Проверки AWS Trusted Advisor на основе рекомендаций

Проверки Trusted Advisor на основе рекомендаций

AWS Trusted Advisor предоставляет результаты проверок на основе рекомендаций и соответствующие инструкции по пяти категориям: оптимизация расходов, безопасность, отказоустойчивость, производительность и лимиты сервисов.

Оптимизация затрат

Узнайте, как сократить расходы на AWS за счет удаления неиспользуемых и простаивающих ресурсов или приобретения зарезервированных инстансов.

  • Оптимизация зарезервированных инстансов Amazon EC2  

    Проверяет историю потребления вычислительных ресурсов Amazon Elastic Compute Cloud (Amazon EC2) и вычисляет оптимальное количество зарезервированных инстансов с частичной предоплатой. Рекомендации формируются на основе почасовой статистики использования за предыдущий календарный месяц, собранной по всем аккаунтам в рамках консолидированной оплаты. Подробнее о том, как рассчитывается эта рекомендация, см. в разделе вопросов по оптимизации зарезервированных инстансов на странице вопросов и ответов по Trusted Advisor.

    При использовании зарезервированных инстансов вы вносите небольшой однократный платеж и получаете существенную скидку на почасовой тариф для соответствующего инстанса. Чтобы максимально сократить расходы, система выставления счетов в первую очередь автоматически применяет тарифы на зарезервированные инстансы.

  • Инстансы Amazon EC2 с низкой нагрузкой  

    Проверяет инстансы Amazon Elastic Compute Cloud (Amazon EC2), которые за последние 14 дней работали в течение хотя бы какого‑то времени, и выдает предупреждение в случаях, если суточная загрузка процессора составляла 10 % или меньше, а по сети пересылалось не более 5 МБ в течение четырех и более дней. Работающие инстансы оплачиваются по почасовому тарифу. Хотя в некоторых сценариях малая загрузка процессора неизбежна, зачастую можно сократить расходы, меняя количество и размер инстансов.

    Возможная месячная экономия рассчитывается с использованием текущего почасового тарифа для инстансов по требованию и расчетного количества дней, в течение которых инстанс предположительно будет недостаточно загружен. Реальная экономия может быть другой, если используются зарезервированные или спотовые инстансы, а также если инстанс не работает в течение всего дня. Чтобы получить все данные о посуточном использовании, загрузите отчет об этой проверке.  

  • Простаивающие балансировщики нагрузки  

    Проверяет конфигурацию Elastic Load Balancing и ищет балансировщики нагрузки, которые недостаточно используются. Оплате подлежат все настроенные балансировщики нагрузки. Когда у балансировщика нагрузки нет подключенных серверных инстансов или сильно ограничен сетевой трафик, балансировщик нагрузки используется неэффективно.

  • Тома Amazon EBS с низкой нагрузкой  

    Проверяет конфигурации томов Amazon Elastic Block Store (Amazon EBS) и предупреждает, если какие‑то тома активно не используются. С момента создания тома он подлежит оплате. Если том ни к чему не подключен или интенсивность операций записи на него в течение определенного периода времени остается крайне низкой (за исключением загрузочных томов), вероятно, этот том не используется.

  • Не связанные эластичные IP‑адреса  

    Проверяет наличие эластичных IP‑адресов (EIP), которые не связаны с работающим инстансом Amazon Elastic Compute Cloud (Amazon EC2). Эластичные IP‑адреса – это статические IP‑адреса, предназначенные для динамических облачных вычислений. В отличие от традиционных статических IP‑адресов, эластичные IP‑адреса могут скрыть отказ инстанса или зоны доступности путем переназначения публичного IP‑адреса на другой инстанс в рамках аккаунта. За EIP, который не связан с работающим инстансом, начисляется номинальная плата.

  • Простаивающие инстансы БД Amazon RDS  

    Проверяет конфигурацию Amazon Relational Database Service (Amazon RDS) для всех инстансов БД, ​​которые могут оказаться простаивающими. Если к инстансу БД в течение длительного периода времени не было подключений, можно удалить этот инстанс и сократить расходы. Если данные этого инстанса требуется сохранить, можно использовать более экономичные варианты, например снять и сохранить снимок состояния БД. Созданные вручную снимки состояния БД хранятся до тех пор, пока не будут намеренно удалены владельцем. 

  • Наборы ресурсных записей о задержках в Amazon Route 53  

    Проверяет эффективность настройки наборов записей о задержках в Amazon Route 53. Чтобы Amazon Route 53 мог отправлять запросы в регион с наименьшей сетевой задержкой, требуется создать набор ресурсных записей о задержках для определенного доменного имени (например, example.com) в разных регионах. Если создан только один набор ресурсных записей о задержках для доменного имени, все запросы будут направляться в один регион, при этом за маршрутизацию на основе задержек будет начисляться плата, хотя никаких преимуществ она не дает.  

