Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controllo del routing in ARC
Per eseguire il failover del traffico verso più repliche di applicazioni Regioni AWS, puoi utilizzare i controlli di routing in Amazon Application Recovery Controller (ARC) che sono integrati con un tipo specifico di controllo dello stato di salute in Amazon Route 53. I *controlli di routing* sono semplici switch on-off che consentono di spostare il traffico client da una replica regionale all'altra. Il reindirizzamento del traffico viene eseguito mediante *controlli di integrità del controllo del routing* configurati con i record DNS di Amazon Route 53. Ad esempio, i record di failover DNS, associati ai nomi di dominio utilizzati per le repliche delle applicazioni in ogni regione.
Questa sezione spiega come funziona il controllo del routing, come configurare i componenti di controllo del routing e come utilizzarli per reindirizzare il traffico per il failover.
I componenti di controllo del routing in ARC sono: cluster, pannelli di controllo, controlli di routing e controlli dello stato del controllo del routing. Tutti i controlli di routing sono raggruppati su pannelli di controllo. È possibile raggrupparli nel pannello di controllo predefinito creato da ARC per il cluster oppure creare pannelli di controllo personalizzati. È necessario creare un cluster prima di poter creare un pannello di controllo o un controllo di routing. Ogni cluster in ARC è un piano dati di endpoint su cinque. Regioni AWS
Dopo aver creato i controlli di routing e i controlli di integrità del controllo del routing, è possibile creare regole di sicurezza per il controllo del routing per prevenire gli effetti collaterali involontari dell'automazione del ripristino. È possibile aggiornare gli stati di controllo del routing per reindirizzare il traffico, singolarmente o in batch, utilizzando le azioni AWS CLI o API (consigliato) o utilizzando il. Console di gestione AWS
Questa sezione spiega come funzionano i controlli di routing e come crearli e utilizzarli per reindirizzare il traffico per l'applicazione.
**Importante**
Per ulteriori informazioni su come prepararsi a utilizzare ARC per reindirizzare il traffico come parte di un piano di failover per l'applicazione in uno scenario di emergenza, consulta. [Le migliori pratiche per il controllo del routing in ARC](route53-arc-best-practices.regional.md)
# Informazioni sul controllo del routing
Il controllo del routing reindirizza il traffico utilizzando i controlli di integrità in Amazon Route 53 configurati con record DNS associati alla risorsa di primo livello delle celle del gruppo di ripristino, come un sistema di bilanciamento del carico Elastic Load Balancing. È possibile reindirizzare il traffico da una cella all'altra, ad esempio aggiornando uno stato di controllo del routing su `Off` (per interrompere il flusso di traffico verso una cella) e aggiornando un altro stato di controllo del routing su `On` (per avviare il flusso di traffico verso un'altra). Il processo che modifica il flusso del traffico è il controllo dello stato della Route 53 associato al controllo del routing, dopo che ARC lo ha aggiornato per impostarlo come integro o meno, in base allo stato di controllo del routing corrispondente.
I controlli di routing supportano il failover su qualsiasi AWS servizio dotato di un endpoint DNS. È possibile aggiornare gli stati di controllo del routing per eseguire il failover del traffico per il disaster recovery, quando si rilevano cali di latenza per l'applicazione o altri problemi.
Puoi anche configurare le regole di sicurezza per il controllo del routing, per assicurarti che il reindirizzamento del traffico utilizzando i controlli di routing non comprometta la disponibilità. Per ulteriori informazioni, consulta [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md).
È importante notare che i controlli di routing non sono di per sé controlli di integrità che monitorano lo stato di base degli endpoint. Ad esempio, a differenza di un controllo dello stato di Route 53, un controllo di routing non monitora i tempi di risposta o i tempi di connessione TCP. Un controllo del routing è un semplice interruttore di accensione e spegnimento che controlla un controllo dello stato di salute. In genere, si modifica lo stato per reindirizzare il traffico e tale modifica di stato sposta il traffico verso un particolare endpoint per l'intero stack di applicazioni o impedisce il routing verso l'intero stack di applicazioni. Ad esempio, in uno scenario semplice, quando modificate lo stato di controllo del routing da `On` a`Off`, viene aggiornato un controllo dello stato di Route 53, che avete associato a un record di failover DNS per spostare il traffico da un endpoint.
## Come utilizzare il controllo del routing
Per aggiornare lo stato di controllo del routing, in modo da poter reindirizzare il traffico, è necessario connettersi a uno degli endpoint del cluster in ARC. Se l'endpoint a cui tenti di connetterti non è disponibile, prova a cambiare lo stato con un altro endpoint del cluster. Il processo di modifica degli stati di controllo del routing dovrebbe essere pronto a provare ogni endpoint a rotazione, poiché gli endpoint del cluster vengono alternati tra gli stati disponibili e non disponibili per manutenzione e aggiornamenti regolari.
Quando si creano controlli di routing, si configurano i record DNS in modo da associare i controlli di integrità del controllo di routing ai nomi DNS di Route 53 presenti nella replica di ogni applicazione. Ad esempio, per controllare i failover del traffico su due sistemi di bilanciamento del carico, uno in ciascuna delle due regioni, si creano due controlli di integrità del controllo del routing e li si associa a due record DNS, ad esempio record Alias con politiche di routing di failover, con i nomi di dominio dei rispettivi sistemi di bilanciamento del carico.
È inoltre possibile configurare scenari di failover del traffico più complessi utilizzando il controllo del routing ARC insieme ai controlli di integrità e ai set di record DNS di Route 53, utilizzando record DNS con politiche di routing ponderate. Per un esempio dettagliato, consulta la sezione sul failover del traffico utente nel seguente post di AWS blog: [Creazione di applicazioni altamente resilienti utilizzando Amazon Application Recovery Controller (ARC), parte 2:](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-2-multi-region-stack/) Stack multiregionale
Quando avvii un failover per un controllo del routing in Regione AWS uso, a causa delle fasi relative al flusso del traffico, potresti non vedere immediatamente il traffico uscire dalla regione. Inoltre, il completamento delle connessioni esistenti e in corso nella regione può richiedere un breve periodo di tempo, a seconda del comportamento del client e del riutilizzo della connessione. A seconda delle impostazioni DNS e di altri fattori, le connessioni esistenti possono essere completate in pochi minuti o potrebbero richiedere più tempo. Per ulteriori informazioni, consulta [Garantire che i cambiamenti di traffico finiscano rapidamente.](route53-arc-best-practices.zonal-shifts.md#arc-zonal-shift.existing-connections)
## Vantaggi del controllo del routing
Un controllo del routing in ARC presenta diversi vantaggi rispetto al reindirizzamento del traffico con i controlli sanitari tradizionali. Esempio:
+ Un controllo del routing consente di eseguire il failover di un intero stack di applicazioni. Ciò è in contrasto con il failover dei singoli componenti di uno stack, come fanno le istanze Amazon EC2, sulla base di controlli dello stato a livello di risorsa.
+ Il controllo del routing ti offre un override manuale semplice e sicuro che puoi utilizzare per spostare il traffico per eseguire la manutenzione o per ripristinare i guasti quando i monitor interni non rilevano alcun problema.
+ È possibile utilizzare un controllo del routing insieme a regole di sicurezza per prevenire gli effetti collaterali comuni che possono verificarsi con l'automazione completamente automatizzata basata su controlli dello stato di salute, come il failover su un'infrastruttura di standby non preparata per il failover.
Ecco un esempio di come incorporare i controlli di routing nella strategia di failover, per migliorare la resilienza e la disponibilità delle applicazioni. AWS
È possibile supportare AWS applicazioni ad alta disponibilità AWS eseguendo più repliche ridondanti (in genere tre) in tutte le regioni. Quindi puoi utilizzare il controllo del routing di Amazon Route 53 per indirizzare il traffico verso la replica appropriata.
Ad esempio, puoi configurare una replica dell'applicazione in modo che sia attiva e serva il traffico delle applicazioni, mentre un'altra è una replica in standby. In caso di errori nella replica attiva, è possibile reindirizzare il traffico degli utenti in quella sede per ripristinare la disponibilità dell'applicazione. È necessario decidere se rifiutare o meno una replica in base alle informazioni fornite dai sistemi di monitoraggio e controllo dello stato.
Se si desidera consentire ripristini più rapidi, un'altra opzione che è possibile scegliere per l'architettura è un'implementazione attiva-attiva. Con questo approccio, le repliche sono attive contemporaneamente. Ciò significa che è possibile ripristinare gli errori allontanando gli utenti da una replica dell'applicazione compromessa semplicemente reindirizzando il traffico verso un'altra replica attiva.
# AWS Disponibilità regionale per il controllo del routing
Per informazioni dettagliate sul supporto regionale e sugli endpoint di servizio per Amazon Application Recovery Controller (ARC), consulta gli [endpoint e le quote di Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/general/latest/gr/r53arc.html) nel riferimento generale di *Amazon Web Services*.
**Nota**
Il controllo del routing in Amazon Application Recovery Controller (ARC) è una funzionalità globale. Tuttavia, è necessario specificare la regione degli Stati Uniti occidentali (Oregon) (specificare il parametro`--region us-west-2`) nei comandi ARC AWS CLI regionali. Cioè, quando si creano risorse come cluster, pannelli di controllo o controlli di routing.
Un controllo di routing ARC è uno on/off switch che modifica lo stato di un controllo di integrità ARC, che può quindi essere associato a un record DNS che reindirizza il traffico, ad esempio, da una replica di distribuzione primaria a una replica di distribuzione in standby.
Se si verifica un errore dell'applicazione o un problema di latenza, è possibile aggiornare gli stati di controllo del routing per spostare il traffico dalla replica principale, ad esempio, a una replica in standby. Utilizzando le operazioni altamente affidabili dell'API ARC data plane per effettuare query di controllo del routing e aggiornare lo stato di controllo del routing, puoi fare affidamento su ARC per il failover durante gli scenari di disaster recovery. Per ulteriori informazioni, consulta [Ottenere e aggiornare gli stati di controllo del routing utilizzando l'API ARC (consigliato)](routing-control.update.api.md).
ARC mantiene gli stati di controllo del routing in un *cluster*, che è un set di cinque endpoint regionali ridondanti. ARC propaga le modifiche dello stato di controllo del routing su tutto il cluster, che si trova in una flotta Amazon EC2, per ottenere un quorum in cinque regioni. AWS Dopo la propagazione, quando si interroga ARC per uno stato di controllo del routing, utilizzando l'API e il piano dati altamente affidabile, viene restituita la visualizzazione di consenso.
È possibile interagire con uno qualsiasi dei cinque endpoint del cluster per aggiornare lo stato di un controllo di routing da, ad esempio, a. `Off` `On` Quindi ARC propaga l'aggiornamento tra le cinque regioni del cluster.
La coerenza dei dati su tutti e cinque gli endpoint del cluster viene raggiunta in media entro 5 secondi e dopo non più di 15 secondi al massimo.
ARC offre un'affidabilità estrema con il suo piano dati che consente di eseguire manualmente il failover dell'applicazione su più celle. ARC garantisce che almeno tre dei cinque endpoint del cluster siano sempre accessibili all'utente per modificare lo stato di controllo del routing. Tieni presente che ogni cluster ARC è a tenant singolo, per assicurarti di non essere influenzato da «vicini rumorosi» che potrebbero rallentare i tuoi schemi di accesso.
Quando apporti modifiche agli stati di controllo del routing, ti affidi ai seguenti tre criteri, che è altamente improbabile che abbiano esito negativo:
+ Almeno tre dei cinque endpoint sono disponibili e fanno parte del quorum.
+ Disponi di credenziali IAM funzionanti e puoi autenticarti su un endpoint del cluster regionale funzionante.
+ Il piano dati di Route 53 è integro (questo piano dati è progettato per soddisfare uno SLA di disponibilità del 100%).
# Componenti per il controllo del routing
Il diagramma seguente illustra un esempio di componenti che supportano la funzionalità di controllo del routing in ARC. I controlli di routing mostrati qui (raggruppati in un unico pannello di controllo) consentono di gestire il traffico verso due zone di disponibilità in ciascuna delle due regioni. Quando aggiorni gli stati di controllo del routing, ARC modifica i controlli di integrità in Amazon Route 53, che reindirizzano il traffico DNS verso celle diverse. Le regole di sicurezza configurate per il controllo del routing aiutano a evitare scenari di fail-open e altre conseguenze non intenzionali.
![\[Componenti che supportano il controllo del routing in ARC\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/images/GS_RecoveryControlDiagram.png)
Di seguito sono riportati i componenti della funzionalità di controllo del routing in ARC.
**Cluster**
Un cluster è un insieme di cinque endpoint regionali ridondanti rispetto ai quali si avviano chiamate API per aggiornare o ottenere gli stati di controllo del routing. Un cluster include un pannello di controllo predefinito ed è possibile ospitare più pannelli di controllo e controlli di routing su un unico cluster.
**Controlli di routing**
Un controllo del routing è un semplice on/off switch, ospitato su un cluster, utilizzato per controllare il routing del traffico client in entrata e in uscita dalle celle. Quando si crea un controllo di routing, si aggiunge un controllo di integrità ARC in Route 53. Ciò consente di reindirizzare il traffico (utilizzando i controlli di integrità, configurati con i record DNS per le applicazioni) quando si aggiorna lo stato di controllo del routing in ARC.
