Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden Sie Zonal Shift und Zonal Autoshift, um Anwendungen in ARC wiederherzustellen
In diesem Abschnitt wird erklärt, wie Sie die Funktionen von Amazon Application Recovery Controller (ARC) nutzen können, um Ihre AWS Ressource nach einem Problem in einer beeinträchtigten Availability Zone (AZ) zuverlässig wiederherzustellen. Zonal Shift und Zonal Autoshift verlagern den Datenverkehr für eine unterstützte Ressource vorübergehend von einer beeinträchtigten AZ weg, wodurch die Zeit bis zur Wiederherstellung Ihrer Anwendungen reduziert wird.
Der Hauptunterschied zwischen Zonal Shift und Zonal Autoshift besteht darin, dass es sich bei der einen um eine manuelle Verkehrsverlagerung handelt, die Sie kontrollieren, und bei der anderen wird der Verkehr automatisch in Ihrem Namen von einer Beeinträchtigung weggeleitet.
+ Mit Zonal Shift verlagern Sie den Verkehr für eine unterstützte Ressource manuell in eine Availability Zone und von AWS-Region dieser weg.
+ Mit Zonal Autoshift wird der Datenverkehr für eine unterstützte Ressource automatisch von einer beeinträchtigten AZ wegverlagert und zu einer AZs fehlerfreien Ressource in derselben Region umgeleitet. AWS
In den folgenden Themen werden die Funktionen Zonal Shift und Zonal Autoshift sowie deren Verwendung beschrieben.
**Topics**
+ [Zonenverschiebung in ARC](arc-zonal-shift.md)
+ [Automatische Zonenverschiebung in ARC](arc-zonal-autoshift.md)
# Zonenverschiebung in ARC
Mit Amazon Application Recovery Controller (ARC) *Zonal Shift* können Sie den Datenverkehr für eine unterstützte Ressource von einer beeinträchtigten Availability Zone (AZ) in eine fehlerfreie AWS-Region Ressource AZs in derselben Region verlagern. Durch die Verlagerung des Datenverkehrs Ihrer Ressourcen von einer beeinträchtigten AZ werden Dauer und Schwere der Auswirkungen reduziert, die durch Stromausfälle oder Hardware- oder Softwareprobleme in einer AZ verursacht werden. Dies trägt dazu bei, Probleme zu minimieren und Ihre Anwendung schnell wiederherzustellen. Sie können sich beispielsweise für eine Verlagerung des Datenverkehrs entscheiden, weil eine fehlerhafte Bereitstellung zu Latenzproblemen führt oder weil die Availability Zone beeinträchtigt ist.
Sie müssen Ressourcen aktivieren, um Zonal Shift nutzen zu können. Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
Bevor Sie mit einer Zonenverschiebung beginnen, müssen Sie Ihre Anwendung vorab skalieren und sicherstellen, dass Sie über ausreichende Kapazitäten verfügen, um den Datenverkehr von einer Availability Zone wegzuleiten. Nach der Vorskalierung können Sie die Availability Zone auswählen, von der Sie wegwechseln möchten, und die Ressource, für die der Verkehr weggeleitet werden soll, und dann die Zonenverschiebung starten. Sie können die Schicht jederzeit abbrechen, sodass der Verkehr wieder zur ursprünglichen Availability Zone zurückkehrt. Weitere Informationen finden Sie unter [Bewährte Methoden für Zonenverschiebungen in ARC](route53-arc-best-practices.zonal-shifts.md).
Bei allen Zonenverschiebungen handelt es sich um vorübergehende Abhilfemaßnahmen. Sie legen einen anfänglichen Ablaufzeitpunkt fest, wenn Sie eine Zonenverschiebung starten, von einer Minute bis zu drei Tagen (72 Stunden). Diese Dauer können Sie verlängern, wenn Sie die Verschiebung des Datenverkehrs fortsetzen müssen.
In bestimmten Szenarien verlagert die Zonenverschiebung den Verkehr nicht von der AZ weg. Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
# Funktionsweise einer Zonenverschiebung
Wenn Sie eine Zonenverschiebung für eine unterstützte Ressource starten, wird der Datenverkehr für die Ressource von der von Ihnen angegebenen Availability Zone (AZ) wegbewegt. Die von ARC unterstützten Ressourcen bieten Integrationen, die die angegebene AZ als fehlerhaft kennzeichnen, was dazu führt, dass der Verkehr von der beeinträchtigten AZ weg verlagert wird.
**Der Verkehr beginnt sich zu verlagern** — Wenn Sie in ARC eine Zonenverschiebung starten, werden Sie möglicherweise nicht sofort feststellen, dass der Verkehr die Availability Zone verlässt. Abhängig vom Verhalten des Clients und der Wiederverwendung von Verbindungen kann es eine kurze Zeit dauern, bis bestehende, laufende Verbindungen in der Availability Zone abgeschlossen sind. DNS-Einstellungen und andere Faktoren, einschließlich vorhandener Verbindungen, können in nur wenigen Minuten abgeschlossen werden, dies kann jedoch länger dauern. Weitere Informationen finden Sie unter [Sicherstellen, dass Verkehrsverlagerungen schnell abgeschlossen](route53-arc-best-practices.zonal-shifts.md#arc-zonal-shift.existing-connections) werden.
**Ende der Verkehrsschicht** — Wenn eine Zonenschicht abläuft oder Sie sie stornieren, ergreift ARC Maßnahmen, um die Verkehrsverlagerung zu beenden, und kehrt den Vorgang zum Starten einer Verkehrsschicht um. Jetzt wird die wiederhergestellte AZ als für die Ressource verfügbar erkannt und der Verkehr fließt wieder zur AZ.
Sie müssen festlegen, dass alle zonalen Schichten ablaufen, wenn Sie die Schichten starten. Sie können zunächst festlegen, dass eine Zonenschicht in maximal drei Tagen (72 Stunden) abläuft. Sie können eine Zonenschicht jedoch jederzeit aktualisieren, um ein neues Ablaufdatum festzulegen. Sie können eine Zonenschicht auch vor ihrem Ablauf stornieren, wenn Sie bereit sind, den Verkehr in der Availability Zone wiederherzustellen.
**Wenn der Verkehr nicht wegverlagert** wird — In bestimmten Szenarien wird der Verkehr durch eine Zonenverschiebung nicht aus der Availability Zone verlagert. Nehmen wir zum Beispiel an, Sie starten eine Zonenverschiebung für einen Load Balancer, wenn die Load Balancer-Zielgruppen AZs keine Instances haben oder wenn alle Instances fehlerhaft sind. In diesem Szenario befindet sich der Load Balancer in einem Fail-Open-Status und der Start einer Zonenverschiebung verlagert den Traffic nicht.
Bevor Sie eine Zonenverschiebung für eine Ressource starten, stellen Sie sicher, dass alle Bedingungen für eine erfolgreiche Zonenverschiebung erfüllt sind. AWS Ressourcen gehen unterschiedlich mit Zonenverschiebungen um. Weitere Hinweise zur Unterstützung von Zonenverschiebungen finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
# AWS-Region Verfügbarkeit für Zonal Shift
Detaillierte Informationen zu regionalen Support- und Service-Endpunkten für Amazon Application Recovery Controller (ARC) finden Sie unter [Amazon Application Recovery Controller (ARC) -Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/r53arc.html) in der *Amazon Web Services General* Reference.
Zonal Shift und Zonal Autoshift sind derzeit in den hier aufgeführten Versionen verfügbar. AWS-Regionen Zonal Shift und Zonal Autoshift sind auch in den Regionen China verfügbar, d. h. in den Regionen China (Peking) und China (Ningxia). Bei Ressourcen, die Amazon Application Recovery Controller (ARC) verwenden, müssen möglicherweise zusätzliche Überlegungen angestellt werden. Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/introduction-regions-zonal.html)
# Komponenten für die Zonenverschiebung
Das folgende Diagramm zeigt ein Beispiel für eine zonale Schicht, die den Verkehr von einer Availability Zone in eine verlagert. AWS-Region In die Zonenschicht integrierte Prüfungen verhindern, dass Sie eine weitere Zonenschicht für eine Ressource starten, für die bereits eine aktive Schicht vorhanden ist.
![\[Diagramm einer Zonenverschiebung mit drei Availability Zones\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/images/ZonalShiftDiagramRev2023.png)
Im Folgenden sind die Komponenten der Zonal-Shift-Fähigkeit in ARC aufgeführt.
**Zonale Verschiebung**
Sie starten eine Zonenverschiebung für eine verwaltete Ressource in Ihrem AWS Konto, um den Traffic vorübergehend von einer Availability Zone in einer Region zu verlagern AWS-Region, die AZs in der Region intakt ist, um sich schnell von einem Problem in einer AZ zu erholen. Weitere Informationen zu unterstützten Ressourcen für Zonal Shift finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
**Integrierte Sicherheitschecks**
In ARC integrierte Prüfungen verhindern, dass mehr als eine Verkehrsverlagerung für eine Ressource gleichzeitig wirksam ist. Das heißt, nur eine vom Kunden initiierte Zonenverschiebung, ein Übungslauf oder eine automatische Verschiebung für die Ressource kann den Verkehr aktiv von einer Availability Zone weg verlagern. Wenn Sie beispielsweise eine Zonenverschiebung für eine Ressource starten, obwohl diese derzeit mit Autoshift wegverlagert ist, hat Ihre Zonenverschiebung Vorrang. Weitere Informationen finden Sie unter [Automatische Zonenverschiebung in ARC](arc-zonal-autoshift.md) und [Ergebnisse](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence) von Übungsläufen.
**Ressourcen-ID**
Der Bezeichner für eine Ressource, die in eine zonale Schicht aufgenommen werden soll. Die Kennung ist der Amazon-Ressourcenname (ARN) für die Ressource.
Bei einer Zonenverschiebung können Sie in Ihrem Konto nur Ressourcen für einen AWS Service auswählen, der von ARC unterstützt wird. Weitere Informationen zu unterstützten Ressourcen für Zonal Shift finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
**Verwaltete Ressource**
Einige AWS Ressourcen müssen sich manuell für die Zonenverschiebung anmelden, andere werden automatisch aktiviert. Weitere Informationen zu den unterstützten Ressourcen für Zonal Shift finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
**Ressourcenname**
Der Name einer Ressource in ARC, die Sie für eine Zonenverschiebung angeben können.
**Status (Status der zonalen Verschiebung)**
Ein Status für eine zonale Schicht. Der `Status` für eine zonale Verschiebung kann einen der folgenden Werte haben:
+ **AKTIV**: Die Zonenverschiebung ist gestartet und aktiv.
+ **ABGELAUFEN**: Die Zonenschicht ist abgelaufen (die Ablaufzeit wurde überschritten).
+ **STORNIERT**: Die Zonenschicht wurde storniert.
**Status „Angewendet“**
Der Status „Angewendet“ gibt an, ob für eine Ressource eine Schicht in Kraft ist. Die Schicht, die diesen Status hat, `APPLIED` bestimmt die Availability Zone, in die der Anwendungsdatenverkehr für eine Ressource verlagert wurde, und bestimmt, wann diese Schicht endet.
**Art der Schicht**
Definiert den zonalen Schichttyp. Der `shiftType` kann die folgenden Werte haben:
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **ÜBUNGSLAUF**
+ **FIS\$1EXPERIMENT**
**Ablaufzeit (Ablaufzeit)**
Die Ablaufzeit (Ablaufzeit) für eine Zonenschicht. Zonenverschiebungen sind vorübergehend. Für eine zonale Schicht können Sie zunächst festlegen, dass eine zonale Schicht für bis zu drei Tage (72 Stunden) aktiv ist.
Wenn Sie eine Zonenschicht beginnen, geben Sie an, wie lange sie aktiv sein soll. Dieser ARC wird in eine Ablaufzeit (Ablaufzeit) umgerechnet. Sie können beispielsweise eine Zonenverschiebung stornieren, wenn Sie bereit sind, den Verkehr in der Availability Zone wiederherzustellen. Oder Sie können eine vom Kunden initiierte Zonenschicht verlängern, indem Sie sie aktualisieren und einen anderen Zeitraum angeben, in dem sie ablaufen soll.
Sie können Übungsläufe für zonale Schichten stornieren, die Teil von Zonal Autoshift sind.
# Daten- und Steuerungsebenen für Zonal Shift
Denken Sie bei der Planung von Failover und Disaster Recovery darüber nach, wie robust Ihre Failover-Mechanismen sind. Es wird empfohlen, sicherzustellen, dass die Mechanismen, auf die Sie beim Failover angewiesen sind, hochverfügbar sind, sodass Sie sie bei Bedarf in einem Notfallszenario verwenden können. In der Regel sollten Sie, wann immer möglich, Datenebenenfunktionen für Ihre Mechanismen verwenden, um die größtmögliche Zuverlässigkeit und Fehlertoleranz zu gewährleisten. Vor diesem Hintergrund ist es wichtig zu verstehen, wie die Funktionalität eines Dienstes zwischen Steuerungsebenen und Datenebenen aufgeteilt ist und wann Sie sich darauf verlassen können, dass die Datenebene eines Dienstes extrem zuverlässig ist.
Wie bei den meisten AWS Diensten wird die Funktionalität für die Zonenverlagerung durch Steuerungsebenen und Datenebenen unterstützt. Beide sind zwar auf Zuverlässigkeit ausgelegt, eine Steuerungsebene ist jedoch für die Datenkonsistenz optimiert, während eine Datenebene für die Verfügbarkeit optimiert ist. Eine Datenebene ist auf Ausfallsicherheit ausgelegt, sodass sie die Verfügbarkeit auch bei Störungen aufrechterhalten kann, wenn eine Kontrollebene möglicherweise nicht verfügbar ist.
Im Allgemeinen ermöglicht Ihnen eine *Kontrollebene* grundlegende Verwaltungsfunktionen wie das Erstellen, Aktualisieren und Löschen von Ressourcen im Service. Eine *Datenebene* stellt die Kernfunktionalität eines Dienstes bereit.
Weitere Informationen zu Datenebenen, Kontrollebenen und dazu, wie Services AWS entwickelt werden, um Hochverfügbarkeitsziele zu erreichen, finden Sie im [paper Statische Stabilität mithilfe von Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in der Amazon Builders' Library.
# Preise für die Zonenverschiebung in ARC
Bei einer Zonenverschiebung können Sie eine Zonenverschiebung für unterstützte Ressourcen starten, um Ihre Anwendung nach einem Problem in einer Availability Zone wiederherzustellen. Für die Nutzung von Zonal Shift fallen keine zusätzlichen Gebühren an.
Detaillierte Preisinformationen für ARC und Preisbeispiele finden Sie unter [ARC-Preise](https://aws.amazon.com/application-recovery-controller/pricing/).
# Bewährte Methoden für Zonenverschiebungen in ARC
Wir empfehlen die folgenden bewährten Methoden für die Verwendung von Zonenverschiebungen für die Multi-AZ-Wiederherstellung in ARC.
**Topics**
+ [Kapazitätsplanung und Vorskalierung](#ZSBestPracticeCapacityPrescaling)
+ [Begrenzen Sie die Zeit, in der Clients mit Ihren Endpunkten verbunden bleiben](#arc-zonal-shift.existing-connections)
+ [Testen Sie den Beginn von Zonenschichten im Voraus](#ZSBestPracticeTestShifting)
+ [Stellen Sie sicher, dass alle Availability Zones fehlerfrei sind und Traffic aufnehmen](#ZSBestPracticeEnsureHealthyAZs)
+ [Verwenden Sie API-Operationen auf Datenebene für die Notfallwiederherstellung](#ZSBestPracticeUseDataPlane)
+ [Verschieben Sie den Verkehr mit einer zonalen Verschiebung nur vorübergehend](#ZSBestPracticeMoveTrafficTemp)
**Kapazitätsplanung und Vorskalierung**
Stellen Sie sicher, dass Sie ausreichend Kapazität eingeplant und entweder vorab skaliert haben oder automatisch skalieren können, um die zusätzliche Belastung der Availability Zones zu bewältigen, wenn Sie eine Zonenschicht beginnen. Bei einer auf Wiederherstellung ausgerichteten Architektur wird in der Regel empfohlen, die Rechenkapazität vorab so zu skalieren, dass genügend Headroom vorhanden ist, um den Spitzenverkehr zu bewältigen, wenn eines Ihrer (normalerweise) drei Replikate offline ist.
Wenn Sie eine Zonenverschiebung für eine unterstützte Ressource starten und der Datenverkehr von einer AZ weg verlagert wird, wird die Kapazität, die Ihre Anwendung für Serviceanfragen verwendet hat, entfernt. Sie müssen sicherstellen, dass Sie eine Verlagerung des Datenverkehrs von einer AZ weg geplant haben und in den verbleibenden AZs Bereichen weiterhin Anfragen bearbeiten können.
**Beschränken Sie die Zeit, in der Clients mit Ihren Endpunkten verbunden bleiben**
Wenn Amazon Application Recovery Controller (ARC) den Datenverkehr von einer Beeinträchtigung wegleitet, beispielsweise mithilfe von Zonal Shift oder Zonal Autoshift, ist der Mechanismus, den ARC verwendet, um Ihren Anwendungsdatenverkehr zu verlagern, ein DNS-Update. Ein DNS-Update bewirkt, dass alle neuen Verbindungen vom beeinträchtigten Standort weggeleitet werden.
Clients mit bereits bestehenden offenen Verbindungen können jedoch weiterhin Anfragen an den beeinträchtigten Standort stellen, bis die Clients wieder eine Verbindung herstellen. Um eine schnelle Wiederherstellung zu gewährleisten, empfehlen wir, die Dauer zu begrenzen, für die Clients mit Ihren Endpunkten verbunden bleiben.
**Testen Sie den Beginn von Zonenschichten im Voraus**
Testen Sie regelmäßig, für Ihre Anwendung den Traffic von Availability Zones weg zu verlagern, indem Sie zonale Schichten starten. Planen Sie den Start von Zonenverschiebungen und führen Sie diese aus, vorzugsweise sowohl in Test- als auch in Produktionsumgebungen, als Teil regelmäßiger Failover-Tests zur Wiederherstellung Ihrer Anwendungen im Katastrophenfall. Regelmäßige Tests sind entscheidend, um sicherzustellen, dass Sie auf Probleme vorbereitet sind und das nötige Selbstvertrauen haben, um Probleme zu beheben, wenn ein Betriebsereignis eintritt.
**Stellen Sie sicher, dass alle Availability Zones fehlerfrei sind und Traffic aufnehmen**
Bei Zonenverschiebungen wird eine Ressource, d. h. ein Anwendungsreplikat, in einer Availability Zone als fehlerhaft markiert. Das bedeutet, dass Sie unbedingt sicherstellen müssen, dass die Ressourcen in Ihren Anwendungen im Allgemeinen fehlerfrei sind und den Datenverkehr in den Availability Zones einer Region aktiv aufnehmen. Wir empfehlen, dass Sie Dashboards verwenden, um dies nachzuverfolgen, darunter beispielsweise Elastic Load Balancing Balancing-Metriken für fehlerhafte Ziele und BytesProcessed pro Availability Zone.
Erwägen Sie, den Zustand Ihrer Ressourcen von einer zweiten, angrenzenden Region aus zu überwachen. Der Vorteil dieses Ansatzes besteht darin, dass er die Erfahrung Ihrer Endbenutzer besser wiedergeben kann. Außerdem wird dadurch das Risiko verringert, dass sowohl Ihre Anwendung als auch Ihre Überwachung gleichzeitig von derselben Katastrophe betroffen sind.
**Verwenden Sie API-Operationen auf Datenebene für die Notfallwiederherstellung**
Um eine Zonenverschiebung zu starten, wenn Sie eine Anwendung schnell und mit wenigen Abhängigkeiten wiederherstellen müssen, empfehlen wir, die AWS Command Line Interface OR-API mit Aktionen zur zonalen Verschiebung zu verwenden, wenn möglich mit vorab gespeicherten Anmeldeinformationen. Aus Gründen der Benutzerfreundlichkeit können Sie Zonenverschiebungen auch in der AWS-Managementkonsole starten. Wenn es jedoch auf eine schnelle und zuverlässige Wiederherstellung ankommt, ist der Betrieb auf Datenebene die bessere Wahl. Weitere Informationen finden Sie im [Referenzhandbuch zur Zonal Shift API.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
**Verschieben Sie den Verkehr mit einer Zonenverschiebung nur vorübergehend**
Durch eine Zonenverlagerung wird der Verkehr vorübergehend von einer Availability Zone weg verlagert, um eine Beeinträchtigung zu minimieren. Sie sollten die Ressource für den Betrieb der Anwendung wiederherstellen, sobald Sie Maßnahmen zur Behebung eines Problems ergriffen haben. Dadurch wird sichergestellt, dass Ihre gesamte Anwendung wieder in ihren ursprünglichen, vollständig redundanten und belastbaren Zustand versetzt wird.
# API-Operationen mit zonaler Verschiebung
In der folgenden Tabelle sind ARC-API-Operationen aufgeführt, die Sie mithilfe von Zonal Shift verwenden können, wodurch der Datenverkehr für Multi-AZ-Anwendungen von einer Availability Zone weggeleitet wird. Die Tabelle enthält außerdem Links zu relevanter Dokumentation.
Beispiele für die Verwendung gängiger Zonal Shift-API-Operationen mit dem AWS Command Line Interface finden Sie unter. [Beispiele für die Verwendung von AWS CLI mit Zonenverschiebung](getting-started-cli-zonalshift.md)
| Action | Verwenden der ARC-Konsole | Verwendung der ARC-API |
| --- | --- | --- |
| Starten einer Zonenverschiebung | Siehe [Starten einer Zonenverschiebung](arc-zonal-shift.start-cancel.md#arc-zonal-shift.start) | Siehe [StartZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html) |
| Aktualisieren einer Zonenverschiebung | Siehe [Aktualisieren oder Abbrechen einer Zonenverschiebung](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel) | Siehe [UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html) |
| Zonenverschiebungen auflisten | Siehe [Zonenverschiebung in ARC](arc-zonal-shift.md) | Siehe [ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html) |
| Listet verwaltete Ressourcen auf | Siehe [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md) | Siehe [ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html) |
| Holen Sie sich die verwaltete Ressource | Siehe [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md) | Siehe [GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html) |
| Abbrechen einer Zonenverschiebung | Siehe [Aktualisieren oder Abbrechen einer Zonenverschiebung](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel) | Siehe [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html) |
# Beispiele für die Verwendung von AWS CLI mit Zonenverschiebung
Dieser Abschnitt enthält Anwendungsbeispiele für die Verwendung von Zonal Shift und die Nutzung der AWS Command Line Interface Zonal Shift-Funktion in Amazon Application Recovery Controller (ARC) mithilfe von API-Operationen. Die Beispiele sollen Ihnen helfen, ein grundlegendes Verständnis für die Arbeit mit Zonal Shift mithilfe der CLI zu entwickeln.
Zonal Shift in ARC ermöglicht es Ihnen, den Datenverkehr für unterstützte Ressourcen vorübergehend von einer Availability Zone weg zu verlagern, sodass Ihre Anwendung weiterhin normal mit anderen Availability Zones in einer arbeiten kann. AWS-Region
Alle Zonenschichten sind temporär und müssen zunächst so eingestellt werden, dass sie innerhalb von drei Tagen ablaufen. Sie können eine zonale Schicht jedoch später aktualisieren, um ein neues Ablaufdatum festzulegen.