  • Окончание срока аренды зарезервированных инстансов Amazon EC2  

    Проверяет зарезервированные инстансы Amazon EC2, срок аренды которых истекает в ближайшие 30 дней или истек за последние 30 дней. Аренда зарезервированных инстансов автоматически не продлевается. Пользоваться такими инстансами EC2 можно продолжать без перерыва, но плата будет начисляться по тарифам для инстансов по требованию. У новых зарезервированных инстансов могут быть те же параметры, как и у инстансов, срок аренды которых истек. Можно также приобрести зарезервированные инстансы с другими параметрами.


    Отображаемая расчетная ежемесячная экономия представляет собой разницу между тарифами для инстансов по требованию и стоимостью зарезервированных инстансов того же типа.

  • Недостаточно эффективно используемые кластеры Amazon Redshift  

    Проверяет конфигурацию Amazon Redshift на наличие кластеров, которые используются недостаточно эффективно. Если к кластеру Amazon Redshift не было подключений в течение длительного периода времени или он потребляет мало ресурсов процессора, можно использовать более дешевые варианты: снизить размер кластера или закрыть кластер, сделав финальный снимок состояния. Финальные снимки состояния сохраняются даже после удаления кластера.

Безопасность

Возможность повысить безопасность приложения, проработав слабые места, подключив различные возможности безопасности AWS и выполнив анализ разрешений.

  • Группы безопасности: неограниченный доступ к определенным портам (бесплатная проверка)

    Проверяет группы безопасности на наличие правил, предоставляющих неограниченный доступ (0.0.0.0/0) к определенным портам. Неограниченный доступ расширяет возможности злоумышленников для взломов, атак типа «отказ в обслуживании» и кражи данных. Порты с наибольшим риском будут выделены красным цветом, менее важные – желтым. Порты, выделенные зеленым цветом, обычно используются приложениями, которым действительно требуется неограниченный доступ, например по протоколам HTTP и SMTP.


    Если группы безопасности намеренно настроены таким образом, рекомендуется использовать для защиты инфраструктуры дополнительные меры безопасности (например, таблицы IP).

  • Группы безопасности: неограниченный доступ

    Проверяет группы безопасности на наличие правил, позволяющих неограниченный доступ к ресурсам. Неограниченный доступ расширяет возможности совершения вредоносных действий, что может привести к взломам, атакам типа «отказ в обслуживании» и утере данных.

  • Использование IAM (бесплатно)

    Проверяет, используется ли в аккаунте сервис AWS Identity and Access Management (IAM). IAM применяется для создания пользователей, групп и ролей в AWS. Для контроля доступа к ресурсам AWS можно использовать разрешения.

  • Разрешения для корзин Amazon S3 (бесплатно)

    Проверяет наличие корзин Amazon Simple Storage Service (Amazon S3), разрешения которых не ограничивают доступ. Если разрешения для корзины позволяют получать список ее содержимого любому пользователю, списки объектов в корзине могут часто запрашивать посторонние пользователи, и в результате расходы могут оказаться выше ожидаемых. Разрешения для корзины, позволяющие любым пользователям добавлять, изменять или удалять объекты в корзине, создают потенциальную уязвимость. В ходе этой проверки анализируются явные разрешения для корзины и связанные с ними политики на уровне корзины, которые могут иметь приоритет перед разрешениями для корзины.

  • Многофакторная аутентификация для аккаунта с правами root (бесплатно)

    Проверяет политику паролей соответствующего аккаунта и выдает предупреждения, если политика паролей не включена вообще или если не включены требования к формату пароля. Требования к формату пароля повышают общую безопасность среды AWS, заставляя пользователей выбирать надежные пароли. При создании или изменении политики паролей новые требования начинают действовать немедленно для новых пользователей, но не требуют смены паролей для существующих пользователей.

  • Риски доступа в группах безопасности Amazon RDS

    Проверяет настройки групп безопасности в Amazon Relational Database Service (Amazon RDS) и выдает предупреждение в случае, если правила группы безопасности могут предоставить слишком широкий доступ к базе данных. Рекомендуемая конфигурация правил для любых групп безопасности – разрешать доступ только для определенных групп безопасности Amazon Elastic Compute Cloud (Amazon EC2) или с определенного IP‑адреса.

  • Ведение журналов в AWS CloudTrail

    Проверяет, используется ли AWS CloudTrail. Сервис CloudTrail обеспечивает повышенную наглядность действий в аккаунте AWS, поскольку записывает информацию о вызовах AWS API, сделанных в аккаунте. По этим журналам можно определить, к примеру, какие действия предпринял конкретный пользователь в течение определенного периода времени или какие пользователи предприняли действия в отношении конкретного ресурса в течение определенного периода времени. Поскольку CloudTrail отправляет файлы журналов в корзину Amazon Simple Storage Service (Amazon S3), сервису CloudTrail необходимо предоставить права на запись в эту корзину.

