Kategorien
Allgemein

5 Prinzipien, die man sich als AWS Nutzer aneignen sollte

Mit der Nutzung von Cloud Diensten lagert man zuvor selbstverwaltete Infrastruktur und Dienste aus. Die Daten liegen auf fremden Servern und diese Server werden mit anderen Menschen weltweit geteilt. Aus diesem Grund möchte ich fünf Prinzipien und Angewohnheiten vorstellen, die sich AWS Nutzer (und auch Nutzer andere Anbieter) aneignen sollten.

1. Encrypt everything!

Die erste und wichtigste Regel, die sich ein AWS Nutzer zu Herzen nehmen sollte ist, dass alles verschlüsselt werden sollte. Erstens macht es AWS deutlich einfacher, als eine selbstverwaltete Infrastruktur und Software. Mit einem einfachen Klick, einer aktivierten Checkbox oder einem innerhalb von Sekunden bereitgestellten Zertifikat kann die Verschlüsselung aktiviert werden. Dies gilt sowohl für Datenverschlüsselung („at-Rest“) als auch für Verbindungs-/Übertragungsverschlüsselung („in-Transit“).

In meiner gesamten AWS Nutzung gab es bisher nur einen Fall, in dem eine Verschlüsselung nur eingeschränkt genutzt werden konnte: Export Tasks bei CloudWatch Logs. CloudWatch Log Streams können nach S3 exportiert werden. Dies ist jedoch nur möglich, wenn der S3 Bucket nicht mit einem KMS Key verschlüsselt ist. Dies wurde mir vom AWS Support bestätigt und ist zum aktuellen Zeitpunkt (November 2020) immer noch nicht möglich. Ein Workaround ist die Nutzung des Standard Encryption Keys von AWS für den entsprechenden S3 Bucket.

2. Automate everything!

Die nächsten Angewohnheiten sind weniger aus der Sicherheitsperspektive sondern eher aus Sicht des Betriebs und des Zeitaufwandes.

Bei AWS können alle Schritte, die manuell getätigt werden automatisiert werden. AWS oder die AWS Community bieten hierzu Entwicklungsbibliotheken in verschiedensten Programmiersprachen an. Es war noch nie so einfach auch komplexere Abläufe zu automatisieren.

Mit Lambda wird ein Service zur Verfügung gestellt, mit welchem auch fehlende Funktionalitäten entweder chronologisch oder auch eventbasiert nachgerüstet werden können. In Kombination mit den AWS SDKs ist dies ein sehr mächtiges Werkzeug, welches auch genutzt werden möchte.

3. Use Managed Services!

AWS hat viele Services aufgrund von Anforderungen der Community entwickelt. Viele Services vereinfachen den Betrieb von komplexen Systemen. Es macht in fast allen Fällen Sinn eine RDS Datenbank zu nutzen, anstatt eigene Datenbankserver auf EC2 zu betreiben.

Auch wenn Managed Services im direkten Vergleich höhere Infrastrukturkosten verursachen, sparen diese jedoch enorm viel Aufwand. Dies schlägt sich in geringeren Opportunitätskosten nieder.

Einige mögen dem entgegenhalten, dass es zu einer Abhängigkeit – sogenannter „Vendor Lock-In“ – kommen kann. Dies ist eine berechtigte Angst. Jedoch ist die bei jedem Outsourcing der Fall und es muss dem Anbieter ein gewisser Vertrauensvorschuss entgegen gebracht werden. Vendor Lock-In sollte auch als Chance gesehen werden, denn häufig bedeutet dies, dass Dienste gut miteinander abgestimmt sind (vgl. Apple Produkte). Dennoch sollte das Risiko erkannt und mögliche Wechsel-/Exitstrategien definiert werden.

4. Monitor everything!

Bei dem Betrieb einer Website oder der Bereitstellung von Software ist es essentiell zu wissen, ob dieser Service funktionstüchtig ist bzw. ob Kunden ihn ohne Einschränkungen nutzen können.

