 관리 기간을 선택하는 것이 가장 좋습니다VPC.

동일한 내에서 데이터 전송 AWS 리전

데이터 전송 요금 이해

가용 영역 독립성

방화벽 구현을 위한 상위 수준 단계

방화벽 생성

AWS Well-Architected Tool - 벌크헤드 아키텍처를 사용하여 영향 범위 제한

네트워크 방화벽이 방화벽 엔드포인트에 둘 이상의 가용 영역(AZ)을 사용하도록 구성되어 있는지 확인합니다.

AZ는 다른 영역의 장애로부터 절연되는 고유한 위치입니다. 네트워크 방화벽 엔드포인트가 AZ 1개에만 배포되는 경우 단일 장애 지점이 될 수 있으며 트래픽 검사를 위해 네트워크 방화벽을 AZs 사용하여 다른 의 워크로드를 손상시킬 수 있습니다. 워크로드 가용성을 높이기 위해 동일한 리전AZs의 여러 에 네트워크 방화벽을 구성하는 것이 가장 좋습니다.

c2vlfg0gqd

프로덕션 워크로드에 AZs 대해 Network Firewall이 2개 이상으로 구성되어 있는지 확인합니다.

VPC 에 대한 서브넷 구성AWS Network Firewall

방화벽 생성

가용 영역

AWS Well-Architected Tool - 워크로드를 여러 위치에 배포

공유 서비스의 어플라이언스 VPC

Network Load Balancer에서 교차 영역 로드 밸런싱의 활성화 여부를 확인합니다.

교차 영역 로드 밸런싱은 여러 가용 영역의 인스턴스 간에 들어오는 트래픽을 균일하게 분산하는 데 도움이 됩니다. 이렇게 하면 로드 밸런서가 모든 트래픽을 동일한 가용 영역의 인스턴스로 라우팅하지 못하여 트래픽이 고르지 않고 과부하가 발생할 수 있습니다. 또한 이 기능은 단일 가용 영역에 장애가 발생하는 경우 다른 가용 영역의 정상 인스턴스로 트래픽을 자동으로 라우팅하여 애플리케이션 안정성을 높여줍니다.

자세한 내용은 교차 영역 로드 밸런싱을 참조하세요.

c18d2gz105

AWS Config Managed Rule: nlb-cross-zone-load-balancing-enabled

Network Load Balancer에서 교차 영역 로드 밸런싱이 활성화되어 있는지 확인합니다.

교차 영역 로드 밸런싱(Network Load Balancer)

인터넷 연결 Network Load Balancer(NLB)가 프라이빗 서브넷으로 구성되어 있는지 확인합니다. 트래픽을 수신하려면 인터넷 연결 Network Load Balancer(NLB)를 퍼블릭 서브넷에 구성해야 합니다. 퍼블릭 서브넷은 인터넷 게이트웨이 로 직접 라우팅되는 서브넷으로 정의됩니다. 서브넷이 프라이빗으로 구성된 경우 가용 영역(AZ)은 트래픽을 수신하지 않으므로 가용성 문제가 발생할 수 있습니다.

c1dfpnchv4

빨간색: 하나 이상의 프라이빗 서브넷으로 NLB 구성됨

녹색: 인터넷 연결에 대해 구성된 프라이빗 서브넷 없음 NLB

인터넷 연결 로드 밸런서에 구성된 서브넷이 퍼블릭인지 확인합니다. 퍼블릭 서브넷은 인터넷 게이트웨이 로 직접 라우팅되는 서브넷으로 정의됩니다. 다음 옵션 중 하나를 사용합니다.

Network Load Balancer가 둘 이상의 가용 영역(AZ)을 사용하도록 구성되어 있는지 확인합니다. AZ는 다른 영역의 장애로부터 격리된 별개의 위치입니다. 워크로드 가용성을 개선하려면 동일한 리전의 여러 AZs 에 로드 밸런서를 구성합니다.

c1dfprch09

노란색: NLB는 단일 AZ에 있습니다.

녹색: NLB에 둘 이상의 이 있습니다AZs.

