Workflow com execução de scripts e EC2 Command
Implementamos a tarefa de execução de scripts no agendador.
Por enquanto (em breve mais novidades!), é possível executar 2 tipos de scripts:
- Chamada HTTP/HTTPS. Encapsule um script por meio de uma chamada HTTP. O Cloud8 irá aguardar 60 segundos e enviar a resposta desta chamada. Caso o retorno do status seja diferente de 2xx, considera-se erro e você será notificado. Para proteger este webservice, sugerimos algo como passar um código na chamada e checar dentro do script. Ex: http://site/meuscript?cod=abcxyz
- EC2 Command. É a forma recomendada pelo AWS para executar scripts. Não é necessário passar credenciais (senhas ou certificados digitais). Deve-se instalar um aplicativo do próprio AWS se for Linux, ter um IAM Instance Profile associado e uma saída para a internet. Clique no link para os requisitos completos.
Lembrando que a execução de scripts, vale tanto para Linux e Windows. No caso do EC2 Command, o AWS já possui uma série de comandos pré cadastrados (shell, powershell) que você já pode usar.
Sugestões de uso:
- Executar scripts de manutenção, reduzindo necessidade de acesso e documentando as alterações na auditoria: aplicação de patches, checagem de segurança, execução de recipes, relatórios, instalação de aplicativos, etc.
- Agendamentos: após iniciar ou fazer upgrade/downgrade de um servidor, executar script para checar se está tudo OK – banco subiu? espaço em disco OK? serviços?
- no ambiente de desenvolvimento, integrar o início do servidor com a execução de um script que copie o banco de produção e remova campos críticos como senhas, dados pessoais, etc;
antes de desligar, fazer um shutdown ‘limpo’, parando serviços, banco de dados, notificando outros aplicativos, etc; - antes de fazer backup, dar um ‘freeze’ nos filesystems, fazer o backup e depois fazer um ‘unfreeze’ – melhora a consistência dos snapshots;
- manutenção mensal/semanal de aplicação de patches de segurança;
- manipular algum serviço AWS como copiar arquivos para o S3, etc
Segurança: monitoração de IAM Instance Profile
O Cloud8 está sempre preocupado em melhorar a segurança do seu cloud. Acrescentamos à monitoração do IAM mais um componente: IAM Instance Profile.
O IAM Instance Profile é uma espécie de ‘Role’ que está diretamente atrelado a servidores. Quando cria um servidor, pode associá-lo a um Instance Profile. Desta forma, este servidor incorpora as permissões do Role e não é necessário ter credenciais locais hardcoded. Como melhor prática, é recomendável criar servidores associados a um Instance Profile – mesmo que não tenha nenhuma permissão. No futuro, se precisar executar scripts neste servidor, pode utilizar o EC2 Command que é a maneira melhor indicada!
Também já mostramos na lista de servidores aqueles que possuem um Instance Profile e os detalhes das policies no relatório de IAMs!
Por que esta monitoração é importante?
Se você possuir servidores associados a um Instance Profile (lembrando que BeanStalk e OpsWorks automaticamente são atrelados a um) e eles foram comprometidos de alguma forma, o hacker/(ex-)funcionário pode executar chamadas das APIs do AWS sem precisar de chaves. Dependendo das permissões que tiver, isto pode colocar em risco a sua infraestrutura. É importante saber se as permissões foram mudadas e se os servidores estão com permissões ‘altas demais’ – geralmente se coloca policies administrativas com baixo impacto (como executar EC2 Command pré cadastrados).
Suporte a nova região da Índia
Como de praxe, automaticamente suportamos a nova região da Índia/Mumbai. Incluimos todas as funcionalidades já presentes nas outras regiões!
Mais novidades
Continuamos a implementar novas melhorias em todas as funcionalidades do Cloud8.
- Alerta de infraestrutura: incluimos a data de início do servidor – melhora o diagnóstico para saber se pode ser um falso positivo e o servidor acabou de ser iniciado ou se é um alerta real de um servidor que está a bastante tempo ligado;
- Agendador: melhoria na usabilidade de criação das tarefas do workflow;
- RDS Aurora: tratamento de mais cenários de alerta (ex: finalização de failover);
- BUG: melhoria nas checagens das credenciais customizadas para enviar email no cadastro de logotipo;
- BUG: exportação dos gráficos de custos e uso em CSV podia trazer o uso do próxima dia e não o uso do dia atual;
Dúvidas, críticas, sugestões? Entre em contato!
Equipe Cloud8
Conheça o Cloud8! Acesse nossa calculadora e simule o seu cenário, ou crie sua conta para um teste de 15 dias sem compromisso clicando aqui.