AWS इलास्टिक बीनस्टॉक के लिए स्वचालित रूप से सुरक्षा अद्यतन लागू करना


21

मैं शुरुआती दिनों से ही हेरोकू का प्रशंसक रहा हूं। लेकिन मुझे यह तथ्य पसंद है कि AWS इलास्टिक बीनस्टॉक आपको उदाहरणों की विशेषताओं पर अधिक नियंत्रण देता है। एक बात जो मुझे हेरोकू के बारे में पसंद है, वह यह है कि मैं एक ऐप को तैनात कर सकता हूं और इसे प्रबंधित करने की चिंता नहीं कर सकता। मुझे लगता है कि हरोकू सुनिश्चित कर रहा है कि सभी ओएस सुरक्षा अपडेट समय पर लागू हो। मुझे बस यह सुनिश्चित करने की ज़रूरत है कि मेरा ऐप सुरक्षित है।

बीनस्टॉक पर मेरे शुरुआती शोध से पता चलता है कि हालांकि यह आपके लिए इंस्टेंस को बनाता और कॉन्फ़िगर करता है, इसके बाद यह एक अधिक मैन्युअल प्रबंधन प्रक्रिया की ओर बढ़ता है। सुरक्षा अद्यतन स्वचालित रूप से इंस्टेंस पर लागू नहीं होंगे। ऐसा लगता है कि चिंता के दो क्षेत्र हैं:

  • नई एएमआई रिलीज़ - नए एएमआई रिलीज़ हिट के रूप में ऐसा लगता है कि हम नवीनतम (संभवतः सबसे सुरक्षित) चलाना चाहते हैं। लेकिन मेरा शोध यह बताता है कि आपको नवीनतम एएमआई संस्करण को देखने के लिए नए सेटअप को मैन्युअल रूप से लॉन्च करने की आवश्यकता है और फिर उस नए संस्करण का उपयोग करने के लिए एक नया वातावरण बनाएं । क्या आपके उदाहरणों को नए एएमआई रिलीज में घुमाने का एक बेहतर स्वचालित तरीका है?
  • रिलीज के बीच में संकुल के लिए सुरक्षा अद्यतन जारी किए जाएंगे। लगता है हम उन्हें भी अपग्रेड करना चाहते हैं। मेरे शोध से लगता है कि लोग यम अद्यतन चलाने के लिए लोगों को कमांड स्थापित करने का संकेत देते हैं। लेकिन चूंकि नए उदाहरण उपयोग के आधार पर बनाए / नष्ट किए जाते हैं, इसलिए ऐसा लगता है कि नए उदाहरणों में हमेशा अपडेट नहीं होगा (यानी इंस्टेंस क्रिएशन और पहले यम अपडेट के बीच का समय)। तो कभी-कभी आपके पास ऐसे उदाहरण होंगे जो पैच नहीं हैं। और आप भी नए AMI रिलीज लागू होने तक लगातार खुद को पैच करने के उदाहरण हैं। मेरी दूसरी चिंता यह है कि शायद ये सुरक्षा अपडेट अमेज़न की स्वयं की समीक्षा (जैसे एएमआई रिलीज़ करते हैं) के माध्यम से नहीं गए हैं और यह स्वचालित रूप से उन्हें अपडेट करने के लिए मेरे ऐप को तोड़ सकता है। मुझे पता है कि ड्रीमहोस्ट को एक बार 12 घंटे की छूट थी क्योंकि वे बिना किसी समीक्षा के पूरी तरह से स्वचालित रूप से डेबियन अपडेट लागू कर रहे थे। मैं यह सुनिश्चित करना चाहता हूं कि मेरे साथ भी ऐसा ही न हो।

तो मेरा सवाल यह है कि क्या अमेज़न हेरोकू की तरह पूरी तरह से प्रबंधित पैस पेश करने का एक तरीका प्रदान करता है? या क्या एडब्ल्यूएस इलास्टिक बीनस्टॉक वास्तव में सिर्फ एक स्थापित स्क्रिप्ट है और इसके बाद आप अपने दम पर हैं (निगरानी और तैनाती के उपकरण के अलावा अन्य जो वे प्रदान करते हैं)?