Weitere Informationen zur Verwendung von finden Sie in der [AWS CLI Befehlsreferenz. AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html) Eine Liste der Zonal Shift-API-Aktionen und Links zu weiteren Informationen finden Sie unter[API-Operationen mit zonaler Verschiebung](actions.zonalshift.md).
## Starten Sie Zonal Shift
Sie können eine Zonenverschiebung mit der CLI starten, indem Sie den `start-zonal-shift` Befehl verwenden.
```
aws arc-zonal-shift start-zonal-shift \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05 \
--away-from use1-az1 \
--expires-in 10m \
--comment "Shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## Holen Sie sich die verwaltete Ressource
Sie können Informationen zu einer verwalteten Ressource mit der CLI abrufen, indem Sie den `get-managed-resource` Befehl verwenden.
```
aws arc-zonal-shift get-managed-resource \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05
```
```
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"name": "Testing",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
"shiftType": "MANUAL"
}
]
}
```
## Verwaltete Ressourcen auflisten
Sie können die verwalteten Ressourcen in Ihrem Konto mit der CLI auflisten, indem Sie den `list-managed-resources` Befehl verwenden.
```
aws arc-zonal-shift list-managed-resources
```
```
{
"items": [
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"availabilityZones": [
"use1-az1",
"use1-az2",
"use1-az6"
],
"name": "Testing",
"practiceRunStatus": "DISABLED",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
]
}
```
## Zonenverschiebungen auflisten
Sie können die Zonenverschiebungen in Ihrem Konto mit der CLI auflisten, indem Sie den `list-zonal-shifts` Befehl verwenden.
```
aws arc-zonal-shift list-zonal-shifts
```
```
{
"items": [
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
```
## Zonenverschiebung aktualisieren
Sie können eine Zonenverschiebung mit der CLI aktualisieren, indem Sie den `update-zonal-shift` Befehl verwenden.
```
aws arc-zonal-shift update-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38 \
--expires-in 1h \
--comment "Still shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## Zonenverschiebung abbrechen
Sie können eine Zonenverschiebung mit der CLI abbrechen, indem Sie den `cancel-zonal-shift` Befehl verwenden.
```
aws arc-zonal-shift cancel-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# Unterstützte Ressourcen
Amazon Application Recovery Controller (ARC) unterstützt derzeit die Aktivierung der folgenden Ressourcen für Zonal Shift und Zonal Autoshift:
+ [Amazon EC2 Auto-Scaling-Gruppen](arc-zonal-shift.resource-types.ec2-auto-scaling-groups.md)
+ [Amazon Elastic Kubernetes Service](arc-zonal-shift.resource-types.eks.md)
+ [Application Load Balancer](arc-zonal-shift.resource-types.app-load-balancers.md)mit aktiviertem oder deaktiviertem zonenübergreifendem Load Balancing
+ [Network Load Balancers](arc-zonal-shift.resource-types.network-load-balancers.md)mit aktiviertem oder deaktiviertem zonenübergreifendem Load Balancing
Spezifische Anforderungen für Network Load Balancer und Application Load Balancer finden Sie in den zusätzlichen Themen in diesem Abschnitt.
Informieren Sie sich über die folgenden Bedingungen für die Arbeit mit Zonal Shifts, Zonal Autoshift und Ressourcen in ARC:
+ Eine Ressource muss aktiv und vollständig bereitgestellt sein, um den Verkehr auf sie verlagern zu können. Bevor Sie eine Zonenverschiebung für eine Ressource starten, stellen Sie sicher, dass es sich um eine verwaltete Ressource in ARC handelt. Sehen Sie sich beispielsweise die Liste der verwalteten Ressourcen in der an AWS-Managementkonsole, oder verwenden Sie den `get-managed-resource` Vorgang mit der ID der Ressource.
+ Um eine zonale Schicht mit einer Ressource zu starten, muss diese in der Availability Zone bereitgestellt werden und AWS-Region dort, wo Sie die Schicht beginnen. Stellen Sie sicher, dass Sie eine Zonenverschiebung in derselben Region starten, in der sich die AZ befindet, von der Sie wegwechseln möchten, und dass sich die Ressource, für die Sie den Verkehr verlagern, ebenfalls in derselben AZ und Region befindet.
+ Stellen Sie sicher, dass Sie über die richtigen IAM-Berechtigungen verfügen, um Zonal Shift mit einer Ressource zu verwenden. Weitere Informationen finden Sie unter [IAM und Berechtigungen für Zonal Shift](security_iam_service-with-iam-zonal-shift.md).
+ Wenn sich ein Network Load Balancer oder Application Load Balancer im Status Fail Open befindet, hat eine Zonenverschiebung keine Auswirkung. Dieses Verhalten ist zu erwarten, da eine Zonenverschiebung nicht dazu führen kann, dass eine AZ fehlerhaft ist und dann der Verkehr AZs in eine andere Region verlagert wird, wenn ein Load Balancer beim Öffnen ausfällt. Weitere Informationen finden Sie unter [Verwenden von Route 53 53-DNS-Failover für Ihren Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#r53-dns-failover) im *Network Load Balancer-Benutzerhandbuch* und [Verwenden von Route 53 53-DNS-Failover für Ihren Load Balancer im *Application* Load Balancer-Benutzerhandbuch](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-target-groups.html#r53-dns-failover).
+ Wenn mehrere Load Balancer Traffic an dieselben Ziele weiterleiten, verringert eine zonale Verschiebung auf einem zonenübergreifenden Load Balancer die Zielkapazität für alle Load Balancer, auch wenn ihr Datenverkehr nicht durch eine zonale Verschiebung verschoben wird.
# Amazon EC2 Auto-Scaling-Gruppen
Eine Amazon EC2 Auto Scaling Scaling-Gruppe enthält eine Sammlung von Amazon EC2 EC2-Instances, die für die Zwecke der automatischen Skalierung und Verwaltung als logische Gruppierung behandelt werden. Eine Auto-Scaling-Gruppe ermöglicht Ihnen außerdem die Verwendung von Amazon EC2 Auto Scaling-Funktionen wie Ersetzungen im Zuge von Zustandsprüfungen und Skalierungsrichtlinien. Sowohl die Aufrechterhaltung der Anzahl von Instances in einer Auto-Scaling-Gruppe und die automatische Skalierung sind die wichtigsten Funktionen des Amazon EC2 Auto Scaling-Services.
## Zonal Shift für Auto Scaling Scaling-Gruppen verwenden
Verwenden Sie eine der folgenden Methoden, um Zonal Shift zu aktivieren.
------
#### [ Console ]
**Um Zonal Shift in einer neuen Gruppe (Konsole) zu aktivieren**
1. Folgen Sie den Anweisungen unter [Auto Scaling Scaling-Gruppe mithilfe einer Startvorlage erstellen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template) und schließen Sie jeden Schritt des Verfahrens bis zu Schritt 10 ab.
1. Aktivieren Sie auf der Seite **Mit anderen Diensten integrieren** für **ARC Zonal Shift** das Kontrollkästchen, um Zonal Shift zu aktivieren.
1. Wählen Sie für **Verhalten bei der Integritätsprüfung** die Option Ungesund ignorieren oder Ungesund ersetzen aus. Wenn diese Option auf gesetzt ist`replace-unhealthy`, werden fehlerhafte Instances in der Availability Zone durch die aktive Zonenverschiebung ersetzt. Wenn diese Option auf gesetzt ist`ignore-unhealthy`, werden fehlerhafte Instances in der Availability Zone nicht durch die aktive Zonenschicht ersetzt.
1. Fahren Sie mit den Schritten unter [Auto Scaling Scaling-Gruppe mithilfe einer Startvorlage erstellen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template) fort.
------
#### [ AWS CLI ]
**Um die Zonenverschiebung für eine neue Gruppe zu aktivieren ()AWS CLI**
Fügen Sie dem [create-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/create-auto-scaling-group.html)-Befehl den `--availability-zone-impairment-policy`-Parameter hinzu.
Der `--availability-zone-impairment-policy` Parameter hat zwei Optionen:
+ **ZonalShiftEnabled**— Wenn auf gesetzt`true`, registriert Auto Scaling die Auto Scaling Scaling-Gruppe mit ARC-Zonenverschiebung[, und Sie können eine Zonenverschiebung auf der ARC-Konsole starten, aktualisieren oder abbrechen](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html). Wenn auf gesetzt`false`, hebt Auto Scaling die Auto Scaling Scaling-Gruppe von ARC Zonal Shift ab. Sie müssen Zonal Shift bereits aktiviert haben, um auf setzen zu können. `false`
+ **ImpairedZoneHealthCheckBehavior**— Wenn diese Option auf gesetzt ist`replace-unhealthy`, werden fehlerhafte Instances in der Availability Zone durch die aktive Zonenschicht ersetzt. Wenn diese Option auf gesetzt ist`ignore-unhealthy`, werden fehlerhafte Instances in der Availability Zone nicht durch die aktive Zonenschicht ersetzt.
Das folgende Beispiel aktiviert die Zonenverschiebung für eine neue Auto Scaling Scaling-Gruppe mit dem Namen`my-asg`.
```
aws autoscaling create-auto-scaling-group \
--launch-template LaunchTemplateName=my-launch-template,Version='1' \
--auto-scaling-group-name my-asg \
--min-size 1 \
--max-size 10 \
--desired-capacity 5 \
--availability-zones us-east-1a us-east-1b us-east-1c \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
------
#### [ Console ]
**Um Zonal Shift für eine bestehende Gruppe (Konsole) zu aktivieren**
1. Öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)und wählen Sie im Navigationsbereich **Auto Scaling Groups** aus.
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm die aus, in der AWS-Region Sie Ihre Auto Scaling Scaling-Gruppe erstellt haben.
1. Aktivieren Sie das Kontrollkästchen neben der Auto Scaling Scaling-Gruppe.
Im unteren Teil der Seite wird ein geteilter Bereich geöffnet.
1. **Wählen Sie auf der Registerkarte **Integrationen** unter **ARC Zonal Shift** die Option Bearbeiten aus.**
1. Markieren Sie das Kontrollkästchen, um Zonal Shift zu aktivieren.
1. Wählen Sie für **Verhalten bei der Integritätsprüfung** die Option **Ungesund ignorieren** oder **Ungesund ersetzen** aus.
+ Wenn das Verhalten bei der Integritätsprüfung so eingestellt ist, dass fehlerhafte Instances ignoriert werden, werden fehlerhafte Instances in der Availability Zone *nicht* durch die aktive Zonenverschiebung ersetzt.
+ Wenn das Verhalten bei der Integritätsprüfung so eingestellt ist, dass sie fehlerhafte Instances ersetzt, werden fehlerhafte Instances in der Availability Zone durch die aktive Zonenverschiebung ersetzt.
1. Wählen Sie **Aktualisieren** aus.
------
#### [ AWS CLI ]
**Um die Zonenverschiebung für eine bestehende Gruppe zu aktivieren ()AWS CLI**
Fügen Sie dem [update-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/update-auto-scaling-group.html)-Befehl den `--availability-zone-impairment-policy`-Parameter hinzu.
Der `--availability-zone-impairment-policy` Parameter hat zwei Optionen:
+ **ZonalShiftEnabled**— Wenn auf gesetzt`TRUE`, registriert Auto Scaling die Auto Scaling Scaling-Gruppe mit ARC-Zonenverschiebung[, und Sie können eine Zonenverschiebung auf der ARC-Konsole starten, aktualisieren oder abbrechen](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html). Wenn auf gesetzt`FALSE`, hebt Auto Scaling die Auto Scaling Scaling-Gruppe von ARC Zonal Shift ab. Sie müssen Zonal Shift bereits aktiviert haben, um sie auf einstellen zu können. `FALSE`
+ **ImpairedZoneHealthCheckBehavior**— Wenn diese Option auf gesetzt ist`replace-unhealthy`, werden fehlerhafte Instances in der Availability Zone durch die aktive Zonenverschiebung ersetzt. Wenn diese Option auf gesetzt ist`ignore-unhealthy`, werden fehlerhafte Instances in der Availability Zone nicht durch die aktive Zonenschicht ersetzt.
Das folgende Beispiel aktiviert die Zonenverschiebung für die angegebene Auto Scaling Scaling-Gruppe.
```
aws autoscaling update-auto-scaling-group --auto-scaling-group-name my-asg \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
Informationen zum Starten einer Zonenverschiebung finden Sie unter. [Eine Zonenschicht starten, aktualisieren oder stornieren](arc-zonal-shift.start-cancel.md)
## So funktioniert Zonal Shift für Auto Scaling Scaling-Gruppen
Angenommen, Sie haben eine Auto Scaling Scaling-Gruppe mit den folgenden Availability Zones:
+ `us-east-1a`
+ `us-east-1b`
+ `us-east-1c`
Sie stellen Fehler in der Zonenverschiebung fest `us-east-1a` und starten eine Zonenverschiebung. Die folgenden Verhaltensweisen treten auf, wenn eine Zonenverschiebung in gestartet wird. `us-east-1a`
+ **Skalierung** — Auto Scaling startet alle neuen Kapazitätsanfragen in den fehlerfreien Availability Zones (`us-east-1b`und`us-east-1c`).
+ **Dynamische Skalierung** — Auto Scaling verhindert, dass Skalierungsrichtlinien die gewünschte Kapazität verringern. Auto Scaling verhindert nicht, dass Skalierungsrichtlinien die gewünschte Kapazität erhöhen.
+ **Instanzaktualisierung** — Auto Scaling verlängert das Timeout für jeden Instanzaktualisierungsprozess, der während einer aktiven Zonenverschiebung verzögert wird.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/arc-zonal-shift.resource-types.ec2-auto-scaling-groups.html)
## Bewährte Methoden für die Verwendung von Zonal Shift
Um die hohe Verfügbarkeit Ihrer Anwendungen bei Verwendung von Zonal Shift aufrechtzuerhalten, empfehlen wir die folgenden bewährten Methoden.
+ Überwachen EventBridge Sie Benachrichtigungen, um festzustellen, ob eine anhaltende Beeinträchtigung der Availability Zone vorliegt. Weitere Informationen finden Sie unter [Automatisieren von Amazon EC2 Auto Scaling](https://docs.aws.amazon.com//autoscaling/ec2/userguide/automating-ec2-auto-scaling-with-eventbridge.html) mit. EventBridge
+ Verwenden Sie Skalierungsrichtlinien mit geeigneten Schwellenwerten, um sicherzustellen, dass Sie über genügend Kapazität verfügen, um den Verlust einer Availability Zone zu tolerieren.
+ Legen Sie eine Richtlinie zur Instanzwartung fest, die mindestens einen fehlerfreien Prozentsatz von 100 vorsieht. Mit dieser Einstellung wartet Auto Scaling darauf, dass eine neue Instance einsatzbereit ist, bevor es eine fehlerhafte Instance beendet.
Für Kunden mit vorinstallierter Version empfehlen wir außerdem Folgendes:
+ Wählen Sie bei der Integritätsprüfung für die Zone mit eingeschränkter Verfügbarkeit die Option **Ungesunde Instanz ignorieren** aus, da Sie die fehlerhafte Instanz während des Beeinträchtigungsereignisses nicht austauschen müssen.
+ Verwenden Sie Zonal Autoshift in ARC für Ihre Auto Scaling Scaling-Gruppen. Die zonale Autoshift-Funktion Amazon Application Recovery Controller (ARC) ermöglicht es, den Verkehr für eine Ressource von einer Availability Zone weg von einer Availability Zone AWS zu verlagern, wenn eine Beeinträchtigung in einer AWS Availability Zone festgestellt wird. Weitere Informationen finden Sie unter [Automatische Zonenverschiebung in ARC](arc-zonal-autoshift.md).
Für Kunden mit zonenübergreifenden deaktivierten Load Balancern empfehlen wir außerdem:
+ Verwenden Sie **Balanced nur** für die Verteilung in Ihrer Availability Zone.
+ Wenn Sie Zonal Shift sowohl für Ihre Auto Scaling Scaling-Gruppe als auch für Ihre Load Balancer verwenden, stellen Sie sicher, dass Sie zuerst die Zonenverschiebung in Ihrer Auto Scaling Scaling-Gruppe stornieren. Warten Sie dann, bis die Kapazität auf alle Availability Zones verteilt ist, bevor Sie die Zonenverschiebung auf dem Load Balancer abbrechen.
+ Aufgrund der Möglichkeit einer unausgewogenen Kapazität, wenn Sie Zonal Shift aktivieren und einen zonenübergreifenden deaktivierten Load Balancer verwenden, verfügt Auto Scaling über eine zusätzliche Validierung. Wenn Sie die bewährten Methoden befolgen, können Sie diese Möglichkeit bestätigen, indem Sie das Kontrollkästchen im Feld aktivieren AWS-Managementkonsole oder das `skip-zonal-shift-validation` Kennzeichen in`CreateAutoScalingGroup`,, oder verwenden. `UpdateAutoScalingGroup` `AttachTrafficSources`
# Amazon Elastic Kubernetes Service
Amazon EKS bietet Funktionen, mit denen Sie Ihre Anwendungen widerstandsfähiger gegen Ereignisse wie den verschlechterten Zustand oder die Beeinträchtigung einer Availability Zone machen können. Wenn Sie Ihre Workloads in einem Amazon EKS-Cluster ausführen, können Sie die Fehlertoleranz und Anwendungswiederherstellung Ihrer Anwendungsumgebung weiter verbessern, indem Sie Zonal Shift oder Zonal Autoshift verwenden.
## Zonal Shift mit Amazon Elastic Kubernetes Service verwenden
Verwenden Sie eine der folgenden Methoden, um Zonal Shift zu aktivieren. Weitere Informationen finden [Sie unter Erfahren Sie mehr über ARC Zonal Shift](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift-enable.html#zone-shift-enable-steps) im *Amazon Elastic Kubernetes Service User Guide*.
------
#### [ Console ]
**So aktivieren Sie Zonal Shift auf einem neuen Amazon EKS-Cluster (Konsole)**
1. Suchen Sie den Namen und die Region des Amazon EKS-Clusters, den Sie bei ARC registrieren möchten.
1. Öffnen Sie die Amazon EKS-Konsole unter [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Wählen Sie Ihren Cluster aus.
1. Wählen Sie auf der Seite **Cluster-Informationen** die Registerkarte **Übersicht** aus.
1. **Wählen Sie unter **Zonal Shift** die Option Manage aus.**
1. **Wählen Sie für **EKS Zonal Shift** die Option **Aktivieren oder Deaktivieren**.**
------
#### [ AWS CLI ]
**Um Zonal Shift auf einem neuen Amazon EKS-Cluster zu aktivieren ()AWS CLI**
+ Geben Sie den folgenden Befehl ein:
```
aws eks create-cluster --name my-eks-cluster --role-arn my-role-arn-to-create-cluster --resources-vpc-config subnetIds=string,string,securityGroupIds=string,string,endpointPublicAccess=boolean,endpointPrivateAccess=boolean,publicAccessCidrs=string,string --zonal-shift-config enabled=true
```
**Um Zonal Shift auf einem vorhandenen Amazon EKS-Cluster zu aktivieren ()AWS CLI**
+ Geben Sie den folgenden Befehl ein:
```
aws eks update-cluster-config --name my-eks-cluster --zonal-shift-config enabled=true
```
------
Sie können eine Zonenverschiebung für einen Amazon EKS-Cluster starten oder diese für Sie übernehmen lassen AWS , indem Sie Zonal Autoshift aktivieren. Nachdem Ihr Amazon EKS-Cluster Zonal Shift mit ARC aktiviert wurde, können Sie einen Zonal Shift starten oder Zonal Autoshift mit der ARC-Konsole, der AWS CLI oder Zonal Shift und Zonal Autoshift aktivieren. APIs
Weitere Informationen zum Starten einer Zonenverschiebung finden Sie unter. [Eine Zonenschicht starten, aktualisieren oder stornieren](arc-zonal-shift.start-cancel.md)
Weitere Informationen zur Aktivierung von Amazon EKS mit Zonal Shift finden [Sie unter Erfahren Sie mehr über ARC Zonal Shift in Amazon EKS](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift.html) im *Amazon Elastic Kubernetes* Service User Guide.
## So funktioniert Zonal Shift für Amazon Elastic Kubernetes Service
Während einer Amazon EKS-Zonenverschiebung findet automatisch Folgendes statt:
+ Alle Knoten in der betroffenen AZ werden gesperrt. Dadurch wird verhindert, dass der Kubernetes Scheduler neue Pods auf den Knoten in der fehlerhaften AZ plant.
+ Wenn Sie [Managed Node Groups](https://docs.aws.amazon.com//eks/latest/userguide/managed-node-groups.html) verwenden, wird das [Rebalancing der Availability Zone](https://docs.aws.amazon.com//autoscaling/ec2/userguide/auto-scaling-benefits.html#AutoScalingBehavior.InstanceUsage) ausgesetzt und Ihre Auto Scaling Scaling-Gruppe wird aktualisiert, um sicherzustellen, dass neue Amazon EKS-Datenebenenknoten nur im AZs fehlerfreien Zustand gestartet werden.
+ Die Knoten in der fehlerhaften AZ werden nicht beendet und die Pods werden nicht aus diesen Knoten entfernt. Auf diese Weise soll sichergestellt werden, dass Ihr Datenverkehr nach Ablauf oder Abbruch einer Zonenschicht sicher an die AZ zurückgesendet werden kann, die immer noch über die volle Kapazität verfügt.
+ Der EndpointSlice Controller findet alle Pod-Endpunkte in der beeinträchtigten AZ und entfernt sie aus der entsprechenden Zone. EndpointSlices Dadurch wird sichergestellt, dass nur Pod-Endpunkte, die sich in einem AZs fehlerfreien Zustand befinden, gezielt Netzwerkverkehr empfangen. Wenn eine Zonenverschiebung storniert wird oder abläuft, aktualisiert der EndpointSlice Controller sie so, EndpointSlices dass die Endpunkte in die wiederhergestellte AZ aufgenommen werden.
Weitere Informationen finden Sie im [AWS Container-Blog](https://aws.amazon.com/blogs/containers/amazon-eks-now-supports-amazon-application-recovery-controller/).
# Application Load Balancer
## Verwendung von Zonal Shift für Application Load Balancers
Um Application Load Balancers mit Zonal Shift zu verwenden, müssen Sie die ARC-Zonal Shift-Integration in den Application Load Balancer Balancer-Attributen aktivieren. Application Load Balancer unterstützt Zonenverschiebung mit zonenübergreifenden aktivierten oder zonenübergreifenden deaktivierten Konfigurationen.
Bevor Sie die ARC-Integration aktivieren und Zonal Shift verwenden, sollten Sie sich die folgenden Informationen ansehen:
+ Sie können eine Zonenverschiebung für einen bestimmten Load Balancer nur für eine Availability Zone starten. Eine Zonenverschiebung lässt sich nicht für mehrere Availability Zones starten.