  • Наборы ресурсных записей MX и SPF в Amazon Route 53

    Проверяет наличие набора ресурсных записей SPF для каждого набора ресурсных записей MX. Запись SPF (список разрешенных отправителей) хранит список серверов, которым разрешено отправлять электронную почту для определенного домена. Это помогает бороться со спамом за счет выявления и пресечения подделки адресов электронной почты.

  • Безопасность обработчика запросов ELB

    Проверяет наличие балансировщиков нагрузки с обработчиками, которые не используют рекомендуемые конфигурации безопасности для зашифрованной связи. AWS рекомендует использовать безопасные протоколы (HTTPS или SSL), современные политики безопасности, а также шифры и протоколы, безопасность которых доказана. Если вы используете безопасный протокол для внешнего интерфейса (между клиентом и балансировщиком нагрузки), запросы между клиентами и балансировщиком нагрузки шифруются, что повышает безопасность. Elastic Load Balancing предоставляет заранее заданные политики безопасности с шифрами и протоколами, которые соответствуют рекомендациям AWS в сфере безопасности. Новые версии преднастроенных политик выпускаются по мере появления новых конфигураций.

  • Группы безопасности ELB  

    Проверяет наличие балансировщиков нагрузки, настроенных без группы безопасности или с группой безопасности, которая позволяет получить доступ к портам, не настроенным для балансировщика нагрузки. Если группа безопасности, связанная с балансировщиком нагрузки, удалена, балансировщик нагрузки работает не так, как должен. Если группа безопасности разрешает доступ к портам, которые не настроены для балансировщика нагрузки, возрастает риск утери данных или вредоносных атак.  

  • Собственные SSL‑сертификаты для CloudFront в хранилище сертификатов сервиса IAM  

    Проверяет SSL‑сертификаты для альтернативных доменных имен CloudFront в хранилище сертификатов сервиса IAM и предупреждает о сертификатах с истекшим или истекающим в ближайшее время сроком действия, а также сертификатах SSL, которые используют устаревшие способы шифрования или неправильно настроены для раздачи. Когда истекает срок действия собственного сертификата для альтернативного доменного имени, браузеры, отображающие контент CloudFront, могут показывать предупреждающие сообщения о проблемах с безопасностью соответствующего веб‑сайта. Сертификаты, зашифрованные с использованием алгоритма хэширования SHA‑1, в Chrome, Firefox и других браузерах считаются устаревшими. Если сертификат не содержит доменных имен, которые соответствуют либо имени исходного домена (Origin Domain Name), либо доменному имени в заголовке Host запроса пользователя, CloudFront возвращает пользователю код состояния HTTP 502 (ошибка шлюза).

  • SSL‑сертификат для CloudFront на сервере источника  

    Проверяет наличие активных ключей доступа IAM, которые не подвергались ротации в течение последних 90 дней. При регулярной ротации ключей доступа снижается вероятность того, что скомпрометированный ключ может быть использован для доступа к ресурсам без ведома владельца аккаунта. Для целей этой проверки последней датой и временем ротации считается момент создания или последней активации ключа доступа. Номер ключа доступа и дата берутся из рубрик access_key_1_last_rotated и access_key_2_last_rotated в последнем отчете IAM по данным для доступа.

  • Раскрытые ключи доступа  

    Ищет в распространенных репозиториях кода публично раскрытые ключи доступа и отслеживает нестандартное использование Amazon Elastic Compute Cloud (Amazon EC2), которое может свидетельствовать о краже ключа доступа. Ключ доступа состоит из идентификатора ключа доступа и соответствующего секретного ключа доступа. Раскрытые ключи доступа угрожают безопасности самого аккаунта и других пользователей, могут привести к чрезмерным расходам от несанкционированной деятельности или злоупотреблений и нарушениям Пользовательского соглашения AWS. Если ключ доступа раскрыт, требуется незамедлительно принять меры для защиты аккаунта. Чтобы дополнительно защитить аккаунт от чрезмерных расходов, AWS временно ограничивает возможности создания некоторых ресурсов AWS. Такая мера не сделает аккаунт безопасным, она лишь частично ограничит несанкционированное использование, за которое может быть начислена дополнительная плата. Примечание. Данная проверка не гарантирует выявления раскрытых ключей доступа или скомпрометированных инстансов EC2. В конечном счете за безопасность и защиту своих ключей доступа и ресурсов AWS отвечают только владельцы аккаунтов.

  • Общедоступные снимки состояния Amazon EBS (бесплатно)  

    Проверяет настройки разрешений для снимков состояния томов Amazon Elastic Block Store (Amazon EBS) и выдает предупреждения, если какие‑либо снимки являются общедоступными. Если снимок состояния является общедоступным, доступ к нему и ко всем данным этого снимка будет предоставляться всем аккаунтам и пользователям AWS. Если требуется поделиться снимком с конкретными пользователями или аккаунтами, настройте снимок как частный, а затем укажите пользователей или аккаунты, которым требуется предоставить доступ к данным снимка.