1
मैं इन उत्तरों को भी खोज रहा हूं, लेकिन ऐसा लगता है कि आपको अपडेट के लिए ध्यान रखना है। रीडराईट लेख के संबंध में क्या इलास्टिक बीनस्टाकल ग्रेड को पैस बनाता है? AWS इलास्टिक बीनस्टॉक PaaS नहीं है, बल्कि "IaaS के लिए कॉन्फ़िगरेशन सुविधा" है।
अलेक्जेंडर टूबेनकोर्ब

जवाबों:


18

सबसे पहले, स्पष्ट होने के लिए, कोई इलास्टिक बीनस्टॉक उस तरह से नहीं है जिस तरह से आप इसके बारे में सोच रहे हैं। यदि आप इसे टुकड़ों में तोड़ते हैं, तो यह वास्तव में वर्चुअलाइज्ड इंस्टेंस टेम्पलेट्स और कठपुतली या रसोइये की तरह आवेदन तैनाती स्वचालन की तरह है। इसके साथ ही आपको खौफ की लोड बैलेंसर सेवा, और क्लाउड वॉच मॉनिटरिंग की स्वचालित सुविधा मिलती है, जो आपको नए एप्लिकेशन सर्वर को स्टार्टअप करने या मैट्रिक्स के आधार पर मौजूदा लोगों को बंद करने की अनुमति देता है।

क्या यह महसूस करता है कि PaaS यह है कि मुख्य विक्रय बिंदु अनुप्रयोग परिनियोजन प्रणाली है जो आपका कोड लेती है और इसे आपके क्लस्टर के सभी एप्लिकेशन सर्वरों में कॉपी कर देती है।

PaaS के बारे में कुछ लोगों की शिकायतों में से एक यह है कि Paa विक्रेता आपके लिए आवेदन के माहौल के बारे में निर्णय लेता है। यह मुझे PaS के मूल्य प्रस्ताव की तरह लगता है: एक ग्राहक के रूप में आपको एप्लिकेशन कार्यक्षमता पर ध्यान केंद्रित करने और पासा विक्रेता को अन्य सभी विवरण छोड़ने के लिए मिलता है। आप बुनियादी ढांचे के प्रबंधन और सिस्टम प्रशासन प्रदान करने के लिए किसी और के लिए भुगतान कर रहे हैं। उस सरलता के लिए आप उन्हें एक प्रीमियम का भुगतान कर रहे हैं, जैसा कि हरोकू के मामले में है, जो अपने बुनियादी ढांचे को ec2 के शीर्ष पर भी चला रहा है, केवल एक तरह से जो आपके लिए पारदर्शी है।

अमेज़ॅन वास्तव में Ec2 के शीर्ष पर इलास्टिक बीनस्टॉक की पेशकश कर रहा है और उनके REST एपी है, और आपसे इसे छिपाने के लिए बहुत प्रयास नहीं कर रहा है। इसका कारण यह है कि वे आईएएएस के माध्यम से अपना पैसा बना रहे हैं, और ईबी सिर्फ उन पारिस्थितिक संसाधनों के समूह की स्थापना कर रहा है जो आप स्वयं को सेटअप कर सकते हैं, समय को देखते हुए और जानते हैं कि कैसे।

अब, एएमआई की बारीकियों के संदर्भ में, एएमआई फिर से एएमआई के कई ऐसे 2 टुकड़ों में से एक है जो ईबी की सुविधा के लिए नियोजित हैं। ईबी एएमआई के बारे में कुछ भी जादुई नहीं है - यह ईबी के साथ काम करने के लिए पूर्वनिर्मित एक अमेज़ॅन लाइनिक्स है। किसी भी अन्य एएमआई की तरह आप इसे ईसी 2 में शुरू कर सकते हैं, इसे ट्विक कर सकते हैं, और अपने चल रहे उदाहरण से एक नया अनुकूलित एएमआई प्राप्त कर सकते हैं। अमेज़ॅन लिनक्स मूल रूप से सेंटोस और फेडोरा के बीच एक क्रॉस है, जिसमें पैरावर्टलाइज़ेशन पैच और अमेज़ॅन के साथ पूर्व-कॉन्फ़िगर यम रेपो हैं।

जैसा कि आप शायद जानते हैं, अमेज़ॅन लिनक्स पहले से ही बूट समय पर सुरक्षा पैच स्थापित करने के लिए कॉन्फ़िगर किया गया है। हालांकि, पैचिंग के संबंध में रनिंग इंस्टेंसेस किसी भी अन्य सर्वर से अलग नहीं हैं। पैचिंग सेवा बाधित हो सकती है। यदि आप सुरक्षा पैचिंग के बारे में अत्यधिक चिंतित हैं, तो आप अपनी आवधिकता पर yum update --security को चलाने के लिए हमेशा कंटेनर कमांड और सेटअप क्रॉन का उपयोग कर सकते हैं।

