使用 Shield Advanced 进行运行状况检查的最佳实践 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

使用 Shield Advanced 进行运行状况检查的最佳实践

在 Shield Advanced 中创建和使用运行状况检查时,请遵循本节中的最佳实践。

  • 通过确定要监控的基础架构组件来规划运行状况检查。请考虑以下运行状况检查的资源类型:

    • 关键资源。

    • 任何您想在 Shield Advanced 检测和缓解中获得更高敏感度的资源。

    • 您希望 Shield Advanced 主动与您联系的资源。运行状况检查将为主动参与提供状态信息。

    您可能需要监控的资源示例包括 Amazon CloudFront 分配、面向互联网的负载均衡器和 Amazon EC2 实例。

  • 使用尽可能少的通知来定义能够准确反映应用程序来源运行状况的运行状况检查。

    • 编写运行状况检查,这样只有当您的应用程序不可用或无法在可接受的参数范围内运行时,它们才会处于不健康状态。您负责根据应用程序的特定要求定义和维护运行状况检查。

    • 尽可能少地使用运行状况检查,同时仍能准确报告应用程序的运行状况。例如,来自应用程序多个区域的多个警报都报告了相同的问题,这可能会增加响应活动的运营费用,而不会增加信息价值。

    • 使用 Amazon CloudWatch 指标组合使用计算的运行状况检查来监控应用程序的运行状况。例如,您可以根据应用程序服务器的延迟及其 5XX 错误率来计算组合运行状况,这表明原始服务器未完成请求。

    • 根据需要创建自己的应用程序运行状况指标并将其发布到 CloudWatch 自定义指标,并将其用于计算的运行状况检查。

  • 实施和管理您的运行状况检查,以改善检测并减少不必要的维护活动。

    • 在将运行状况检查与 Shield Advanced 保护关联之前,请确保其处于正常状态。关联报告运行状况不佳的运行状况检查可能会影响受保护资源的 Shield Advanced 检测机制。

    • 让您的运行状况检查可用于 Shield Advanced。不要删除您在 Route 53 中用于 Shield Advanced 保护的运行状况检查。

    • 仅使用暂存和测试环境来测试您的运行状况检查。仅为需要生产级性能和可用性的环境维护运行状况检查关联。不要在 Shield Advanced 中为暂存和测试环境维护运行状况检查关联。