**Controllo dello stato del routing**
I controlli di routing sono integrati con i controlli di integrità in Route 53. I controlli di integrità sono associati ai record DNS che precedono ogni replica dell'applicazione, ad esempio i record di failover. Quando si modificano gli stati di controllo del routing, ARC aggiorna i controlli di integrità corrispondenti, che reindirizzano il traffico, ad esempio verso il failover sulla replica di standby.
**Pannello di controllo**
Un pannello di controllo raggruppa una serie di controlli di routing correlati. È possibile associare più controlli di routing a un unico pannello di controllo e quindi creare regole di sicurezza per il pannello di controllo per garantire che gli aggiornamenti di reindirizzamento del traffico effettuati siano sicuri. Ad esempio, puoi configurare un controllo di routing per ciascuno dei tuoi sistemi di bilanciamento del carico in ogni zona di disponibilità e quindi raggrupparli nello stesso pannello di controllo. Quindi puoi aggiungere una regola di sicurezza (una «regola di asserzione») che assicuri che almeno una zona (rappresentata da un controllo di routing) sia attiva contemporaneamente, per evitare scenari di «fail-open» involontari.
**Pannello di controllo predefinito**
Quando si crea un cluster, ARC crea un pannello di controllo predefinito. Per impostazione predefinita, tutti i controlli di routing creati sul cluster vengono aggiunti al pannello di controllo predefinito. In alternativa, è possibile creare pannelli di controllo personalizzati per raggruppare i controlli di routing correlati.
**Regola di sicurezza**
Le regole di sicurezza sono regole da aggiungere al controllo del routing per garantire che le azioni di ripristino non compromettano accidentalmente la disponibilità dell'applicazione. Ad esempio, è possibile creare una regola di sicurezza che crei un controllo di routing che funga da interruttore «on/off» generale in modo da poter abilitare o disabilitare una serie di altri controlli di routing.
****Endpoint (endpoint del cluster)****
Ogni cluster in ARC dispone di cinque endpoint regionali che è possibile utilizzare per impostare e recuperare gli stati di controllo del routing. Il processo di accesso agli endpoint dovrebbe presupporre che ARC attivi e disattivi regolarmente gli endpoint per la manutenzione, quindi dovresti provare ogni endpoint in successione finché non ti connetti a uno solo. È possibile accedere agli endpoint per visualizzare lo stato attuale dei controlli di routing (On o Off) e attivare i failover per le applicazioni modificando gli stati di controllo del routing.
# Piani di controllo e dati per il controllo del routing
Quando pianifichi il failover e il disaster recovery, considera la resilienza dei tuoi meccanismi di failover. Ti consigliamo di assicurarti che i meccanismi da cui dipendi durante il failover siano altamente disponibili, in modo da poterli utilizzare quando ne hai bisogno in uno scenario di emergenza. In genere, è consigliabile utilizzare le funzioni del piano dati per i meccanismi ogni volta che è possibile, per la massima affidabilità e tolleranza ai guasti. In quest'ottica, è importante capire in che modo la funzionalità di un servizio è suddivisa tra piani di controllo e piani dati e quando è possibile contare su un'aspettativa di estrema affidabilità con il piano dati di un servizio.
Come per la maggior parte dei AWS servizi, la funzionalità per la funzionalità di controllo del routing è supportata da piani di controllo e piani dati. Sebbene entrambi siano progettati per essere affidabili, un piano di controllo è ottimizzato per la coerenza dei dati, mentre un piano dati è ottimizzato per la disponibilità. Un piano dati è progettato per la resilienza in modo da poter mantenere la disponibilità anche durante eventi di interruzione, quando un piano di controllo potrebbe non essere disponibile.
In generale, un *piano di controllo* consente di eseguire funzioni di gestione di base, come creare, aggiornare ed eliminare risorse nel servizio. Un *piano dati* fornisce le funzionalità principali di un servizio. Per questo motivo, si consiglia di utilizzare le operazioni del piano dati quando la disponibilità è importante, ad esempio quando è necessario reindirizzare il traffico verso una replica in standby durante un'interruzione.
Per il controllo del routing, i piani di controllo e i piani dati sono suddivisi come segue:
+ L'API del piano di controllo per il controllo del routing è l'[API Recovery Control Configuration](https://docs.aws.amazon.com/recovery-cluster/latest/api/what-is-recovery-control.html), supportata nella regione Stati Uniti occidentali (Oregon) (us-west-2). Queste operazioni API vengono utilizzate oppure Console di gestione AWS per creare o eliminare cluster, pannelli di controllo e controlli di routing, per prepararsi a un evento di disaster recovery in cui potrebbe essere necessario reindirizzare il traffico per l'applicazione. *Il piano di controllo della configurazione del controllo del routing non è altamente disponibile.*
+ Il piano dati di controllo del routing è un cluster dedicato in cinque regioni AWS geograficamente isolate. Ogni cliente crea uno o più cluster utilizzando il piano di controllo del routing. Il cluster ospita pannelli di controllo e controlli di routing. Quindi utilizzi l'[API Routing Control (Recovery Cluster)](https://docs.aws.amazon.com/routing-control/latest/APIReference/Welcome.html) per ottenere, elencare e aggiornare gli stati di controllo del routing quando desideri reindirizzare il traffico per la tua applicazione. *Il piano dati di controllo del routing È altamente disponibile.*
Poiché il piano dati di controllo del routing è altamente disponibile, si consiglia di utilizzarlo per AWS Command Line Interface effettuare chiamate API per gestire gli stati di controllo del routing quando si desidera eseguire il failover per ripristinare un evento. Per ulteriori informazioni sulle considerazioni chiave da prendere in considerazione per la preparazione e il completamento di un'operazione di ripristino con il controllo del routing, consulta. [Le migliori pratiche per il controllo del routing in ARC](route53-arc-best-practices.regional.md)
Per ulteriori informazioni sui piani dati, sui piani di controllo e su come AWS crea servizi per soddisfare gli obiettivi di alta disponibilità, consulta il [paper Static stability using Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in Amazon Builders' Library.
# Tagging per il controllo del routing in Amazon Application Recovery Controller (ARC)
I tag sono parole o frasi (metadati) che usi per identificare e organizzare le tue risorse. AWS È possibile aggiungere più tag a ogni risorsa e ogni tag include una chiave e un valore che definisci. Ad esempio, la chiave potrebbe essere l'ambiente e il valore potrebbe essere la produzione. Puoi cercare e filtrare le tue risorse in base ai tag che aggiungi.
Puoi taggare le seguenti risorse nel controllo del routing in ARC:
+ Cluster
+ Pannelli di controllo
+ Regole di sicurezza
L'etichettatura in ARC è disponibile solo tramite l'API, ad esempio utilizzando il AWS CLI.
Di seguito sono riportati alcuni esempi di etichettatura nel controllo del routing utilizzando. AWS CLI
`aws route53-recovery-control-config --region us-west-2 create-cluster --cluster-name example1-cluster --tags Region=PDX,Stage=Prod`
`aws route53-recovery-control-config --region us-west-2 create-control-panel --control-panel-name example1-control-panel --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh --tags Region=PDX,Stage=Prod`
Per ulteriori informazioni, consulta [TagResource](https://docs.aws.amazon.com/recovery-cluster/latest/api/tags-resourcearn.html)la *Recovery Control Configuration API Reference Guide* per Amazon Application Recovery Controller (ARC).
# Prezzi per il controllo del routing in ARC
Per il controllo del routing in ARC, paghi un costo orario per cluster creato. Ogni cluster può ospitare più controlli di routing, da utilizzare per attivare i failover delle applicazioni.
Per aiutare a gestire i costi e migliorare l'efficienza, è possibile configurare la condivisione tra account per un cluster, in modo da condividere un cluster con più account. AWS Per ulteriori informazioni, consulta [Supporta più account per i cluster in ARC](routing-control.failover-different-accounts.md).
Per informazioni dettagliate sui prezzi di ARC ed esempi di prezzi, consulta [ARC Pricing](https://aws.amazon.com/application-recovery-controller/pricing/).
# Guida introduttiva al ripristino multiregionale in Amazon Application Recovery Controller (ARC)
Per eseguire il failover delle applicazioni utilizzando il controllo del routing in Amazon Application Recovery Controller (ARC), è necessario disporre di più AWS Regioni AWS applicazioni. Per iniziare, assicurati innanzitutto che le applicazioni siano configurate in repliche in silos in ciascuna regione, in modo da poter eseguire il failover da una all'altra durante un evento. È quindi possibile creare controlli di routing per reindirizzare il traffico delle applicazioni in modo da effettuare il failover da un'applicazione principale a una secondaria, garantendo la continuità per gli utenti.
**Nota**
Se disponi di un'applicazione isolata per zone di disponibilità, prendi in considerazione l'utilizzo dello spostamento zonale o dello spostamento automatico di zona per il ripristino in caso di failover. Non è necessaria alcuna configurazione per utilizzare lo spostamento zonale o lo spostamento automatico di zona per ripristinare in modo affidabile le applicazioni in caso di problemi relativi alla zona di disponibilità. Per ulteriori informazioni, consulta [Usa lo spostamento zonale e lo spostamento automatico di zona per ripristinare le applicazioni in ARC](multi-az.md).
Per poter utilizzare il controllo del routing ARC per ripristinare le applicazioni durante un evento, si consiglia di configurare almeno due applicazioni che siano repliche l'una dell'altra. Ogni replica, o *cella, rappresenta* un. Regione AWS Dopo aver configurato le risorse dell'applicazione per l'allineamento con le regioni, assicurati che l'applicazione sia configurata per il corretto ripristino eseguendo i passaggi seguenti.
Suggerimento: per semplificare la configurazione, forniamo CloudFormation modelli HashiCorp Terraform che creano un'applicazione con repliche ridondanti che falliscono indipendentemente l'una dall'altra. Per saperne di più e scaricare i modelli, consulta. [Configurazione di un'app di esempio](#getting-started-example)
Per prepararti a utilizzare il controllo del routing, assicurati che l'applicazione sia configurata per essere resiliente effettuando le seguenti operazioni:
1. Crea copie indipendenti dello stack di applicazioni (livello di rete e di elaborazione) che siano repliche l'una dell'altra in ciascuna regione, in modo da poter effettuare il failover del traffico dall'una all'altra in caso di evento. Assicurati di non avere dipendenze interregionali nel codice dell'applicazione che potrebbero causare il fallimento di una replica a ripercuotersi sull'altra. Per eseguire correttamente il failover tra le due aree Regioni AWS, i limiti dello stack devono trovarsi all'interno di una regione.
1. Duplica tutti i dati stateful richiesti per l'applicazione tra le repliche. È possibile utilizzare i servizi di AWS database per aiutare a replicare i dati.
## Inizia a controllare il routing per il failover del traffico
Il controllo del routing in Amazon Application Recovery Controller (ARC) consente di attivare il failover per il failover del traffico tra copie ridondanti dell'applicazione, o repliche, che vengono eseguite separatamente. Regioni AWS Il failover viene eseguito con DNS, utilizzando il piano dati Amazon Route 53.
Dopo aver configurato le repliche in ciascuna regione, come descritto nella sezione successiva, puoi associare ognuna di esse a un controllo di routing. Innanzitutto, associ i controlli di routing ai nomi di dominio di primo livello delle repliche in ciascuna regione. Quindi, aggiungi un controllo dello stato del controllo del routing al controllo del routing in modo che possa attivare e disattivare il flusso del traffico. Ciò consente di controllare il routing del traffico tra le repliche dell'applicazione.
È possibile aggiornare gli stati di controllo del routing in modalità Console di gestione AWS di failover del traffico, ma si consiglia invece di utilizzare le azioni ARC, utilizzando l'API o AWS CLI, per modificarle. Le azioni API non dipendono dalla console, quindi sono più resilienti.
Ad esempio, per eseguire il failover tra regioni, da us-west-1 a us-east-1, puoi `update-routing-control-state` utilizzare l'azione API per impostare lo stato di to e to. `us-west-1` `Off` `us-east-1` `On`
Prima di creare componenti di controllo del routing per configurare il failover dell'applicazione, assicuratevi che l'applicazione sia inserita in silos nelle repliche regionali, in modo da poter effettuare il failover da una all'altra. Per ulteriori informazioni e iniziare a isolare una nuova applicazione o creare uno stack di esempio, consultate le sezioni successive.
## Configurazione di un'app di esempio
Per aiutarti a capire come funziona il controllo del routing, forniamo un'applicazione di esempio chiamata`TicTacToe`. L'esempio utilizza CloudFormation modelli per semplificare il processo, oltre a un CloudFormation modello scaricabile in modo che possiate esplorare rapidamente la configurazione e l'utilizzo di ARC da soli.
Dopo aver distribuito l'app di esempio, puoi utilizzare i modelli per creare componenti ARC e quindi esplorare l'utilizzo dei controlli di routing per gestire il flusso di traffico verso l'app. Puoi adattare il modello e il processo per il tuo scenario e le tue applicazioni.