आप EB कॉन्फ़िगरेशन को परिवर्तित करने के लिए EB API का उपयोग कर सकते हैं, या नए EB वातावरण के निर्माण को स्वचालित कर सकते हैं, आप इसे एक बार ऊपर और तैयार होने के बाद स्वैप कर सकते हैं, इसके बाद पुराने को बंद कर सकते हैं। यह यहाँ वर्णित है: http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/use-features.CNAMESwap.html

बाकी एडब्ल्यूएस की तरह, हर गैर सास सुविधा को प्रोग्राम करने और एक्सेस करने का एक तरीका है, इसलिए आपको पैचेड एएमआई बनाने से रोक नहीं है, जो तब नए ईबी वातावरण बनाने के लिए उपयोग किए जाते हैं, और उन्हें बाहर रोल करते हैं। ईबी आप पर कॉन्फ़िगरेशन बारीकियों को लागू करने के लिए नहीं जा रहा है, न ही यह आपको बुनियादी ढांचे को बनाए रखने के लिए एक सिस्टम प्रशासन समूह प्रदान कर रहा है।


2
जवाब के लिए धन्यवाद। आपकी राय में लगता है कि बीनस्टॉक PAAS नहीं है, इसलिए इसे एक मानने से रोकें। मुझे लगता है कि यह दुर्भाग्य से सही प्रतिक्रिया है। हालाँकि आप क्रॉन जॉब पर "यम अपडेट" जैसी चीजें कर सकते हैं या एपीआई के स्वचालित रूप से एएमआई के नए संस्करण में घूमने के लिए उपयोग कर सकते हैं, यह हमेशा वास्तविक पीएएएस की तुलना में एक उप-मानक समाधान होगा जो एक सुरक्षित प्रदान करने के लिए बनाया गया है पर्यावरण स्वचालित रूप से मैं आगे जाऊंगा और आपके उत्तर को सही मानूंगा क्योंकि यह प्रश्न कई महीनों से है और यह एकमात्र उत्तर है।
एरिक एंडरसन

एरिक, क्या आपने Opsworks को देखा है? यह थोड़ा अधिक कंसोल चालित है, और जब तक यह जरूरी नहीं कि जिन मुद्दों को आप सर्वर चलाने के आधार पर लाते हैं, उन्हें संबोधित करते हैं, तो यह बहुत अधिक PaaS जैसा महसूस करता है।
०२


1

सभी Beanstalk एप्लिकेशन और वातावरण EBEXTENSIONS फ़ाइलों के माध्यम से कॉन्फ़िगर किए जा सकते हैं जो आपके एप्लिकेशन परिनियोजन पैकेज (जैसे जावा एप्लिकेशन के लिए WAR फ़ाइल) के साथ पैक किए जाते हैं, आपके एप्लिकेशन, कंटेनर, OS आदि के किसी भी भाग को अपडेट करने या कॉन्फ़िगर करने के लिए YAML- आधारित कॉन्फ़िगरेशन के साथ Beanstalk है। क्योंकि यह एक मंच है जो आपको अंतर्निहित IaaS के बारे में चिंता किए बिना अनुप्रयोगों को तैनात करने की अनुमति देता है। दिन के अंत में सभी पीएएस प्रदाता स्वचालन के कुछ रूप के माध्यम से अंतर्निहित आईएएएस को बाधित करते हैं। हालाँकि, यह कंप्यूटर विज्ञान है जिसके बारे में हम बात कर रहे हैं कि सभी अनुप्रयोगों के लिए एक भी इष्टतम स्थिति नहीं है और पा के तहत आईएएएस को ट्विस्ट करने की क्षमता के बिना, आप पाएएस सेवा प्रदाता की दया पर आपको आश्वस्त करने के लिए हैं कि आपके आवेदन सुचारू रूप से चलते हैं। तेजी से और सुरक्षित रूप से।

हरोकू एक अलग प्रबंधन परत का उपयोग करके AWS के शीर्ष पर चलता है। हालांकि यह गधे में दर्द बन जाता है जब आपको अपने आवेदन को सुरक्षित करने जैसी चीजें करनी होती हैं। हालांकि वे अपने समाधान को कुशलतापूर्वक प्रबंधित करने और सुरक्षा आदि को बनाए रखने के लिए सर्वोत्तम प्रयास करते हैं, लेकिन वे दिन के अंत में आपके ऐप में जोखिम और जोखिम के परिणाम को नहीं ले सकते। वे अपनी सेवाओं को यथासंभव कुकी-कटर बनाना चाहते हैं।

मंच पर अंतर्निहित IaaS को ट्विस्ट करने की क्षमता बीनस्टॉक IMO की ताकत और अपील है।


मुझे नहीं लगता कि यह वास्तव में सवाल का जवाब देता है।
ड्रू खोरी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.