+ AWS entfernt proaktiv IP-Adressen von zonalen Load Balancer-Diensten aus DNS, wenn sich mehrere Infrastrukturprobleme auf Dienste auswirken. Prüfen Sie immer die aktuelle Kapazität der Availability Zone, bevor Sie mit einer Zonenverschiebung beginnen.
+ Zonal Shift funktioniert nicht für Single-AZ-Zielgruppen.
+ Wenn ein Application Load Balancer das Ziel eines Network Load Balancers ist, starten Sie die Zonenverschiebung immer vom Network Load Balancer aus. Wenn Sie eine Zonenverschiebung vom Application Load Balancer aus starten, erkennt der Network Load Balancer die Verschiebung nicht und sendet weiterhin Datenverkehr an den Application Load Balancer.
Sie können eine Zonenverschiebung für einen Load Balancer in der Elastic Load Balancing Balancing-Konsole (in den meisten Fällen AWS-Regionen) oder in der ARC-Konsole starten.
------
#### [ Console ]
**Um Zonal Shift auf einem Load Balancer (Konsole) zu aktivieren**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie auf der **Navigationsseite** unter **Load Balancing** die Option Load **Balancers** aus.
1. Wählen Sie den Namen des Application Load Balancer aus.
1. Klicken Sie auf der Registerkarte **Attribute** auf **Bearbeiten**.
1. **Wählen Sie unter **Availability Zone-Routing-Konfiguration** für >ARC Zonal Shift Integration die Option Enable aus.**
1. Wählen Sie **Speichern**.
------
#### [ AWS CLI ]
**Um Zonal Shift auf einem Load Balancer zu aktivieren ()AWS CLI**
+ Geben Sie den folgenden Befehl ein:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-alb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
Weitere Informationen zum Starten einer Zonenschicht finden Sie unter. [Eine Zonenschicht starten, aktualisieren oder stornieren](arc-zonal-shift.start-cancel.md)
Sie können `keepalive` diese Option verwenden, um zu konfigurieren, wie lange Verbindungen bestehen bleiben. Weitere Informationen finden Sie unter Dauer der [Keepalive-Dauer des HTTP-Clients](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration) im Application Load Balancer Balancer-Benutzerhandbuch. Standardmäßig legen Application Load Balancer den Wert für die Keepalive-Dauer des HTTP-Clients auf 3600 Sekunden oder 1 Stunde fest. Wir empfehlen Ihnen, den Wert zu senken, um Ihrem Ziel für die Wiederherstellungszeit für Ihre Anwendung zu entsprechen, z. B. 300 Sekunden. Wenn Sie die Dauer einer HTTP-Client-Keepalive-Dauer wählen, sollten Sie berücksichtigen, dass dieser Wert einen Kompromiss darstellt zwischen einer häufigeren Wiederherstellung der Verbindung im Allgemeinen, was sich auf die Latenz auswirken kann, und einer schnelleren Verlagerung aller Clients aus einer beeinträchtigten AZ oder Region.
## So funktioniert Zonal Shift für Application Load Balancers
Wenn eine zonale Verschiebung auf einem Application Load Balancer mit aktiviertem zonenübergreifendem Load Balancing gestartet wird, wird der gesamte Datenverkehr zu Zielen in der betroffenen Availability Zone blockiert, und die zonale Verschiebung entfernt die zonale IP-Adresse aus DNS.
Weitere Informationen finden Sie unter [Integrationen für Ihren Application Load Balancer im Application Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-integrations.html#zonal-shift) *Balancer-Benutzerhandbuch*.
# Network Load Balancers
## Verwenden von Zonal Shift für Network Load Balancer
Um Network Load Balancers mit Zonal Shift zu verwenden, müssen Sie die ARC-Zonal Shift-Integration in den Network Load Balancer Balancer-Attributen aktivieren. Network Load Balancer unterstützt Zonenverschiebung mit zonenübergreifenden aktivierten oder zonenübergreifenden deaktivierten Konfigurationen.
Sie können wählen, für welche Ressourcen Sie sich für die Verwendung von Zonal Shift und Zonal Autoshift entscheiden und wann Sie ein Failaway in einer beeinträchtigten Availability Zone durchführen möchten. Sowohl mit dem Internet verbundene als auch interne Network Load Balancer werden unterstützt.
Um Zonal Shift für Ihren zonenübergreifenden Network Load Balancer zu aktivieren, müssen alle an den Load Balancer angeschlossenen Zielgruppen die folgenden Anforderungen erfüllen.
+ Der zonenübergreifende Lastenausgleich muss aktiviert oder auf eingestellt sein. `use_load_balancer_configuration`
+ Weitere Informationen zum zielgruppenübergreifenden Lastenausgleich finden Sie unter [Zonenübergreifender Lastenausgleich für](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#target-group-cross-zone) Zielgruppen.
+ Das Zielgruppenprotokoll muss TCP oder TLS sein.
+ Weitere Informationen zu den Zielgruppenprotokollen des Network Load Balancer finden Sie unter [Routing-Konfiguration](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#target-group-routing-configuration).
+ Der Verbindungsabbruch für fehlerhafte Ziele muss deaktiviert werden.
+ Weitere Informationen zum Verbindungsabbruch bei Zielgruppen finden Sie unter [Verbindungsabbruch für fehlerhafte](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#unhealthy-target-connection-termination) Ziele.
+ Die Zielgruppe darf keine Application Load Balancer als Ziele haben.
+ Weitere Informationen zu Application Load Balancers als Ziele finden Sie unter [Verwenden von Application Load Balancers als Ziele eines Network Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/application-load-balancer-target.html) Balancer.
Sie können eine Zonenverschiebung für einen Network Load Balancer starten, indem Sie das Widget AWS CLI, das oder das AWS-Managementkonsole Elastic Load Balancing Widget verwenden. Wenn ein Application Load Balancer das Ziel eines Network Load Balancers ist, müssen Sie die Zonenverschiebung vom Network Load Balancer aus starten. Wenn Sie die Zonenverschiebung vom Application Load Balancer aus starten, hört der Network Load Balancer nicht auf, Datenverkehr an den Application Load Balancer und seine Ziele zu senden.
------
#### [ Console ]
**So aktivieren Sie Zonal Shift auf einem Load Balancer (Konsole)**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie auf der **Navigationsseite** unter **Load Balancing** die Option Load **Balancers** aus.
1. Wählen Sie den Namen des Network Load Balancer aus.
1. Klicken Sie auf der Registerkarte **Attribute** auf **Bearbeiten**.
1. **Wählen Sie unter **Availability Zone-Routing-Konfiguration** für **ARC Zonal Shift Integration** die Option Enable aus.**
1. Wählen Sie **Speichern**.
------
#### [ AWS CLI ]
**Um Zonal Shift auf einem Load Balancer zu aktivieren ()AWS CLI**
+ Geben Sie den folgenden Befehl ein:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-nlb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
Weitere Hinweise zum Starten einer Zonenverschiebung finden Sie unter. [Eine Zonenschicht starten, aktualisieren oder stornieren](arc-zonal-shift.start-cancel.md)
## So funktioniert Zonal Shift für Network Load Balancer
ARC verursacht einen Fehler bei der Integritätsprüfung für den registrierten Network Load Balancer, sodass der Network Load Balancer Balancer-Knoten in der beeinträchtigten AZ aus dem DNS entfernt wird, wenn Sie eine Zonenverschiebung starten. Der Network Load Balancer deaktiviert die Ziele in der betroffenen Zone, sodass sie keinen Datenverkehr mehr empfangen, und Elastic Load Balancing behandelt diese Ziele als deaktivierte Ziele für die Zonenverschiebung. Ziele im deaktivierten Zustand erhalten weiterhin Zustandsprüfungen. Wenn die Ziele fehlerfrei sind und die Zonenverschiebung abläuft (oder abgebrochen) wird, wird das Routing zu Zielen in der zuvor beeinträchtigten Zone wieder aufgenommen.
Während der Zonenverschiebung auf Network Load Balancers mit aktiviertem zonenübergreifendem Load Balancing werden die IP-Adressen des zonalen Load Balancers aus DNS entfernt. Bestehende Verbindungen zu Zielen in der beeinträchtigten Availability Zone bleiben bestehen, bis sie organisch geschlossen werden, während neue Verbindungen nicht mehr an Ziele in der beeinträchtigten Availability Zone weitergeleitet werden.
Weitere Informationen finden Sie unter [Zonal Shift für Ihren Network Load Balancer im Network Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/zonal-shift.html) *Balancer-Benutzerhandbuch*.
# Eine Zonenschicht starten, aktualisieren oder stornieren
Dieser Abschnitt enthält Verfahren für die Arbeit mit Zonenschichten, einschließlich des Startens einer Zonenschicht und des Stornierens einer Zonenschicht.
## Starten einer Zonenverschiebung
In den Schritten in diesem Abschnitt wird erklärt, wie Sie eine vom Kunden initiierte Zonenverschiebung auf der Amazon Application Recovery Controller (ARC) -Konsole starten. Informationen zum programmgesteuerten Arbeiten mit Zonal Shift finden Sie im [Zonal](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html) Shift API-Referenzhandbuch.
Sie können nicht nur eine Zonenverschiebung in ARC starten, sondern auch eine Zonenverschiebung für einen Load Balancer in der Elastic Load Balancing Balancing-Konsole (in unterstützten Regionen) starten. Weitere Informationen finden Sie unter [Zonal Shift](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html) im Elastic Load Balancing User Guide.
## So starten Sie eine Zonenverschiebung
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)
1. Wählen Sie unter **Multi-AZ** die Option **Zonal Shift**.
1. Wählen Sie auf der Seite **Zonal Shift** die Option Zonal Shift **starten** aus.
1. Wählen Sie die Availability Zone aus, von der Sie den Verkehr wegverlagern möchten.
1. Wählen Sie eine unterstützte Ressource aus der **Ressourcentabelle** aus, für die Sie den Verkehr wegverlagern möchten.
1. Wählen Sie unter Ablauf der **Zonenschicht festlegen eine Ablaufzeit** für die Zonenschicht aus, oder geben Sie sie ein. Eine Zonenschicht kann so eingestellt werden, dass sie anfänglich für 1 Minute oder bis zu drei Tage (72 Stunden) aktiv ist.
Alle Zonenverschiebungen sind temporär. Sie müssen ein Ablaufdatum festlegen, aber Sie können aktive Schichten später aktualisieren, um einen neuen Ablaufzeitraum von bis zu drei Tagen festzulegen.
1. Geben Sie einen Kommentar ein. Sie können die Zonenverschiebung später aktualisieren, um den Kommentar zu bearbeiten, wenn Sie möchten.
1. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass durch den Start einer Zonenschicht die verfügbare Kapazität für Ihre Anwendung reduziert wird, da der Verkehr von der Availability Zone weg verlagert wird.
1. Wählen Sie **Starten**.
## Aktualisieren oder Abbrechen einer Zonenverschiebung
In den Schritten in diesem Abschnitt wird erklärt, wie Sie eine Zonenverschiebung, die Sie initiieren, auf der Amazon Application Recovery Controller (ARC) -Konsole aktualisieren oder stornieren. Informationen zum programmgesteuerten Arbeiten mit Zonal Shift finden Sie im [Zonal](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html) Shift API-Referenzhandbuch.
Sie können eine Zonenschicht aktualisieren, um ein neues Ablaufdatum festzulegen, oder den Kommentar für die Zonenschicht bearbeiten oder ersetzen. Sie können eine Zonenschicht jederzeit stornieren, bevor sie abläuft.
Sie können Zonenverschiebungen, die Sie initiiert haben, oder Zonenverschiebungen, die für eine Ressource AWS beginnen, für einen Übungslauf für zonale automatische Verschiebung stornieren. Weitere Informationen zu Übungsschichten bei zonaler Autoshift finden Sie unter. [So funktionieren zonale Autoshift- und Übungsläufe](arc-zonal-autoshift.how-it-works.md)
## So aktualisieren Sie eine zonale Schicht
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)
1. Wählen Sie unter **Multi-AZ** die Option **Zonal Shift**.
1. Wählen Sie eine Zonenschicht aus, die Sie aktualisieren möchten, und wählen Sie dann Zonenschicht **aktualisieren** aus.
1. Wählen Sie für **Ablauf der Zonenverschiebung festlegen** optional ein Ablaufdatum aus oder geben Sie es ein.
1. Bearbeiten Sie unter **Kommentar** optional den vorhandenen Kommentar oder geben Sie einen neuen Kommentar ein.
1. Wählen Sie **Aktualisieren** aus.
## Um eine Zonenschicht abzubrechen
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)
1. Wählen Sie unter **Multi-AZ** die Option **Zonal Shift**.
1. Wählen Sie eine Zonenschicht aus, die Sie stornieren möchten, und wählen Sie dann Zonenschicht **stornieren** aus.
1. **Wählen Sie im modalen Bestätigungsdialogfeld die Option Bestätigen.**
# Protokollierung und Überwachung von Zonenverschiebungen in Amazon Application Recovery Controller (ARC)
Sie können es AWS CloudTrail für die Überwachung der Zonenverschiebung in Amazon Application Recovery Controller (ARC) verwenden, um Muster zu analysieren und Probleme zu beheben.
**Topics**
+ [Protokollieren von Zonal Shift-API-Aufrufen mit AWS CloudTrail](cloudtrail-zonal-shift.md)
# Protokollieren von Zonal Shift-API-Aufrufen mit AWS CloudTrail
Zonal Shift for ARC ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ARC ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für Zonal Shift als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der ARC-Konsole und Codeaufrufen an die ARC-API-Operationen für Zonal Shift.
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Zonenverschiebungen. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen.
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an ARC für die Zonenverschiebung gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informationen zur zonalen Schicht in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn in ARC eine Aktivität für die Zonenverschiebung auftritt, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS-Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem System AWS-Konto, einschließlich der Ereignisse für die Zonenverschiebung in ARC, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle ARC-Aktionen werden vom [Routing Control API Reference Guide für Amazon Application Recovery Controller protokolliert CloudTrail und sind im Routing Control API Reference Guide](https://docs.aws.amazon.com/routing-control/latest/APIReference/) dokumentiert. Beispielsweise generieren Aufrufe der `StartZonalShift` und `ListManagedResources` -Aktionen Einträge in den CloudTrail Protokolldateien.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## ARC-Ereignisse im Ereignisverlauf anzeigen
CloudTrail ermöglicht es Ihnen, aktuelle Ereignisse im **Event-Verlauf einzusehen**. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
## Grundlegendes zu Einträgen in der Zonenschichtprotokolldatei
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `ListManagedResources` Aktion für die Zonenverschiebung demonstriert.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `StartZonalShift` Aktion mit einer Konfliktausnahme für Zonal Shift demonstriert.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:10:38Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "StartZonalShift",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"errorCode": "ConflictException",
"errorMessage": "There's already an active zonal shift for that resource identifier: 'arn:aws:testservice:us-west-2:077059137270:testResource/456apples'. Active zonal shift: 'bac23b74-176e-c073-de8f-484ca508910f'",
"requestParameters": {
"resourceIdentifier": "arn:aws:testservice:us-west-2:077059137270:testResource/456apples",
"awayFrom": "usw2-az1",
"expiresIn": "2m",
"comment": "HIDDEN_FOR_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "OP4OYXZ54HUPMIPGWH_EXAMPLE",
"eventID": "0bca6660-e999-43a5-9008-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# Identity and Access Management für Zonenverschiebungen in ARC
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um ARC-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Wie funktioniert Zonal Shift mit IAM](security_iam_service-with-iam-zs.md)
+ [Berechtigungen für Zonal Shift](security_iam_service-with-iam-zonal-shift.md)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples-zonal.md)
# Wie funktioniert Zonal Shift mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Zonal Shift in Amazon Application Recovery Controller (ARC) zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Zonal Shift verwendet werden können.
**IAM-Funktionen, die Sie mit Zonal Shift verwenden können**
| IAM-Feature | Unterstützung für Zonal Shift |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
*Einen allgemeinen Überblick darüber, wie AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für ARC
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Beispiele für identitätsbasierte ARC-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von ARC
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern.
## Politische Maßnahmen zur Zonenverlagerung
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der ARC-Aktionen für Zonal Shift finden Sie unter [Actions defined by Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions) in der *Service Authorization* Reference.
Richtlinienaktionen in ARC für Zonal Shift verwenden vor der Aktion die folgenden Präfixe:
```
arc-zonal-shift
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Zum Beispiel das Folgende:
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "arc-zonal-shift:Describe*"
```
Beispiele für identitätsbasierte ARC-Richtlinien für Zonenverschiebungen finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Zonenverschiebung in ARC](security_iam_id-based-policy-examples-zonal.md)
## Politische Ressourcen für die Zonenverlagerung
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Ressourcentypen und ihrer Aktionen sowie der Aktionen ARNs, die Sie mit dem ARN jeder Ressource angeben können, finden Sie im folgenden Thema in der *Service Authorization Reference*:
+ [Von Amazon Route 53 — Zonal Shift definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie unter dem folgenden Thema in der *Service Authorization Reference:*
+ [Von Amazon Route 53 — Zonal Shift definierte Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Beispiele für identitätsbasierte ARC-Richtlinien für Zonal Shift finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Zonenverschiebung in ARC](security_iam_id-based-policy-examples-zonal.md)
## Schlüssel zu den Bedingungen der Richtlinien für die Zonenverlagerung
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Zustandstasten für zonale Umschaltungen finden Sie unter dem folgenden Thema in der *Service Authorization Reference*:
+ [Von Amazon Route 53 — Zonal Shift definierte Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie in den folgenden Themen in der *Service Authorization Reference:*
+ [Von Amazon Route 53 — Zonal Shift definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
+ [Von Amazon Route 53 — Zonal Shift definierte Ressourcentypen](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-resources-for-iam-policies)
Beispiele für identitätsbasierte ARC-Richtlinien für Zonal Shift finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Zonenverschiebung in ARC](security_iam_id-based-policy-examples-zonal.md)
## Zugriffskontrolllisten () in ARC ACLs
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit ARC
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
ARC bietet die folgende teilweise Unterstützung für ABAC:
+ Zonal Shift unterstützt ABAC für verwaltete Ressourcen, die in ARC für Zonal Shift registriert sind. Weitere Informationen zu den verwalteten Ressourcen von ABAC for Network Load Balancer und Application Load Balancer finden Sie unter [ABAC with Elastic Load Balancing im Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags) User Guide.
## Temporäre Anmeldeinformationen mit ARC verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für ARC
**Unterstützt Forward Access Sessions (FAS):** Ja
Wenn Sie eine IAM-Entität (Benutzer oder Rolle) verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Richtlinien erteilen einem Prinzipal-Berechtigungen. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service auslösen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen.
Informationen darüber, ob für eine Aktion zusätzliche abhängige Aktionen in einer Richtlinie erforderlich sind, finden Sie unter dem folgenden Thema in der *Service Authorization Reference:*
+ [Amazon Route 53 Zonenverschiebung](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## Servicerollen für ARC
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
## Dienstbezogene Rollen für ARC
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Zonal Shift verwendet keine dienstbezogenen Rollen.
# IAM und Berechtigungen für Zonal Shift
Dieser Abschnitt enthält zusätzliche Informationen darüber, wie Berechtigungen für die Zonal Shift-Funktion in Amazon Application Recovery Controller (ARC) funktionieren, insbesondere wenn Sie mit der Funktion von einem anderen AWS Service wie Elastic Load Balancing arbeiten. Informationen zur Funktionsweise von ARC-Funktionen mit IAM und zu Berechtigungen im Allgemeinen finden Sie in den Informationen im Übersichtsthema. [Identity and Access Management für Zonenverschiebungen in ARC](security-iam-zonalshift.md)
Zonal Shift unterstützt Application Load Balancers, Network Load Balancers, Amazon EC2 Auto Scaling Scaling-Gruppen und Amazon EKS. Sie können IAM-Bedingungsschlüssel verwenden, um eine IAM-Berechtigungsrichtlinie auf diese Ressourcen auszudehnen. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die einen Bedingungsschlüssel mit mehreren Ressourcen unterschiedlichen Typs verwendet:
```
{
"Condition": {
"StringLike": {
"arc-zonal-shift:ResourceIdentifier": [
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
"arn:aws:eks:us-east-1:123456789012:cluster/*"
]
}
},
"Action": [
"arc-zonal-shift:StartZonalShift"
],
"Resource": "*",
"Effect": "Allow"
}
```
Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
Zusätzlich zu den im IAM-Übersichtsthema beschriebenen Berechtigungen gilt Folgendes für die Zonenverschiebung für IAM und für Berechtigungen:
+ Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für die Arbeit mit Zonal Shift in ARC verfügen. Weitere Informationen finden Sie unter Zugriff auf die [Zonal Shift Console und Access](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-console-zonal) [Zonal Shift Operations](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-api-zonal).
+ Sie müssen keine zusätzlichen Elastic Load Balancing Balancing-Berechtigungen mit IAM hinzufügen, um mit Zonenverschiebungen für verwaltete Load Balancer-Ressourcen in Ihrem Konto in ARC zu arbeiten.
+ Eine AWS verwaltete Richtlinie, die vollen Zugriff für Elastic Load Balancing bietet, beinhaltet Berechtigungen für die Arbeit mit zonalen Schichten. Wenn Sie AWS verwaltete Richtlinien für den Zugriff auf Elastic Load Balancing verwenden, benötigen Sie keine zusätzlichen Berechtigungen in IAM for Zonal Shift, um Zonal Shifts für Load Balancer zu starten oder in der Elastic Load Balancing Balancing-Konsole damit zu arbeiten. Weitere Informationen finden Sie unter [AWS Verwaltete Richtlinien für Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/managed-policies.html).
# Beispiele für identitätsbasierte Richtlinien für die Zonenverschiebung in ARC
Standardmäßig sind Benutzer und Rollen nicht berechtigt, ARC-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von ARC definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Beispiel: Zugriff auf die Zonal Shift-Konsole](#security_iam_id-based-policy-examples-console-zonal)
+ [Beispiel: Zonal Shift-API-Aktionen](#security_iam_id-based-policy-examples-api-zonal)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand ARC-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Beispiel: Zugriff auf die Zonal Shift-Konsole
Um auf die Amazon Application Recovery Controller (ARC) -Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den ARC-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um Benutzern vollen Zugriff auf die Nutzung von Zonal Shift in zu gewähren AWS-Managementkonsole, fügen Sie dem Benutzer eine Richtlinie wie die folgende hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
## Beispiel: Zonal Shift-API-Aktionen
Die Zonal Shift-API leitet den Datenverkehr vorübergehend von einer Availability Zone weg, um eine Anwendung wiederherzustellen.
Um sicherzustellen, dass ein Benutzer Zonal Shift-API-Aktionen verwenden kann, fügen Sie eine Richtlinie hinzu, die den API-Vorgängen entspricht, mit denen der Benutzer arbeiten muss, z. B. die folgenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
}
]
}
```
------
# Automatische Zonenverschiebung in ARC
Mit Zonal Autoshift autorisieren AWS Sie, den Ressourcenverkehr für eine Anwendung bei Ereignissen in Ihrem Namen aus einer Availability Zone (AZ) zu verlagern, um die Zeit bis zur Wiederherstellung zu verkürzen. AWS startet eine automatische Verschiebung, wenn die interne Telemetrie anzeigt, dass eine Beeinträchtigung der Availability Zone vorliegt, die sich möglicherweise auf Kunden auswirken könnte. Wenn Autoshift AWS gestartet wird, verlagert sich der Anwendungsdatenverkehr zu Ressourcen, die Sie für zonales Autoshift konfiguriert haben, von der Availability Zone weg.