Per iniziare con un'applicazione e dei CloudFormation modelli di esempio, consulta le istruzioni README nel repository [ARC GitHub](https://github.com/aws-samples/r53-arc-iad). Puoi saperne di più sull'uso dei CloudFormation modelli leggendo [CloudFormation i concetti nella Guida](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) per l' AWS CloudFormation utente.
# Le migliori pratiche per il controllo del routing in ARC
Consigliamo le seguenti best practice per la preparazione al ripristino e al failover per il controllo del routing in ARC.
**Argomenti**
+ [Mantieni le credenziali create appositamente e di lunga durata sicure e sempre accessibili AWS](#RCBestPracticeCredentials)
+ [Scegli valori TTL inferiori per i record DNS coinvolti nel failover](#RCBestPracticeLowerTTL)
+ [Limita il tempo in cui i client rimangono connessi ai tuoi endpoint](#RCBestPracticeCurrentConnections)
+ [Aggiungi ai segnalibri o codifica i tuoi cinque endpoint del cluster regionale e il controllo del routing ARNs](#RCBestPracticeBookmarkEndpoints)
+ [Scegli uno dei tuoi endpoint a caso per aggiornare gli stati di controllo del routing](#RCBestPracticeRandomEndpoint)
+ [Utilizza l'API data plane estremamente affidabile per elencare e aggiornare gli stati di controllo del routing, non la console](#RCBestPracticeUseDataPlane)
**Mantieni le credenziali create appositamente e di lunga durata sicure e sempre accessibili AWS **
In uno scenario di disaster recovery (DR), riduci al minimo le dipendenze dal sistema utilizzando un approccio semplice per accedere ed eseguire le attività di ripristino. AWS Crea [credenziali IAM a lunga durata](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html) specifiche per le attività di DR e conservale in modo sicuro in una cassaforte fisica locale o in un deposito virtuale, a cui accedervi quando necessario. Con IAM, puoi gestire centralmente le credenziali di sicurezza, come le chiavi di accesso e le autorizzazioni per l'accesso alle risorse. AWS [Per le attività diverse dal DR, ti consigliamo di continuare a utilizzare l'accesso federato, utilizzando AWS servizi come Single Sign-On.AWS](https://aws.amazon.com/single-sign-on/)
Per eseguire attività di failover in ARC con l'API del piano dati del cluster di ripristino, puoi allegare una policy ARC IAM al tuo utente. Per ulteriori informazioni, consulta [Esempi di policy basate sull'identità in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md).
**Scegliete valori TTL inferiori per i record DNS coinvolti nel failover**
Per i record DNS che potrebbe essere necessario modificare nell'ambito del meccanismo di failover, in particolare i record sottoposti a controlli di integrità, è opportuno utilizzare valori TTL inferiori. Per questo scenario, è comune impostare un TTL di 60 o 120 secondi.
L'impostazione DNS TTL (time to live) indica ai resolver DNS per quanto tempo devono memorizzare nella cache un record prima di richiederne uno nuovo. Quando scegli un TTL, fai un compromesso tra latenza e affidabilità e reattività al cambiamento. Con un TTL più breve su un record, i resolver DNS notano gli aggiornamenti del record più rapidamente perché il TTL specifica che devono eseguire query più frequentemente.
Per ulteriori informazioni, consulta *Scelta dei valori TTL per i record DNS* nelle [migliori pratiche per Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-dns.html) DNS.
**Limita il tempo in cui i client rimangono connessi ai tuoi endpoint**
Quando usi i controlli di routing per passare da uno Regione AWS all'altro, il meccanismo utilizzato da Amazon Application Recovery Controller (ARC) per spostare il traffico dell'applicazione è un aggiornamento DNS. Questo aggiornamento fa sì che tutte le nuove connessioni vengano allontanate dalla posizione compromessa.
Tuttavia, i client con connessioni aperte preesistenti potrebbero continuare a fare richieste verso la posizione compromessa fino alla riconnessione dei client. Per garantire un ripristino rapido, ti consigliamo di limitare il periodo di tempo in cui i client rimangono connessi ai tuoi endpoint.
Se si utilizza un Application Load Balancer, è possibile utilizzare l'`keepalive`opzione per configurare la durata delle connessioni. Per ulteriori informazioni, consulta la [durata del client HTTP keepalive nella Guida](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration) per l'utente di Application Load Balancer.
Per impostazione predefinita, Application Load Balancer impostano il valore di durata keepalive del client HTTP su 3600 secondi o 1 ora. Ti consigliamo di abbassare il valore per adattarlo all'obiettivo del tempo di ripristino per l'applicazione, ad esempio 300 secondi. Quando scegli la durata di keepalive di un client HTTP, considera che questo valore rappresenta un compromesso tra la riconnessione più frequente in generale, il che può influire sulla latenza, e lo spostamento più rapido di tutti i client da una zona o regione compromessa.
**Aggiungi ai segnalibri o codifica i tuoi cinque endpoint del cluster regionale e controlla il routing ARNs**
Ti consigliamo di conservare una copia locale degli endpoint del cluster regionale ARC, nei segnalibri o salvata nel codice di automazione che usi per riprovare gli endpoint. Durante un evento di errore, potresti non essere in grado di accedere ad alcune operazioni API, incluse le operazioni API ARC che non sono ospitate nel cluster Data Plane estremamente affidabile. È possibile elencare gli endpoint per i cluster ARC utilizzando l'operazione [DescribeCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html)API.
**Scegli uno dei tuoi endpoint a caso per aggiornare gli stati di controllo del routing**
I controlli di routing forniscono cinque endpoint regionali per garantire un'elevata disponibilità, anche in caso di guasti. Per raggiungere la loro piena resilienza, è importante disporre di una logica di riprova in grado di utilizzare tutti e cinque gli endpoint, se necessario. Per informazioni sull'utilizzo di esempi di codice con l' AWS SDK, inclusi esempi per provare gli endpoint del cluster, consulta. [Esempi di codice per l'utilizzo di Application Recovery Controller AWS SDKs](service_code_examples.md)
**Utilizza l'API data plane estremamente affidabile per elencare e aggiornare gli stati di controllo del routing, non la console**
Utilizzando l'API del piano dati ARC, visualizza i controlli e gli stati del routing insieme all'[ListRoutingControls](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_ListRoutingControls.html)operazione e aggiorna gli stati di controllo del routing per reindirizzare il traffico in modo da consentire il failover dell'operazione. [UpdateRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlState.html) È possibile utilizzare AWS CLI [(come in questi esempi)](getting-started-cli-routing.control-state.md) o il codice che si scrive utilizzando uno dei. AWS SDKs ARC offre un'affidabilità estrema con l'API nel piano dati per il failover del traffico. Si consiglia di utilizzare l'API anziché modificare gli stati di controllo del Console di gestione AWS routing in.
Connect a uno degli endpoint del cluster regionale per ARC per utilizzare l'API del piano dati. Se l'endpoint non è disponibile, prova a connetterti a un altro endpoint del cluster.
Se una regola di sicurezza blocca un aggiornamento dello stato di controllo del routing, puoi ignorarla per effettuare l'aggiornamento e gestire il traffico. Per ulteriori informazioni, consulta [Sostituire le regole di sicurezza per reindirizzare il traffico](routing-control.override-safety-rule.md).
**Test di failover con ARC**
Eseguite regolarmente il failover con ARC Routing Control, per eseguire il failover dallo stack di applicazioni primario a uno stack di applicazioni secondario. È importante assicurarsi che le strutture ARC che avete aggiunto siano allineate con le risorse corrette dello stack e che tutto funzioni come previsto. È consigliabile verificarlo dopo aver configurato ARC per il proprio ambiente e continuare a eseguire i test periodicamente, in modo da preparare l'ambiente di failover, prima che si verifichi una situazione di errore in cui è necessario che il sistema secondario sia attivo e funzionante rapidamente per evitare tempi di inattività per gli utenti.
# Operazioni dell'API di controllo del routing
Questa sezione include tabelle con elenchi delle operazioni API che puoi utilizzare per configurare e utilizzare il controllo del routing in Amazon Application Recovery Controller (ARC), con collegamenti alla documentazione pertinente.
Per esempi di come utilizzare le comuni operazioni API di configurazione del controllo del routing con AWS Command Line Interface, consulta. [Esempi di utilizzo delle operazioni dell'API di controllo del routing ARC con AWS CLI](getting-started-cli-routing.md)
La tabella seguente elenca le operazioni dell'API ARC che è possibile utilizzare per la configurazione del controllo del routing, con collegamenti alla documentazione pertinente.
| Azione | Utilizzo della console ARC | Utilizzando l'API ARC |
| --- | --- | --- |
| Creazione di un cluster | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [CreateCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster.html) |
| Descrizione di un cluster | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [DescribeCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html) |
| Eliminazione di un cluster | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [DeleteCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html) |
| Elenca i cluster per un account | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [ListClusters](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster.html) |
| Crea un controllo di routing | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [CreateRoutingControl](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol.html) |
| Descrivi un controllo di routing | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [DescribeRoutingControl](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol-routingcontrolarn.html) |
| Aggiornare un controllo di routing | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [UpdateRoutingControl](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol.html) |
| Eliminare un controllo di routing | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [DeleteRoutingControl](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol-routingcontrolarn.html) |
| Elenca i controlli di routing | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [ListRoutingControls](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel-controlpanelarn-routingcontrols.html) |
| Crea un pannello di controllo | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [CreateControlPanel](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel.html) |
| Descrivi un pannello di controllo | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [DescribeControlPanel](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel-controlpanelarn.html) |
| Aggiornare un pannello di controllo | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [UpdateControlPanel](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel.html) |
| Eliminare un pannello di controllo | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [DeleteControlPanel](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel-controlpanelarn.html) |
| Elenca i pannelli di controllo | Consulta [Creazione di componenti di controllo del routing in ARC](routing-control.create.md). | Consulta la sezione [ListControlPanels](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanels.html) |
| Crea una regola di sicurezza | Consulta [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md). | Consulta la sezione [CreateSafetyRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html) |
| Descrivi una regola di sicurezza | Consulta [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md). | Consulta la sezione [DescribeSafetyRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule-safetyrulearn.html) |
| Aggiornare una regola di sicurezza | Consulta [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md). | Consulta la sezione [UpdateSafetyRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html) |
| Eliminare una regola di sicurezza | Consulta [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md). | Consulta la sezione [DeleteSafetyRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule-safetyrulearn.html) |
| Elenca le regole di sicurezza | Consulta [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md). | Consulta la sezione [ListSafetyRules](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel-controlpanelarn-safetyrules.html) |
| Elenca i controlli sanitari associati alla Route 53 | Per informazioni, consultare [Creazione di un controllo dello stato del routing in ARC](routing-control.create-health-check.md). | Vedi [ListAssociatedRoute53 HealthChecks](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol-routingcontrolarn-associatedroute53healthchecks.html) |
| Elenca le politiche AWS RAM delle risorse per la condivisione dei cluster | Consulta [Supporta più account per i cluster in ARC](routing-control.failover-different-accounts.md). | Vedi [ GetResourcePolicy](https://docs.aws.amazon.com/recovery-cluster/latest/api/resourcepolicy-resourcearn.html) |
La tabella seguente elenca le operazioni comuni dell'API ARC che è possibile utilizzare per gestire il failover del traffico con il piano dati di controllo del routing, con collegamenti alla documentazione pertinente.
| Azione | Utilizzo della console ARC | Utilizzando l'API ARC |
| --- | --- | --- |
| Ottieni uno stato di controllo del routing | Consulta [Ottenere e aggiornare gli stati di controllo del routing in Console di gestione AWS](routing-control.update.console.md). | Consulta la sezione [GetRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_GetRoutingControlState.html) |
| Elenca i controlli di routing | N/D | Per informazioni, consultare [ListRoutingControls](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_ListRoutingControls.html). |
| Aggiornare uno stato di controllo del routing | Consulta [Ottenere e aggiornare gli stati di controllo del routing in Console di gestione AWS](routing-control.update.console.md). | Consulta la sezione [UpdateRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlState.html) |
| Aggiornare più stati di controllo del routing | Consulta [Ottenere e aggiornare gli stati di controllo del routing in Console di gestione AWS](routing-control.update.console.md). | Consulta la sezione [UpdateRoutingControlStates](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlStates.html) |
# Utilizzo di questo servizio con un SDK AWS
AWS i kit di sviluppo software (SDKs) sono disponibili per molti linguaggi di programmazione più diffusi. Ogni SDK fornisce un’API, esempi di codice e documentazione che facilitano agli sviluppatori la creazione di applicazioni nel loro linguaggio preferito.
| Documentazione sugli SDK | Esempi di codice |
| --- | --- |
| [AWS SDK per C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp) | [AWS SDK per C\$1\$1 esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp) |
| [AWS CLI](https://docs.aws.amazon.com/cli) | [AWS CLI esempi di codice](https://docs.aws.amazon.com/code-library/latest/ug/cli_2_code_examples.html) |
| [AWS SDK per Go](https://docs.aws.amazon.com/sdk-for-go) | [AWS SDK per Go esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/gov2) |
| [AWS SDK per Java](https://docs.aws.amazon.com/sdk-for-java) | [AWS SDK per Java esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2) |
| [AWS SDK per JavaScript](https://docs.aws.amazon.com/sdk-for-javascript) | [AWS SDK per JavaScript esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3) |
| [AWS SDK per Kotlin](https://docs.aws.amazon.com/sdk-for-kotlin) | [AWS SDK per Kotlin esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/kotlin) |
| [AWS SDK per .NET](https://docs.aws.amazon.com/sdk-for-net) | [AWS SDK per .NET esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3) |
| [AWS SDK per PHP](https://docs.aws.amazon.com/sdk-for-php) | [AWS SDK per PHP esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php) |
| [AWS Strumenti per PowerShell](https://docs.aws.amazon.com/powershell) | [AWS Strumenti per PowerShell esempi di codice](https://docs.aws.amazon.com/code-library/latest/ug/powershell_5_code_examples.html) |
| [AWS SDK per Python (Boto3)](https://docs.aws.amazon.com/pythonsdk) | [AWS SDK per Python (Boto3) esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python) |
| [AWS SDK per Ruby](https://docs.aws.amazon.com/sdk-for-ruby) | [AWS SDK per Ruby esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby) |
| [AWS SDK per Rust](https://docs.aws.amazon.com/sdk-for-rust) | [AWS SDK per Rust esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/rustv1) |
| [AWS SDK per SAP ABAP](https://docs.aws.amazon.com/sdk-for-sapabap) | [AWS SDK per SAP ABAP esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap) |
| [AWS SDK per Swift](https://docs.aws.amazon.com/sdk-for-swift) | [AWS SDK per Swift esempi di codice](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/swift) |
Per esempi specifici del servizio, consulta [Esempi di codice per l'utilizzo di Application Recovery Controller AWS SDKs](service_code_examples.md).
