AWS Trusted Advisor – инструмент от AWS, позволяющий проверить аккаунт и используемые в нём ресурсы на предмет оптимизации расходов, производительности, безопасности и отказоустойчивости.
При этом доступные вам рекомендации зависят от типа Support Plan вашего аккаунта. К счастью, у нас Premium, так что есть возможность показать все детали Trusted Advisor.
Общая документация тут – Проверки AWS Trusted Advisor на основе рекомендаций, и документация по категориям и проверкам в каждой из них – AWS Trusted Advisor check reference.
Приступим.
Переходим в AWS Console > Trusted Adisor, попадаем в дашборд, где собраны основные рекомендации:
Тут:
- Action recommended: Trusted Advisor считает, что требуется вмешательство и настройка какого-то сервиса. например, при обнаружении IAM, которая требует немедленного фикса
- Investigation recommended: Trusted Advisor предполагает, что требуется вмешательство и настройка какого-то сервиса, например – достижение квоты каким-то ресурсом
- Excluded items: исключения из проверок
А с левой стороны видим доступные категории проверок – оптимизация расходов, производительность, безопасность и так далее.
Содержание
Cost optimization
Начнём с Cost optimization, как наиболее интересная сейчас для тема.
Переходим в категорию, и видим список рекомендаций:
К примеру, раскроем рекомендации по Amazon RDS Idle DB Instances:
И видим пачку простаивающих без нагрузки и даже без подключений серверов RDS.
Откроем один их них – проверим что там:
В самом деле – сервер простаивает, а значит есть повод его или удалить, или уменьшить тип инстанса.
Аналогичная проверка для EC2:
Performance
Как понятно из названия – тут собраны рекомендации по производительности сервисов:
И рассмотрим отсюда например Large Number of EC2 Security Group Rules Applied to an Instance – вполне себе реальная проблема:
Security
Посмотрим, что Trusted Advisor умеет в Security:
Ожидаемо – предупреждение о том, что у нас не ротейтятся IAM-ключи, и это проблема.
Также, весьма занимательным оказался блок Security Groups – Unrestricted Access:
И в самом деле – в SecurityGroup (SG) открыт полный доступ в мир:
Как найти ресурс, к которому подключена AWS SecurityGroup?
Копируем ID группы, и переходим в Network Interfaces, где по SG ID находим интерфейс:
Справа видим Instance ID, к которому подключен ENI (AWS Elastic network Interface) и, соответственно, сама SecurityGroup.
В случае ошибки “No matching network interfaces found” – группа не подключена ни к какому интефрейсу, и её можно удалять.
Полезным может оказаться и проверка сообщений про LoadBalancer Listeners, которые не используют SSL:
Fault tolerance
Тут, ожидаемо, результаты проверок на отказоустойчивость:
К примеру, у нас есть сервера баз данных, которые располагаются в одной зоне доступности, о чём и предупреждает Trusted Advisor:
Service limits
И последняя категория тут – Service limits, где сообщается о том, что какой-либо из сервисов уже достиг лимита, или скоро его достигнет:
В случае с VPC – теперь мы предупрежены, что в us-east-1 мы не сможем создать новые VPC:
Preferences
В Настройках можно настроить отправку писем с результатами последних проверок:
Кроме того, можно настроить алерты CloudWatch, и отправлять сообщения в, например, Slack – см. продолжение в AWS: Trusted Advisor и CloudWatch – настройка алертов.