Beachten Sie, dass ARC den Zustand einzelner Ressourcen nicht überprüft. AWS startet einen Autoshift, wenn AWS Telemetrie feststellt, dass eine Beeinträchtigung der Availability Zone vorliegt, die sich möglicherweise auf Kunden auswirken könnte. In einigen Fällen kann der Verkehr zu Ressourcen verlagert werden, die nicht beeinträchtigt werden.
Mit Zonal Autoshift autorisieren Sie auch, AWS den Ressourcenverkehr für eine Anwendung in Ihrem Namen aus einer Availability Zone für regelmäßige Übungsläufe zu verlagern. Für zonales Autoshift sind Übungsläufe erforderlich. Mithilfe der Zonenverschiebungen, die ARC für Übungsläufe startet, können Sie sicherstellen, dass die Verlagerung des Datenverkehrs aus einer Availability Zone während eines Autoshifts für Ihre Anwendung sicher ist. In regelmäßigen Übungsläufen wird getestet, ob Ihre Anwendung ohne eine Availability Zone normal funktionieren kann, indem zonale Verschiebungen gestartet werden, die den Verkehr für eine Ressource von einer Availability Zone weg verlagern. Übungsläufe finden wöchentlich statt und liefern ein Ergebnis (z. B. `SUCCEEDED` oder), anhand dessen Sie feststellen können`FAILED`, ob die Anwendung wie erwartet funktioniert.
**Wichtig**
Bevor Sie Übungsläufe konfigurieren oder Zonal Autoshift aktivieren, empfehlen wir dringend, die Kapazität Ihrer Anwendungsressourcen in allen Availability Zones in der Region, in der Ihre Anwendungsressourcen bereitgestellt werden, vorab zu skalieren. Wenn ein Autoshift- oder Übungslauf gestartet wird, sollten Sie sich nicht auf die bedarfsorientierte Skalierung verlassen. Zonal Autoshift, einschließlich Übungsläufen, funktioniert unabhängig und wartet nicht, bis die Auto Scaling-Aktionen abgeschlossen sind. Wenn Sie sich auf Auto Scaling statt auf Vorskalierung verlassen, kann es länger dauern, bis Ihre Anwendung wiederhergestellt ist.
Wenn Sie Auto Scaling verwenden, um regelmäßige Verkehrszyklen zu bewältigen, empfehlen wir Ihnen dringend, die Mindestkapazität Ihres Auto Scaling so zu konfigurieren, dass es auch beim Verlust einer Availability Zone normal weiterläuft.
Wenn Sie planen, zonales Autoshift zu aktivieren oder Übungsläufe zu konfigurieren, testen Sie, nachdem Sie die Kapazität Ihrer Anwendungsressourcen vorab skaliert haben, ob Ihre Anwendung auch ohne eine Availability Zone normal funktionieren kann. Um dies zu testen, starten Sie eine zonale Verschiebung, um den Verkehr für eine Ressource von einer Availability Zone weg zu verlagern.
Nachdem Sie Zonal Autoshift aktiviert haben, empfehlen wir Ihnen, durch Starten und Evaluieren eines On-Demand-Praxislaufs mit Zonal Shift zu überprüfen, ob Ihre Anwendung auch dann normal weiterlaufen kann, wenn der Verkehr von einer Availability Zone weg verlagert wird. Anschließend können Sie anhand der regelmäßigen Übungsläufe, die ARC durchführt, kontinuierlich überprüfen, ob Sie über genügend Kapazität für Autoshift verfügen.
Um sicherzustellen, dass Ihre Tests mit Zonal Shift effektiv sind, müssen Sie überprüfen, ob der Verkehr von der AZ, von der Sie wegwechseln, erwartungsgemäß abfließt. Beispielsweise bieten sowohl Application Load Balancers als auch Network Load Balancers in Amazon Metriken pro AZ, mit CloudWatch denen Sie dies überwachen können. Je nachdem, wie lange ein Service und die Clients Verbindungen wiederverwenden, kann der Datenverkehr zu der AZ, von der Sie sich entfernt haben, länger als erwartet fortgesetzt werden. Weitere Informationen finden Sie unter [Beschränken Sie die Zeit, in der Kunden mit Ihren Endpunkten verbunden bleiben](arc-zonal-autoshift.considerations.md#ZAConsiderationsCurrentConnections).
Sie können Zonal Autoshift für eine unterstützte Ressource in der ARC-Konsole aktivieren. Oder Sie haben in der Amazon EC2 EC2-Konsole die Möglichkeit, Zonal Autoshift für eine bestimmte Load Balancer-Ressource zu aktivieren. Weitere Informationen zur Aktivierung von Zonal Autoshift mit Elastic Load Balancing finden Sie unter [Zonal Shift](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html) im Elastic Load Balancing User Guide.
Autoshifts und Practice Run Zonal Shifts sind temporär. Bei Autoshifts wird bei Wiederherstellung der betroffenen Availability Zone die Verlagerung des Datenverkehrs für Ressourcen aus der Availability Zone AWS beendet. Der Anwendungsdatenverkehr für Kunden kehrt zu allen Availability Zones in der Region zurück. Bei einem Testlauf wird der Datenverkehr für eine einzelne Ressource für etwa 30 Minuten von einer Availability Zone weg verlagert und dann zurück zu allen Availability Zones in der Region verlagert.
Sie können EventBridge Amazon-Benachrichtigungen so konfigurieren, dass Sie über automatische Schichten und Übungsläufe informiert werden. Weitere Informationen finden Sie unter [Zonal Autoshift mit Amazon verwenden EventBridge](eventbridge-zonal-autoshift.md).
# So funktionieren zonale Autoshift- und Übungsläufe
Die zonale Autoshift-Funktion in Amazon Application Recovery Controller (ARC) ermöglicht es, den Verkehr für eine Ressource in Ihrem Namen von einer Availability Zone weg AWS zu verlagern, wenn AWS festgestellt wird, dass eine Beeinträchtigung vorliegt, die sich möglicherweise auf Kunden in der Availability Zone auswirken könnte. Zonal Autoshift ist für eine Ressource konzipiert, die in allen Availability Zones in einer vorskaliert ist AWS-Region, sodass eine Anwendung auch nach dem Verlust einer Availability Zone normal ausgeführt werden kann.
Bei Zonal Autoshift müssen Sie Übungsläufe konfigurieren, bei denen ARC den Datenverkehr für die Ressource regelmäßig von einer Availability Zone weg verlagert. ARC plant etwa wöchentlich Übungsläufe für jede Ressource, der eine Übungslaufkonfiguration zugeordnet ist. Übungsläufe für jede Ressource werden unabhängig voneinander geplant.
Für jeden Übungslauf zeichnet ARC ein Ergebnis auf. Wenn ein Übungslauf durch eine Blockierung unterbrochen wird, wird das Ergebnis des Übungslaufs nicht als erfolgreich markiert. Weitere Informationen zu den Ergebnissen von Übungsläufen finden Sie unter [Ergebnisse von Übungsläufen](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes).
Sie können EventBridge Amazon-Benachrichtigungen so konfigurieren, dass Sie Informationen zu Autoshifts und Übungsläufen erhalten. Weitere Informationen finden Sie unter [Zonal Autoshift mit Amazon verwenden EventBridge](eventbridge-zonal-autoshift.md).
**Topics**
+ [Über Zonal Autoshift](arc-zonal-autoshift.how-it-works.about.md)
+ [Wann AWS startet und stoppt Autoshift](arc-zonal-autoshift.how-it-works.start-stop-auto.md)
+ [Wenn ARC Übungsläufe plant, startet und beendet](arc-zonal-autoshift.how-it-works.scheduled-practice-runs.md)
+ [Kapazitätsprüfungen für Übungsläufe](arc-zonal-autoshift.how-it-works.capacity-check.md)
+ [Benachrichtigung für Übungsläufe und automatische Verschiebungen](arc-zonal-autoshift.how-it-works.notifications.md)
+ [Vorrang für zonale Verschiebungen](arc-zonal-autoshift.how-it-works.precedence.md)
+ [Einen aktiven Autoshift- oder Übungslauf beenden](arc-zonal-autoshift.how-it-works.stop-shift.md)
+ [Wie wird der Verkehr wegverlagert](arc-zonal-autoshift.how-it-works.how-traffic-shifted.md)
+ [Alarme für Übungsläufe](arc-zonal-autoshift.how-it-works.alarms.md)
+ [Blockierte Fenster und erlaubte Fenster (in UTC)](arc-zonal-autoshift.how-it-works.blocked-windows.md)
# Über Zonal Autoshift
Zonal Autoshift ist eine Funktion, mit der der Datenverkehr von AWS Anwendungsressourcen in Ihrem Namen von einer Availability Zone weggeleitet wird. AWS startet eine automatische Verschiebung, wenn die interne Telemetrie anzeigt, dass eine Beeinträchtigung der Availability Zone vorliegt, die sich möglicherweise auf Kunden auswirken könnte. Die interne Telemetrie beinhaltet Metriken aus verschiedenen Quellen, darunter dem AWS Netzwerk und den Amazon EC2- und Elastic Load Balancing Balancing-Diensten.
Sie müssen Zonal Autoshift für unterstützte Ressourcen manuell aktivieren. AWS
Wenn Sie AWS Anwendungen auf Load Balancern in mehreren (in der Regel drei) AZs in einer Region bereitstellen und ausführen und zur Unterstützung statischer Stabilität vorab skalieren, AWS können Sie Kundenanwendungen in einer AZ schnell wiederherstellen, indem Sie den Datenverkehr mit Autoshift wegverlagern. Durch die Verlagerung des Ressourcenverkehrs auf andere AZs Standorte in der Region AWS können Dauer und Schwere potenzieller Auswirkungen reduziert werden, die durch Stromausfälle, Hardware- oder Softwareprobleme in einer AZ oder andere Beeinträchtigungen verursacht werden.
Die von ARC unterstützten Ressourcen bieten Integrationen, die die angegebene AZ als fehlerhaft kennzeichnen, was dazu führt, dass der Verkehr von der beeinträchtigten AZ weggeleitet wird.
Wenn Sie Zonal Autoshift für eine Ressource aktivieren, müssen Sie auch einen Testlauf für die Ressource konfigurieren. AWS führt etwa wöchentlich 30-minütige Übungsläufe durch, um sicherzustellen, dass Sie über genügend Kapazität verfügen, um Ihre Anwendung auch ohne eine der Availability Zones in der Region auszuführen.
Wie bei Zonal Shift gibt es einige spezifische Szenarien, in denen Zonal Autoshift den Verkehr nicht von der AZ weg verlagert. Wenn die Load Balancer-Zielgruppen beispielsweise AZs keine Instances haben oder wenn alle Instances fehlerhaft sind, befindet sich der Load Balancer in einem Fail-Open-Status und Sie können keine der Instanzen wegverlagern. AZs
Weitere Informationen zu Zonal Autoshift finden Sie unter. [Automatische Zonenverschiebung in ARC](arc-zonal-autoshift.md)
# Wann AWS startet und stoppt Autoshift
Wenn Sie Zonal Autoshift für eine Ressource aktivieren, autorisieren AWS Sie, den Ressourcenverkehr für eine Anwendung bei Ereignissen in Ihrem Namen aus einer Availability Zone zu verlagern, um die Zeit bis zur Wiederherstellung zu verkürzen.
Um dies zu erreichen, verwendet Zonal Autoshift AWS Telemetrie, um so früh wie möglich zu erkennen, dass eine Beeinträchtigung der Availability Zone vorliegt, die sich möglicherweise auf Kunden auswirken könnte. Wenn ein Autoshift AWS gestartet wird, wird der Datenverkehr zu den konfigurierten Ressourcen sofort von der beeinträchtigten Availability Zone wegverlagert, was sich möglicherweise auf Kunden auswirken könnte.
Zonal Autoshift ist eine Funktion, die für Kunden konzipiert wurde, die ihre Anwendungsressourcen für alle Availability Zones in einem vorab skaliert haben. AWS-Region Sie sollten sich nicht auf die bedarfsorientierte Skalierung verlassen, wenn ein Autoshift oder ein Übungslauf gestartet wird.
AWS beendet einen Autoshift, wenn festgestellt wird, dass die Availability Zone wiederhergestellt wurde.
# Wenn ARC Übungsläufe plant, startet und beendet
ARC plant wöchentlich einen Übungslauf für eine Ressource, der etwa 30 Minuten dauert. ARC plant, startet und verwaltet Übungsläufe für jede Ressource unabhängig voneinander. ARC fasst keine Übungsläufe für Ressourcen auf demselben Konto zusammen. Sie können auch selbst Übungsläufe auf Abruf starten, um sicherzustellen, dass Ihr Setup für ein zonales Autoshift-Ereignis gewappnet ist.
Wenn ein Übungslauf für die erwartete Dauer ohne Unterbrechung fortgesetzt wird, wird er mit einem Ergebnis von markiert. `SUCCESSFUL` Es gibt mehrere andere mögliche Ergebnisse: `FAILED``INTERRUPTED`, `CAPACITY_CHECK_FAILED` und`PENDING`. Ergebniswerte und Beschreibungen sind im Abschnitt [Ergebnisse der Übungsläufe](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes) enthalten.
Es gibt einige Szenarien, in denen ARC einen Übungslauf unterbricht und beendet. Wenn beispielsweise ein Autoshift während eines Übungslaufs startet, unterbricht ARC den Übungslauf und beendet ihn. Nehmen wir als weiteres Beispiel an, dass die Ressource negativ auf einen Übungslauf reagiert und einen Alarm auslöst, den Sie zur Überwachung des Übungslaufs angegeben haben, sodass dieser in einen `ALARM` Zustand übergeht. In diesem Szenario unterbricht ARC auch den Übungslauf und beendet ihn.
Darüber hinaus gibt es mehrere Szenarien, in denen ARC keinen geplanten Übungslauf für eine Ressource startet.
Als Reaktion auf unterbrochene und blockierte Übungsläufe für eine Ressource geht ARC wie folgt vor:
+ Wenn ein Übungslauf für eine Ressource unterbrochen wird, während er in Bearbeitung ist, betrachtet ARC den wöchentlichen Übungslauf als beendet und plant für die nächste Woche einen neuen Übungslauf für die Ressource. Das wöchentliche Trainingsergebnis `INTERRUPTED` entspricht diesem Szenario, nicht`FAILED`. Das Ergebnis des Übungslaufs wird `FAILED` nur dann angezeigt, wenn der Ergebnisalarm, der den Übungslauf überwacht, während des Übungslaufs in einen `ALARM` Zustand übergeht.
+ Wenn beim geplanten Start eines Übungslaufs für eine Ressource eine Sperrbeschränkung besteht, startet ARC den Übungslauf nicht. ARC setzt die regelmäßige Überwachung fort, um festzustellen, ob immer noch eine oder mehrere Sperrbeschränkungen bestehen. Wenn es keine Blockierungsbeschränkungen gibt, startet ARC den Übungslauf für die Ressource.
Im Folgenden finden Sie Beispiele für Blockierungsbeschränkungen, die ARC daran hindern, einen Übungslauf für eine Ressource zu starten oder fortzusetzen:
+ ARC startet oder setzt keine Übungsläufe fort, wenn gerade ein AWS Fault Injection Service Experiment läuft. Wenn ein AWS FIS Ereignis aktiv ist, obwohl ARC den Start eines Übungslaufs geplant hat, startet ARC den Übungslauf nicht. ARC überwacht während der Trainingsläufe die Blockierung von Einschränkungen, einschließlich eines AWS FIS Ereignisses. Wenn ein AWS FIS Ereignis beginnt, während ein Übungslauf aktiv ist, beendet ARC den Übungslauf und versucht erst, einen weiteren zu starten, wenn der nächste reguläre Übungslauf für die Ressource stattfindet.
+ Wenn in einer Region ein aktuelles AWS Ereignis stattfindet, startet ARC keine Übungsläufe für Ressourcen und beendet aktive Übungsläufe in der Region.
Wenn der Trainingslauf ohne Unterbrechung beendet ist, plant ARC wie gewohnt den nächsten Trainingslauf in einer Woche. Wenn ein Übungslauf aufgrund einer Sperrbeschränkung nicht gestartet wird, z. B. aufgrund eines AWS FIS Experiments oder eines von Ihnen angegebenen blockierten Zeitfensters, versucht ARC weiterhin, einen Übungslauf zu starten, bis der Übungslauf gestartet werden kann.
# Kapazitätsprüfungen für Übungsläufe
Wenn ein Testlauf gestartet wird, führt ARC eine Überprüfung durch, um den Verkehr vorübergehend von einer Availability Zone weg zu verlagern, um sicherzustellen, dass Sie in anderen Availability Zones über genügend Kapazität verfügen, um den Verkehr sicher von der AZ weg zu leiten. Wenn nicht genügend Kapazität verfügbar ist, wird die Verkehrsverlagerung für den Übungslauf nicht gestartet und der Testlauf wird beendet.
Darüber hinaus führt ARC nach Abschluss eines zonalen Autoshifts eine Kapazitätsprüfung der Load Balancer-Ressourcen durch, bevor ARC die durch den Autoshift gestartete Verkehrsschicht beendet. Schlägt die Kapazitätsprüfung fehl, wenn der Autoshift endet, wird der Verkehr nicht zurück in die Availability Zone verlagert, aus der er verschoben wurde.
Prüfungen auf ausgeglichene Kapazität werden nur für Load Balancer und Auto Scaling Scaling-Gruppen durchgeführt.
Bei einer Load Balancer-Ressource wird durch Kapazitätsprüfungen bestätigt, dass fehlerfreie Hosts, die dem Load Balancer zugeordnet sind, auf die Availability Zones verteilt sind. Insbesondere stellen Kapazitätsprüfungen sicher, dass die Anzahl der fehlerfreien Hosts in allen Availability Zones, in denen die Ressource registriert ist, ausgewogen ist. Bei Kapazitätsprüfungen bedeutet „ausgewogen“, dass die intakte Kapazität für jede Availability Zone innerhalb einer kleinen Abweichung mit den anderen Zonen gleichwertig ist.
Beachten Sie, dass Kapazitätsprüfungen weder auf Load Balancer mit Zielgruppen vom Typ Lambda noch auf Application Load Balancers angewendet werden, da diese Ziele nicht zonal konfiguriert sind.
Kapazitätsprüfungen werden auch für Auto Scaling Scaling-Gruppen abgeschlossen. Bei einer Auto Scaling Scaling-Gruppe wird durch Kapazitätsprüfungen bestätigt, dass die gesamte gesunde zonale Kapazität einer Auto Scaling Scaling-Gruppe — d. h. die Anzahl der insgesamt fehlerfreien Hosts in allen Availability Zones — dem gewünschten Kapazitätssatz für diese Auto Scaling Scaling-Gruppe entspricht.
**Wenn eine Kapazitätsprüfung fehlschlägt**
Wenn bei einer Kapazitätsprüfung festgestellt wird, dass die verfügbare Kapazität für eine Ressource nicht ausgeglichen ist, lautet das Ergebnis des Übungslaufs`CAPACITY_CHECK_FAILED`. Weitere Informationen darüber, warum eine Kapazitätsprüfung fehlgeschlagen ist, finden Sie im Kommentarfeld für`ZonalShiftSummary`. Gehen Sie wie folgt vor, um das Kommentarfeld für Ihren Übungslauf mit zonaler Schicht zu finden:
1. Führen Sie mithilfe von die AWS CLI zonalen Verschiebungen für die Ressource auf, die Sie im Übungslauf mithilfe der [ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html)API-Operation angegeben haben.
FOr Um beispielsweise die zonalen Verschiebungen zurückzugeben, können Sie einen Befehl ausführen, der dem folgenden ähnelt:
```
aws arc-zonal-shift start-practice-run
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890"
```
1. Überprüfen Sie die Reihe der zurückgegebenen `ZonalShiftSummary` Objekte, um die Zonenverschiebung für den Übungslauf zu ermitteln, der aufgrund von Kapazitätsprüfungen fehlgeschlagen ist.
1. Die zutreffende Zonenverschiebung finden Sie in den Informationen in dem `Comment` Feld.
# Benachrichtigung für Übungsläufe und automatische Verschiebungen
Sie können wählen, ob Sie über Übungsläufe und automatische Verschiebungen für Ihre Ressource informiert werden möchten, indem Sie EventBridge Amazon-Benachrichtigungen einrichten. Sie können EventBridge Benachrichtigungen einrichten, auch wenn Sie Zonal Autoshift noch nicht für Ressourcen aktiviert haben. Dies wird als *Autoshift-Observer-Benachrichtigung* bezeichnet. Mit der Autoshift-Observer-Benachrichtigung werden Sie über alle Autoshifts informiert, die ARC startet, wenn eine Availability Zone potenziell beeinträchtigt ist. Beachten Sie, dass Sie diese Option in allen Bereichen konfigurieren müssen AWS-Region , über die Sie Benachrichtigungen erhalten möchten.
Die Schritte zur Aktivierung der Autoshift-Observer-Benachrichtigung finden Sie unter[Autoshift-Observer-Benachrichtigung aktivieren oder deaktivieren](arc-zonal-autoshift.enable-autoshift-observer.md). Weitere Informationen zu Benachrichtigungsoptionen und deren Konfiguration finden Sie EventBridge unter[Zonal Autoshift mit Amazon verwenden EventBridge](eventbridge-zonal-autoshift.md).
# Vorrang für zonale Verschiebungen
Zu einem bestimmten Zeitpunkt kann nicht mehr als eine Zonenverschiebung angewendet werden. Das heißt, nur eine Praxis führt eine Zonenverschiebung, eine vom Kunden initiierte Zonenverschiebung, automatische Verschiebung oder AWS FIS ein Experiment für die Ressource durch. Wenn eine zweite Zonenverschiebung gestartet wird, bestimmt ARC anhand einer Rangfolge, welcher Typ der Zonenverschiebung für eine Ressource gilt.
Das allgemeine Prioritätsprinzip besagt, dass zonale Schichten, die Sie als Kunde starten, Vorrang vor anderen Schichttypen haben. Beachten Sie jedoch, dass ein aktuell ausgeführter, AWS initiierter Übungslauf Sie daran hindert, einen Übungslauf auf Anforderung zu starten.