  • Общедоступные снимки состояния Amazon RDS (бесплатно)  

    Проверяет настройки разрешений для снимков состояния БД в Amazon Relational Database Service (Amazon RDS) и выдает предупреждение, если какие‑либо снимки являются общедоступными. Если снимок состояния является общедоступным, доступ к нему и ко всем данным этого снимка будет предоставляться всем аккаунтам и пользователям AWS. Если требуется поделиться снимком с конкретными пользователями или аккаунтами, настройте снимок как частный, а затем укажите пользователей или аккаунты, которым требуется предоставить доступ к данным снимка.

  • Политика паролей в IAM  

    Проверяет политику паролей соответствующего аккаунта и выдает предупреждения, если политика паролей не включена вообще или если не включены требования к формату пароля. Требования к формату пароля повышают общую безопасность среды AWS, заставляя пользователей выбирать надежные пароли. При создании или изменении политики паролей новые требования начинают действовать немедленно для новых пользователей, но не требуют смены паролей для существующих пользователей.

  • Ротация ключей доступа IAM  

    Проверяет наличие активных ключей доступа IAM, которые не подвергались ротации в течение последних 90 дней. При регулярной ротации ключей доступа снижается вероятность того, что скомпрометированный ключ может быть использован для доступа к ресурсам без ведома владельца аккаунта. Для целей этой проверки последней датой и временем ротации считается момент создания или последней активации ключа доступа. Номер ключа доступа и дата берутся из рубрик access_key_1_last_rotated и access_key_2_last_rotated в последнем отчете IAM по данным для доступа.

Отказоустойчивость

Повышение доступности и избыточности приложений на AWS за счет автомасштабирования, проверок работоспособности, использования нескольких зон доступности и возможностей резервного копирования.

  • Снимки состояния Amazon EBS

    Проверяет актуальность снимков состояния томов Amazon Elastic Block Store (Amazon EBS), как доступных, так и используемых. Несмотря на то что тома Amazon EBS реплицируются, отдельные сбои не исключены. Снимки состояния записываются в Amazon Simple Storage Service (Amazon S3) для длительного хранения и восстановления на заданный момент времени.

  • Сбалансированное использование зон доступности в Amazon EC2

    Проверяет распределение инстансов Amazon Elastic Compute Cloud (Amazon EC2) по зонам доступности в регионе. Зоны доступности – это отдельные местоположения, спроектированные так, чтобы обеспечить защиту от сбоев в других зонах доступности и поддерживать экономичное сетевое подключение с низкими задержками к другим зонам доступности, расположенным в том же регионе. Если запустить инстансы в нескольких зонах доступности в одном регионе, в приложении не будет единой точки отказа.

  • Оптимизация балансировщика нагрузки

    Проверяет конфигурацию балансировщика нагрузки. Чтобы повысить уровень отказоустойчивости в Amazon Elastic Compute Cloud (EC2) при использовании сервиса Elastic Load Balancing, рекомендуется запустить равное количество инстансов в нескольких зонах доступности в регионе. Все настроенные балансировщики нагрузки приходится оплачивать, так что эта проверка также способствует оптимизации расходов.

  • Наличие резервных VPN‑тоннелей

    Проверяет количество активных тоннелей для каждого из VPN‑подключений. Любое VPN‑подключение должно всегда иметь два настроенных тоннеля, чтобы обеспечить резервный вариант в случае сбоя или планового отключения устройств на стороне AWS. Для некоторого оборудования активным может быть только один тоннель (см. Руководство для сетевого администратора Amazon Virtual Private Cloud). При отсутствии у VPN активных тоннелей плата за VPN может по‑прежнему начисляться.

  • Ресурсы групп Auto Scaling

    Проверяет доступность ресурсов, связанных с конфигурациями запуска и группами Auto Scaling. Группы Auto Scaling, которые указывают на недоступные ресурсы, не могут запускать новые инстансы Amazon Elastic Compute Cloud (Amazon EC2). При правильной настройке Auto Scaling позволяет плавно увеличивать количество инстансов Amazon EC2 во время пикового спроса и автоматически уменьшать его во время снижения нагрузки. Группы Auto Scaling и конфигурации запуска, указывающие на недоступные ресурсы, не работают должным образом.

  • Резервные копии Amazon RDS

    Проверяет настройку автоматического резервного копирования инстансов БД Amazon RDS. По умолчанию резервные копии включены со сроком хранения 1 день. Резервные копии уменьшают риск внезапной потери данных и позволяют восстанавливать данные на момент времени.

