本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用多账户实验 AWS FIS
您可以使用创建和管理多账户实验模板 AWS FIS 控制台或命令行。您可以通过将账户定位实验选项指定为 "multi-account",然后添加目标账户配置来创建多账户实验。您可以使用创建的多账户实验模板运行实验。
通过多账户实验,你可以在跨越多个账户的应用程序上设置和运行真实的故障场景 AWS 区域内的账户。您可以使用一个 Orchestrator 账户 运行多账户实验,这会影响多个目标账户 中的资源。
当您运行多账户实验时,拥有受影响资源的目标账户将通过其 AWS Health 控制面板收到通知,让目标账户中的用户了解情况。通过多账户实验,您可以:
-
使用中央控制和护栏,在跨多个账户的应用程序上运行现实世界的故障场景 AWS FIS 提供。
-
使用具有细粒度权限和标签的IAM角色来定义每个目标的范围,从而控制多账户实验的效果。
-
集中查看操作 AWS FIS 从中提取每个账户 AWS Management Console 并通过 AWS FIS 日志。
-
监控和审核API呼叫 AWS FIS 在每个账户中使用AWS CloudTrail。
本节可帮助您开始多账户实验。
多账户实验的概念
以下是多账户实验的主要概念:
Orchestrator 账户-协调器账户充当中央账户,用于在中配置和管理实验 AWS FIS 控制台,以及集中日志记录。协调员账户拥有 AWS FIS 实验模板和实验。
目标账户-目标账户是指其资源可能受到影响的个人AWS账户 AWS FIS 多账户实验。
目标账户配置-您可以通过向实验模板添加目标账户配置来定义作为实验一部分的目标账户。目标账户配置是实验模板中的一个元素,该元素对于多账户实验是必需的。您可以通过设置来为每个目标账户定义一个 AWS 账户 ID、IAM角色和可选描述。
多账户实验最佳实践
以下是使用多账户实验的最佳实践:
-
为多账户实验配置目标时,建议您在所有目标账户中使用一致的资源标签来确定目标资源。网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 AWS FIS 实验将解析每个目标账户中标签一致的资源。除了将
emptyTargetResolutionMode设置为skip的实验外,一项操作必须解析任何目标账户中的至少一个目标资源,否则将失败。操作配额按账户应用。如果要按资源定位资源ARNs,则每个操作的单账户限制相同。 -
使用参数或筛选条件来确定一个或多个可用区中的目标资源时,应指定可用区 ID,而不是可用区名称。可用区 ID 是跨账户的可用区的唯一且一致的标识符。要了解如何查找您账户中可用区的可用区 ID,IDs请参阅您的AWS资源的可用区。