Zur Veranschaulichung der Rangfolge in ARC wird die Rangfolge anhand von Beispielszenarien wie folgt dargestellt:
| Der Typ der zonalen Schicht wurde angewendet | Der Typ der zonalen Verschiebung wurde eingeleitet | Ergebnis |
| --- | --- | --- |
| AWS FIS Experiment | Üben, laufen | Der Übungslauf kann nicht gestartet werden, da das AWS FIS Experiment Vorrang hat. |
| AWS FIS Experiment | Manuelle Zonenverschiebung | Das AWS FIS Experiment wird abgebrochen und die manuelle Zonenverschiebung wird angewendet. |
| AWS FIS Experiment | Automatische Zonenverschiebung | Das AWS FIS Experiment wird abgebrochen und der zonale Autoshift wird angewendet. |
| AWS FIS Experiment | AWS FIS experimentieren | Das initiierte AWS FIS Experiment kann nicht gestartet werden, da bereits ein Experiment läuft, das die AWS FIS Autoshift-Aktion ausgelöst hat. |
| Übungslauf | Manuelle Zonenverschiebung | Der Übungslauf wird abgebrochen und das Ergebnis auf eingestelltINTERRUPTED, und die Zonenverschiebung wird angewendet. |
| Übungslauf | AWS FIS experimentiere | Der Übungslauf wird abgebrochen und das Ergebnis auf eingestelltINTERRUPTED, und das AWS FIS Experiment wird angewendet. |
| Übungslauf | Automatische Zonenverschiebung | Der Übungslauf wird abgebrochen und das Ergebnis auf gesetztINTERRUPTED, und der zonale Autoshift wird angewendet. |
| Manueller zonaler Wechsel | Übungslauf | Der Übungslauf kann nicht gestartet werden. |
| Manuelle Zonenverschiebung | AWS FIS experimentieren | Das AWS FIS Experiment kann nicht gestartet werden oder schlägt fehl, wenn es bereits läuft. |
| Manuelle Zonenverschiebung | Automatische Zonenverschiebung | Der zonale Autoshift wird zwar durchgeführt, ACTIVE aber nicht APPLIED auf der Ressource. Die manuelle Zonenverschiebung hat Vorrang. |
| Automatische Zonenverschiebung | AWS FIS experimentieren | Das AWS FIS Experiment kann nicht gestartet werden oder schlägt fehl, wenn es gerade läuft. |
| Automatische Zonenverschiebung | Manuelle Zonenverschiebung | Der zonale Autoshift wird zwar durchgeführt, ACTIVE aber nicht APPLIED auf der Ressource. Die manuelle Zonenverschiebung hat Vorrang. |
| Automatische Zonenverschiebung | Übungslauf | Der Übungslauf kann nicht gestartet werden, da der zonale Autoshift Vorrang hat. |
Für die Datenverkehrsverschiebung, die derzeit für die Ressource in Kraft ist, ist der Status der angewendeten Zonenverschiebung auf `APPLIED` festgelegt. Es ist immer nur eine Verschiebung auf `APPLIED` eingestellt. Andere Schichten, die gerade in Bearbeitung sind, sind zwar auf den Status eingestellt`NOT_APPLIED`, haben aber weiterhin ihren Status. `ACTIVE`
# Beenden eines aktiven Autoshift- oder Übungslaufs für eine Ressource
Um eine laufende automatische Verschiebung für eine Ressource zu beenden, müssen Sie die Zonenverschiebung abbrechen.
Für die Ressource finden weiterhin reguläre Übungsläufe nach demselben Zeitplan statt. Wenn Sie zusätzlich zur Deaktivierung von Autoshifts auch die Übungsläufe beenden möchten, müssen Sie die der Ressource zugeordnete Übungslaufkonfiguration löschen.
Wenn Sie eine Übungslaufkonfiguration löschen, werden keine Übungsläufe AWS mehr ausgeführt, bei denen der Verkehr für die Ressource jede Woche aus einer Availability Zone verlagert wird. Da für zonales Autoshift außerdem Übungsläufe erforderlich sind, deaktiviert diese Aktion beim Löschen einer Übungslaufkonfiguration mithilfe der ARC-Konsole auch zonales Autoshift für die Ressource. Beachten Sie jedoch, dass Sie, wenn Sie die Zonal Autoshift API verwenden, um einen Übungslauf zu löschen, zuerst Zonal Autoshift für die Ressource deaktivieren müssen.
Weitere Informationen erhalten Sie unter [Abbrechen eines zonalen Autoshifts](arc-zonal-autoshift.canceling-an-autoshift.md) und [Zonal Autoshift aktivieren und damit arbeiten](arc-zonal-autoshift.start-cancel.md).
# Wie wird der Verkehr wegverlagert
Bei Autoshifts und in der Praxis ausgeführten Zonenschichten wird der Verkehr von einer Availability Zone weggeleitet. Dabei wird derselbe Mechanismus verwendet, den ARC für vom Kunden initiierte Zonenverschiebungen verwendet. Eine fehlerhafte Zustandsprüfung führt dazu, dass Amazon Route 53 die entsprechenden IP-Adressen für die Ressource aus dem DNS entfernt, sodass der Verkehr aus der Availability Zone umgeleitet wird. Neue Verbindungen werden jetzt stattdessen an andere Availability Zones in der weitergeleitet. AWS-Region
Wenn bei Autoshift eine Availability Zone wiederhergestellt wird und AWS beschließt, den Autoshift zu beenden, macht ARC den Zustandsprüfungsprozess rückgängig und fordert, dass die Route 53-Zustandsprüfungen rückgängig gemacht werden. Anschließend werden die ursprünglichen zonalen IP-Adressen wiederhergestellt, und wenn die Integritätsprüfungen weiterhin fehlerfrei sind, wird die Availability Zone wieder in das Routing der Anwendung aufgenommen.
Es ist wichtig, sich bewusst zu sein, dass Autoshifts nicht auf Integritätsprüfungen basieren, die den zugrunde liegenden Zustand von Load-Balancern oder Anwendungen überwachen. ARC verwendet Integritätsprüfungen, um den Verkehr von Availability Zones wegzuleiten, indem es verlangt, dass die Zustandsprüfungen auf fehlerhaft gesetzt werden, und stellt dann wieder den Normalzustand der Integritätsprüfungen wieder her, wenn ein Autoshift oder ein zonaler Shift beendet wird.
# Alarme für Übungsläufe
Im zonalen Autoshift können Sie zwei Arten von CloudWatch Alarmen für Übungsläufe angeben: Ergebnisalarme und Blockierungsalarme.
**Ergebnisalarme (erforderlich)**
Für den ersten Alarmtyp, den *Ergebnisalarm*, muss mindestens ein Alarm angegeben werden. Sie sollten Ergebnisalarme so konfigurieren, dass der Zustand Ihrer Anwendung überwacht wird, wenn der Datenverkehr bei jedem 30-minütigen Übungslauf von einer Availability Zone weggeleitet wird.
Damit ein Übungslauf effektiv ist, geben Sie als Ergebniswarnungen mindestens einen CloudWatch Alarm an, der die beiden folgenden Kriterien erfüllt:
Der Alarm überwacht die Messwerte für die Ressource oder für Ihre Anwendung
AND
Der Alarm reagiert mit einem `ALARM` Status, wenn Ihre Anwendung durch den Verlust einer Availability Zone beeinträchtigt wird.
Weitere Informationen finden Sie im Abschnitt **Alarme, die Sie für Übungsläufe angeben**, unter[Bewährte Methoden bei der Konfiguration von Zonal Autoshift](arc-zonal-autoshift.considerations.md).
Ergebnisalarme enthalten auch Informationen zum *Ergebnis des Übungslaufs*, die ARC für jeden Übungslauf meldet. Wenn ein Ergebnisalarm in einen `ALARM` Zustand übergeht, beendet ARC den Übungslauf und gibt das Ergebnis des Übungslaufs von zurück`FAILED`. Wenn der Übungslauf den 30-minütigen Testzeitraum abschließt und keiner der von Ihnen angegebenen Ergebnisalarme einen `ALARM` Status erreicht, lautet das zurückgegebene Ergebnis`SUCCEEDED`. Eine Liste aller Ergebniswerte mit Beschreibungen finden Sie im Abschnitt [Ergebnisse der Übungsläufe](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes).
**Blockieren von Alarmen (optional)**
Optional können Sie einen zweiten Alarmtyp angeben, den *Blockierungsalarm*. Das Blockieren von Alarmen verhindert, dass Übungsläufe gestartet oder fortgesetzt werden, wenn sich einer oder mehrere Alarme in einem bestimmten `ALARM` Zustand befinden. Das Blockieren von Alarmen verhindert, dass Übungsläufe mit Verkehrsschichten gestartet werden, und beendet alle laufenden Übungsläufe, wenn sich mindestens einer der Alarme im Status befindet. `ALARM`
Wenn beispielsweise in einer großen Architektur mit mehreren Microservices ein Problem auftritt, möchten Sie in der Regel alle anderen Änderungen in der Anwendungsumgebung unterbinden. Dazu gehört auch das Blockieren von Übungsläufen. Um dies zu erreichen, können Sie in ARC einen Blockierungsalarm hinzufügen.
# Blockierte Fenster und erlaubte Fenster (in UTC)
Sie haben die Möglichkeit, Übungsläufe für bestimmte Kalenderdaten oder für bestimmte Zeitfenster, d. h. Tage und Uhrzeiten, die in UTC angegeben sind, zu *blockieren* oder *zuzulassen*.
Wenn Sie beispielsweise ein Anwendungsupdate haben, das am 1. Mai 2024 gestartet werden soll, und Sie nicht möchten, dass zu diesem Zeitpunkt durch Übungsläufe der Verkehr weggelenkt wird, können Sie ein Sperrdatum für festlegen`2024-05-01`.
Oder nehmen wir an, Sie führen drei Tage die Woche Zusammenfassungen von Geschäftsberichten durch. In diesem Szenario könnten Sie die folgenden wiederkehrenden Tage und Uhrzeiten als blockierte Fenster festlegen, z. B. in UTC:`MON-20:30-21:30 WED-20:30-21:30 FRI-20:30-21:30`.
Alternativ könnten Sie entscheiden, dass mittwochs und freitags von 12:00 bis 17:00 Uhr die besten Zeiten für ARC sind, um mit Übungsläufen zu beginnen, um Ihr Setup zu testen. In diesem Szenario könnten Sie die folgenden wiederkehrenden Tage und Uhrzeiten als zulässige Zeitfenster festlegen, z. B. in UTC:. `WED-12:00-17:00 FRI-12:00-17:00`
# AWS-Region Verfügbarkeit für Zonal Autoshift
Zonal Shift und Zonal Autoshift sind derzeit sowohl in den kommerziellen AWS-Regionen Regionen als auch in den Regionen China (Peking) und China (Ningxia) verfügbar.
Ressourcen, die Amazon Application Recovery Controller (ARC) verwenden, können zusätzliche Überlegungen beinhalten. Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
Eine Liste der Regionen und detaillierte Informationen zu regionalen Support- und Service-Endpunkten für ARC finden Sie unter [Amazon Application Recovery Controller (ARC) -Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/r53arc.html) in der *Amazon Web Services General* Reference.
# Komponenten der automatischen Zonenverschiebung
Das folgende Diagramm zeigt ein Beispiel für eine automatische Verlagerung des Datenverkehrs von einer Availability Zone weg. AWS startet eine automatische Verschiebung, wenn die interne Telemetrie anzeigt, dass eine Beeinträchtigung der Availability Zone vorliegt, die sich möglicherweise auf Kunden auswirken könnte.
![\[Diagramm eines Autoshifts mit drei Availability Zones\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/images/ZonalAutoshiftDiagram.png)
Im Folgenden sind die Komponenten der zonalen Autoshift-Funktionen in ARC aufgeführt.
**Zonale Autoshifts**
Zonal Autoshift verlagert den Verkehr weg zu einer Ressource, ohne dass Sie etwas unternehmen müssen. Zonal Autoshift ist eine Funktion in ARC, bei der ein Autoshift AWS gestartet wird, wenn die interne Telemetrie anzeigt, dass eine Beeinträchtigung der Availability Zone vorliegt, die sich möglicherweise auf Kunden auswirken könnte. Beachten Sie, dass in einigen Fällen Ressourcen verlagert werden können, die keine Auswirkungen haben.
**Das Training läuft**
Wenn Sie Zonal Autoshift für eine Ressource aktivieren, müssen Sie auch Zonal *Autoshift-Übungsläufe* für die Ressource konfigurieren. AWS führt eine zonale Schicht für Übungsläufe etwa wöchentlich für etwa 30 Minuten durch. Sie können Übungsläufe auch nach Bedarf planen.
Übungsläufe stellen sicher, dass Ihre Anwendung normal ausgeführt werden kann, auch wenn eine Availability Zone verloren geht. In einem Übungslauf wird der Verkehr für eine Ressource mit einer zonalen Verschiebung von einer Availability Zone weg AWS verlagert und dann, wenn der Übungslauf beendet ist, wieder zurückverlagert.
**Konfigurationen für den Übungslauf**
Mit einer Konfiguration für Übungsläufe können Sie die Zeitrahmen (blockierte oder zulässige Zeitfenster) definieren, in denen ARC einen Übungslauf für eine Ressource mit zonalem Autoshift starten kann. Sie definieren auch die CloudWatch Alarme für einen AWS Übungslauf. Sie können die Konfiguration eines Übungslaufs jederzeit bearbeiten, um blockierte oder zulässige Fenster hinzuzufügen oder zu ändern oder um die Alarme für den Übungslauf zu aktualisieren.
Um Zonal Autoshift zu aktivieren, müssen Sie über eine Konfiguration für den Übungslauf für eine Ressource verfügen.
Sie können einen Übungslauf löschen, aber zuerst müssen Sie Zonal Autoshift deaktivieren.
**Alarme für den Übungslauf**
Wenn Sie Übungsläufe konfigurieren, geben Sie CloudWatch Alarme (die Sie zuerst erstellen CloudWatch) auf der Grundlage Ihrer Ressourcen- und Anwendungsanforderungen an. Die von Ihnen angegebenen Alarme können den Start eines Übungslaufs verhindern oder einen laufenden Übungslauf beenden, falls Ihre Anwendung durch den Übungslauf beeinträchtigt wird.
Wenn ein von Ihnen festgelegter Alarm in einen bestimmten `ALARM` Zustand übergeht, beendet ARC die Zonenverschiebung für den Übungslauf, sodass der Datenverkehr für die Ressource nicht mehr von der Availability Zone wegverlagert wird.
Es gibt zwei Arten von Alarmen, die Sie für Übungsläufe angeben: *Ergebnisalarme*, um den Zustand Ihrer Ressource und Anwendung während des Übungslaufs zu überwachen, und *blockierende* Alarme, die Sie konfigurieren können, um zu verhindern, dass Übungsläufe gestartet werden, oder um einen laufenden Übungslauf zu beenden. Es ist mindestens ein Ergebnisalarm erforderlich; Blockierungsalarme sind optional.
**Ergebnisse des Übungslaufs**
ARC meldet für jeden Übungslauf ein Ergebnis. Nachfolgend sind die möglichen Ergebnisse eines Übungslaufs aufgeführt:
+ **AUSSTEHEND:** Die Zonenverschiebung für den Übungslauf ist aktiv (läuft). Es gibt noch kein Ergebnis, das angezeigt werden kann.
+ **ERFOLGREICH:** Der Ergebnisalarm hat während des Übungslaufs keinen `ALARM` Status erreicht, und der Übungslauf hat den gesamten 30-minütigen Testzeitraum abgeschlossen.
+ **UNTERBROCHEN:** Der Übungslauf wurde aus einem Grund beendet, der nicht darauf zurückzuführen war, dass der Ergebnisalarm in einen `ALARM` Status übergegangen ist. Ein Übungslauf kann aus verschiedenen Gründen unterbrochen werden. Beispiel: Ein Übungslauf, der beendet wird, weil der für den Übungslauf angegebene Blockierungsalarm in einen `ALARM` Zustand übergegangen ist, hat das Ergebnis von`INTERRUPTED`. Weitere Informationen zu den Gründen für ein `INTERRUPTED`-Ergebnis finden Sie unter [Ergebnisse von Übungsläufen](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes).
+ **FEHLGESCHLAGEN:** Der Ergebnisalarm ging während des Übungslaufs in den Status `ALARM` über.
+ **CAPACITY\$1CHECK\$1FAILED:** Die Prüfung auf ausgeglichene Kapazität zwischen Availability Zones für Ihre Load-Balancing- und Auto-Scaling-Gruppenressourcen ist fehlgeschlagen.
**Integrierte Sicherheitsregeln**
Die in ARC integrierten Sicherheitsregeln verhindern, dass mehr als eine Verkehrsverlagerung für eine Ressource gleichzeitig in Kraft ist. Das heißt, nur eine vom Kunden initiierte Zonenverschiebung, ein Übungslauf zur Zonenverschiebung (initiiert von AWS oder durch einen Kunden) oder eine automatische Verschiebung für die Ressource kann den Verkehr aktiv von einer Availability Zone weg verlagern. Wenn Sie beispielsweise eine Zonenverschiebung für eine Ressource starten, obwohl diese derzeit mit Autoshift wegverlagert ist, hat Ihre Zonenverschiebung Vorrang. Weitere Informationen finden Sie unter [Priorität](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence) für Zonenverschiebungen.
**Ressourcen-ID**
Der Bezeichner für eine Ressource, für die zonale Autoshift aktiviert werden soll. Dabei handelt es sich um den Amazon-Ressourcennamen (ARN) für die Ressource. Sie können Zonal Autoshift nur für Ressourcen in Ihrem Konto aktivieren, die sich in einem AWS Service befinden, der von ARC unterstützt wird.
**Verwaltete Ressource**
Application Load Balancer registrieren Ressourcen automatisch bei ARC für zonales Autoshift. Sie müssen andere Ressourcen manuell für zonales Autoshift anmelden.
**Ressourcenname**
Der Name einer verwalteten Ressource in ARC.
**Status „Angewendet“**
Der Status „Anwendet“ gibt an, ob für eine Ressource eine Verkehrsverlagerung in Kraft ist. Wenn Sie Zonal Autoshift konfigurieren, kann eine Ressource über mehr als eine aktive Verkehrsverlagerung verfügen, d. h. einen Übungslauf Zonal Shift, eine vom Kunden initiierte Zonenverschiebung oder Autoshift. Es wird jedoch immer nur eine *angewendet, d. h.*, sie ist jeweils für die Ressource wirksam. Die Verschiebung, die diesen Status hat, `APPLIED` bestimmt die Availability Zone, in die der Anwendungsdatenverkehr für eine Ressource verlagert wurde, und bestimmt, wann diese Verkehrsverlagerung endet.
**Art der Schicht**
Definiert den zonalen Schichttyp. Zonale Schichten können einen der folgenden Typen haben:
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **ÜBUNGSLAUF**
+ **FIS\$1EXPERIMENT**
# Daten- und Steuerungsebenen für zonales Autoshift
Denken Sie bei der Planung von Failover und Disaster Recovery darüber nach, wie robust Ihre Failover-Mechanismen sind. Es wird empfohlen, sicherzustellen, dass die Mechanismen, auf die Sie beim Failover angewiesen sind, hochverfügbar sind, sodass Sie sie bei Bedarf in einem Notfallszenario verwenden können. In der Regel sollten Sie, wann immer möglich, Datenebenenfunktionen für Ihre Mechanismen verwenden, um die größtmögliche Zuverlässigkeit und Fehlertoleranz zu gewährleisten. Vor diesem Hintergrund ist es wichtig zu verstehen, wie die Funktionalität eines Dienstes zwischen Steuerungsebenen und Datenebenen aufgeteilt ist und wann Sie sich darauf verlassen können, dass die Datenebene eines Dienstes extrem zuverlässig ist.
Im Allgemeinen ermöglicht Ihnen eine *Steuerungsebene* grundlegende Verwaltungsfunktionen wie das Erstellen, Aktualisieren und Löschen von Ressourcen im Service. Eine *Datenebene* stellt die Kernfunktionalität eines Dienstes bereit.
Weitere Informationen zu Datenebenen, Kontrollebenen und dazu, wie Services AWS entwickelt werden, um Hochverfügbarkeitsziele zu erreichen, finden Sie im [paper Statische Stabilität mithilfe von Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in der Amazon Builders' Library.
# Preise für Zonal Autoshift in ARC
Bei zonaler Autoshift wird der Datenverkehr in Ihrem Namen für unterstützte Ressourcen von einer Availability Zone weggeleitet, wenn AWS festgestellt wird, dass ein potenzielles Problem vorliegt, das sich negativ auf Kundenanwendungen auswirken kann. AWS Für die Aktivierung von Zonal Autoshift fallen keine zusätzlichen Gebühren an.
Detaillierte Preisinformationen für ARC und Preisbeispiele finden Sie unter [ARC-Preise](https://aws.amazon.com/application-recovery-controller/pricing/).
# Bewährte Methoden bei der Konfiguration von Zonal Autoshift
Beachten Sie die folgenden bewährten Methoden und Überlegungen, wenn Sie Zonal Autoshift in Amazon Application Recovery Controller (ARC) aktivieren.
Zonal Autoshift umfasst zwei Arten von Verkehrsverschiebungen: Autoshifts und Practice Run Zonal Shifts.
+ *Autoshift* AWS trägt dazu bei, die Zeit bis zur Wiederherstellung zu verkürzen, indem der Datenverkehr von Anwendungsressourcen bei Ereignissen in Ihrem Namen aus einer Availability Zone verlagert wird.
+ Bei *Übungsläufen* startet ARC in Ihrem Namen eine zonale Schicht oder Sie starten einen Übungslauf mit zonaler Schicht. Beim AWS Übungslauf mit zonaler Schicht wird der Verkehr in wöchentlichem Rhythmus von einer Availability Zone für eine Ressource weg und wieder zurück verlagert. Mithilfe von Übungsläufen können Sie sicherstellen, dass Sie genügend Kapazität für Availability Zones in einer Region aufgebaut haben, damit Ihre Anwendung den Verlust einer Availability Zone verkraften kann.
Es gibt mehrere bewährte Methoden und Überlegungen, die Sie bei Autoshifts und Übungsläufen beachten sollten. Lesen Sie sich die folgenden Themen durch, bevor Sie zonales Autoshift aktivieren oder Übungsläufe für eine Ressource konfigurieren.
**Topics**
+ [Begrenzen Sie die Zeit, in der Clients mit Ihren Endpunkten verbunden bleiben](#ZAConsiderationsCurrentConnections)
+ [Skalieren Sie Ihre Ressourcenkapazität vorab und testen Sie die Verlagerung des Datenverkehrs](#ZAConsiderationsCapacityPrescaling)
+ [Seien Sie sich der Ressourcentypen und Einschränkungen bewusst](#ZAConsiderationsResourceRequirements)
+ [Geben Sie Alarme für Übungsläufe an](#ZAConsiderationsPracticeRunAlarms)
+ [Evaluieren Sie die Ergebnisse von Übungsläufen](#ZAConsiderationsPracticeRunOutcomes)
**Beschränken Sie die Zeit, in der Kunden mit Ihren Endpunkten verbunden bleiben**
Wenn Amazon Application Recovery Controller (ARC) den Datenverkehr von einer Beeinträchtigung wegleitet, beispielsweise mithilfe von Zonal Shift oder Zonal Autoshift, ist der Mechanismus, den ARC verwendet, um Ihren Anwendungsdatenverkehr zu verlagern, ein DNS-Update. Ein DNS-Update bewirkt, dass alle neuen Verbindungen vom beeinträchtigten Standort weggeleitet werden. Clients mit bereits bestehenden offenen Verbindungen können jedoch weiterhin Anfragen an den beeinträchtigten Standort stellen, bis die Clients wieder eine Verbindung herstellen. Um eine schnelle Wiederherstellung zu gewährleisten, empfehlen wir, die Dauer zu begrenzen, für die Clients mit Ihren Endpunkten verbunden bleiben.
