/blog

Workflow com execução de script e EC2 Command, IAM Instance Profile, India

Workflow com execução de scripts e EC2 Command

Implementamos a tarefa de execução de scripts no agendador.

ec2command-1

Por enquanto (em breve mais novidades!), é possível executar 2 tipos de scripts:

  • Chamada HTTP/HTTPS. Encapsule um script por meio de uma chamada HTTP. O Cloud8 irá aguardar 60 segundos e enviar a resposta desta chamada. Caso o retorno do status seja diferente de 2xx, considera-se erro e você será notificado. Para proteger este webservice, sugerimos algo como passar um código na chamada e checar dentro do script. Ex: http://site/meuscript?cod=abcxyz
  • EC2 Command. É a forma recomendada pelo AWS para executar scripts. Não é necessário passar credenciais (senhas ou certificados digitais). Deve-se instalar um aplicativo do próprio AWS se for Linux, ter um IAM Instance Profile associado e uma saída para a internet. Clique no link para os requisitos completos.

Lembrando que a execução de scripts, vale tanto para Linux e Windows. No caso do EC2 Command, o AWS já possui uma série de comandos pré cadastrados (shell, powershell) que você já pode usar.

Sugestões de uso:

  • Executar scripts de manutenção, reduzindo necessidade de acesso e documentando as alterações na auditoria: aplicação de patches, checagem de segurança, execução de recipes, relatórios, instalação de aplicativos, etc.
  • Agendamentos: após iniciar ou fazer upgrade/downgrade de um servidor, executar script para checar se está tudo OK – banco subiu? espaço em disco OK? serviços?
  • no ambiente de desenvolvimento, integrar o início do servidor com a execução de um script que copie o banco de produção e remova campos críticos como senhas, dados pessoais, etc;
    antes de desligar, fazer um shutdown ‘limpo’, parando serviços, banco de dados, notificando outros aplicativos, etc;
  • antes de fazer backup, dar um ‘freeze’ nos filesystems, fazer o backup e depois fazer um ‘unfreeze’ – melhora a consistência dos snapshots;
  • manutenção mensal/semanal de aplicação de patches de segurança;
  • manipular algum serviço AWS como copiar arquivos para o S3, etc

Segurança: monitoração de IAM Instance Profile

O Cloud8 está sempre preocupado em melhorar a segurança do seu cloud. Acrescentamos à monitoração do IAM mais um componente: IAM Instance Profile.

O IAM Instance Profile é uma espécie de ‘Role’ que está diretamente atrelado a servidores. Quando cria um servidor, pode associá-lo a um Instance Profile. Desta forma, este servidor incorpora as permissões do Role e não é necessário ter credenciais locais hardcoded. Como melhor prática, é recomendável criar servidores associados a um Instance Profile – mesmo que não tenha nenhuma permissão. No futuro, se precisar executar scripts neste servidor, pode utilizar o EC2 Command que é a maneira melhor indicada!

Também já mostramos na lista de servidores aqueles que possuem um Instance Profile e os detalhes das policies no relatório de IAMs!

Por que esta monitoração é importante?

Se você possuir servidores associados a um Instance Profile (lembrando que BeanStalk e OpsWorks automaticamente são atrelados a um) e eles foram comprometidos de alguma forma, o hacker/(ex-)funcionário pode executar chamadas das APIs do AWS sem precisar de chaves. Dependendo das permissões que tiver, isto pode colocar em risco a sua infraestrutura. É importante saber se as permissões foram mudadas e se os servidores estão com permissões ‘altas demais’ – geralmente se coloca policies administrativas com baixo impacto (como executar EC2 Command pré cadastrados).

Suporte a nova região da Índia

Como de praxe, automaticamente suportamos a nova região da Índia/Mumbai. Incluimos todas as funcionalidades já presentes nas outras regiões!

Mais novidades

Continuamos a implementar novas melhorias em todas as funcionalidades do Cloud8.

  • Alerta de infraestrutura: incluimos a data de início do servidor – melhora o diagnóstico para saber se pode ser um falso positivo e o servidor acabou de ser iniciado ou se é um alerta real de um servidor que está a bastante tempo ligado;
  • Agendador: melhoria na usabilidade de criação das tarefas do workflow;
  • RDS Aurora: tratamento de mais cenários de alerta (ex: finalização de failover);
  • BUG: melhoria nas checagens das credenciais customizadas para enviar email no cadastro de logotipo;
  • BUG: exportação dos gráficos de custos e uso em CSV podia trazer o uso do próxima dia e não o uso do dia atual;

Dúvidas, críticas, sugestões? Entre em contato!

Equipe Cloud8

 

Conheça o Cloud8! Acesse nossa calculadora e simule o seu cenário, ou crie sua conta para um teste de 15 dias sem compromisso clicando aqui.

Comentários