**Esempio di disponibilità**
Non riesci a trovare quello che ti serve? Richiedi un esempio di codice utilizzando il link **Fornisci un feedback** nella parte inferiore di questa pagina.
# Esempi di utilizzo delle operazioni dell'API di controllo del routing ARC con AWS CLI
Questa sezione illustra semplici esempi applicativi di utilizzo del controllo del routing, dell'utilizzo della funzionalità AWS Command Line Interface di controllo del routing in Amazon Application Recovery Controller (ARC) utilizzando le operazioni API. Gli esempi hanno lo scopo di aiutarti a sviluppare una comprensione di base su come lavorare con il controllo del routing utilizzando la CLI.
Con il controllo del routing in Amazon Application Recovery Controller (ARC), puoi attivare i failover del traffico tra copie ridondanti delle applicazioni, o repliche, che vengono eseguite in zone di disponibilità separate o in zone di disponibilità. Regioni AWS
Organizzi i controlli di routing in gruppi chiamati pannelli di controllo che vengono forniti su un cluster. Un cluster ARC è un set regionale di endpoint distribuito a livello globale. Gli endpoint del cluster forniscono un'API ad alta disponibilità che è possibile utilizzare per impostare e recuperare gli stati di controllo del routing. Per ulteriori informazioni sui componenti della funzionalità di controllo del routing, vedere. [Componenti per il controllo del routing](introduction-components-routing.md)
**Nota**
ARC è un servizio globale che supporta endpoint multipli. Regioni AWS Tuttavia, è necessario specificare la regione Stati Uniti occidentali (Oregon), ovvero specificare il parametro, nella maggior parte dei comandi ARC `--region us-west-2` CLI. Ad esempio, utilizzate il `region` parametro quando create gruppi di ripristino, pannelli di controllo e cluster.
Quando si crea un cluster, ARC fornisce un set di endpoint regionali. Per ottenere o aggiornare gli stati di controllo del routing, è necessario specificare l'endpoint regionale (l' Regione AWS e l'URL dell'endpoint) nel comando CLI.
Per ulteriori informazioni sull'utilizzo di AWS CLI, consulta il Command Reference. AWS CLI Per un elenco delle azioni dell'API di controllo del routing, consulta [Operazioni dell'API di controllo del routing](actions.routing-control.md) e[Operazioni dell'API di controllo del routing](actions.routing-control.md).
Inizieremo creando i componenti necessari per gestire il failover utilizzando i controlli di routing, iniziando con la creazione di un cluster.
# Configura i componenti di controllo del routing
Il nostro primo passo è creare un cluster. Un cluster ARC è un insieme di cinque endpoint, uno per ognuno dei cinque diversi Regioni AWS. L'infrastruttura ARC consente a questi endpoint di funzionare in modo coordinato in modo da garantire un'elevata disponibilità e una coerenza sequenziale delle operazioni di failover.
## 1. Creazione di un cluster
1a. Crea un cluster. `network-type`È facoltativo e può essere o. `IPV4` `DUALSTACK` Il valore predefinito è `IPV4`.
```
aws route53-recovery-control-config create-cluster --cluster-name test --network-type DUALSTACK
```
```
"Cluster": {
"ClusterArn": "arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234",
"Name": "test",
"Status": "PENDING",
"Owner": "123456789123",
"NetworkType": "DUALSTACK"
}
```
La prima volta che si crea una risorsa ARC, questa ha lo stato `PENDING` durante la creazione del cluster. Puoi verificarne lo stato di avanzamento chiamando`describe-cluster`.
1b. Descrivi un cluster.
```
aws route53-recovery-control-config --region us-west-2 \
describe-cluster --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```
```
"Cluster": {
"ClusterArn": "arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234",
"Name": "test",
"Status": "DEPLOYED",
"Owner": "123456789123",
"NetworkType": "DUALSTACK"
}
```
Quando lo stato è IMPLEMENTATO, ARC ha creato con successo il cluster con il set di endpoint con cui interagire. Puoi elencare tutti i tuoi cluster chiamando. `list-clusters`
1c. Elenca i tuoi cluster.
```
aws route53-recovery-control-config --region us-west-2 list-clusters
```
```
"Cluster": {
"ClusterArn": "arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234",
"Name": "test",
"Status": "DEPLOYED",
"Owner": "123456789123",
"NetworkType": "DUALSTACK"
}
```
1d. Aggiorna il tipo di rete per i tuoi cluster. Le opzioni sono `IPV4` o `DUALSTACK`.
```
aws route53-recovery-control-config update-cluster \
--cluster-arn arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234 \
--network-type DUALSTACK
```
```
"Cluster": {
"ClusterArn": "arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234",
"Name": "test",
"Status": "PENDING",
"Owner": "123456789123",
"NetworkType": "DUALSTACK"
}
```
## 2. Crea un pannello di controllo
Un pannello di controllo è un raggruppamento logico per organizzare i controlli di routing ARC. Quando si crea un cluster, ARC fornisce automaticamente un pannello di controllo chiamato dall'utente. `DefaultControlPanel` È possibile utilizzare questo pannello di controllo immediatamente.
Un pannello di controllo può esistere solo in un cluster. Se si desidera spostare un pannello di controllo in un altro cluster, è necessario eliminarlo e quindi crearlo nel secondo cluster. Puoi vedere tutti i pannelli di controllo del tuo account chiamando`list-control-panels`. Per visualizzare solo i pannelli di controllo di un cluster specifico, aggiungi il `--cluster-arn` campo.
2a. Elenca i pannelli di controllo.
```
aws route53-recovery-control-config --region us-west-2 \
list-control-panels --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/eba23304-1a51-4674-ae32-b4cf06070bdd
```
```
{
"ControlPanels": [
{
"ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/1234567dddddd1234567dddddd1234567",
"ClusterArn": "arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh",
"DefaultControlPanel": true,
"Name": "DefaultControlPanel",
"RoutingControlCount": 0,
"Status": "DEPLOYED"
}
]
}
```
Facoltativamente, crea il tuo pannello di controllo `create-control-panel` chiamando.
2 b. Crea un pannello di controllo.
```
aws route53-recovery-control-config --region us-west-2 create-control-panel \
--control-panel-name NewControlPanel2 \
--cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```
```
{
"ControlPanel": {
"ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"ClusterArn": "arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh",
"DefaultControlPanel": false,
"Name": "NewControlPanel2",
"RoutingControlCount": 0,
"Status": "PENDING"
}
}
```
Quando crei per la prima volta una risorsa ARC, lo stato è in corso di creazione. `PENDING` Puoi controllare i progressi chiamando`describe-control-panel`.
2c. Descrivi un pannello di controllo.
```
aws route53-recovery-control-config --region us-west-2 describe-control-panel \
--control-panel-arn arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456
```
```
{
"ControlPanel": {
"ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"ClusterArn": "arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh",
"DefaultControlPanel": true,
"Name": "DefaultControlPanel",
"RoutingControlCount": 0,
"Status": "DEPLOYED"
}
}
```
## 3. Crea un controllo di routing
Ora che hai configurato il cluster e hai esaminato i pannelli di controllo, puoi iniziare a creare controlli di routing. Quando crei un controllo di routing, devi almeno specificare l'Amazon Resource Name (ARN) del cluster in cui desideri che si trovi il controllo del routing. È inoltre possibile specificare l'ARN di un pannello di controllo per il controllo del routing. Dovrai anche specificare il cluster in cui si trova il pannello di controllo.
Se non specifichi un pannello di controllo, il controllo del routing viene aggiunto al pannello di controllo creato automaticamente,`DefaultControlPanel`.
Crea un controllo di routing chiamando. `create-routing-control`
3a. Crea un controllo di routing.
```
aws route53-recovery-control-config --region us-west-2 create-routing-control \
--routing-control-name NewRc1 \
--cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```
```
{
"RoutingControl": {
"ControlPanelArn": " arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"Name": "NewRc1",
"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
"Status": "PENDING"
}
}
```
I controlli di routing seguono lo stesso schema di creazione delle altre risorse ARC, quindi è possibile monitorarne l'avanzamento richiamando un'operazione di descrizione.
3b. Descrivi il controllo del routing.
```
aws route53-recovery-control-config --region us-west-2 describe-routing-control \
--routing-control-arn arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567
```
```
{
"RoutingControl": {
"ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"Name": "NewRc1",
"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
"Status": "DEPLOYED"
}
}
```
È possibile elencare i controlli di routing in un pannello di controllo chiamando. `list-routing-controls` È richiesto l'ARN del pannello di controllo.
3c. Elenca i controlli di routing.
```
aws route53-recovery-control-config --region us-west-2 list-routing-controls \
--control-panel-arn arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456
```
```
{
"RoutingControls": [
{
"ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"Name": "Rc1",
"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
"Status": "DEPLOYED"
},
{
"ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"Name": "Rc2",
"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/hijklmnop987654321",
"Status": "DEPLOYED"
}
]
}
```
Nell'esempio seguente, in cui lavoriamo con gli stati di controllo del routing, supponiamo che siano presenti i due controlli di routing elencati in questa sezione (Rc1 e Rc2). In questo esempio, ogni controllo di routing rappresenta una zona di disponibilità in cui viene distribuita l'applicazione.
## 4. Crea regole di sicurezza
Quando utilizzi più controlli di routing contemporaneamente, potresti decidere di adottare alcune misure di sicurezza quando li abiliti e disabiliti, per evitare conseguenze involontarie, come la disattivazione di entrambi i controlli di routing e l'interruzione di tutto il flusso di traffico. Per creare queste protezioni, create regole di sicurezza per il controllo del routing.
Esistono due tipi di regole di sicurezza: regole di asserzione e regole di controllo. Per ulteriori informazioni sulle regole di sicurezza, consulta. [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md)
La chiamata seguente fornisce un esempio di creazione di una regola di asserzione che assicura che almeno uno dei due controlli di routing sia impostato su un dato `On` momento. Per creare la regola, si esegue `create-safety-rule` con il `assertion-rule` parametro.
Per informazioni dettagliate sul funzionamento dell'API delle regole di asserzione, consulta [AssertionRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-assertionrule)la Routing Control API Reference Guide for Amazon Application Recovery Controller.
4a. Crea una regola di asserzione.
```
aws route53-recovery-control-config --region us-west-2 create-safety-rule \
--assertion-rule '{"Name": "TestAssertionRule",
"ControlPanelArn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx",
"WaitPeriodMs": 5000,
"AssertedControls":
["arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/def123def123def"
"arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/ghi456ghi456ghi"],
"RuleConfig": {"Threshold": 1, "Type": "ATLEAST", "Inverted": false}}'
```
```
{
"Rule": {
"ASSERTION": {
"Arn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/safetyrule/333333444444",
"AssertedControls": [
"arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/def123def123def"
"arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/ghi456ghi456ghi"],
"ControlPanelArn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx",
"Name": "TestAssertionRule",
"RuleConfig": {
"Inverted": false,
"Threshold": 1,
"Type": "ATLEAST"
},
"Status": "PENDING",
"WaitPeriodMs": 5000
}
}
}
```
La chiamata seguente fornisce un esempio di creazione di una regola di gating che fornisce uno switch generale «on/off» o «gating» per un set di controlli di routing di destinazione in un pannello di controllo. Ciò consente di non consentire l'aggiornamento dei controlli di routing di destinazione in modo che, ad esempio, l'automazione non possa effettuare aggiornamenti non autorizzati. In questo esempio, il gating switch è un controllo di routing specificato dal `GatingControls` parametro e i due controlli di routing controllati o «controllati» sono specificati dal parametro. `TargetControls`
**Nota**
Prima di creare la regola di gating, è necessario creare il controllo di routing di gating, che non include i record di failover DNS, e i controlli di routing di destinazione, che devono essere configurati con i record di failover DNS.