로드 밸런서가 두 개 이상의 가용 영역으로 구성되어 있는지 확인합니다.

자세한 내용은 다음 설명서를 참조하세요.

Incident Manager 복제 세트의 구성이 둘 이상의 AWS 리전 를 사용하여 리전 장애 조치 및 응답을 지원하는지 확인합니다. CloudWatch 경보 또는 EventBridge 이벤트로 생성된 인시던트의 경우 Incident Manager는 경보 또는 이벤트 규칙 AWS 리전 과 동일한 에 인시던트를 생성합니다. 해당 리전에서 Incident Manager를 일시적으로 사용할 수 없는 경우 시스템은 복제 세트의 다른 리전에 인시던트를 생성하려고 시도합니다. 복제 세트에 한 지역만 포함된 경우 인시던트 관리자를 사용할 수 없는 동안에는 시스템이 인시던트 레코드를 만들지 못합니다.

cIdfp1js9r

복제 세트에 하나 이상의 지역을 추가합니다.

자세한 내용은 교차 리전 인시던트 관리를 참조하세요.

송신 네트워크 트래픽이 단일 가용 영역(AZ)을 통해 라우팅되고 있는지 네트워크 패턴을 확인합니다.

AZ는 다른 영역에 미치는 영향으로부터 격리된 별개의 위치입니다. 서비스를 여러 에 분산하면 AZ 실패의 블래스트 반경을 AZs제한할 수 있습니다.

c1dfptbg11

애플리케이션에 고가용성이 필요한 경우 고가용성을 위한 다중 AZ 아키텍처를 구현해 보십시오.

인터페이스 엔드포인트가 둘 이상의 가용 영역(AZ)을 사용하도록 구성되어 있는지 AWS PrivateLink VPC 확인합니다. AZ는 다른 영역의 장애로부터 격리된 별개의 위치입니다. 이렇게 하면 동일한 AWS 리전AZs에서 간의 저렴한 저지연 네트워크 연결이 지원됩니다. 인터페이스 엔드포인트를 생성할 AZs 때 여러 서브넷을 선택하여 단일 장애 지점으로부터 애플리케이션을 보호합니다.

c1dfprch10

노란색: VPC 엔드포인트가 단일 AZ에 있습니다.

녹색: VPC 엔드포인트가 두 개 이상 에 있습니다AZs.

VPC 인터페이스 엔드포인트가 두 개 이상의 가용 영역으로 구성되어 있는지 확인합니다.

자세한 내용은 다음 설명서를 참조하세요.

각 에 대해 활성 상태인 터널 수를 Site-to-Site 확인합니다VPNs.

에는 항상 두 개의 터널이 구성되어 VPN 있어야 합니다. 이것은 AWS 종단점에서 장치의 중단 또는 계획된 유지 관리의 경우 이중성을 제공합니다. 일부 하드웨어의 경우 한 번에 하나의 터널만 활성화됩니다. 에 활성 터널VPN이 없는 경우에도 에 대한 요금이 계속 적용될 VPN 수 있습니다. 자세한 내용은 AWS Site-to-Site VPN 사용 설명서 섹션을 참조하세요.

S45wrEXrLz

VPN 연결에 대해 두 터널이 구성되었는지, 하드웨어가 이를 지원하는 경우 두 터널이 모두 활성 상태인지 확인합니다. 연결이 더 이상 필요하지 않은 경우 요금을 피하도록 삭제할 VPN 수 있습니다. 자세한 내용은 고객 게이트웨이 디바이스 또는 Site-to-Site VPN 연결 삭제를 참조하세요.

ActiveMQ용 Amazon MQ 브로커가 여러 가용 영역에 액티브/스탠바이 브로커와 함께 고가용성을 제공하도록 구성되어 있는지 확인합니다.

c1t3k8mqv1

액티브/스탠바이 배포 모드로 새 브로커를 생성합니다.

RabbitMQ용 Amazon MQ 브로커가 여러 가용 영역의 클러스터 인스턴스와 함께 고가용성을 제공하도록 구성되어 있는지 확인합니다.

c1t3k8mqv2

클러스터 배포 모드로 새 브로커를 생성합니다.