  • Развертывание Amazon RDS в нескольких зонах доступности

    Ищет инстансы DB, развернутые в одной зоне доступности. Развертывание в нескольких зонах доступности позволяет повысить доступность базы данных путем синхронной репликации на резервный инстанс в другой зоне доступности. При проведении запланированного обслуживания БД, в случае выхода инстанса БД из строя или отказа зоны доступности Amazon RDS выполняет автоматическое переключение на резервный инстанс, что позволяет быстро продолжить работу с базой данных без вмешательства администратора. Поскольку Amazon RDS не поддерживает развертывание в нескольких зонах доступности для Microsoft SQL Server, данная проверка не охватывает инстансы SQL Server.

  • Проверка работоспособности групп Auto Scaling

    Анализирует настройки проверки работоспособности для групп Auto Scaling. Если для группы Auto Scaling используется сервис Elastic Load Balancing, рекомендуется включить в конфигурации проверку работоспособности Elastic Load Balancing. Если проверка работоспособности Elastic Load Balancing не используется, автоматическое масштабирование может действовать только на основе работоспособности инстанса Amazon Elastic Compute Cloud (Amazon EC2), но не приложения, которое выполняется на инстансе.

  • Ведение журналов для корзин Amazon S3

    Проверяет конфигурацию журналов для корзин Amazon Simple Storage Service (Amazon S3). Когда включено ведение журнала доступа к серверу, подробные журналы доступа ежечасно отправляются в выбранную пользователем корзину. В записях журнала доступа могут фиксироваться такие данные о запросе, как тип запроса, ресурсы, указанные в запросе, а также время и дата обработки запроса. По умолчанию ведение журналов не включено. Если требуется выполнять аудит безопасности или фиксировать подробности о пользователях и шаблонах использования, ведение журналов нужно включить дополнительно.

  • Делегирование серверов имен Amazon Route 53  

    Ищет зоны хостинга Amazon Route 53, для которых соответствующий регистратор домена или DNS не использует правильные серверы имен Route 53. При создании зоны хостинга Route 53 назначает делегированный набор из четырех серверов имен. Имена этих серверов: ns‑###.awsdns‑##.com, .net, .org, и .co.uk, где ### и ## обычно являются разными числами. Прежде чем Route 53 начнет маршрутизировать DNS‑запросы для домена, нужно обновить конфигурацию сервера имен соответствующего регистратора, чтобы удалить серверы имен, которые назначил регистратор, и добавить все четыре сервера имен в делегированном наборе Route 53. Для максимальной доступности обязательно нужно добавлять все четыре сервера имен Route 53.

  • Наборы ресурсных записей о завышенном времени жизни (TTL) в Amazon Route 53

    Проверяет наличие наборов ресурсных записей, которым рекомендуется иметь более низкое значение времени жизни (TTL). TTL – это количество секунд, в течение которого набор ресурсных записей хранится в кэше преобразователей имен DNS. Если указано слишком высокое значение TTL, преобразователи имен DNS реже запрашивают обновленные записи DNS, что может вызвать ненужную задержку в перенаправлении трафика (например, когда обработка отказа сервиса DNS обнаруживает и реагирует на сбой одного из адресов).

  • Наборы ресурсных записей об обработке отказов в Amazon Route 53

    Проверяет наличие неверно сконфигурированных наборов ресурсных записей об обработке отказов в Amazon Route 53. Когда проверка работоспособности Amazon Route 53 выявляет плохую работу основного ресурса, Amazon Route 53 выдает в ответ на запросы вторичный, резервный набор ресурсных записей. Чтобы обработка отказа выполнялась корректно, требуется создать правильно настроенные первичные и вторичные наборы ресурсных записей.

  • Удаление проверок работоспособности Amazon Route 53

    Проверяет наличие наборов ресурсных записей, связанных с проверками работоспособности, которые были удалены. Amazon Route 53 не препятствует удалению проверки работоспособности, связанной с одним или несколькими наборами ресурсных записей. Если проверка работоспособности удалена без обновления связанных с ней наборов ресурсных записей, маршрутизация DNS‑запросов в конфигурации обработки отказов не будет работать должным образом. Это повлияет на маршрутизацию DNS‑запросов в конфигурации обработки отказа на уровне DNS.

  • Освобождение подключений ELB

    Проверяет наличие балансировщиков нагрузки, в которых не включено освобождение подключений. Если освобождение подключений не включено и при этом выполняет удаление инстанса Amazon EC2 из балансировщика нагрузки (отменяется его регистрация), балансировщик нагрузки прекращает маршрутизацию трафика к этому инстансу и закрывает соединение. Если освобождение подключений включено, балансировщик нагрузки прекращает посылать на этот инстанс новые запросы, но сохраняет подключение для обслуживания активных запросов.

  • Распределение нагрузки ELB по всем зонам доступности

    Проверяет наличие балансировщиков нагрузки, в которых не включено распределение нагрузки по всем зонам доступности. Балансировка нагрузки по всем зонам доступности распределяет запросы равномерно по всем серверным инстансам, независимо от зоны доступности, в которой находятся инстансы. Балансировка нагрузки по всем зонам доступности снижает неравномерность распределения трафика, когда клиенты неправильно кэшируют информацию DNS или когда количество инстансов в зонах доступности неодинаково (например, когда некоторые инстансы отключены на техническое обслуживание). Балансировка нагрузки по всем зонам доступности упрощает развертывание приложений в нескольких зонах доступности и управление ими.

