KUNGFU TECH

0
0
Lập trình
Flame Kris
Flame Krisbacodekiller

Tạo AMI Vàng Hoàn Hảo cho Nhóm Tự Động Mở Rộng trên AWS

Đăng vào 6 tháng trước

• 4 phút đọc

Chủ đề:

#aws#devops#cloud#devsecops

Giới Thiệu

Nếu bạn đã từng làm việc với Nhóm Tự Động Mở Rộng (Auto Scaling Groups - ASGs) trên AWS, bạn sẽ hiểu sự kỳ diệu mà chúng mang lại: các phiên bản được khởi chạy, phục hồi và mở rộng tự động dựa trên nhu cầu. Tuy nhiên, tốc độ và độ tin cậy của quá trình mở rộng thường phụ thuộc vào chất lượng của AMI (Amazon Machine Image) đứng sau nó.

Đây chính là lúc AMI vàng chứng tỏ giá trị của nó: những hình ảnh tin cậy, được cấu hình sẵn cho sản xuất. Thay vì khởi chạy một phiên bản thô và cài đặt mọi thứ trên đường đi, bạn sẽ khởi động các máy chủ đã được chuẩn bị sẵn.

Vậy làm thế nào để bạn tạo ra một AMI thực sự xứng đáng với tên gọi vàng? Hãy cùng tìm hiểu.

Bắt Đầu Với Hình Ảnh Hệ Điều Hành 🖥️

Nền tảng là điều quan trọng. Hãy chọn một hình ảnh cơ sở nhẹ nhàng, an toàn và được hỗ trợ tốt - Amazon Linux 2, Ubuntu LTS hoặc RHEL thường là lựa chọn phổ biến. Đảm bảo nó được cập nhật với các bản vá mới nhất trước khi bạn tạo phiên bản của riêng mình. Không ai muốn mở rộng các máy chủ dễ bị tổn thương.

Cài Đặt Phần Mềm & Phụ Thuộc 📦

Những gì vào trong hình ảnh phụ thuộc vào triết lý của bạn:

  • Cài đặt sẵn phần mềm cần thiết và cấu hình (ví dụ: Nginx hoặc Apache, PHP, Node.js, Python, Java, v.v.).
  • Cài đặt các tác nhân giám sát/ghi nhật ký (ví dụ: CloudWatch agent, SSM agent, AWS CodeDeploy agent).
  • Cài đặt AWS CLI.

Mã Ứng Dụng / Các Tài Nguyên 👨‍💻

Quyết định xem có nên tích hợp mã ứng dụng vào AMI hay lấy nó một cách động:

  • Mô hình bất biến: Tích hợp mã ứng dụng + phụ thuộc vào AMI.
  • Mô hình có thể thay đổi: Sử dụng UserData hoặc CodeDeploy để lấy phiên bản mới nhất trong quá trình khởi động.

Tăng Cường Bảo Mật và Dọn Dẹp 🔐

Bảo mật không phải là tùy chọn. Trước khi bạn biến một phiên bản thành AMI:

  • Vô hiệu hóa đăng nhập SSH root.
  • Xóa người dùng và gói không cần thiết.
  • Cấu hình quy tắc tường lửa thích hợp (nếu cần).
  • Áp dụng các tiêu chuẩn CIS/benchmark (nếu yêu cầu tuân thủ).
  • Dọn dẹp các tệp tạm thời và nhật ký cũ.
  • Xóa các khóa SSH host hiện có (/etc/ssh/ssh_host_*) để tránh trùng lặp. Điều này đảm bảo rằng mỗi phiên bản cảm thấy độc đáo, không phải là một bản sao với những vấn đề bảo mật.
  • Sử dụng cloud-init hoặc systemd để tạo các khóa mới khi khởi động.
  • Đảm bảo việc kết nối EC2 instance / đăng nhập bằng key-pair hoạt động như mong đợi.
bash Copy 
# Dọn dẹp trước khi tạo AMI
sudo rm -f /etc/ssh/ssh_host_*
# Dọn dẹp bộ nhớ cache apt
sudo apt clean
sudo rm -rf /var/lib/apt/lists/*
# Xóa lịch sử bash
history -c

Đừng Quên Cloud-Init 🧠

Có hai cách để sử dụng kịch bản dưới đây để đảm bảo rằng các khóa SSH host duy nhất được tạo ra cho mỗi phiên bản mới.

  1. Khi khởi động EC2 qua AWS Console, đưa kịch bản cloud-init vào User data.
  2. Khi làm việc với thiết lập nhóm tự động mở rộng, chúng ta có thể chỉ định kịch bản tại user data khi tạo Launch Template (LT) hoặc Launch Configuration (LC) cho ASG.
yaml Copy 
#cloud-config
ssh_deletekeys: true
ssh_genkeytypes:
  - rsa
  - ecdsa
  - ed25519
runcmd:
  - systemctl restart ssh

Lưu ý: Nếu chúng ta xóa các khóa SSH host hiện có thì chúng ta phải sử dụng kịch bản cloud-init, nếu không, chúng ta không thể SSH vào các phiên bản EC2 mới.

Tinh Chỉnh Hiệu Suất 🛠️

  • Đặt các profile tuned hoặc tối ưu sysctl (nếu cần).
  • Cấu hình các cài đặt máy chủ web/ứng dụng (PHP-FPM, Nginx, JVM heap, v.v.).

Kiểm Tra và Xác Thực 🕵️

Đừng bao giờ tin vào một hình ảnh chưa được kiểm tra. Khởi động một phiên bản từ AMI mới của bạn và kiểm tra qua danh sách:

  • Đảm bảo SSH/SSM hoạt động.
  • Đảm bảo tất cả các dịch vụ khởi động tự động.
  • Đảm bảo ứng dụng/tác nhân khởi động đúng cách.
  • Đảm bảo tác nhân giám sát báo cáo dữ liệu.

Chỉ sau khi vượt qua những kiểm tra này, bạn mới có thể coi nó là “vàng”.

Kết Luận 🎯

Các AMI vàng có thể mất một chút thời gian và công sức để thiết lập, nhưng thành quả là rất lớn. Với một hình ảnh được tạo ra tốt, các Nhóm Tự Động Mở Rộng của bạn có thể khởi động nhanh hơn, duy trì tính nhất quán và giảm thiểu rủi ro trong những đợt lưu lượng truy cập cao. Thay vì lãng phí thời gian để cấu hình các máy chủ trên đường đi, bạn đang cho cơ sở hạ tầng của mình một khởi đầu thuận lợi với một hình ảnh đã được bảo mật, cập nhật và sẵn sàng cho sản xuất.

Tóm lại, một AMI vàng vững chắc không chỉ là một sự tiện lợi, mà còn là nền tảng của cơ sở hạ tầng đáng tin cậy, có thể mở rộng trên AWS. Tạo nó một lần, kiểm tra kỹ lưỡng và để các Nhóm Tự Động Mở Rộng làm phần còn lại.

Sử dụng Packer hoặc AWS Image Builder để tự động hóa việc tạo AMI. Điều này giúp hình ảnh của bạn có thể tái tạo và giảm thiểu sai sót của con người.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào