使用 AWS CloudFormation 支持偏差感知的变更集,安全处理配置偏差
AWS CloudFormation 推出支持偏差感知的变更集,可将 IaC 模板与基础设施的实际状态进行对比,并使存在偏差的资源与模板定义保持一致。通过 AWS 管理控制台、SDK 或 CLI 修改由 IaC 管理的基础设施时,会发生配置偏差。通过支持偏差感知的变更集,您可以消除偏差,使基础设施与模板保持同步。此外,您可以预览部署对存在偏差的资源的影响,并避免意外变化。
在对运维事件进行故障排除时,客户可能会在 IaC 外修改基础设施。这会带来未来 IaC 部署发生意外变化的风险,影响基础设施的安全状况,并阻碍测试和灾难恢复的可重复性。标准变更集可以将模板与上一次部署的模板进行对比,但不会考虑配置偏差。而支持偏差感知的变更集提供新模板、上次部署的模板与实际基础设施状态之间的三向差异对比。如果差异对比功能预测到偏差可能会被意外覆盖,您可以更新模板值并重新创建变更集。在执行变更集期间,CloudFormation 会将资源属性与模板值进行匹配,并重新创建在 IaC 外被删除的资源。如果发生配置错误,CloudFormation 会将基础设施恢复到部署前的实际状态。
要开始使用,请在 CloudFormation 控制台为现有堆栈创建变更集,并选择“支持偏差感知”作为变更集类型。或者,您可以在 AWS CLI 或 SDK 中向 CreateChangeSet API 传递 --deployment-mode REVERT_DRIFT 参数。要了解更多信息,请参阅 CloudFormation 用户指南。
支持偏差感知的变更集现已在提供 CloudFormation 的 AWS 区域推出。请参阅 AWS 区域表以了解详情。