  • Управление версиями в корзинах Amazon S3

    Ищет корзины Amazon Simple Storage Service, в которых управление версиями не включено или приостановлено. Управление версиями позволяет просто восстанавливать систему после непреднамеренных действий пользователей или сбоев приложений. Управление версиями позволяет сохранять, извлекать и восстанавливать любую версию любого объекта, сохраненного в корзине. Сервис позволяет использовать правила управления жизненным циклом для управления всеми версиями своих объектов, а также связанными расходами, автоматически архивируя объекты в класс хранилища Glacier или удаляя их по истечении определенного периода времени. Можно настроить правило так, чтобы для удаления объектов или изменения конфигурации корзины требовалась многофакторная аутентификация (MFA).

  • Резервные подключения AWS Direct Connect

    Выявляет регионы, в которых присутствует только одно подключение AWS Direct Connect. Для подключения к ресурсам AWS рекомендуется всегда иметь два настроенных подключения Direct Connect, чтобы обеспечить резервирование на случай недоступности одного из устройств.

  • Резервные местоположения AWS Direct Connect  

    Проверяет наличие шлюзов виртуальных частных сетей с виртуальными интерфейсами (VIF) AWS Direct Connect, на которых не настроены как минимум два подключения AWS Direct Connect. Для подключения к шлюзу виртуальной частной сети рекомендуется настраивать несколько виртуальных интерфейсов на нескольких подключениях и в нескольких местоположениях Direct Connect, чтобы обеспечить резервирование на случай недоступности одного из устройств или местоположений.

  • Резервные виртуальные интерфейсы AWS Direct Connect

    Проверяет наличие шлюзов виртуальных частных сетей с виртуальными интерфейсами (VIF) AWS Direct Connect, на которых не настроены как минимум два подключения AWS Direct Connect. Для подключения к шлюзу виртуальной частной сети рекомендуется настраивать несколько виртуальных интерфейсов на нескольких подключениях и в нескольких местоположениях Direct Connect, чтобы обеспечить резервирование на случай недоступности одного из устройств или местоположений.

  • Доступность инстанса Amazon Aurora DB

    Проверка на наличие конфигураций, когда в кластер БД Amazon Aurora входят как частные, так и публичные инстансы. Если в основном инстансе произошел сбой, его реплика может стать основным инстансом. Если эта реплика является частной, пользователи, которым предоставлен доступ только к публичным репликам, после такой замены не смогут подключиться к базе данных. Для всех инстансов БД в кластере рекомендуется настраивать одинаковую доступность.

  • Сервис EC2Config для инстансов Windows в EC2

    Выполняется проверка работы сервиса EC2Config для инстансов Windows в EC2 и выдается предупреждение в случае, если агент EC2Config устарел или неправильно настроен. Использование последней версии EC2Config дает возможность оптимизации управления программным обеспечением подключений, например проверкой драйверов PV. Это позволяет поддерживать программное обеспечение на инстансах в актуальном, максимально безопасном и надежном состоянии.

    Примечание. Данная проверка отображает сведения об инстансах EC2 в следующих регионах: Сев. Вирджиния (us‑east‑1), Сев. Калифорния (us‑west‑1), Орегон (us‑west‑2), Ирландия (eu‑west‑1), Сан‑Паулу (sa‑east‑1), Токио (ap‑northeast‑1), Сингапур (ap‑southeast‑1) и Сидней (ap‑southeast‑2).

  • Версия драйвера PV для инстансов Windows в EC2

    Отказоустойчивость

    Повышение доступности и избыточности приложений на AWS за счет автомасштабирования, проверок работоспособности, использования нескольких зон доступности и возможностей резервного копирования.

    Проверяется версия драйвера PV для инстансов Windows в Amazon EC2 и выдается предупреждение, если драйвер устарел. Использование последних версий драйверов PV помогает оптимизировать производительность драйвера и свести к минимуму проблемы в процессе работы и риски безопасности.

    Примечание. Данная проверка отображает сведения об инстансах EC2 в следующих регионах: Сев. Вирджиния (us‑east‑1), Сев. Калифорния (us‑west‑1), Орегон (us‑west‑2), Ирландия (eu‑west‑1), Сан‑Паулу (sa‑east‑1), Токио (ap‑northeast‑1), Сингапур (ap‑southeast‑1) и Сидней (ap‑southeast‑2).

  • Драйверы ENA

    Проверяется версия драйвера AWS ENA для инстансов Windows в EC2 и выдается оповещение, если драйвер (a) устарел и больше не поддерживается, (b) устарел и в нем обнаружены ошибки или (c) может быть обновлен. Использование последней версии драйвера AWS ENA для Windows помогает оптимизировать производительность драйвера и свести к минимуму проблемы в процессе работы и риски безопасности.