Per creare la regola, si esegue con il parametro. `create-safety-rule` `gating-rule`
Per informazioni dettagliate sul funzionamento dell'API delle regole di asserzione, consulta [GatingRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-gatingrule)la Routing Control API Reference Guide for Amazon Application Recovery Controller.
4 b. Crea una regola di gating.
```
aws route53-recovery-control-config --region us-west-2 create-safety-rule \
--gating-rule '{"Name": "TestGatingRule",
"ControlPanelArn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx",
"WaitPeriodMs": 5000,
"GatingControls": ["arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/def123def123def"]
"TargetControls": ["arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/ghi456ghi456ghi",
"arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/lmn789lmn789lmn"],
"RuleConfig": {"Threshold": 0, "Type": "OR", "Inverted": false}}'
```
```
{
"Rule": {
"GATING": {
"Arn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/safetyrule/444444444444",
"GatingControls": [
"arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/def123def123def"
],
"TargetControls": [
"arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/ghi456ghi456ghi"
"arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/lmn789lmn789lmn"
],
"ControlPanelArn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx",
"Name": "TestGatingRule",
"RuleConfig": {
"Inverted": false,
"Threshold": 0,
"Type": "OR"
},
"Status": "PENDING",
"WaitPeriodMs": 5000
}
}
}
```
Come con altre risorse per il controllo del routing, è possibile descrivere, elencare o eliminare le regole di sicurezza dopo che si sono propagate sul piano dati.
Dopo aver impostato una o più regole di sicurezza, è possibile continuare a interagire con il cluster, impostare o recuperare lo stato dei controlli di routing. Se un'`set-routing-control-state`operazione viola una regola che hai creato, riceverai un'eccezione simile alla seguente:
`Cannot modify control state for [0123456bbbbbbb0123456bbbbbb01234560123 abcdefg1234567] due to failed rule evaluation 0123456bbbbbbb0123456bbbbbb0123456333333444444`
Il primo identificatore è l'ARN del pannello di controllo concatenato con l'ARN di controllo del routing. Il secondo identificatore è l'ARN del pannello di controllo concatenato con la regola di sicurezza ARN.
## 5. Create health checks
Per utilizzare i controlli di routing per il failover del traffico, crei controlli di integrità in Amazon Route 53, quindi associ i controlli di integrità ai tuoi record DNS. Per eseguire il failover del traffico, un controllo di routing ARC imposta il controllo di integrità in modo che Route 53 reindirizzi il traffico. (Il controllo dello stato non conferma lo stato dell'applicazione; viene semplicemente utilizzato come metodo per reindirizzare il traffico.)
Ad esempio, supponiamo che tu abbia due celle (regioni o zone di disponibilità). Ne configuri una come cella principale per l'applicazione e l'altra come secondaria, su cui eseguire il failover.
Per impostare i controlli di integrità per il failover, puoi fare quanto segue, ad esempio:
1. Utilizzate l'ARC CLI per creare un controllo di routing per ogni cella.
1. Utilizza la CLI Route 53 per creare un controllo di integrità ARC in Route 53 per ogni controllo di routing.
1. Utilizza la CLI di Route 53 per creare due record DNS di failover in Route 53 e associare un controllo dello stato a ciascuno di essi.
5a. Crea un controllo di routing per ogni cella.
```
aws route53-recovery-control-config --region us-west-2 create-routing-control \
--routing-control-name RoutingControlCell1 \
--cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```
```
aws route53-recovery-control-config --region us-west-2 create-routing-control \
--routing-control-name RoutingControlCell2 \
--cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```
5 b. Crea un controllo di integrità per ogni controllo di routing.
**Nota**
Puoi creare controlli di integrità ARC utilizzando la CLI di Amazon Route 53.
```
aws route53 create-health-check --caller-reference RoutingControlCell1 \
--health-check-config \
Type=RECOVERY_CONTROL,RoutingControlArn=arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567
```
```
{
"Location": "https://route53.amazonaws.com/2015-01-01/healthcheck/11111aaaa-bbbb-cccc-dddd-ffffff22222",
"HealthCheck": {
"Id": "xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"CallerReference": "RoutingControlCell1",
"HealthCheckConfig": {
"Type": "RECOVERY_CONTROL",
"Inverted": false,
"Disabled": false,
"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567"
},
"HealthCheckVersion": 1
}
}
```
```
aws route53 create-health-check --caller-reference RoutingControlCell2 \
--health-check-config \
Type=RECOVERY_CONTROL,RoutingControlArn=arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567
```
```
{
"Location": "https://route53.amazonaws.com/2015-01-01/healthcheck/11111aaaa-bbbb-cccc-dddd-ffffff22222",
"HealthCheck": {
"Id": "xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"CallerReference": "RoutingControlCell2",
"HealthCheckConfig": {
"Type": "RECOVERY_CONTROL",
"Inverted": false,
"Disabled": false,
"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567"
},
"HealthCheckVersion": 1
}
}
```
5c. Crea due record DNS di failover e associa un controllo dello stato a ciascuno di essi.
È possibile creare record DNS di failover in Route 53 utilizzando la CLI di Route 53. Per creare i record, segui le istruzioni in Amazon Route 53 AWS CLI Command Reference per il [change-resource-record-sets](https://docs.aws.amazon.com/cli/latest/reference/route53/change-resource-record-sets.html)comando. Nei record, specifica il valore DNS per ogni cella insieme al `HealthCheckID` valore corrispondente che Route 53 ha creato per il controllo dello stato di salute (vedi 6b).
Per la cella principale:
```
{
"Name": "myapp.yourdomain.com",
"Type": "CNAME",
"SetIdentifier": "primary",
"Failover": "PRIMARY",
"TTL": 0,
"ResourceRecords": [
{
"Value": "cell1.yourdomain.com"
}
],
"HealthCheckId": "xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
```
Per la cella secondaria:
```
{
"Name": "myapp.yourdomain.com",
"Type": "CNAME",
"SetIdentifier": "secondary",
"Failover": "SECONDARY",
"TTL": 0,
"ResourceRecords": [
{
"Value": "cell2.yourdomain.com"
}
],
"HealthCheckId": "yyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
}
```
Ora, per eseguire il failover dalla cella principale alla cella secondaria, puoi seguire l'esempio CLI nel passaggio 4b per aggiornare lo stato di to e `RoutingControlCell1` to`OFF`. `RoutingControlCell2` `ON`
# Elenca e aggiorna i controlli e gli stati del routing con il AWS CLI
Dopo aver creato le risorse Amazon Application Recovery Controller (ARC), come cluster, controlli di routing e pannelli di controllo, puoi interagire con il cluster per elencare e aggiornare gli stati di controllo del routing per il failover.
Per ogni cluster che crei, ARC ti fornisce un set di endpoint del cluster, uno su cinque. Regioni AWSÈ necessario specificare uno di questi endpoint regionali (l' Regione AWS e l'URL dell'endpoint) quando si effettuano chiamate al cluster per recuperare o impostare gli stati di controllo del routing su o. `On` `Off` Quando si utilizza AWS CLI, per ottenere o aggiornare gli stati di controllo del routing, oltre all'endpoint regionale, è necessario specificare anche l'endpoint regionale, come illustrato negli esempi `--region` di questa sezione.
È possibile utilizzare qualsiasi endpoint del cluster regionale. Consigliamo di far ruotare i sistemi tra gli endpoint regionali e di prepararsi a riprovare con ciascuno degli endpoint disponibili. Per esempi di codice che illustrano il tentativo degli endpoint del cluster in sequenza, vedi. [Azioni per l'utilizzo di Application Recovery Controller AWS SDKs](service_code_examples_actions.md)
Per ulteriori informazioni sull'utilizzo di AWS CLI, vedere AWS CLI Command Reference. Per un elenco delle azioni dell'API di controllo del routing e dei collegamenti a ulteriori informazioni, vedere[Operazioni dell'API di controllo del routing](actions.routing-control.md).
**Importante**
Sebbene sia possibile aggiornare uno stato di controllo del routing sulla console Amazon Route 53, consigliamo di [aggiornare gli stati di controllo del routing](routing-control.update.api.md) utilizzando AWS CLI o un AWS SDK. ARC offre un'affidabilità estrema con il piano dati di controllo del routing ARC per il reindirizzamento del traffico e il failover tra le celle. Per ulteriori consigli sull'utilizzo di ARC per il failover, vedere. [Le migliori pratiche per il controllo del routing in ARC](route53-arc-best-practices.regional.md)
Quando si crea un controllo di routing, lo stato viene impostato su. `Off` Ciò significa che il traffico non viene indirizzato alla cella di destinazione per quel controllo di routing. È possibile verificare lo stato del controllo del routing eseguendo il comando. `get-routing-control-state`
Per determinare la regione e l'endpoint da specificare, esegui il `describe-clusters` comando per visualizzare il. `ClusterEndpoints` Ciascuno `ClusterEndpoint` include una regione e un endpoint corrispondente che è possibile utilizzare per ottenere o aggiornare gli stati di controllo del routing. *[DescribeCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html)è un'operazione dell'API di configurazione del controllo del ripristino. Ti consigliamo di conservare una copia locale degli endpoint del cluster ARC Regional, nei segnalibri o inserendola nel codice di automazione che usi per riprovare gli endpoint.*
## 1. Elenca i controlli di routing
È possibile visualizzare i controlli e gli stati di controllo del routing utilizzando gli endpoint del piano dati ARC altamente affidabili.
1. Elenca i controlli di routing per un pannello di controllo specifico. Se non si specifica un pannello di controllo, `list-routing-controls` restituisce tutti i controlli di routing nel cluster.
```
aws route53-recovery-cluster list-routing-controls --control-panel-arn \
arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456 \
--region us-west-2 \
--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```
```
{
"RoutingControls": [{
"ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"ControlPanelName": "ExampleControlPanel",
"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
"RoutingControlName": "RCOne",
"RoutingControlState": "On"
},
{
"ControlPanelArn": "arn:aws:route53-recovery-control::023759465626:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"ControlPanelName": "ExampleControlPanel",
"RoutingControlArn": "arn:aws:route53-recovery-control::023759465626:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/zzzzxxxxyyyy123456",
"RoutingControlName": "RCTwo",
"RoutingControlState": "Off"
}
]
```
## 2. Ottieni i controlli di routing
2. Ottieni uno stato di controllo del routing.
```
aws route53-recovery-cluster get-routing-control-state --routing-control-arn \
arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
--region us-west-2 \
--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```
```
{"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
"RoutingControlName": "RCOne",
"RoutingControlState": "On"
}
```
## 2. Aggiorna i controlli di routing
Per indirizzare il traffico verso l'endpoint di destinazione controllato dal controllo del routing, si aggiorna lo stato di controllo del routing a. `On` Aggiornate lo stato di controllo del routing eseguendo il comando. `update-routing-control-state` (Quando la richiesta ha esito positivo, la risposta è vuota.)
2a. Aggiornare uno stato di controllo del routing.
```
aws route53-recovery-cluster update-routing-control-state \
--routing-control-arn \
arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
--routing-control-state On \
--region us-west-2 \
--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```
```
{}
```
Puoi aggiornare diversi controlli di routing contemporaneamente con una sola chiamata API:. `update-routing-control-states` (Quando la richiesta ha esito positivo, la risposta è vuota.)
2 b. Aggiorna più stati di controllo del routing contemporaneamente (aggiornamenti in batch).
```
aws route53-recovery-cluster update-routing-control-states \
--update-routing-control-state-entries \
'[{"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
"RoutingControlState": "Off"}, \
{"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/hijklmnop987654321",
"RoutingControlState": "On"}]' \
--region us-west-2 \
--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```
```
{}
```
# Utilizzo dei componenti di controllo del routing in ARC
**Topics**
+ [Creazione di componenti di controllo del routing in ARC](routing-control.create.md)
+ [Visualizzazione e aggiornamento degli stati di controllo del routing in ARC](routing-control.update.md)
+ [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md)
+ [Supporta più account per i cluster in ARC](routing-control.failover-different-accounts.md)
# Creazione di componenti di controllo del routing in ARC
Questa sezione spiega come creare un cluster, controlli di routing, controlli di integrità e pannelli di controllo per lavorare con il controllo del routing in Amazon Application Recovery Controller (ARC).
Inizia creando un cluster, per ospitare i controlli di routing e i pannelli di controllo che usi per raggrupparli. Quindi crea controlli di routing e controlli di integrità in modo da reindirizzare il traffico per il failover da una cella all'altra, in modo che il traffico vada, ad esempio, alla tua replica di backup.