Wenn Sie einen Application Load Balancer verwenden, können Sie mit dieser `keepalive` Option konfigurieren, wie lange Verbindungen bestehen bleiben. Wir empfehlen Ihnen, den `keepalive` Wert so zu senken, dass er Ihrem Ziel für die Wiederherstellungszeit Ihrer Anwendung entspricht, z. B. 300 Sekunden. Wenn Sie eine `keepalive` Zeit wählen, sollten Sie bedenken, dass dieser Wert einen Kompromiss darstellt zwischen einer häufigeren Wiederherstellung der Verbindung im Allgemeinen, was sich auf die Latenz auswirken kann, und einer schnelleren Verlagerung aller Clients aus einer beeinträchtigten AZ oder Region.
Weitere Informationen zur Einstellung der `keepalive` Option für Application Load Balancer finden Sie unter der [Keepalive-Dauer des HTTP-Clients](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration) im Application Load Balancer Balancer-Benutzerhandbuch.
**Skalieren Sie Ihre Ressourcenkapazität vorab und testen Sie die Verlagerung des Datenverkehrs**
Bei der AWS Verlagerung des Datenverkehrs von einer Availability Zone für eine Zonenschicht oder eine automatische Verschiebung ist es wichtig, dass die verbleibenden Availability Zones die erhöhten Anforderungsraten für Ihre Ressource bewältigen können. Dieses Muster wird als *statische* Stabilität bezeichnet. Weitere Informationen finden Sie im [Whitepaper Statische Stabilität mithilfe von Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in der Amazon Builder's Library.
Wenn Ihre Anwendung beispielsweise 30 Instances benötigt, um ihre Clients zu bedienen, sollten Sie 15 Instances in drei Availability Zones bereitstellen, also insgesamt 45 Instances. Auf diese Weise AWS können Sie bei der AWS Verlagerung des Datenverkehrs von einer Availability Zone weg — mit Autoshift oder während eines Übungslaufs — die Clients Ihrer Anwendung weiterhin mit den verbleibenden insgesamt 30 Instances in zwei Availability Zones bedienen.
Die zonale Autoshift-Funktion in ARC hilft Ihnen bei der schnellen Wiederherstellung nach AWS Ereignissen in einer Availability Zone, wenn Sie eine Anwendung mit Ressourcen haben, die so skaliert sind, dass sie bei Verlust einer Availability Zone normal funktionieren. Bevor Sie Zonal Autoshift für eine Ressource aktivieren, skalieren Sie Ihre Ressourcenkapazität in allen konfigurierten Availability Zones in einer. AWS-Region Starten Sie dann Zonenverschiebungen für die Ressource, um zu testen, ob Ihre Anwendung weiterhin normal läuft, wenn der Verkehr von einer Availability Zone weg verlagert wird.
Nachdem Sie mit Zonal Shifts getestet haben, aktivieren Sie Zonal Autoshift und konfigurieren Sie Übungsläufe für Anwendungsressourcen. Führen Sie Ihre eigenen On-Demand-Übungsläufe durch, um sicherzustellen, dass Ihre Konfiguration ordnungsgemäß skaliert wird. Regelmäßige Testläufe mit zonalem Autoshift helfen Ihnen dabei, kontinuierlich sicherzustellen, dass Ihre Kapazität weiterhin angemessen skaliert wird. Bei ausreichender Kapazität in allen Availability Zones kann Ihre Anwendung während einer automatischen Verschiebung weiterhin ohne Unterbrechung Clients bedienen.
Weitere Informationen zum Starten einer Zonenverschiebung für eine Ressource finden Sie unter. [Zonenverschiebung in ARC](arc-zonal-shift.md)
**Seien Sie sich der Ressourcentypen und Einschränkungen bewusst**
Zonal Autoshift unterstützt die Verlagerung von Datenverkehr aus einer Availability Zone für alle Ressourcen, die von Zonal Shift unterstützt werden. In einigen spezifischen Ressourcenszenarien verlagert Zonal Autoshift den Verkehr nicht von einer Availability Zone in eine Autoshift.
Wenn die Load Balancer-Zielgruppen in den Availability Zones beispielsweise keine Instances haben oder wenn alle Instances fehlerhaft sind, befindet sich der Load Balancer in einem Fail-Open-Status. Wenn in diesem Szenario ein Autoshift für einen Load Balancer AWS gestartet wird, ändert ein Autoshift nicht, welche Availability Zones der Load Balancer verwendet, da sich der Load Balancer bereits in einem Fail-Open-Status befindet. Dieses Verhalten wird erwartet. Autoshift kann nicht dazu führen, dass eine Availability Zone fehlerhaft ist, und dass der Verkehr in die anderen Availability Zones verlagert wird, wenn alle Availability Zones ausfallen, AWS-Region wenn alle Availability Zones ausfallen (fehlerhaft).
Einzelheiten zu den unterstützten Ressourcen, einschließlich aller Anforderungen und Ausnahmen, die Sie beachten sollten, finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
**Geben Sie Alarme für Übungsläufe an**
Sie müssen mindestens einen Alarmtyp (einen Ergebnisalarm) für Übungsläufe mit zonalem Autoshift konfigurieren. Optional können Sie auch einen zweiten Alarmtyp (Blockierung von Alarmen) konfigurieren.
Wenn Sie die CloudWatch Alarme berücksichtigen, die Sie für Übungsläufe für Ihre Ressource konfigurieren, sollten Sie Folgendes berücksichtigen:
+ Sie müssen mindestens einen Ergebnisalarm für eine Übungslaufkonfiguration konfigurieren. Für Ergebnisalarme empfehlen wir, Alarme so zu konfigurieren CloudWatch , dass sie in einen `ALARM` Zustand übergehen, in dem Metriken für die Ressource oder Ihre Anwendung darauf hinweisen, dass die Verlagerung des Datenverkehrs von der Availability Zone weg die Leistung beeinträchtigt. Sie können beispielsweise einen Schwellenwert für die Anforderungsraten für Ihre Ressource festlegen und dann einen Alarm so konfigurieren, dass er in einen `ALARM` Zustand übergeht, wenn der Schwellenwert überschritten wird. Sie sind dafür verantwortlich, entsprechende Alarme zu konfigurieren, die AWS dazu führen, dass der Übungslauf beendet wird und ein `FAILED` Ergebnis zurückgegeben wird.
+ Wir empfehlen Ihnen, das [AWS Well Architected Framework](https://docs.aws.amazon.com/wellarchitected/2022-03-31/framework/perf_monitor_instances_post_launch_establish_kpi.html) zu befolgen, das Ihnen empfiehlt, wichtige Leistungsindikatoren (KPIs) als CloudWatch Alarme zu implementieren. Wenn Sie dies tun, können Sie diese Alarme verwenden, um einen zusammengesetzten Alarm zu erstellen, der als Sicherheitsauslöser verwendet werden kann, um zu verhindern, dass Übungsläufe gestartet werden, wenn diese dazu führen könnten, dass Ihre Anwendung einen KPI verfehlt. Wenn sich der Alarm nicht mehr im `ALARM` Status befindet, startet ARC Übungsläufe, wenn das nächste Mal ein Übungslauf für die Ressource geplant ist.
+ Wenn Sie einen (oder mehrere) Alarme für den Übungslauf blockieren möchten, können Sie sich dafür entscheiden, bestimmte Messwerte zu verfolgen, anhand derer Sie angeben, dass ein AWS Übungslauf nicht gestartet werden soll, z. B. wenn ein Alarm darauf hinweist, dass ein andauernder Vorfall vorliegt.
+ Zum Üben von Alarmen geben Sie den Amazon-Ressourcennamen (ARN) für jeden Alarm an, sodass Sie den Alarm zuerst in Amazon konfigurieren müssen CloudWatch. Bei den von Ihnen angegebenen CloudWatch Alarmen kann es sich um zusammengesetzte Alarme handeln, sodass Sie mehrere Messwerte und Prüfungen für Ihre Anwendung und Ressource einbeziehen können, die den Alarm in einen bestimmten `ALARM` Status versetzen können. Sie können auch separate Alarme konfigurieren und dann mehr als einen Alarm jedes Typs für Ihre Übungslaufkonfiguration angeben. Weitere Informationen finden Sie unter [Kombinieren von Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Composite_Alarm.html) im CloudWatch Amazon-Benutzerhandbuch.
+ Stellen Sie sicher, dass sich die CloudWatch Alarme, die Sie für Übungsläufe angeben, in derselben Region befinden wie die Ressource, für die Sie einen Übungslauf konfigurieren.
**Bewerten Sie die Ergebnisse von Übungsläufen**
ARC meldet für jeden Übungslauf ein Ergebnis. Bewerten Sie nach einem Übungslauf das Ergebnis und entscheiden Sie, ob Sie Maßnahmen ergreifen müssen. Beispielsweise müssen Sie möglicherweise die Kapazität skalieren oder die Konfiguration für einen Alarm anpassen.
Nachfolgend sind die möglichen Ergebnisse eines Übungslaufs aufgeführt:
+ **ERFOLGREICH:** Während des Übungslaufs sind keine Ergebnisalarme in einen bestimmten `ALARM` Zustand übergegangen, und der Testlauf hat den gesamten 30-minütigen Testzeitraum abgeschlossen.
+ **FEHLGESCHLAGEN:** Mindestens ein Ergebnisalarm hat während des Übungslaufs einen `ALARM` Status erreicht.
+ **UNTERBROCHEN:** Der Übungslauf wurde aus einem Grund beendet, der nicht darin bestand, dass der Ergebnisalarm in einen `ALARM` Status übergegangen ist. Ein Übungslauf kann aus einer Vielzahl von Gründen unterbrochen werden, unter anderem aus den folgenden Gründen:
+ Der Übungslauf wurde beendet, weil in der Region ein Autoshift AWS gestartet wurde AWS-Region oder weil in der Region ein Alarm aufgetreten ist.
+ Der Übungslauf wurde beendet, weil die Konfiguration des Übungslaufs für die Ressource gelöscht wurde.
+ Der Übungslauf wurde beendet, weil eine vom Kunden initiierte Zonenverschiebung für die Ressource in der Availability Zone gestartet wurde, von der der Übungslauf mit der Zonenschicht den Verkehr wegverlagerte.
+ Der Übungslauf wurde beendet, weil auf einen CloudWatch Alarm, der für die Konfiguration des Übungslaufs angegeben war, nicht mehr zugegriffen werden konnte.
+ Der Übungslauf wurde beendet, weil ein für den Übungslauf festgelegter Blockierungsalarm in einen `ALARM` Status übergegangen ist.
+ Der Übungslauf wurde aus einem unbekannten Grund beendet.
+ Der Übungslauf wurde beendet, weil ein zonaler Autoshift mit Vorrang eingeleitet wurde. Siehe [Priorität](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-autoshift.how-it-works.html#ZAShiftPrecedence) für zonale Verschiebungen.
+ **CAPACITY\$1CHECK\$1FAILED:** Die Prüfung auf ausgeglichene Kapazität zwischen Availability Zones für Ihre Load-Balancing- und Auto-Scaling-Gruppenressourcen ist fehlgeschlagen.
+ **AUSSTEHEND:** Der Übungslauf ist aktiv (läuft). Es gibt noch kein Ergebnis, das angezeigt werden kann.
# Zonale Autoshift-API-Operationen
In der folgenden Tabelle sind ARC-API-Operationen aufgeführt, die Sie mit zonalem Autoshift verwenden können. Beispiele für die Verwendung zonaler Autoshift-API-Operationen mit dem finden Sie unter. AWS CLI
Beispiele für die Verwendung gängiger zonaler Autoshift-API-Operationen mit dem finden Sie unter. AWS Command Line Interface[Beispiele für die Verwendung von AWS CLI mit zonalem Autoshift](getting-started-cli-zonal-autoshift.md)
| Action | Verwenden der ARC-Konsole | Verwendung der ARC-API |
| --- | --- | --- |
| Erstellen Sie eine Konfiguration für Übungsläufe | Siehe [Aktivieren oder Deaktivieren der automatischen Zonenverschiebung](arc-zonal-autoshift.start-cancel.md#arc-zonal-autoshift.configure) | Siehe [CreatePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CreatePracticeRunConfiguration.html) |
| Löschen Sie eine Übungslaufkonfiguration | Siehe [Konfiguration, Bearbeitung oder Löschung einer Übungslaufkonfiguration](arc-zonal-autoshift.edit-delete-practice-run.md) | Siehe [DeletePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_DeletePracticeRunConfiguration.html) |
| Autoshift auflisten | Siehe [Automatische Zonenverschiebung in ARC](arc-zonal-shift.md) | Siehe [ListAutoshifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListAutoshifts.html) |
| Listet Ressourcen für zonales Autoshift auf | Siehe [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md) | Siehe [ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html) |
| Holen Sie sich Ressourcen für Zonal Autoshift | Siehe [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md) | Siehe [GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html) |
| Bearbeiten Sie eine Konfiguration für einen Übungslauf | Siehe [Konfiguration, Bearbeitung oder Löschung einer Übungslaufkonfiguration](arc-zonal-autoshift.edit-delete-practice-run.md) | Siehe [UpdatePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdatePracticeRunConfiguration.html) |
| Aktivieren oder deaktivieren Sie Zonal Autoshift | Siehe [Aktivieren oder Deaktivieren der automatischen Zonenverschiebung](arc-zonal-autoshift.start-cancel.md#arc-zonal-autoshift.configure) | Siehe [UpdateZonalAutoshiftConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalAutoshiftConfiguration.html) |
| Aktivieren oder deaktivieren Sie die Autoshift-Observer-Benachrichtigung | Siehe [Zonal Autoshift aktivieren und damit arbeiten](arc-zonal-autoshift.start-cancel.md) | Siehe [UpdateAutoshiftObserverNotificationStatus](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateAutoshiftObserverNotificationStatus.html) |
| Starten Sie einen Übungslauf | Siehe [Starten Sie einen Übungslauf (Zonal Shift)](arc-zonal-autoshift.start-cancel.md) | Siehe [StartPracticeRun](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartPracticeRun.html) |
| Brechen Sie einen Übungslauf ab | Siehe [Durch das Abbrechen eines Übungslaufs wird ein Zonenwechsel vorgenommen](arc-zonal-autoshift.start-cancel.md) | Siehe [CancelPracticeRun](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelPracticeRun.html) |
# Beispiele für die Verwendung von AWS CLI mit zonalem Autoshift
In diesem Abschnitt werden einfache Anwendungsbeispiele für die Arbeit mit zonalem Autoshift vorgestellt, wobei die Verwendung von API-Vorgängen AWS Command Line Interface zur Verwendung der zonalen Autoshift-Funktion in Amazon Application Recovery Controller (ARC) verwendet wird. Die Beispiele sollen Ihnen helfen, ein grundlegendes Verständnis für die Arbeit mit zonalem Autoshift mithilfe der CLI zu entwickeln.
Zonal Autoshift ist eine Funktion in ARC. Mit Zonal Autoshift autorisieren AWS Sie, den Datenverkehr für unterstützte Anwendungsressourcen bei Ereignissen in Ihrem Namen aus einer Availability Zone zu verlagern, um die Zeit bis zur Wiederherstellung zu verkürzen. Weitere Informationen zu Ressourcen, die Sie mit Zonal Autoshift verwenden können, finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
Zonal Autoshift umfasst Testläufe, bei denen der Verkehr auch von Availability Zones weggeleitet wird, um zu überprüfen, ob Autoshift für Ihre Anwendung sicher ist.
Eine Liste der zonalen Autoshift-API-Aktionen und Links zu weiteren Informationen finden Sie unter. [Zonale Autoshift-API-Operationen](actions.zonalautoshift.md) Weitere Informationen zur Verwendung von finden Sie in der AWS CLI[AWS CLI Befehlsreferenz](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html).
**Topics**
+ [Erstellen Sie eine Konfiguration für Übungsläufe](getting-started-cli-update-zonal_autoshift.create-practice-run.md)
+ [Aktivieren oder deaktivieren Sie Autoshift](getting-started-cli-zonal-autoshift.update-autoshift.md)
+ [Starten Sie einen On-Demand-Übungslauf](getting-started-cli-zonal-autoshift.start-practice-run.md)
+ [Brechen Sie einen laufenden Übungslauf ab](getting-started-cli-zonal-autoshift.cancel-practice-run.md)
+ [Brechen Sie einen laufenden Autoshift ab](getting-started-cli-zonal-autoshift.cancel-autoshift.md)
+ [Bearbeiten Sie eine Konfiguration für einen Übungslauf](getting-started-cli-zonal_autoshift.edit-practice-run-config.md)
+ [Löschen Sie eine Konfiguration für einen Übungslauf](getting-started-cli-zonal-autoshift.delete-practice-run-config.md)
# Erstellen Sie eine Konfiguration für Übungsläufe
Bevor Sie Zonal Autoshift für eine Ressource aktivieren können, müssen Sie eine Übungslaufkonfiguration für die Ressource erstellen, um Optionen für die erforderlichen Übungsläufe auszuwählen. Sie erstellen eine Übungslaufkonfiguration für eine Ressource mit der CLI, indem Sie den `create-practice-run-configuration` Befehl verwenden.
Beachten Sie Folgendes, wenn Sie eine Übungslaufkonfiguration für eine Ressource erstellen:
+ Der einzige unterstützte Alarmtyp ist derzeit`CLOUDWATCH`.
+ Sie müssen Alarme verwenden, die sich in derselben Form befinden AWS-Region , in der Ihre Ressource bereitgestellt wird.
+ Die Angabe eines Ergebnisalarms ist erforderlich. Die Angabe eines Blockierungsalarms ist optional.
+ Die Angabe von gesperrten oder erlaubten Daten oder Fenstern ist optional.
Sie erstellen eine Übungslaufkonfiguration mit der CLI, indem Sie den `create-practice-run-configuration` Befehl verwenden.
Um beispielsweise eine Übungslaufkonfiguration für eine Ressource zu erstellen, verwenden Sie einen Befehl wie den folgenden:
```
aws arc-zonal-shift create-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--outcome-alarms type=CLOUDWATCH,alarmIdentifier=arn:aws:cloudwatch:Region:111122223333:alarm:Region-MyAppHealthAlarm \
--blocking-alarms type=CLOUDWATCH,alarmIdentifier=arn:aws:cloudwatch:Region:111122223333:alarm:Region-BlockWhenALARM \
--blocked-dates 2023-12-01 --blocked-windows Mon:10:00-Mon:10:30
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "zonal-shift-elb"
"zonalAutoshiftStatus": "DISABLED",
"practiceRunConfiguration": {
"blockingAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-BlockWhenALARM"
}
]
"outcomeAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-MyAppHealthAlarm"
}
],
"blockedWindows": [
"Mon:10:00-Mon:10:30"
],
"blockedDates": [
"2023-12-01"
]
}
```
# Aktivieren oder deaktivieren Sie Autoshift
Sie aktivieren oder deaktivieren Autoshift für eine Ressource, indem Sie den zonalen Autoshift-Status mit der CLI aktualisieren. Verwenden Sie den Befehl, um den zonalen Autoshift-Status zu ändern. `update-zonal-autoshift-configuration`
Um beispielsweise Autoshift für eine Ressource zu aktivieren, verwenden Sie einen Befehl wie den folgenden:
```
aws arc-zonal-shift update-zonal-autoshift-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--zonal-autoshift-status="ENABLED"
```
```
{
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"zonalAutoshiftStatus": "ENABLED"
}
```
# Starten Sie einen On-Demand-Übungslauf
Sie können eine On-Demand-Praxis mit Zonal Shift mit der CLI starten, indem Sie den `start-practice-run` Befehl verwenden.
Um beispielsweise einen Übungslauf für eine Ressource zu starten, verwenden Sie einen Befehl wie den folgenden:
```
aws arc-zonal-shift start-practice-run
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
"awayFrom": "usw2-az1",
```
```
{
"awayFrom": "usw2-az1",
"comment": "Practice run started. Shifting traffic away from Availability Zone usw2-az1.",
}
```
# Brechen Sie einen laufenden Übungslauf ab
Sie können einen laufenden Übungslauf mit der CLI abbrechen, indem Sie den `cancel-practice-run` Befehl verwenden.
Um beispielsweise einen Übungslauf für eine Ressource abzubrechen, verwenden Sie einen Befehl wie den folgenden:
```
aws arc-zonal-shift cancel-practice-run \
--zonal-shift-id="="arn:aws:testservice::111122223333:ExampleALB123456890"
```
```
{
"zonalShiftId": "2222222-3333-444-1111",
"resourceIdentifier": "arn:aws:testservice::111122223333:ExampleALB123456890",
"awayFrom": "usw2-az1",
"expiryTime": 2024-11-15T10:35:42+00:00,
"startTime": 2024-11-15T09:35:42+00:00,
"status": "CANCELED",
"comment": "Practice run canceled"
}
```
# Brechen Sie einen laufenden Autoshift ab
Sie können einen laufenden Autoshift mit der CLI abbrechen, indem Sie den zonalen Autoshift für die Ressource abbrechen. Um einen zonalen Autoshift abzubrechen, verwenden Sie den. `cancel-zonal-shift command`
```
aws arc-zonal-shift cancel-zonal-shift --zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "usw2-az1",
"comment": "Zonal autoshift started. Shifting traffic away from Availability Zone usw2-az1.",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# Bearbeiten Sie eine Konfiguration für einen Übungslauf
Sie können eine Übungslaufkonfiguration für eine Ressource mit der CLI bearbeiten, um verschiedene Konfigurationsoptionen zu aktualisieren, z. B. die Alarme für Übungsläufe zu ändern oder die gesperrten Daten oder blockierten Fenster zu aktualisieren, wenn ARC keine Übungsläufe startet. Verwenden Sie den `update-practice-run-configuration` Befehl, um eine Konfiguration für Übungsläufe zu bearbeiten.
Beachten Sie Folgendes, wenn Sie eine Übungslaufkonfiguration für eine Ressource bearbeiten:
+ Der einzige unterstützte Alarmtyp ist derzeit`CLOUDWATCH`.
+ Sie müssen Alarme verwenden, die sich in derselben Form befinden AWS-Region , in der Ihre Ressource bereitgestellt wird.
+ Die Angabe eines Ergebnisalarms ist erforderlich. Die Angabe eines Blockierungsalarms ist optional.
+ Die Angabe von gesperrten Daten oder blockierten Fenstern ist optional.
+ Die von Ihnen angegebenen gesperrten Daten oder gesperrten Fenster ersetzen alle vorhandenen Werte.