AWS bietet mit CloudWatch eine unkomplizierte rudimentäre Lösung für die Überwachung von Ressourcen an. Ich empfehle meinen Kunden immer mit der Sicht des Endkunden zu beginnen, also einem Monitoring, welches die Frage beantwortet: „Kann mein Kunde die Webseite erreichen.“ Dies ist beispielsweise mit CloudWatch Canaries realisierbar. Hierbei wird regelmäßig geprüft, ob eine Seite oder ein Service verfügbar ist. Ist dies nicht der Fall kann über SNS Benachrichtigungen darauf reagiert werden und entsprechende manuelle oder automatisierte Maßnahmen können folgen. Dieses Vorgehen ist meiner Meinung nach das absolute Minimum.

Jedes weitere Monitoring zahlt in die „Mean Time To Recover“ ein und verringert die Wiederherstellungszeit. Jeder AWS Nutzer sollte sich angewöhnen zumindest ein grundlegendes Monitoring zu konfigurieren.

Ist dies geschehen kann direkt Schritt 2 (Automatisierung) folgen und z.B. ein Service oder Server Restart bzw. andere passende Maßnahmen durchgeführt werden.

5. Continous Optimization

Die einmal errichtete Infrastruktur ist nie final. Es kann immer an der Stabilität, Resilienz, Skalierbarkeit, Sicherheit, Geschwindigkeit usw. geschraubt werden. Auf ein Lift & Shift Projekt folgt unweigerlich ein Optimierunsprojekt, welches die Infrastruktur in Frage stellt und Verbesserungspotenzial entdeckt und realisiert.

Somit sollte sich ein jeder AWS Nutzer nicht mit dem Status Quo zufrieden geben. Da AWS auch stetig im Wandel ist und neue Funktionalitäten und Services bereitgestellt werden, kann das Optimum von gestern die Altlast von heute sein.

Kategorien
Kostenoptimierung

3 ungewöhnliche Wege zur reduzierten AWS Rechnung

In diesem Beitrag möchte ich Ihnen drei ungewöhnliche Wege aufzeigen, um die AWS Rechnung mit der Unterstützung von AWS Gutschriften und kostenlosen Angeboten zu reduzieren.

Bis Ende 2020: Kostenlose t4g.micro Instanz

AWS hat bereits Mitte September die neue Instanzklasse t4g.* mit hausgemachtne Graviton Prozessoren vorgestellt. Damit Kunden angeregt werden diese zu testen bietet AWS jedem Kunden eine kostenlose t4g.micro Instanz bis Ende des Jahres an.

Dieses Angebot kann beispielsweise genutzt werden, um kleine Entwicklungsserver oder Bastion Hosts, die derzeit auf t3.micro oder t3.nano Instanzen laufen, abzulösen.

Die Umsetzung dieser Änderung ist eine Sache von wenigen Klicks und von geringem Risiko. Mehr Informationen hierzu können Sie bei mir erfragen oder auf der AWS Website finden.

AWS Activate

Unternehmen können sich für das AWS Activate for Startups Programm bewerben und somit nach ca.10 Tagen Prüfzeit eine Gutschrift von $1000 auf die meisten AWS Services (ausgenommen Route53 und Support) sowie $350 Gutschrift für den AWS Developer Support Plan erhalten. Voraussetzung hierfür ist ein LinkedIn Profil, eine Unternehmenswebsite und ein keine finanzielle Unterstützung durch definierte Partner (z.B. Sequoia, Brex u.a.).

StartUps, in die bereits von einem AWS Activate Provider investiert wurde, können sogar bis zu $100.000 an Gutschrift und $10.000 an Business Support erhalten.

Jedes Unternehmen, welches jünger als 10 Jahre ist kann sich hierfür bewerben. Mehr Informationen befinden sich auf der AWS Website.

AWS Support

Für alle Großkunden von AWS, die den Enterprise Support gebucht haben, wird ein Technischer Account Manager zur Seite gestellt. Dieser unterstützt in strategischen Fragen. Plant Ihr Unternehmen nun die Ausweitung der AWS Nutzung, indem zum Beispiel ein neuer Geschäftsbereich eröffnet wird oder ein neues Produkt entwickelt wird, kann man proaktiv auf den Account Manager zugehen und nach Unterstützung seitens AWS fragen. Häufig ist AWS bereit neue Vorhaben mit Gutschriften zu unterstützen.


Dies waren drei Wege, um Gutschriften zu erhalten oder Kosten einzusparen, ohne grundlegende Veränderungen vornehmen zu müssen. Falls Sie regelmäßig Kosten einsparen möchten, unterstütze ich Sie gerne bei diesem Vorhaben.