    Примечание. Данная проверка отображает сведения об инстансах EC2 в следующих регионах: Сев. Вирджиния (us‑east‑1), Сев. Калифорния (us‑west‑1), Орегон (us‑west‑2), Ирландия (eu‑west‑1), Сан‑Паулу (sa‑east‑1), Токио (ap‑northeast‑1), Сингапур (ap‑southeast‑1) и Сидней (ap‑southeast‑2).

  • Драйвер NVMe

    Проверяется версия драйвера AWS NVMe для инстансов Windows в EC2 и выдается оповещение, если драйвер (a) устарел и больше не поддерживается, (b) устарел и в нем обнаружены ошибки или (c) может быть обновлен. Использование последней версии драйвера AWS NVMe для Windows помогает оптимизировать производительность драйвера и свести к минимуму проблемы в процессе работы и риски безопасности.

    Примечание. Данная проверка отображает сведения об инстансах EC2 в следующих регионах: Сев. Вирджиния (us‑east‑1), Сев. Калифорния (us‑west‑1), Орегон (us‑west‑2), Ирландия (eu‑west‑1), Сан‑Паулу (sa‑east‑1), Токио (ap‑northeast‑1), Сингапур (ap‑southeast‑1) и Сидней (ap‑southeast‑2).

Производительность

Повышение производительности используемых сервисов с помощью проверки лимитов сервисов, в ходе которой выясняется, использованы ли преимущества выделенной пропускной способности и есть ли чрезмерно загруженные инстансы.

  • Высокая нагрузка на инстансы Amazon EC2

    Выявляет инстансы Amazon Elastic Compute Cloud (Amazon EC2), которые работали в течение хотя бы какого‑то времени за последние 14 дней, и выдает предупреждение в случае, если суточная загрузка процессора была выше 90 % в течение четырех и более дней. Постоянный высокий уровень загрузки может указывать на оптимизированную и стабильную производительность, но может говорить и о том, что приложению не хватает ресурсов. Чтобы получить все данные о посуточной загрузке процессора, загрузите отчет об этой проверке.

  • Настройка подключения томов Amazon EBS с выделенными объемами IOPS (SSD)

    Проверяет наличие томов Amazon EBS с выделенными объемами IOPS (Provisioned IOPS), которые подключены к инстансам Amazon Elastic Compute Cloud (Amazon EC2), не оптимизированным для Amazon EBS. Тома Provisioned IOPS в Amazon Elastic Block Store (Amazon EBS) способны обеспечивать заявленную производительность только при подключении к инстансу, оптимизированному для работы с EBS.

  • Большое количество правил в группе безопасности EC2

    Проверяет группы безопасности Amazon Elastic Compute Cloud (EC2) на чрезмерное количество правил. Если в группе безопасности слишком много правил, производительность может снижаться.

    Подробнее см. на странице Группы безопасности Amazon EC2.

  • Большое количество правил группы безопасности EC2, применяемых к инстансу

    Проверяет наличие инстансов Amazon Elastic Compute Cloud (EC2) с большим количеством правил группы безопасности. Если в инстансе применяется слишком много правил, производительность может снижаться.

  • Наборы ресурсных записей о псевдонимах в Amazon Route 53

    Проверяет наличие наборов ресурсных записей, которые направляют запросы DNS в ресурсы AWS. Их можно заменить на псевдонимы наборов ресурсных записей. Псевдоним набора ресурсных записей представляет собой особый тип записи Amazon Route 53, который направляет DNS‑запросы на ресурс AWS (например, балансировщик нагрузки Elastic Load Balancing или корзину Amazon S3) или на другой набор ресурсных записей Route 53. При использовании псевдонимов наборов ресурсных записей Route 53 направляет DNS‑запросы на ресурсы AWS бесплатно.

  • Чрезмерно загруженные магнитные тома Amazon EBS

    Проверяет наличие магнитных томов Amazon Elastic Block Store (EBS), которые могут быть чрезмерно загружены и которым была бы полезна более эффективная конфигурация. Магнитный том предназначен для приложений с умеренными или эпизодически растущими требованиями к вводу‑выводу. Скорость операций ввода‑вывода (IOPS) не гарантируется. В среднем магнитные тома обеспечивают 100 IOPS, но способны при пиковых нагрузках выдавать несколько сотен IOPS. Для обеспечения стабильно высокого значения IOPS можно использовать тома с выделенным объемом IOPS (Provisioned IOPS) (SSD). Для отдельных пиковых значений IOPS можно использовать универсальные тома (SSD).