Tieni presente che ti viene addebitato un costo orario per ogni cluster che crei. In genere è sufficiente un solo cluster per ospitare i controlli di routing e i pannelli di controllo per la gestione del controllo del ripristino per un'applicazione. Inoltre, è possibile configurare la condivisione delle risorse utilizzando AWS Resource Access Manager, in modo che un cluster possa ospitare i controlli di routing e altre risorse ARC di proprietà di più utenti. Account AWS Per ulteriori informazioni sulla condivisione delle risorse in ARC,[Supporta più account per i cluster in ARC](routing-control.failover-different-accounts.md). Per informazioni sui prezzi, consulta la pagina dei [prezzi di Amazon Application Recovery Controller (ARC)](https://aws.amazon.com/application-recovery-controller/pricing/).
Per utilizzare i controlli di routing per il failover del traffico, crei controlli di integrità del controllo del routing che associ ai record DNS di Amazon Route 53 per le risorse della tua applicazione. Ad esempio, supponiamo che tu abbia due celle, una configurata come cella principale per l'applicazione e l'altra configurata come secondaria, su cui eseguire il failover.
Per configurare i controlli di integrità per il failover, procedi come segue:
1. Create un controllo di routing per ogni cella.
1. Crea un controllo di integrità per ogni controllo di routing.
1. Crea due record DNS, ad esempio due record di failover DNS, e associa un controllo dello stato a ciascuno di essi.
Un altro scenario in cui è possibile creare un controllo di routing è quando si crea una regola di sicurezza che è una regola di gating. *In questo caso, non assocerai i controlli di integrità e i record DNS al controllo di routing perché lo utilizzerai come controllo di gating routing.* Per ulteriori informazioni, consulta [Creazione di regole di sicurezza per il controllo del routing](routing-control.safety-rules.md).
I passaggi per creare i componenti per il controllo del routing sulla console ARC sono inclusi in queste sezioni. Per ulteriori informazioni sull'utilizzo delle operazioni dell'API di configurazione del controllo di ripristino con ARC, consulta la[Operazioni dell'API di controllo del routing](actions.routing-control.md).
# Creazione di un cluster in ARC
È necessario creare un cluster per ospitare i controlli di routing e i pannelli di controllo in ARC.
Un *cluster* è un insieme di endpoint regionali ridondanti su cui è possibile eseguire chiamate API per aggiornare o ottenere lo stato di uno o più controlli di routing. Un singolo cluster può ospitare diversi controlli di routing.
**Importante**
Tieni presente che ti viene addebitato un costo orario per ogni cluster che crei. Un cluster può ospitare diversi controlli di routing e pannelli di controllo per la gestione del controllo del ripristino, in genere sufficienti per un'applicazione.
# Come creare un cluster
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Scegli **Cluster**.
1. Scegli **Crea**, quindi inserisci un nome per il cluster.
1. Scegli **Crea cluster**.
# Creazione di un controllo di routing in ARC
Crea un controllo di routing per ogni cella verso cui vuoi indirizzare il traffico. Ad esempio, se disponi di un'applicazione con risorse suddivise in silos per la ripristinabilità, potresti avere una cella per ciascuna e celle nidificate per ogni Regione AWS zona di disponibilità all'interno di ciascuna regione. In questo scenario, è necessario creare un controllo di routing per ogni cella e ogni cella annidata.
Quando create i controlli di routing, tenete presente che i nomi dei controlli di routing devono essere univoci all'interno di ogni pannello di controllo.
Dopo aver creato i controlli di routing da utilizzare per reindirizzare il traffico, associ ciascuno di essi a un controllo di integrità, che ti consente di indirizzare il traffico verso le celle, in base ai record DNS che hai associato a ciascuno di essi. Se stai impostando una regola di gating come regola di sicurezza e stai creando un controllo di gating routing, non aggiungi un controllo di integrità al controllo di routing.
# Per creare un controllo di routing
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Scegli **Routing control**.
1. Nella pagina **di controllo del routing**, scegli **Crea**, quindi scegli un controllo di **routing**.
1. Inserisci un nome per il controllo del routing, scegli il cluster a cui aggiungere il controllo e scegli di aggiungerlo a un pannello di controllo esistente, incluso l'utilizzo del pannello di controllo predefinito. In alternativa, crea un nuovo pannello di controllo.
1. Se scegli di creare un nuovo pannello di controllo, scegli un cluster in cui creare il pannello di controllo, quindi inserisci un nome per il pannello.
1. Scegliete **Crea controllo di routing**.
1. Segui i passaggi per denominare e creare il controllo di routing.
# Creazione di un controllo dello stato del routing in ARC
Si associa un controllo dello stato del controllo del routing a ciascun controllo di routing che si desidera utilizzare per reindirizzare il traffico. Quindi configuri ogni controllo di integrità con un record DNS di Amazon Route 53, ad esempio un record DNS di failover. Quindi puoi reindirizzare il traffico in Amazon Application Recovery Controller (ARC) semplicemente aggiornando lo stato del controllo di routing associato, impostandolo su o. `On` `Off`
**Nota**
Non è possibile modificare un controllo di integrità del controllo di routing esistente per associarlo a un controllo di routing diverso.
# Per creare un controllo dello stato del routing control
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Scegli **Routing control**.
1. Nella pagina **Controllo del routing, scegli un controllo** di routing.
1. Nella pagina dei dettagli del **controllo del routing**, scegli **Crea** controllo di integrità.
1. Inserisci un nome per il controllo dello stato, quindi scegli **Crea**.
Successivamente, crei i record DNS di Route 53 e associ i controlli di integrità del controllo del routing a ciascuno di essi. Ad esempio, supponiamo di voler utilizzare due record di failover DNS a cui associare i controlli di integrità del controllo del routing. Affinché ARC esegua correttamente il failover del traffico utilizzando i controlli di routing, inizia creando i due record di failover in Route 53: uno principale e uno secondario. Per ulteriori informazioni sulla configurazione dei record di failover DNS, vedere [Health](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/route-53-concepts.html#route-53-concepts-health-checking) checking concepts.
Quando si crea il record di failover principale, i valori devono essere simili ai seguenti:
```
Name: myapp.yourdomain.com
Type: CNAME
Set Identifier: Primary
Failover: Primary
TTL: 0
Resource Records:
Value: cell1.yourdomain.com
Health Check ID: xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```
I valori del record di failover secondario devono essere simili ai seguenti:
```
Name: myapp.yourdomain.com
Type: CNAME
Set Identifier: Secondary
Failover: Secondary
TTL: 0
Resource Records:
Value: cell2.yourdomain.com
Health Check ID: xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```
Supponiamo ora di voler reindirizzare il traffico perché c'è un errore. A tale scopo, si aggiornano gli stati di controllo del routing associati per modificare lo stato di controllo del routing primario in `OFF` e lo stato di controllo del routing secondario in. `ON` Quando si esegue questa operazione, i controlli di integrità associati impediscono al traffico di passare alla replica principale e lo indirizzano invece alla replica secondaria. Per ulteriori informazioni sul failover del traffico con i controlli di routing, vedere. [Ottenere e aggiornare gli stati di controllo del routing utilizzando l'API ARC (consigliato)](routing-control.update.api.md)
Per vedere esempi di AWS CLI comandi per la creazione di controlli di routing e i relativi controlli di integrità utilizzando le operazioni dell'API ARC, vedere. [Esempi di utilizzo delle operazioni dell'API di controllo del routing ARC con AWS CLI](getting-started-cli-routing.md)
# Creazione di un pannello di controllo in ARC
Un pannello di controllo in Amazon Application Recovery Controller (ARC) consente di raggruppare i controlli di routing correlati. Un pannello di controllo può avere controlli di routing che rappresentano un microservizio all'interno di un'applicazione, un'intera applicazione stessa o un gruppo di applicazioni, a seconda dell'ambito del failover. Un vantaggio del raggruppamento dei controlli di routing in un pannello di controllo è la possibilità di utilizzare le regole di sicurezza con un pannello di controllo per proteggere le modifiche al routing del traffico.
Quando si crea un cluster, ARC crea un pannello di controllo predefinito. È possibile utilizzare il pannello di controllo predefinito per i controlli di routing oppure creare uno o più pannelli di controllo per raggruppare i controlli di routing. Nota che per i nomi dei pannelli di controllo sono supportati solo i caratteri ASCII.
I passaggi per creare un pannello di controllo sulla console ARC sono inclusi in questa sezione. Per informazioni sull'utilizzo delle operazioni dell'API di configurazione del controllo di ripristino con ARC, consulta la[Operazioni dell'API di controllo del routing](actions.routing-control.md).
# Per creare un pannello di controllo
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Scegli **Routing control**.
1. Nella pagina **di controllo del routing**, scegli **Crea**, quindi scegli un pannello di **controllo**.
1. Scegliete un cluster su cui creare il pannello di controllo, quindi inserite un nome per il pannello.
1. Scegli **Crea pannello di controllo**.
# Visualizzazione e aggiornamento degli stati di controllo del routing in ARC
Questa sezione descrive come visualizzare e aggiornare gli stati di controllo del routing in Amazon Application Recovery Controller (ARC). I controlli di routing sono semplici interruttori on-off che gestiscono il flusso di traffico verso le celle del gruppo di ripristino. Le celle sono in genere Regioni AWS, o talvolta zone di disponibilità, che includono le risorse dell'utente. Quando lo stato di controllo del routing è impostato su 0`On`, il traffico fluisce verso la cella controllata da quel controllo di routing.
I controlli di routing vengono raggruppati in pannelli di controllo, che sono raggruppamenti logici di failover. Quando si apre un pannello di controllo sulla console, ad esempio, è possibile visualizzare contemporaneamente tutti i controlli di routing per un raggruppamento, per vedere dove scorre il traffico.
È possibile aggiornare lo stato di controllo del routing sulla console ARC o utilizzando l'API ARC. Ti consigliamo di aggiornare gli stati di controllo del routing utilizzando l'API. Innanzitutto, ARC offre un'affidabilità estrema con l'API nel piano dati per eseguire queste azioni. Questo è importante quando si modificano questi stati, perché le modifiche allo stato di routing falliscono tra le celle reindirizzando il traffico delle applicazioni. Inoltre, utilizzando l'API, puoi provare a connetterti a diversi endpoint del cluster a rotazione, se necessario, se un endpoint del cluster a cui tenti di connetterti non è disponibile.
È possibile aggiornare uno stato di controllo del routing oppure aggiornare più stati di controllo del routing contemporaneamente. Ad esempio, potresti voler impostare uno stato di controllo del routing per impedire `Off` al traffico di fluire verso una cella, ad esempio una zona di disponibilità in cui un'applicazione presenta una maggiore latenza. Allo stesso tempo, potresti voler impostare un altro stato di controllo del routing per avviare il flusso del traffico `On` verso un'altra cella o zona di disponibilità. In questo scenario, puoi aggiornare entrambi gli stati di controllo del routing contemporaneamente, in modo che il traffico continui a fluire.
**Topics**
+ [Ottenere e aggiornare gli stati di controllo del routing utilizzando l'API ARC (consigliato)](routing-control.update.api.md)
+ [Ottenere e aggiornare gli stati di controllo del routing in Console di gestione AWS](routing-control.update.console.md)
# Ottenere e aggiornare gli stati di controllo del routing utilizzando l'API ARC (consigliato)
Ti consigliamo di utilizzare le operazioni API di Amazon Application Recovery Controller (ARC) per ottenere o aggiornare gli stati di controllo del routing, utilizzando un AWS CLI comando o utilizzando il codice che hai sviluppato per utilizzare le operazioni dell'API ARC con uno dei AWS SDKs. Si consiglia di utilizzare le operazioni API, con la CLI o nel codice, per lavorare con gli stati di controllo del routing, anziché utilizzare il. Console di gestione AWS
ARC offre un'affidabilità estrema per il failover tra celle (Regioni AWS) aggiornando gli stati di controllo del routing utilizzando l'API, poiché i controlli di routing sono archiviati in un cluster ad alta disponibilità. ARC garantisce che almeno tre dei cinque endpoint del cluster regionale siano sempre accessibili all'utente per apportare modifiche allo stato di controllo del routing. Per ottenere o modificare uno stato di controllo del routing utilizzando l'API, ti connetti a uno degli endpoint del cluster regionale. Se l'endpoint non è disponibile, puoi provare a connetterti a un altro degli endpoint del cluster.
Puoi visualizzare l'elenco degli endpoint regionali del cluster per il tuo cluster nella console Route 53 o utilizzando un'azione API,. [DescribeCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html) Il processo di acquisizione e modifica degli stati di controllo del routing dovrebbe provare ogni endpoint a rotazione, se necessario, poiché gli endpoint del cluster vengono alternati tra gli stati disponibili e non disponibili per manutenzione e aggiornamenti regolari.