Um beispielsweise eine Übungslaufkonfiguration für eine Ressource zu bearbeiten und ein neues Sperrdatum anzugeben, verwenden Sie einen Befehl wie den folgenden:
```
aws arc-zonal-shift update-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--blocked-dates 2024-03-01
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "zonal-shift-elb"
"zonalAutoshiftStatus": "DISABLED",
"practiceRunConfiguration": {
"blockingAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-BlockWhenALARM"
}
]
"outcomeAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-MyAppHealthAlarm"
}
],
"blockedWindows": [
"Mon:10:00-Mon:10:30"
],
"blockedDates": [
"2024-03-01"
]
}
```
# Löschen Sie eine Konfiguration für einen Übungslauf
Sie können eine Übungslaufkonfiguration für eine Ressource löschen, müssen aber zuerst Zonal Autoshift für die Ressource deaktivieren. Für eine Ressource ist eine Übungslaufkonfiguration erforderlich, damit zonales Autoshift aktiviert werden kann. Durch regelmäßige Übungsläufe können Sie sicherstellen, dass Ihre Anwendung auch ohne eine Availability Zone normal ausgeführt werden kann.
Um eine Übungslaufkonfiguration mithilfe der CLI zu löschen, deaktivieren Sie zunächst Zonal Autoshift, falls erforderlich, mit dem `update-zonal-autoshift` Befehl. Verwenden Sie dann den Befehl, um die Übungslaufkonfiguration zu löschen. `delete-practice-run-configuration`
Deaktivieren Sie zunächst Zonal Autoshift für die Ressource, indem Sie einen Befehl wie den folgenden verwenden:
```
aws arc-zonal-shift update-zonal-autoshift-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--zonal-autoshift-status="DISABLED"
```
```
{
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"zonalAutoshiftStatus": "DISABLED"
}
```
Löschen Sie dann die Konfiguration für den Übungslauf, indem Sie einen Befehl wie den folgenden verwenden:
```
aws arc-zonal-shift delete-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890"
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "TestResource",
"zonalAutoshiftStatus": "DISABLED"
}
```
# Zonal Autoshift aktivieren und damit arbeiten
Dieser Abschnitt enthält Verfahren für die Arbeit mit zonalen Autoshifts in Amazon Application Recovery Controller (ARC). Nachdem Sie Zonal Autoshift aktiviert haben, können Sie Änderungen an den Konfigurationen der Übungsläufe vornehmen, einen On-Demand-Übungslauf starten, eine laufende Schicht, einschließlich Übungsläufen, stornieren oder Autoshift-Observer-Benachrichtigungen aktivieren.
## Aktivieren oder Deaktivieren der automatischen Zonenverschiebung
In den folgenden Schritten wird erklärt, wie Sie Zonal Autoshift auf der Amazon Application Recovery Controller (ARC) -Konsole aktivieren oder deaktivieren. Informationen zum programmgesteuerten Arbeiten mit Zonal Autoshift finden Sie im Referenzhandbuch zu Zonal Shift and [Zonal Autoshift API](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html).
Wenn Zonal Autoshift aktiviert ist, autorisieren Sie, den Datenverkehr von Anwendungsressourcen bei Ereignissen in Ihrem Namen aus einer Availability Zone AWS zu verlagern, um die Zeit bis zur Wiederherstellung zu verkürzen.
## Um Zonal Autoshift zu aktivieren oder zu deaktivieren
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift)
1. Wählen Sie unter **Resource Zonal Autoshift Configurations** eine Ressource aus.
1. Wählen Sie im Menü **Aktionen** die Option **Zonal Autoshift aktivieren** aus und folgen Sie dann den Anweisungen, um das Update abzuschließen.
Wenn für die Ressource keine Konfiguration für den Übungslauf verfügbar ist, ist „**Zonal Autoshift aktivieren**“ nicht verfügbar. **Um eine Übungslaufkonfiguration zu konfigurieren und Zonal Autoshift zu aktivieren, wählen Sie Configure Zonal Autoshift.**
**Topics**
+ [Aktivieren oder Deaktivieren der automatischen Zonenverschiebung](#arc-zonal-autoshift.configure)
+ [Konfiguration, Bearbeitung oder Löschung einer Übungslaufkonfiguration](arc-zonal-autoshift.edit-delete-practice-run.md)
+ [Abbrechen eines zonalen Autoshifts](arc-zonal-autoshift.canceling-an-autoshift.md)
+ [Starten Sie einen Übungslauf (Zonal Shift)](arc-zonal-autoshift.start-practice-run.md)
+ [Durch das Abbrechen eines Übungslaufs wird ein Zonenwechsel vorgenommen](arc-zonal-autoshift.cancel-practice-run.md)
+ [Autoshift-Observer-Benachrichtigung aktivieren oder deaktivieren](arc-zonal-autoshift.enable-autoshift-observer.md)
# Konfiguration, Bearbeitung oder Löschung einer Übungslaufkonfiguration
In den Schritten in diesem Abschnitt wird erklärt, wie Sie eine Übungslaufkonfiguration auf der Amazon Application Recovery Controller (ARC) -Konsole bearbeiten oder löschen. Informationen zur programmgesteuerten Arbeit mit Zonal Autoshift, einschließlich Änderungen an den Konfigurationen für Übungsläufe, finden Sie im Referenzhandbuch für [Zonal Shift und Zonal Autoshift API](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html).
Wenn Sie eine Konfiguration für den Übungslauf in der Konsole löschen, ist Zonal Autoshift deaktiviert. Bevor Sie eine Übungslaufkonfiguration mit einem API-Vorgang löschen können, müssen Sie Zonal Autoshift deaktivieren. Sie können einen Übungslauf konfigurieren, ohne Zonal Autoshift zu aktivieren. Damit Zonal Autoshift für eine Ressource aktiviert werden kann, müssen Sie jedoch einen Übungslauf für die Ressource konfiguriert haben.
# Um einen Übungslauf zu konfigurieren
1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift).
1. Wählen Sie **Configure Zonal Autoshift**.
1. Wählen Sie eine Ressource aus, die für Zonal Autoshift konfiguriert werden soll.
1. Deaktivieren Sie Zonal Autoshift, wenn Sie bei einem Ereignis keinen Autoshift für eine Ressource starten möchten AWS . AWS Wenn Sie möchten, können Sie mit dem Assistenten fortfahren, um eine Konfiguration für einen Übungslauf zu konfigurieren, ohne Autoshift zu aktivieren.
1. Wählen Sie Optionen für Übungsläufe für die Ressource aus. Für Alarme können Sie Folgendes tun:
+ (Erforderlich) Geben Sie mindestens einen Ergebnisalarm an, um Übungsläufe für diese Ressource zu überwachen.
+ (Optional) Geben Sie einen oder mehrere Blockalarme für Übungsläufe für diese Ressource an.
Weitere Informationen finden Sie im Abschnitt **Alarme, die Sie für Übungsläufe angeben**, unter[Bewährte Methoden bei der Konfiguration von Zonal Autoshift](arc-zonal-autoshift.considerations.md).
1. Geben Sie optional blockierte oder zulässige Fenster an, um ARC daran zu hindern, Übungsläufe zu starten, oder um ARC das Starten von Übungsläufen für diese Ressource zu ermöglichen. Alle Daten und Zeiten werden im UTC-Format angegeben.
1. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie den Bestätigungsvermerk gelesen haben.
1. Wählen Sie **Erstellen** aus.
# Um eine Konfiguration eines Übungslaufs zu bearbeiten
1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift).
1. Wählen Sie unter **Resource Zonal Autoshift Configurations** eine Ressource aus.
1. Wählen Sie im Menü **Aktionen** die Option **Übungslaufkonfiguration bearbeiten** aus.
1. Nehmen Sie Änderungen an der Konfiguration des Übungslaufs vor, um eine oder mehrere der folgenden Aktionen auszuführen:
+ Für Alarme können Sie Folgendes tun:
+ Um Alarme zu blockieren, können Sie einen oder mehrere Alarme hinzufügen oder Alarme löschen.
+ Für Ergebnisalarme können Sie einen oder mehrere Alarme hinzufügen oder Alarme löschen. Es ist mindestens ein Ergebnisalarm erforderlich, sodass Sie nicht alle Ergebnisalarme in einer Konfiguration löschen können.
+ Für blockierte und zulässige Fenster können Sie neue Daten oder Tage und Uhrzeiten hinzufügen oder vorhandene Daten oder Tage und Uhrzeiten entfernen oder aktualisieren. Alle Daten und Zeiten werden im UTC-Format angegeben.
1. Wählen Sie **Speichern**.
# Um eine Übungslaufkonfiguration zu löschen
1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift).
1. Wählen Sie unter **Resource Zonal Autoshift Configurations** eine Ressource aus.
1. Wählen Sie im Menü **Aktionen** die Option **Übungslaufkonfiguration löschen** aus.
1. Geben Sie im modalen Bestätigungsdialogfeld den Text ein`Delete`, und wählen Sie dann **Löschen** aus.
Beachten Sie, dass durch das Löschen einer Übungslaufkonfiguration in der Konsole auch die zonale automatische Verschiebung für die Ressource deaktiviert wird. Für Zonal Autoshift muss ein Übungslauf für die Ressource konfiguriert werden.
# Abbrechen eines zonalen Autoshifts
Um eine laufende zonale automatische Verschiebung für eine Ressource zu beenden, müssen Sie die zonale automatische Verschiebung abbrechen.
# Um eine laufende zonale automatische Verschiebung zu beenden
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)
1. Wählen Sie einen zonalen Autoshift aus, den Sie stornieren möchten, und wählen Sie dann **Zonal Shift stornieren**.
1. **Wählen Sie im modalen Bestätigungsdialogfeld die Option Bestätigen.**
# Starten Sie einen Übungslauf (Zonal Shift)
In den Schritten in diesem Abschnitt wird erklärt, wie Sie einen On-Demand-Übungslauf mit zonaler Verschiebung auf der ARC-Konsole starten. Informationen zum programmgesteuerten Arbeiten mit Zonal Shift und Zonal Autoshift finden Sie im Zonal Shift and [Zonal Autoshift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html) API Reference Guide.
Sie können einen Übungslauf Zonal Shift starten, nachdem Sie Zonal Autoshift konfiguriert und eine Konfiguration für den Übungslauf erstellt haben.
# Um einen Übungslauf zu starten, führen Sie Zonal Shift aus
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)
1. Navigieren Sie unter **Zonale Autoshift-Ressourcen** zu einer einzelnen Ressource, für die Zonal Autoshift konfiguriert ist.
1. **Wählen Sie auf der Seite mit der **Ressourcenübersicht** die Option Übungslauf starten aus.**
1. Wählen Sie eine Availability Zone aus, und geben Sie dann einen Kommentar für Ihren Übungslauf ein. Durch den Übungslauf wird der Verkehr von der Availability Zone weggeleitet, die Sie ausgewählt haben.
1. Wählen Sie **Starten**.
# Durch das Abbrechen eines Übungslaufs wird ein Zonenwechsel vorgenommen
In den Schritten in diesem Abschnitt wird erklärt, wie Sie eine Zonenverschiebung auf der ARC-Konsole abbrechen. Informationen zum programmgesteuerten Arbeiten mit Zonal Shift und Zonal Autoshift finden Sie im Referenzhandbuch zur Zonal Shift and [Zonal Autoshift API](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html).
Sie können Zonenverschiebungen oder Übungsläufe, die Sie selbst initiieren, stornieren. Sie können Zonenverschiebungen, die für eine Ressource AWS beginnen, auch für einen Übungslauf für zonales Autoshift stornieren.
# Um einen Übungslauf abzubrechen, Zonal Shift
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)
1. Wählen Sie einen Übungslauf zur Zonenschicht aus, den Sie abbrechen möchten, und wählen Sie dann **Zonenschicht abbrechen** oder **Übungslauf abbrechen**.
1. **Wählen Sie im modalen Bestätigungsdialogfeld die Option Bestätigen.**
# Autoshift-Observer-Benachrichtigung aktivieren oder deaktivieren
Sie können Zonal Autoshift so konfigurieren, dass Sie über Amazon benachrichtigt werden, wenn ein Autoshift AWS gestartet wird EventBridge, um den Verkehr von einer potenziell beeinträchtigten Availability Zone weg zu verlagern. Sie müssen diese Option in allen Bereichen konfigurieren, über AWS-Region die Sie Benachrichtigungen erhalten möchten. Sie müssen keine bestimmten Ressourcen mit zonalem Autoshift konfigurieren, um diese separaten Benachrichtigungen zu aktivieren. Weitere Informationen finden Sie unter [Zonal Autoshift mit Amazon verwenden EventBridge](eventbridge-zonal-autoshift.md).
In den Schritten in diesem Abschnitt wird erklärt, wie Sie die Autoshift-Observer-Benachrichtigung mithilfe der Amazon Application Recovery Controller (ARC) -Konsole aktivieren. Informationen zur programmgesteuerten Arbeit mit Zonal Autoshift finden Sie im Referenzhandbuch zu [Zonal Shift and Zonal Autoshift API](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html).
# So aktivieren oder deaktivieren Sie die Autoshift-Observer-Benachrichtigung
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)
1. Wählen Sie unter **Erste Schritte** die Option **Autoshift-Observer-Benachrichtigung aktivieren** aus.
1. Wählen Sie im Bestätigungsdialogfeld die Option **Beobachterbenachrichtigung aktivieren** aus.
# Testen von Zonal Autoshift mit AWS FIS
Sie können AWS Fault Injection Service damit Experimente einrichten und durchführen, die Ihnen helfen, reale Bedingungen zu simulieren, wie z. B. das [Szenario AZ-Verfügbarkeit: Stromunterbrechung](https://docs.aws.amazon.com//fis/latest/userguide/az-availability-scenario.html), in dem demonstriert wird, was passiert, wenn ein zonaler Autoshift auf Ihren Ressourcen, für die Autoshift aktiviert ist, während einer potenziell weit verbreiteten AZ-Beeinträchtigung AWS gestartet wird.
Mit der Aktion „`aws:arc:start-zonal-autoshift`Wiederherstellung starten“ können Sie demonstrieren, wie AWS AWS-Region während der Ausführung des AZ-Verfügbarkeitsszenarios Datenverkehr für Ressourcen, die für zonales Autoshift aktiviert sind, automatisch von einer potenziell beeinträchtigten AZ weggeleitet und AZs in derselben auf einen fehlerfreien Zustand umgeleitet wird.
Sie können die AWS FIS Szenariobibliothek beispielsweise verwenden, um eine Beeinträchtigung der AZ-Verfügbarkeit zu simulieren, die durch eine Stromunterbrechung verursacht wurde. In diesem Experiment verlagert die Wiederherstellungsaktion fünf Minuten nach Beginn der AZ-Stromunterbrechung den Ressourcenverkehr `aws:arc:start-zonal-autoshift` automatisch von der angegebenen AZ weg. Der Verkehr wird für die verbleibenden 25 Minuten der Stromunterbrechung verlagert, um zu demonstrieren, wie Autoshift ausgelöst wird, wenn es zu einer potenziell weitreichenden Beeinträchtigung der AZ kommt. Wenn das Experiment abgeschlossen ist, endet die Verkehrsverlagerung und der Verkehr fließt AZs wieder zu allen. Dieser Prozess zeigt eine vollständige Wiederherstellung nach einem Stromausfall, der sich auf eine AZ auswirkt.
## Wie unterscheiden sich Experimente von den Übungsläufen mit zonaler Autoshift
AWS FIS Die Experimente unterscheiden sich von den Übungsläufen mit zonalem Autoshift darin, dass ARC während der Übungsläufe den Datenverkehr für Ihre Ressource von einer AZ weg verlagert. Dies ist Teil eines normalen Prozesses, um sicherzustellen, dass Ihre Anwendung den Verlust einer AZ toleriert. In einem AWS FIS Experiment wird jedoch AWS FIS demonstriert, wie eine Beeinträchtigung der AZ und eine automatische Verschiebung für Ihre Ressourcen, für die Autoshift aktiviert ist, in Ihrem Namen ausgelöst werden. Anschließend wird die automatische Verschiebung abgebrochen, wenn die Beeinträchtigung behoben ist.
Sie können eine von AWS FIS initiierte Zonenverschiebung nicht aktualisieren, solange sie ausgeführt wird. Wenn Sie außerdem eine Zonenverschiebung außerhalb von abbrechen AWS FIS, wird das Experiment beendet. AWS FIS
## AWS FIS Sicherheitsmechanismus, der auf dem Ablauf basiert
AWS FIS verwaltet die Zonenverschiebung mithilfe der [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html)API-Operationen [StartZonalShift[UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html)](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html), und, wobei das `expiresIn` Feld für diese Anfragen aus Sicherheitsgründen auf 1 Minute gesetzt ist. Auf diese Weise kann AWS FIS die Zonenverschiebung schnell rückgängig gemacht werden, falls es zu unerwarteten Ereignissen wie Netzwerkausfällen oder Systemproblemen kommt. In der ARC-Konsole wird im Feld Ablaufzeit der Wert AWS FIS-managed angezeigt, und der tatsächliche erwartete Ablauf wird durch die in der Aktion Zonal Shift angegebene Dauer bestimmt. Weitere Informationen zu Übungsläufen finden Sie unter [Funktionsweise von Zonal Autoshift](https://docs.aws.amazon.com//r53recovery/latest/dg/arc-zonal-autoshift.how-it-works.html) und Übungsläufen
Zu einem bestimmten Zeitpunkt kann nicht mehr als eine zonale Verschiebung angewendet werden. Das heißt, nur eine Praxis führt eine Zonenverschiebung, eine vom Kunden initiierte Zonenverschiebung, automatische Verschiebung oder AWS FIS ein Experiment für die Ressource durch. Wenn eine zweite Zonenverschiebung gestartet wird, bestimmt ARC anhand einer Rangfolge, welcher Typ der Zonenverschiebung für eine Ressource gilt. Weitere Hinweise zur Rangfolge von Zonenverschiebungen finden Sie unter. [Vorrang für zonale Verschiebungen](arc-zonal-autoshift.how-it-works.precedence.md)
Weitere Informationen zu AWS FIS Wiederherstellungsaktionen finden Sie unter [AWS FIS Wiederherstellungsaktionen](https://docs.aws.amazon.com//fis/latest/userguide/fis-actions-reference.html#fis-actions-recovery.html) im *AWS Fault Injection Service Benutzerhandbuch*.
# Protokollierung und Überwachung für zonales Autoshift in Amazon Application Recovery Controller (ARC)
Sie können Amazon EventBridge für die Überwachung von zonalem Autoshift in Amazon Application Recovery Controller (ARC) verwenden AWS CloudTrail , um Muster zu analysieren und Probleme zu beheben.
**Topics**
+ [Protokollieren von zonalen Autoshift-API-Aufrufen mit AWS CloudTrail](cloudtrail-zonal-autoshift.md)
+ [Zonal Autoshift mit Amazon verwenden EventBridge](eventbridge-zonal-autoshift.md)
# Protokollieren von zonalen Autoshift-API-Aufrufen mit AWS CloudTrail
Zonal Autoshift for ARC ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ARC ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für Zonal Shift als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der ARC-Konsole und Codeaufrufen an die ARC-API-Operationen für Zonal Shift.
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Zonenverschiebungen. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen.
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an ARC für die Zonenverschiebung gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informationen zum zonalen Autoshift finden Sie unter CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn in ARC für Zonal Autoshift eine Aktivität auftritt, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail Ereignishistorie in einem **Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen. AWS-Konto Weitere Informationen finden Sie unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem System AWS-Konto, einschließlich der Ereignisse für zonales Autoshift in ARC, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle ARC-Aktionen werden vom [Routing Control API Reference Guide für Amazon Application Recovery Controller protokolliert CloudTrail und sind im Routing Control API Reference Guide](https://docs.aws.amazon.com/routing-control/latest/APIReference/) dokumentiert. Beispielsweise generieren Aufrufe der `StartZonalShift` und `ListManagedResources` -Aktionen Einträge in den CloudTrail Protokolldateien.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## ARC-Ereignisse im Ereignisverlauf anzeigen
CloudTrail ermöglicht es Ihnen, aktuelle Ereignisse im **Event-Verlauf einzusehen**. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
## Grundlegendes zu Einträgen in zonalen Autoshift-Protokolldateien
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `ListManagedResources` Aktion für Zonal Autoshift demonstriert.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# Zonal Autoshift mit Amazon verwenden EventBridge
Mit Amazon können Sie ereignisgesteuerte Regeln einrichten EventBridge, die Ihre zonalen Autoshift-Ressourcen überwachen und Zielaktionen einleiten, die andere Dienste nutzen. AWS Sie können beispielsweise eine Regel für das Versenden von E-Mail-Benachrichtigungen festlegen, indem Sie ein Amazon SNS SNS-Thema signalisieren, wenn ein Übungslauf für Zonal Autoshift gestartet wird.
Sie können in Amazon Regeln erstellen EventBridge , um auf zonales Autoshift zu reagieren. Ein Ereignis für zonales Autoshift gibt Statusinformationen zu Übungsläufen oder Autoshifts an, z. B. wenn ein Übungslauf gestartet wird. Sie können Zonal Autoshift so konfigurieren, dass Sie über zonale Autoshift-Ereignisse für Ressourcen informiert werden, die Sie für den Service aktivieren.
Sie können zusätzlich zu oder anstelle von anderen Benachrichtigungen auch die Autoshift-Observer-Benachrichtigung aktivieren, die ein Benachrichtigungsereignis ausgibt, wenn ein Autoshift für eine potenziell beeinträchtigte Availability Zone AWS gestartet wird. Die Autoshift-Observer-Benachrichtigung unterscheidet sich von Benachrichtigungen, die Sie erhalten, wenn der Datenverkehr für Ressourcen, die Sie für zonales Autoshift aktiviert haben, von einer Availability Zone weg verlagert wird. Sie müssen keine Ressourcen mit zonalem Autoshift konfigurieren, um die Autoshift-Observer-Benachrichtigung zu aktivieren. Weitere Informationen finden Sie unter [Zonal Autoshift aktivieren und damit arbeiten](arc-zonal-autoshift.start-cancel.md).
Um bestimmte zonale Autoshift-Ereignisse zu erfassen, an denen Sie interessiert sind, definieren Sie ereignisspezifische Muster, anhand derer die EventBridge Ereignisse erkannt werden können. Ereignismuster haben dieselbe Struktur wie die Ereignisse, denen sie entsprechen. Das Muster zitiert die Felder, die Sie abgleichen möchten, und liefert die Werte, nach denen Sie suchen.
Ereignisse werden auf bestmögliche Weise ausgegeben. Sie werden unter normalen Betriebsbedingungen nahezu EventBridge in Echtzeit von ARC an übermittelt. Es können jedoch Situationen auftreten, die die Durchführung eines Ereignisses verzögern oder verhindern können.
Informationen zur Funktionsweise von EventBridge Regeln mit Ereignismustern finden Sie unter [Ereignisse und Ereignismuster in EventBridge](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html).
## Überwachen Sie eine zonale Autoshift-Ressource mit EventBridge
Mit können Sie Regeln erstellen EventBridge, die Aktionen definieren, die ergriffen werden sollen, wenn ARC Ereignisse für seine Ressourcen ausgibt. Sie können beispielsweise eine Regel erstellen, die eine E-Mail-Nachricht versendet, wenn ein Übungslauf für zonales Autoshift gestartet wird.