  • Оптимизация доставки контента через Amazon CloudFront

    Выявляет случаи, когда передача данных из корзин Amazon Simple Storage Service (Amazon S3) может быть ускорена с помощью сервиса глобальной доставки контента Amazon CloudFront. Если настроить для доставки контента Amazon CloudFront, запросы на контент будут автоматически направляться в ближайшее периферийное местоположение, где выполняется кэширование контента, поэтому его доставка пользователям с максимально возможной эффективностью. Высокое соотношение объема исходящих данных к объему данных, хранящихся в корзине, указывает на потенциальную выгоду от использования Amazon CloudFront.

  • Перенаправление заголовков и коэффициент попадания в кэш CloudFront

    Проверяет заголовки HTTP‑запросов, которые CloudFront получает в настоящее время от клиента и отправляет на сервер источника. Некоторые заголовки, например Date или User‑Agent, значительно снижают коэффициент попадания в кэш (долю запросов, в ответ на которые данные берутся из периферийного кэша CloudFront). Это увеличивает нагрузку на источник и снижает производительность, потому что CloudFront вынужден отправлять к источнику больше запросов.

  • Оптимизация пропускной способности между Amazon EC2 и EBS

    Проверяет наличие томов Amazon EBS, производительность которых может быть снижена из‑за ограничений пропускной способности инстансов Amazon EC2, к которым они подключены. Для оптимальной производительности требуется, чтобы максимальная пропускная способность инстанса EC2 была больше максимальной пропускной способности подключенных томов EBS.

  • Альтернативные доменные имена CloudFront

    Проверяет базы раздачи CloudFront на наличие альтернативных доменных имен с неправильными настройками DNS. Если в базу раздачи CloudFront включены альтернативные имена доменов, конфигурация DNS для доменов должна направлять DNS‑запросы в эту базу раздачи.

Лимиты сервисов

Выявляет случаи использования сервиса, превышающего 80 % от лимита сервиса. Значения берутся из снимков состояния, поэтому текущий уровень использования может быть другим. Для отображения изменений в данных о лимитах и ​​использовании может потребоваться до 24 часов.

В следующей таблице показаны ограничения, которые проверяет Trusted Advisor.

Сервис
Ограничения
Amazon Elastic Compute Cloud
(Amazon EC2)
Эластичные IP-адреса (EIP)
Ограничение на покупку зарезервированных инстансов (ежемесячное)
Инстансы по требованию
Amazon Elastic Block Store
(Amazon EBS)
Активные тома
Активные снимки
Хранение в универсальных томах (SSD) (ГиБ)
Выделенный объем IOPS
Хранение в выделенных томах (SSD) с выделенными IOPS (ГиБ)
Хранилище на магнитных томах (ГиБ)
Amazon Kinesis Streams Сегменты
Amazon Relational Database Service
(Amazon RDS)
Кластеры
Группы параметров кластера
Роли кластера
Инстансы БД
Группы параметров БД
Группы безопасности БД
Снимки БД для каждого пользователя
Подписки на события
Максимальное количество попыток авторизации для каждой группы безопасности
Группы параметров
Реплики чтения для каждой основной таблицы
Зарезервированные инстансы
Квота на хранение (ГиБ)
Группы подсетей
Подсети для каждой группы подсетей
Amazon Simple Email Service
(Amazon SES)
Ежедневная квота на отправку
Amazon Virtual Private Cloud
(Amazon VPC)
 
Эластичные IP-адреса (EIP)
Интернет-шлюзы
Облака VPC
Auto Scaling
групп Auto Scaling
Конфигурации запуска
AWS CloudFormation Стеки
Elastic Load Balancing (ELB)
Активные балансировщики нагрузки
Identity and Access Management (IAM)
Группы
Профили инстансов
Политики
Роли
Сертификаты серверов
Пользователи

Примечание. Данные по лимитам для инстансов EC2 по требованию доступны только для следующих регионов AWS:

Азия и Тихий океан (Токио) [ap-northeast-1];
Азия и Тихий океан (Сингапур) [ap-southeast-1];
Азия и Тихий океан (Сидней) [ap-southeast-2];
ЕС (Ирландия) [eu-west-1];
Южная Америка (Сан-Паулу) [sa-east-1];
Восток США (Сев. Вирджиния) [us-east-1];
Запад США (Сев. Калифорния) [us-west-1];
Запад США (Орегон) [us-west-2].

Примечание. Trusted Advisor в настоящее время не отслеживает лимиты для инстансов EC2 по требованию на уровне региона. По умолчанию лимит составляет 20 инстансов по требованию на каждый аккаунт в каждом регионе.

При достижении лимита на уровне региона запуск новых инстансов по требованию может оказаться невозможен, даже если Trusted Advisor показывает, что никакие лимиты для используемого типа инстанса в данном регионе не превышены. Дополнительные сведения о лимитах для инстансов EC2 по требованию см. в ответе на вопрос Сколько инстансов можно запускать в Amazon EC2?

Мы постоянно работаем над добавлением новых сервисов в проверку Service Limits. Ваши отзывы очень полезны для нас.