Forniamo informazioni dettagliate ed esempi di codice per l'utilizzo delle operazioni dell'API ARC per ottenere e aggiornare gli stati di controllo del routing e per utilizzare gli endpoint dei cluster regionali. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ Per esempi di codice che spiegano come ruotare tra gli endpoint dei cluster regionali per ottenere e impostare gli stati di controllo del routing, consulta. [Azioni per l'utilizzo di Application Recovery Controller AWS SDKs](service_code_examples_actions.md)
+ Per informazioni sull'utilizzo di per ottenere e aggiornare AWS CLI gli stati di controllo del routing, vedere. [Elenca e aggiorna i controlli e gli stati del routing con il AWS CLI](getting-started-cli-routing.control-state.md)
# Ottenere e aggiornare gli stati di controllo del routing in Console di gestione AWS
È possibile ottenere e aggiornare gli stati di controllo del routing in. Console di gestione AWS Tieni presente, tuttavia, che non puoi scegliere endpoint di cluster regionali diversi nella console. Cioè, non esiste un processo per la scelta e la rotazione degli endpoint del cluster nella console, come è possibile fare utilizzando l'API Amazon Application Recovery Controller (ARC). Inoltre, la console non è altamente disponibile mentre il piano dati ARC offre un'affidabilità estrema. Per questi motivi, consigliamo di utilizzare l'API ARC per ottenere e aggiornare gli stati di controllo del routing per le operazioni di produzione.
Per ulteriori consigli sull'utilizzo di ARC per il failover, consulta. [Le migliori pratiche per il controllo del routing in ARC](route53-arc-best-practices.regional.md)
Per visualizzare e aggiornare i controlli di routing nella console, segui i passaggi indicati nelle seguenti procedure.
# Per ottenere gli stati di controllo del routing
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Scegli **Routing control**.
1. Dall'elenco, scegli un pannello di controllo e visualizza i controlli di routing.
# Per aggiornare uno o più stati di controllo del routing
1. Apri la console Amazon Route 53 a [https://console.aws.amazon.com/route53/casa](https://console.aws.amazon.com/route53/home).
1. In **Application Recovery Controller**, scegli **Routing control**.
1. Scegli **Azione**, quindi scegli **Modifica il routing del traffico**.
1. Aggiorna lo stato di uno o più controlli di routing impostandolo su `Off` o`On`, a seconda di dove desideri che il traffico fluisca o smetta di fluire per la tua applicazione.
1. Immetti `confirm` nella casella di testo.
1. Scegli **Aggiorna il routing del traffico**.
# Creazione di regole di sicurezza per il controllo del routing
Quando si utilizzano più controlli di routing contemporaneamente, è possibile decidere di adottare misure di protezione per evitare conseguenze indesiderate. Ad esempio, potreste voler evitare che tutti i controlli di routing di un'applicazione vengano disattivati inavvertitamente, con il risultato di uno scenario di fail-open. Oppure potreste voler implementare un interruttore principale di accensione e spegnimento per disabilitare un set di controlli di routing, magari per impedire all'automazione di reindirizzare il traffico. *Per stabilire protezioni come queste per il controllo del routing in ARC, create delle regole di sicurezza.*
Le regole di sicurezza per il controllo del routing vengono configurate con una combinazione di controlli di routing, regole e altre opzioni specificate dall'utente. Ogni regola di sicurezza è associata a un singolo pannello di controllo, ma un pannello di controllo può avere più di una regola di sicurezza. Quando crei regole di sicurezza, tieni presente che i nomi delle regole di sicurezza devono essere univoci all'interno di ogni pannello di controllo.
**Topics**
+ [Tipi di regole di sicurezza](#routing-control.about-safety-rule)
+ [Creazione di una regola di sicurezza sulla console](routing-control.create-safety-rule.md)
+ [Modifica o eliminazione di una regola di sicurezza sulla console](routing-control.edit-delete-safety-rule.md)
+ [Sostituire le regole di sicurezza per reindirizzare il traffico](routing-control.override-safety-rule.md)
## Tipi di regole di sicurezza
*Esistono due tipi di regole di sicurezza, regole di *asserzione e regole* di controllo, che è possibile utilizzare per proteggere il failover in diversi modi.*
**Regola di asserzione**
Con una regola di asserzione, quando si modifica uno o più stati di controllo del routing, ARC impone che i criteri impostati durante la configurazione della regola siano soddisfatti, altrimenti gli stati di controllo del routing non vengono modificati.
Un esempio di quando ciò è utile è prevenire uno scenario di fail-open, ad esempio uno scenario in cui si impedisce al traffico di andare verso una cella ma non si avvia il flusso del traffico verso un'altra cella. Per evitare ciò, una regola di asserzione assicura che almeno un controllo di routing in un set di controlli di routing in un pannello di controllo sia presente in un dato momento. `On` Ciò garantisce che il traffico fluisca verso almeno una regione o zona di disponibilità per un'applicazione.
Per vedere un AWS CLI comando di esempio che crea una regola di asserzione per applicare questi criteri, vedi *Creare regole di sicurezza* in. [Esempi di utilizzo delle operazioni dell'API di controllo del routing ARC con AWS CLI](getting-started-cli-routing.md)
Per informazioni dettagliate sulle proprietà operative dell'API della regola di asserzione, consulta [AssertionRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-assertionrule)la Routing Control API Reference Guide for Amazon Application Recovery Controller.
**Regola di gating**
Con una regola di gating, è possibile applicare un interruttore on/off generale su una serie di controlli di routing in modo che la possibilità di modificare tali stati di controllo del routing venga applicata in base a una serie di criteri specificati nella regola. Il criterio più semplice è se un singolo controllo di routing specificato come switch è impostato su o. `ON` `OFF`
A tal fine, è necessario creare un *controllo di routing basato* sul gateway, da utilizzare come switch generale, e utilizzare i *controlli di routing di destinazione*, per controllare il flusso di traffico verso diverse regioni o zone di disponibilità. Quindi, per evitare aggiornamenti manuali o automatici dello stato dei controlli di routing di destinazione configurati per la regola di gating, imposti lo stato di controllo del gating routing su. `Off` Per consentire gli aggiornamenti, lo imposti su. `On`
Per vedere un AWS CLI comando di esempio che crea una regola di gating che implementa questo tipo di switch generale, vedi *Creare regole di sicurezza* in. [Esempi di utilizzo delle operazioni dell'API di controllo del routing ARC con AWS CLI](getting-started-cli-routing.md)
Per informazioni dettagliate sulle proprietà operative dell'API gating rule, consulta [GatingRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-gatingrule)la Routing Control API Reference Guide for Amazon Application Recovery Controller.
# Creazione di una regola di sicurezza sulla console
I passaggi di questa sezione spiegano come creare una regola di sicurezza sulla console ARC. I passaggi sono simili sia che si crei una regola di asserzione che una regola di gating. Le differenze sono riportate nella procedura.
Per ulteriori informazioni sull'utilizzo delle operazioni API di ripristino e controllo del routing con Amazon Application Recovery Controller (ARC), consulta[Operazioni dell'API di controllo del routing](actions.routing-control.md).
# Per creare una regola di sicurezza
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Scegli **Routing control**.
1. Nella pagina di **controllo del routing**, scegli un pannello di controllo.
1. Nella pagina dei dettagli del pannello di controllo, scegli **Azione**, quindi scegli **Aggiungi regola di sicurezza**.
1. Scegli un tipo di regola da aggiungere: regola di **asserzione o regola** di **Gating**.
1. Scegli un nome e, facoltativamente, modifica il periodo di attesa.
1. Specificate le opzioni di configurazione per la regola di sicurezza.
+ Per una regola di asserzione, specifica i controlli di routing asseriti.
+ Per una regola di gating, specifica il controllo di gating routing e i controlli di destinazione di routing.
Per entrambe le regole, specifica la configurazione della regola scegliendo il tipo e la soglia e se la regola è invertita.
**Nota**
Per ulteriori informazioni sulla specificazione di una regola di asserzione, consulta le informazioni fornite per il [AssertionRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-assertionrule)funzionamento nella Routing Control API Reference Guide per Amazon Application Recovery Controller. Per ulteriori informazioni sulla specificazione di una regola di gating, consulta le informazioni fornite per l'[GatingRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-gatingrule)operazione nella Routing Control API Reference Guide for Amazon Application Recovery Controller.
1. Scegli **Create** (Crea).
# Modifica o eliminazione di una regola di sicurezza sulla console
I passaggi di questa sezione spiegano come modificare o eliminare una regola di sicurezza sulla console ARC. È possibile apportare solo modifiche limitate a una regola di sicurezza, per cambiare il nome o aggiornare il periodo di attesa. Per apportare altre modifiche, elimina e ricrea la regola di sicurezza.
Per ulteriori informazioni sull'utilizzo delle operazioni API con Amazon Application Recovery Controller (ARC), consulta il[Operazioni dell'API di controllo del routing](actions.routing-control.md).
# Per eliminare una regola di sicurezza
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Scegli **Routing control**.
1. Nella pagina di **controllo del routing**, scegli un pannello di controllo.
1. Nella pagina dei dettagli del pannello di controllo, scegli una regola di sicurezza, quindi scegli **Elimina** o **Modifica**.
# Sostituire le regole di sicurezza per reindirizzare il traffico
In alcuni casi potresti voler aggirare le protezioni di controllo del routing applicate con le regole di sicurezza che hai configurato. Ad esempio, potresti voler eseguire rapidamente il failover per il disaster recovery e una o più regole di sicurezza potrebbero impedirti inaspettatamente di aggiornare lo stato di controllo del routing per reindirizzare il traffico. In uno scenario «break glass» come questo, è possibile ignorare una o più regole di sicurezza per modificare lo stato di controllo del routing e eseguire il failover dell'applicazione.
È possibile ignorare le regole di sicurezza quando si aggiorna uno stato di controllo del routing (o più stati di controllo del routing) utilizzando il comando `update-routing-control-state` o `update-routing-control-states` AWS CLI con il parametro. `safety-rules-to-override` Specificate il parametro con l'Amazon Resource Name (ARN) della regola di sicurezza che desiderate sostituire o specificate un elenco separato da virgole per sovrascrivere due o più regole ARNs di sicurezza.
Quando una regola di sicurezza blocca un aggiornamento dello stato di controllo del routing, il messaggio di errore include l'ARN della regola che ha bloccato l'aggiornamento. Quindi puoi prendere nota dell'ARN e quindi specificarlo in un comando CLI dello stato di controllo del routing con il parametro safety rule override.
**Nota**
Poiché potrebbero essere in vigore più regole di sicurezza per i controlli di routing che stai aggiornando, puoi eseguire il comando CLI per aggiornare lo stato del controllo del routing sostituendo una regola di sicurezza, ma ricevi un errore che indica che un'altra regola di sicurezza sta bloccando l'aggiornamento. Continua ad aggiungere la regola di sicurezza ARNs all'elenco delle regole da sostituire nel comando update, separate da virgole, fino al completamento corretto del comando di aggiornamento.
Per ulteriori informazioni sull'utilizzo della `SafetyRulesToOverride` proprietà con l'API e SDKs, consulta. [UpdateRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlState.html)
Di seguito sono riportati due esempi di comandi CLI per sovrascrivere le regole di sicurezza per aggiornare gli stati di controllo del routing.
**Ignora una regola di sicurezza**
```
aws route53-recovery-cluster --region us-west-2 update-routing-control-state \
--routing-control-arn \
arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
--routing-control-state On \
--safety-rules-to-override arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/yyyyyyy8888888 \
--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```
**Ignora due regole di sicurezza**
```
aws route53-recovery-cluster --region us-west-2 update-routing-control-state \
--routing-control-arn \
arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
--routing-control-state On \
--safety-rules-to-override "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/yyyyyyy8888888" \
"arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/qqqqqqq7777777"
--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```
# Supporta più account per i cluster in ARC
Amazon Application Recovery Controller (ARC) si integra con AWS Resource Access Manager per abilitare la condivisione delle risorse. AWS RAM è un servizio che consente di condividere risorse con altri Account AWS o tramite AWS Organizations. Per il controllo del routing ARC, è possibile condividere la risorsa del cluster.
Con AWS RAM, condividi le risorse di tua proprietà creando una *condivisione di risorse*. Una condivisione di risorse specifica le risorse da condividere e i *partecipanti* con cui condividerle. I partecipanti possono includere:
+ Specifico Account AWS all'interno o all'esterno dell'organizzazione del proprietario in AWS Organizations
+ Un'unità organizzativa all'interno della sua organizzazione in AWS Organizations
+ La sua intera organizzazione in AWS Organizations
Per ulteriori informazioni in merito AWS RAM, consulta la *[Guida AWS RAM per l'utente](https://docs.aws.amazon.com/ram/latest/userguide/)*.
Utilizzando AWS Resource Access Manager per condividere le risorse del cluster tra gli account in ARC, è possibile utilizzare un cluster per ospitare pannelli di controllo e controlli di routing di proprietà di diversi Account AWS account. Quando si sceglie di condividere un cluster, Account AWS gli altri utenti specificati possono utilizzare il cluster per ospitare i propri pannelli di controllo e controlli di routing, garantendo maggiore controllo e flessibilità sulle funzionalità di routing tra team diversi.
AWS RAM è un servizio che aiuta AWS i clienti a condividere in modo sicuro le risorse tra i clienti. Account AWS Con AWS RAM, puoi condividere risorse all'interno di un'organizzazione o di unità organizzative (OUs) in AWS Organizations, utilizzando ruoli e utenti IAM. AWS RAM è un modo centralizzato e controllato per condividere un cluster.