Um ein Ereignismuster einzugeben oder zu kopieren und in die EventBridge Konsole einzufügen, wählen Sie in der Konsole die Option **Meine eigene Eingabe** aus. Um Ihnen bei der Bestimmung von Ereignismustern zu helfen, die für Sie nützlich sein könnten, enthält dieses Thema Beispiele sowohl für [zonale Autoshift-Ereignisabgleichmuster als auch für zonale Autoshift-Ereignisse](#ZAEventBridgePatterns), die Sie [verwenden](#ZAEventBridgeEventSamples) können.
**So erstellen Sie eine Regel für ein Ressourcenereignis**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie AWS-Region die Region aus, in der Sie die Regel erstellen möchten, also die Region, für die Sie sich Ereignisse ansehen möchten.
1. Wählen Sie **Create rule (Regel erstellen)** aus.
1. Geben Sie für die Regel einen **Name (Namen)** und optional eine Beschreibung ein.
1. Behalten Sie für **Event Bus** den Standardwert **default** bei.
1. Wählen Sie **Weiter** aus.
1. Behalten Sie für den Schritt **Ereignismuster erstellen** **für Ereignisquelle** den Standardwert **AWS Ereignisse** bei.
1. Wählen Sie unter **Beispielereignis** die Option **Eigenes Ereignis eingeben** aus.
1. Geben Sie für **Beispielereignisse** ein Ereignismuster ein oder kopieren Sie es und fügen Sie es ein.
## Beispiel für zonale Autoshift-Ereignismuster
Ereignismuster haben dieselbe Struktur wie die Ereignisse, denen sie entsprechen. Das Muster zitiert die Felder, die Sie abgleichen möchten, und liefert die Werte, nach denen Sie suchen.
Sie können Ereignismuster aus diesem Abschnitt kopieren und einfügen, um Regeln EventBridge zu erstellen, mit denen Sie zonale Autoshift-Aktionen und -Ressourcen überwachen können.
Wenn Sie Ereignismuster für zonale Autoshift-Ereignisse erstellen, können Sie für Folgendes Folgendes angeben: `detail-type`
+ `Autoshift In Progress`
+ `Autoshift Completed`
+ `Practice Run Started`
+ `Practice Run Succeeded`
+ `Practice Run Interrupted`
+ `Practice Run Failed`
+ `FIS Experiment Autoshift In Progress`
+ `FIS Experiment Autoshift Completed`
+ `FIS Experiment Autoshift Canceled`
+ `Manual Shift Started`
+ `Manual Shift Updated`
+ `Manual Shift Canceled`
Wenn ein Übungslauf unterbrochen wird, finden Sie in dem entsprechenden Feld weitere Informationen zur Ursache der `additionalFailureInfo` Unterbrechung.
Sie können sich dafür entscheiden, alle AWS Autoshifts zu überwachen, indem Sie *Autoshift-Observer-Benachrichtigungen* aktivieren. Nachdem Sie die Autoshift-Observer-Benachrichtigung aktiviert haben, wählen Sie für den Zonal-Autoshift-Detailtyp aus, ob Sie Benachrichtigungen erhalten möchten. `Autoshift In Progress` Die Schritte zur Aktivierung der Autoshift-Observer-Benachrichtigung finden Sie unter. [Zonal Autoshift aktivieren und damit arbeiten](arc-zonal-autoshift.start-cancel.md)
Beispiele finden Sie im Abschnitt [Beispiel für zonale Autoshift-Ereignisse](#ZAEventBridgeEventSamples).
+ *Wählen Sie alle Ereignisse aus dem zonalen Autoshift aus, bei denen ein Autoshift gestartet wurde.*
Beachten Sie Folgendes:
+ Wenn Sie die Autoshift-Observer-Benachrichtigung aktiviert haben, gibt ARC alle Autoshift-Ereignisse zurück.
+ Wenn Sie die Autoshift-Observer-Benachrichtigung nicht aktiviert haben, gibt ARC Autoshift-Ereignisse nur zurück, wenn eine Ressource, die Sie für zonales Autoshift konfiguriert haben, in einem Autoshift enthalten ist.
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Autoshift In Progress"
]
}
```
+ *Wählen Sie alle Ereignisse aus Zonal Autoshift aus*, bei denen ein Übungslauf gestartet wurde.
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Practice Run Started"
]
}
```
+ *Wählen Sie alle Ereignisse aus Zonal Autoshift aus, bei denen ein Übungslauf* fehlgeschlagen ist.
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Practice Run Failed"
]
}
```
## Beispiel für zonale Autoshift-Ereignisse
Dieser Abschnitt enthält Beispielereignisse für *zonale* Autoshift-Aktionen.
Im Folgenden finden Sie ein Beispielereignis für die `Autoshift In Progress` Aktion, wenn 1) die Autoshift-Observer-Benachrichtigung *aktiviert* ist und 2) Sie keine Ressource mit zonalem Autoshift konfiguriert haben, die in einer Autoshift enthalten ist:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":"AWS has started an autoshift for an impaired Availability Zone. This notification
is separate from autoshift notifications for resources, if any, that you have configured for
zonal autoshift. For details, see the Developer Guide."
}
}
}
```
Im Folgenden finden Sie ein Beispielereignis für die `Autoshift In Progress` Aktion, wenn 1) die Autoshift-Observer-Benachrichtigung *deaktiviert* ist und 2) Sie eine Ressource mit zonalem Autoshift konfiguriert haben, die in einem Autoshift enthalten ist:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
Das Folgende ist ein Beispielereignis für die Aktion: `Practice Run Interrupted`
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Practice Run Interrupted",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": {
"additionalFailureInfo": "Practice run interrupted. The blocking alarm entered ALARM state."
},
"metadata": {
"awayFrom": "use1-az2"
}
}
}
```
Das Folgende ist ein Beispielereignis für die `FIS Experiment Autoshift In Progress` Aktion:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "FIS Experiment Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
Das Folgende ist ein Beispielereignis für die `Manual Shift Started` Aktion. Es wird ausgegeben, wenn die `StartZonalShift` API für eine Ressource aufgerufen wird:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Manual Shift Started",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
## Geben Sie eine CloudWatch Protokollgruppe an, die als Ziel verwendet werden soll
Wenn Sie eine EventBridge Regel erstellen, müssen Sie das Ziel angeben, an das Ereignisse gesendet werden, die der Regel entsprechen. Eine Liste der verfügbaren Ziele für EventBridge finden Sie unter [In der EventBridge Konsole verfügbare Ziele](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets). Eines der Ziele, die Sie einer EventBridge Regel hinzufügen können, ist eine CloudWatch Amazon-Protokollgruppe. In diesem Abschnitt werden die Anforderungen für das Hinzufügen von CloudWatch Protokollgruppen als Ziele beschrieben und ein Verfahren zum Hinzufügen einer Protokollgruppe beim Erstellen einer Regel beschrieben.
Um eine CloudWatch Protokollgruppe als Ziel hinzuzufügen, können Sie einen der folgenden Schritte ausführen:
+ Erstellen Sie eine neue Protokollgruppe
+ Wählen Sie eine bestehende Protokollgruppe
Wenn Sie beim Erstellen einer Regel mithilfe der Konsole eine neue Protokollgruppe angeben, EventBridge wird die Protokollgruppe automatisch für Sie erstellt. Stellen Sie sicher, dass die Protokollgruppe, die Sie als Ziel für die EventBridge Regel verwenden, mit beginnt`/aws/events`. Wenn Sie eine bestehende Protokollgruppe auswählen möchten, beachten Sie, dass nur Protokollgruppen, die mit beginnen, als Optionen im Dropdownmenü `/aws/events` angezeigt werden. Weitere Informationen finden Sie unter [Neue Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) im * CloudWatch Amazon-Benutzerhandbuch*.
Wenn Sie eine CloudWatch Protokollgruppe erstellen oder verwenden, um sie mithilfe von CloudWatch Vorgängen außerhalb der Konsole als Ziel zu verwenden, stellen Sie sicher, dass Sie die Berechtigungen korrekt festlegen. Wenn Sie die Konsole verwenden, um einer EventBridge Regel eine Protokollgruppe hinzuzufügen, wird die ressourcenbasierte Richtlinie für die Protokollgruppe automatisch aktualisiert. Wenn Sie jedoch das AWS Command Line Interface oder ein AWS SDK verwenden, um eine Protokollgruppe anzugeben, müssen Sie die ressourcenbasierte Richtlinie für die Protokollgruppe aktualisieren. Die folgende Beispielrichtlinie veranschaulicht die Berechtigungen, die Sie in einer ressourcenbasierten Richtlinie für die Protokollgruppe definieren müssen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
Sie können eine ressourcenbasierte Richtlinie für eine Protokollgruppe nicht mithilfe der Konsole konfigurieren. Verwenden Sie den API-Vorgang, um einer ressourcenbasierten Richtlinie die erforderlichen Berechtigungen hinzuzufügen. CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) Anschließend können Sie mit dem [describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html)CLI-Befehl überprüfen, ob Ihre Richtlinie korrekt angewendet wurde.
**Um eine Regel für ein Ressourcenereignis zu erstellen und ein Ziel für die CloudWatch Protokollgruppe anzugeben**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie AWS-Region die aus, in der Sie die Regel erstellen möchten.
1. Wählen Sie **Regel erstellen** und geben Sie dann alle Informationen zu dieser Regel ein, z. B. das Ereignismuster oder Details zum Zeitplan.
Weitere Informationen zum Erstellen von EventBridge Regeln für ARC finden Sie in den Abschnitten weiter oben in diesem Thema.
1. **Wählen Sie auf der Seite „Ziel** auswählen **CloudWatch**“ Ihr Ziel aus.
1. Wählen Sie eine CloudWatch Protokollgruppe aus dem Drop-down-Menü aus.
# Identity and Access Management für zonales Autoshift in ARC
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um ARC-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Wie funktioniert Zonal Autoshift mit IAM](security_iam_service-with-iam-zonalautoshift.md)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples-zonalautoshift.md)
+ [Servicegebundene Rolle](using-service-linked-roles-zonal-autoshift.md)
+ [AWS verwaltete Richtlinien](security-iam-awsmanpol-zonal-autoshift.md)
# Wie funktioniert Zonal Autoshift in ARC mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Zonal Autoshift in Amazon Application Recovery Controller (ARC) zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für die Verwendung mit Zonal Autoshift verfügbar sind.
**IAM-Funktionen, die Sie mit Zonal Autoshift in ARC verwenden können**
| IAM-Feature | Unterstützung für zonales Autoshift |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-zonalautoshift-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-zonalautoshift-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-zonalautoshift-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-zonalautoshift-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-zonalautoshift-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-zonalautoshift-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-zonalautoshift-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-zonalautoshift-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-zonalautoshift-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-zonalautoshift-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-zonalautoshift-roles-service-linked) | Ja |
*Einen allgemeinen Überblick darüber, wie AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im IAM-Benutzerhandbuch unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für ARC
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Beispiele für identitätsbasierte ARC-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von ARC
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern.
## Politische Maßnahmen für ARC
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der ARC-Aktionen für Zonal Autoshift finden Sie unter [Actions defined by Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions) in der *Service* Authorization Reference.
Richtlinienaktionen in ARC für Zonal Autoshift verwenden vor der Aktion die folgenden Präfixe:
```
arc-zonal-shift
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Zum Beispiel das Folgende:
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "arc-zonal-shift:Describe*"
```
Beispiele für identitätsbasierte ARC-Richtlinien für zonales Autoshift finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für zonales Autoshift in ARC](security_iam_id-based-policy-examples-zonalautoshift.md)
## Richtlinienressourcen für zonales Autoshift in ARC
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Ressourcentypen und ihrer Aktionen sowie der Aktionen ARNs, die Sie mit dem ARN jeder Ressource angeben können, finden Sie unter dem folgenden Thema in der *Service Authorization Reference*:
+ [Von Amazon Route 53 — Zonal Shift definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie unter dem folgenden Thema in der *Service Authorization Reference:*
+ [Von Amazon Route 53 — Zonal Shift definierte Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Beispiele für identitätsbasierte ARC-Richtlinien für Zonal Autoshift finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für zonales Autoshift in ARC](security_iam_id-based-policy-examples-zonalautoshift.md)
## Schlüssel für die Richtlinienbedingung für zonales Autoshift in ARC
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der ARC-Bedingungsschlüssel für zonales Autoshift finden Sie unter den folgenden Themen in der *Service* Authorization Reference:
+ [Zustandstasten für Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie in den folgenden Themen in der *Service Authorization Reference:*
+ [Von Amazon Route 53 Zonal Shift definierte Aktionen](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
Beispiele für identitätsbasierte ARC-Richtlinien für Zonal Autoshift finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für zonales Autoshift in ARC](security_iam_id-based-policy-examples-zonalautoshift.md)
## Zugriffskontrolllisten () in ARC ACLs
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit ARC
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Zonal Autoshift in ARC beinhaltet die folgende teilweise Unterstützung für ABAC:
+ Zonal Autoshift unterstützt ABAC für verwaltete Ressourcen, die in ARC für Zonal Shift registriert sind. Weitere Informationen zu den verwalteten Ressourcen von ABAC for Network Load Balancer und Application Load Balancer finden Sie unter [ABAC with Elastic Load Balancing im Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags) User Guide.
## Temporäre Anmeldeinformationen mit ARC verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für ARC
**Unterstützt Forward Access Sessions (FAS):** Ja
Wenn Sie eine IAM-Entität (Benutzer oder Rolle) verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Richtlinien erteilen einem Prinzipal-Berechtigungen. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service auslösen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen.
Informationen darüber, ob für eine Aktion zusätzliche abhängige Aktionen in einer Richtlinie erforderlich sind, finden Sie unter dem folgenden Thema in der *Service Authorization Reference:*
+ [Amazon Route 53 Zonenverschiebung](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## Servicerollen für ARC
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
## Dienstbezogene Rollen für ARC
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von dienstbezogenen ARC-Rollen finden Sie unter. [Verwenden der serviceverknüpften Rolle für zonales Autoshift in ARC](using-service-linked-roles-zonal-autoshift.md)
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für zonales Autoshift in ARC
Standardmäßig sind Benutzer und Rollen nicht berechtigt, ARC-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von ARC definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Beispiel: Zonaler Autoshift-Konsolenzugriff](#security_iam_id-based-policy-examples-console-zonalautoshift)
+ [Beispiele: ARC-API-Aktionen](#security_iam_id-based-policy-examples-api-zonalautoshift)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand ARC-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Beispiel: Zonaler Autoshift-Konsolenzugriff
Um auf die Amazon Application Recovery Controller (ARC) -Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den ARC-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um einige Aufgaben ausführen zu können, müssen Benutzer über die Berechtigung verfügen, die dienstbezogene Rolle zu erstellen, die mit Zonal Autoshift in ARC verknüpft ist. Weitere Informationen hierzu finden Sie unter [Verwenden der serviceverknüpften Rolle für zonales Autoshift in ARC](using-service-linked-roles-zonal-autoshift.md).
Um Benutzern vollen Zugriff auf die Nutzung von Zonal Autoshift in der zu gewähren AWS-Managementkonsole, fügen Sie dem Benutzer eine Richtlinie wie die folgende hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:CreatePracticeRunConfiguration",
"arc-zonal-shift:DeletePracticeRunConfiguration",
"arc-zonal-shift:ListAutoshifts",
"arc-zonal-shift:UpdatePracticeRunConfiguration",
"arc-zonal-shift:UpdateZonalAutoshiftConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudwatch:DescribeAlarms",
"Resource": "*"
}
]
}
```
------
## Beispiele: ARC-API-Aktionen
Sie können eine Richtlinie verwenden, um sicherzustellen, dass ein Benutzer ARC-API-Aktionen für zonales Autoshift verwenden kann, um zonales Autoshift so zu konfigurieren, dass AWS der Datenverkehr der Anwendungsressourcen von einer Availability Zone in Ihrem Namen auf Healthy AZs in the umgeleitet wird, um die AWS-Region Zeit bis zur Wiederherstellung bei Ereignissen zu verkürzen. Um diese Berechtigungen bereitzustellen, fügen Sie eine Richtlinie hinzu, die den API-Vorgängen entspricht, mit denen der Benutzer arbeiten muss, wie unten beschrieben.
Um einige Aufgaben ausführen zu können, müssen Benutzer über Berechtigungen für die dienstbezogene Rolle verfügen, die mit ARC verknüpft ist. Die zum Erstellen der serviceverknüpften Rolle erforderlichen Berechtigungen sind in der folgenden Beispielrichtlinie enthalten. Weitere Informationen hierzu finden Sie unter [Verwenden der serviceverknüpften Rolle für zonales Autoshift in ARC](using-service-linked-roles-zonal-autoshift.md).
Um mit API-Operationen für zonales Autoshift zu arbeiten, fügen Sie dem Benutzer eine Richtlinie wie die folgende hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:CreatePracticeRunConfiguration",
"arc-zonal-shift:DeletePracticeRunConfiguration",
"arc-zonal-shift:ListAutoshifts",
"arc-zonal-shift:UpdatePracticeRunConfiguration",
"arc-zonal-shift:UpdateZonalAutoshiftConfiguration"
],
"Resource": "*"
},
{
"Effect" : "Allow",
"Action" : [
"cloudwatch:DescribeAlarms",
"health:DescribeEvents"
],
"Resource" : "*"
},
{
"Effect" : "Allow",
"Action" : [
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift"
],
"Resource" : "*"
}
]
}
```
------
# Verwenden der serviceverknüpften Rolle für zonales Autoshift in ARC
[Zonal Autoshift in Amazon Application Recovery Controller verwendet eine AWS Identity and Access Management (IAM) -Serviceverknüpfte Rolle.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit einem Service verknüpft ist — in diesem Fall ARC. Die dienstbezogene Rolle ist von ARC vordefiniert und umfasst alle Berechtigungen, die der Dienst benötigt, um in Ihrem Namen andere AWS Dienste für bestimmte Zwecke aufzurufen.
Eine dienstbezogene Rolle erleichtert die Einrichtung von ARC, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. ARC definiert die Berechtigungen für die dienstbezogene Rolle, und sofern nicht anders definiert, kann nur ARC ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre zonalen ARC-Autoshift-Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
****Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rolle nach den Diensten, für die Ja steht.**** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen AWSService RoleForZonalAutoshiftPracticeRun
ARC verwendet die benannte serviceverknüpfte Rolle **AWSServiceRoleForZonalAutoshiftPracticeRun**für folgende Zwecke:
+ Überwachen Sie von Kunden bereitgestellte CloudWatch Amazon-Alarme und Health Dashboard Kundenereignisse für Übungsläufe
+ Übungsläufe verwalten (Zonenverschiebungen üben)
In diesem Abschnitt werden die Berechtigungen für die dienstverknüpfte Rolle sowie Informationen zum Erstellen, Bearbeiten und Löschen der Rolle beschrieben.
### Berechtigungen für dienstverknüpfte Rollen für AWSService RoleForZonalAutoshiftPracticeRun
Diese dienstbezogene Rolle verwendet die verwaltete Richtlinie`AWSZonalAutoshiftPracticeRunSLRPolicy`.
Die serviceverknüpfte Rolle **AWSServiceRoleForZonalAutoshiftPracticeRun** vertraut darauf, dass der folgende Service die Rolle annimmt:
+ `practice-run.arc-zonal-shift.amazonaws.com`
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSZonalAutoshiftPracticeRunSLRPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
### Die **AWSServiceRoleForZonalAutoshiftPracticeRun**dienstbezogene Rolle für ARC wird erstellt
Sie müssen die serviceverknüpfte Rolle **AWSServiceRoleForZonalAutoshiftPracticeRun** nicht manuell erstellen. Wenn Sie die Konfiguration für den ersten Übungslauf im AWS-Managementkonsole, dem oder einem AWS SDK erstellen AWS CLI, erstellt ARC die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die Konfiguration für den ersten Übungslauf erstellen, erstellt ARC die serviceverknüpfte Rolle erneut für Sie.
### Die **AWSServiceRoleForZonalAutoshiftPracticeRun**serviceverknüpfte Rolle für ARC bearbeiten
ARC erlaubt es Ihnen nicht, die **AWSServiceRoleForZonalAutoshiftPracticeRun**serviceverknüpfte Rolle zu bearbeiten. Nachdem Sie die dienstverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da andere Entitäten möglicherweise darauf verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
### Löschen der **AWSServiceRoleForZonalAutoshiftPracticeRun**dienstbezogenen Rolle für ARC
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für eine dienstverknüpfte Rolle bereinigen, bevor Sie sie manuell löschen können.
Nachdem Sie Autoshift deaktiviert haben, können Sie die **AWSServiceRoleForZonalAutoshiftPracticeRun**dienstverknüpfte Rolle löschen. Weitere Informationen zur Autoshift-Funktion finden Sie unter. [Zonenverschiebung in ARC](arc-zonal-shift.md)
**Anmerkung**
Wenn der ARC-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen der Servicerolle möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und versuchen Sie erneut, die Rolle zu löschen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForZonalAutoshiftPracticeRun serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Aktualisierungen der dienstverknüpften ARC-Rolle für zonales Autoshift
Aktualisierungen der AWS verwalteten Richtlinien für die mit dem ARC-Dienst verknüpften Rollen finden Sie in der Tabelle mit [Aktualisierungen AWS verwalteter Richtlinien für](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates) ARC. Sie können auch automatische RSS-Benachrichtigungen auf der [Seite mit dem Verlauf der ARC-Dokumente](doc-history.md) abonnieren.
# AWS verwaltete Richtlinien für zonales Autoshift in ARC
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSZonal AutoshiftPracticeRun SLRPolicy
Sie können `AWSZonalAutoshiftPracticeRunSLRPolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer servicebezogenen Rolle verknüpft, die es Amazon Application Recovery Controller (ARC) ermöglicht, für zonales Autoshift Folgendes zu tun:
+ Überwachen Sie von Kunden bereitgestellte CloudWatch Amazon-Alarme und Health Dashboard Kundenereignisse für Übungsläufe
+ Übungsläufe verwalten (Zonenverschiebungen üben)
+ Verwalte ausgewogene Kapazitätsprüfungen für Übungsläufe und automatische Schichten
Weitere Informationen finden Sie unter [Verwenden der serviceverknüpften Rolle für zonales Autoshift in ARC](using-service-linked-roles-zonal-autoshift.md).
## Aktualisierungen der AWS verwalteten Richtlinien für zonales Autoshift
Einzelheiten zu den Aktualisierungen der AWS verwalteten Richtlinien für zonal Autoshift in ARC seit Beginn der Erfassung dieser Änderungen durch diesen Dienst finden Sie unter. [Aktualisierungen der AWS verwalteten Richtlinien für Amazon Application Recovery Controller (ARC)](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates) Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite [ARC-Dokumentenverlauf](doc-history.md).
# Kontingente für zonales Autoshift
Zonal Autoshift in Amazon Application Recovery Controller (ARC) unterliegt den folgenden Kontingenten.
| Entität | Kontingent |
| --- | --- |
| Anzahl der Ergebnisalarme pro Konfiguration für den Übungslauf | 10 Sie können [eine Erhöhung des Kontingents beantragen](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas). |
| Anzahl der blockierenden Alarme pro Konfiguration für den Übungslauf | 10 Sie können [eine Erhöhung des Kontingents beantragen](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas). |