Quando si condivide un cluster, è possibile ridurre il numero totale di cluster richiesti dall'organizzazione. Con un cluster condiviso, è possibile allocare il costo totale di gestione del cluster tra diversi team, per massimizzare i vantaggi di ARC a costi inferiori. (La creazione di risorse ospitate in un cluster non comporta costi aggiuntivi né per il proprietario né per i partecipanti.) La condivisione di cluster tra account può anche semplificare il processo di onboarding di più applicazioni su ARC, soprattutto se si dispone di un gran numero di applicazioni distribuite su più account e team operativi.
*Per iniziare con la condivisione tra account in ARC, devi creare una condivisione di risorse in.* AWS RAM La condivisione delle risorse specifica *i partecipanti* autorizzati a condividere il cluster di proprietà del tuo account. I partecipanti possono quindi creare risorse, come pannelli di controllo e controlli di routing, nel cluster, utilizzando Console di gestione AWS o eseguendo operazioni API ARC utilizzando o. AWS Command Line Interface AWS SDKs
Questo argomento spiega come condividere le tue risorse e come utilizzare le risorse condivise con te.
**Topics**
+ [Prerequisiti per la condivisione dei cluster](#sharing-prereqs)
+ [Condivisione di un cluster](#sharing-share)
+ [Annullamento della condivisione di un cluster condiviso](#sharing-unshare)
+ [Identificazione di un cluster condiviso](#sharing-identify)
+ [Responsabilità e autorizzazioni per i cluster condivisi](#sharing-perms)
+ [Costi di fatturazione](#sharing-billing)
+ [Quote](#sharing-quotas)
## Prerequisiti per la condivisione dei cluster
+ Per condividere un cluster, devi possederlo nel tuo. Account AWS Ciò significa che la risorsa deve essere allocata o assegnata all’account. Non puoi condividere un cluster che è stato condiviso con te.
+ Per condividere un cluster con la tua organizzazione o un'unità organizzativa AWS Organizations, devi abilitare la condivisione con AWS Organizations. Per ulteriori informazioni, consulta [Abilitare la condivisione con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) nella *Guida per l’utente di AWS RAM *.
+ AWS RAM le condivisioni di risorse per risorse globali come i cluster devono essere create nella regione Stati Uniti orientali (Virginia settentrionale) (us-east-1).
## Condivisione di un cluster
Quando condividi un cluster di tua proprietà, i partecipanti specificati per la condivisione del cluster possono creare e ospitare le proprie risorse ARC nel cluster.
Per condividere un cluster, è necessario aggiungerlo a una condivisione di risorse. Una condivisione di risorse è una risorsa AWS RAM che consente di condividere le risorse tra Account AWS. Una condivisione di risorse specifica le risorse da condividere e i partecipanti con cui vengono condivise. Per condividere un cluster è possibile creare una nuova condivisione di risorse o aggiungere la risorsa a una condivisione di risorse esistente. Per creare una nuova condivisione di risorse, puoi utilizzare la [AWS RAM console](https://console.aws.amazon.com/ram) o utilizzare le operazioni AWS RAM API con AWS Command Line Interface o AWS SDKs.
Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, ai partecipanti dell'organizzazione viene automaticamente concesso l'accesso al cluster condiviso. In caso contrario, i partecipanti ricevono un invito a partecipare alla condivisione di risorse e ottengono l'accesso al cluster condiviso dopo aver accettato l'invito.
Puoi condividere un cluster di tua proprietà utilizzando la AWS RAM console o utilizzando le operazioni AWS RAM API con AWS CLI o SDKs.
**Per condividere un cluster di tua proprietà utilizzando la AWS RAM console**
Vedi [Creazione di una condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) nella *Guida AWS RAM per l'utente*.
**Per condividere un cluster di tua proprietà utilizzando il AWS CLI**
Utilizza il comando [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).
**Concessione delle autorizzazioni per condividere i cluster**
La condivisione di cluster tra account richiede le autorizzazioni per il principale IAM che condivide il cluster tramite. AWS RAM
Ti consigliamo di utilizzare la policy IAM `AmazonRoute53RecoveryControlConfigFullAccess` gestita per garantire che i tuoi responsabili IAM dispongano delle autorizzazioni necessarie per condividere e utilizzare i cluster condivisi.
La condivisione di un cluster utilizzando una policy IAM personalizzata richiede `route53-recovery-control-config:PutResourcePolicy` e `route53-recovery-control-config:DeleteResourcePolicy` autorizzazioni per quel cluster. `route53-recovery-control-config:GetResourcePolicy` `PutResourcePolicy`e `DeleteResourcePolicy` sono azioni IAM soggette a solo autorizzazione. Il tentativo di condividere un cluster AWS RAM senza disporre di queste autorizzazioni genererà un errore.
Per ulteriori informazioni sul modo in cui AWS Resource Access Manager utilizza IAM, consulta [How AWS Resource Access Manager uses IAM nella Guida](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html) per l'*AWS RAM utente*.
## Annullamento della condivisione di un cluster condiviso
Quando annulli la condivisione di un cluster, ai partecipanti e ai proprietari si applica quanto segue:
+ Le risorse correnti dei partecipanti continuano a esistere nel cluster non condiviso.
+ I partecipanti possono continuare ad aggiornare gli stati di controllo del routing nel cluster non condiviso, per gestire il routing per il failover delle applicazioni.
+ I partecipanti non possono più creare nuove risorse nel cluster non condiviso.
+ Se i partecipanti dispongono ancora di risorse in un cluster non condiviso, il proprietario non può eliminare il cluster condiviso.
Per annullare la condivisione di un cluster condiviso di tua proprietà, rimuovilo dalla condivisione di risorse. Puoi farlo utilizzando la AWS RAM console o utilizzando le operazioni AWS RAM API con AWS CLI o SDKs.
**Per annullare la condivisione di un cluster condiviso di tua proprietà utilizzando la console AWS RAM**
Consulta [Aggiornamento di una condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) nella *Guida per l’utente di AWS RAM *.
**Per annullare la condivisione di un cluster condiviso di tua proprietà utilizzando il AWS CLI**
Utilizza il comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
## Identificazione di un cluster condiviso
I proprietari e i partecipanti possono identificare i cluster condivisi visualizzando le informazioni in AWS RAM. Possono inoltre ottenere informazioni sulle risorse condivise utilizzando la console ARC e AWS CLI.
In generale, per saperne di più sulle risorse che hai condiviso o che sono state condivise con te, consulta le informazioni nella Guida per l' AWS Resource Access Manager utente:
+ In qualità di proprietario, puoi visualizzare tutte le risorse che condividi con altri utilizzando AWS RAM. Per ulteriori informazioni, vedi [Visualizzazione delle risorse condivise in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html).
+ Come partecipante, puoi visualizzare tutte le risorse condivise con te utilizzando AWS RAM. Per ulteriori informazioni, vedi [Visualizzazione delle risorse condivise in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html).
In qualità di proprietario, puoi determinare se stai condividendo un cluster visualizzando le informazioni nelle operazioni dell'API Console di gestione AWS o utilizzando le operazioni dell'API AWS Command Line Interface con ARC.
**Per identificare se un cluster di tua proprietà è condiviso utilizzando la console**
Nella Console di gestione AWS pagina dei dettagli di un cluster, vedi **lo Stato di condivisione del cluster**.
**Per identificare se un cluster di tua proprietà è condiviso utilizzando il AWS CLI**
Utilizza il comando [ get-resource-policy](https://docs.aws.amazon.com/recovery-cluster/latest/api/resourcepolicy-resourcearn.html.html). Se esiste una politica delle risorse per un cluster, il comando restituisce informazioni sulla politica.
In qualità di partecipante, quando un cluster viene condiviso con te, in genere devi accettare la condivisione. Inoltre, il campo **Proprietario** del cluster contiene l'account del proprietario del cluster.
## Responsabilità e autorizzazioni per i cluster condivisi
### Autorizzazioni per i proprietari
Quando condividi un cluster di tua proprietà con altri Account AWS, i partecipanti autorizzati a utilizzare il cluster possono creare pannelli di controllo, controlli di routing e altre risorse nel cluster.
In qualità di proprietario del cluster, sei responsabile della creazione, della gestione e dell'eliminazione dei cluster. Non puoi modificare o eliminare le risorse create dai partecipanti, come i controlli di routing e le regole di sicurezza. Ad esempio, non è possibile aggiornare un controllo di routing creato da un partecipante per modificare lo stato del controllo di routing.
Tuttavia, puoi visualizzare i dettagli dei controlli di routing creati dai partecipanti a un cluster di tua proprietà. Ad esempio, è possibile visualizzare gli stati di controllo del routing chiamando un'[operazione dell'API di controllo del routing ARC](actions.routing-control.md), utilizzando o. AWS Command Line Interface AWS SDKs
Se devi modificare le risorse create dai partecipanti, questi possono impostare un ruolo in IAM con l'autorizzazione ad accedere alle risorse e aggiungere il tuo account al ruolo.
### Autorizzazioni per i partecipanti
In generale, i partecipanti possono creare e utilizzare pannelli di controllo, controlli di routing, regole di sicurezza e controlli di integrità creati in un cluster condiviso con loro. Possono visualizzare, modificare o eliminare le risorse del cluster nel cluster condiviso solo se sono proprietari delle risorse. Ad esempio, i partecipanti possono creare ed eliminare regole di sicurezza per i pannelli di controllo che hanno creato.
Ai partecipanti si applicano le seguenti restrizioni:
+ I partecipanti non possono visualizzare, modificare o eliminare i pannelli di controllo creati da altri account utilizzando un cluster condiviso.
+ I partecipanti non possono visualizzare, creare o modificare i controlli di routing, inclusi gli stati di controllo del routing, per le risorse create in un cluster condiviso da altri account.
+ I partecipanti non possono creare, modificare o visualizzare le regole di sicurezza create da altri account in un cluster condiviso.
+ I partecipanti non possono aggiungere risorse nel pannello di controllo predefinito di un cluster condiviso perché appartiene al proprietario del cluster.
Come indicato, i partecipanti non possono creare controlli di routing nel pannello di controllo predefinito per un cluster condiviso, poiché il proprietario del cluster possiede il pannello di controllo predefinito. Tuttavia, il proprietario del cluster può creare un ruolo IAM multiaccount che fornisce l'autorizzazione per accedere al pannello di controllo predefinito per il cluster. Quindi, il proprietario può concedere a un partecipante le autorizzazioni per assumere il ruolo, in modo che il partecipante possa accedere al pannello di controllo predefinito per utilizzarlo come specificato dal proprietario tramite le autorizzazioni del ruolo.
## Costi di fatturazione
Al proprietario di un cluster in ARC vengono fatturati i costi associati al cluster. Non ci sono costi aggiuntivi, per i proprietari dei cluster o per i partecipanti, per la creazione di risorse ospitate in un cluster.
Per informazioni dettagliate ed esempi sui prezzi, consulta la pagina dei [prezzi di Amazon Application Recovery Controller (ARC)](https://aws.amazon.com/application-recovery-controller/pricing/).
## Quote
Tutte le risorse create in un cluster condiviso, incluse le risorse create da tutti i partecipanti con accesso al cluster condiviso, vengono conteggiate ai fini delle quote valide per il cluster e altre risorse, come i controlli di routing. Se gli account che condividono la risorsa del cluster hanno una quota superiore rispetto alle quote del proprietario del cluster, le quote del proprietario del cluster hanno la precedenza sulle quote degli account che condividono.
Per capire meglio come funziona, consulta i seguenti esempi. Per illustrare come funzionano le quote con la condivisione delle risorse, per questi esempi, supponiamo che il proprietario del cluster sia Proprietario e un account con cui il cluster è stato condiviso sia Partecipante.
**Quota dei pannelli di controllo**
Vengono applicate delle quote per il totale dei pannelli di controllo del proprietario per cluster.
Ad esempio, supponiamo che Owner abbia una quota di 50 per il numero di pannelli di controllo per cluster e abbia 13 pannelli di controllo nel cluster. Supponiamo ora che il Partecipante abbia la quota impostata su 150. In questo scenario, Participant può creare solo fino a 37 pannelli di controllo (ovvero 50-13) nel cluster condiviso.
Inoltre, se altri account che condividono il cluster creano anche pannelli di controllo, anche questi vengono conteggiati ai fini della quota complessiva del cluster di 50 pannelli di controllo.
**Quote di controllo del routing**
I controlli di routing hanno quote multiple: una quota per pannello di controllo, una quota per cluster e una quota per regola di sicurezza. Le quote del proprietario hanno la precedenza per tutte queste quote.
Ad esempio, supponiamo che Owner abbia una quota di 300 per il numero di controlli di routing per cluster e disponga già di 300 controlli di routing nel cluster. Supponiamo ora che Participant abbia questa quota impostata su 500. In questo scenario, Participant non può creare nuovi controlli di routing nel cluster condiviso.
**Regole di sicurezza, quote**
Le quote vengono applicate in base alle regole di sicurezza del proprietario per quota del pannello di controllo.
Ad esempio, supponiamo che il Proprietario abbia una quota di 20 per il numero di regole di sicurezza per pannello di controllo e il Partecipante abbia questa quota impostata su 80. In questo scenario, poiché il limite inferiore del proprietario ha la precedenza, il partecipante può creare solo fino a 20 regole di sicurezza in un pannello di controllo del cluster condiviso.
Per un elenco delle quote di controllo del routing, vedere. [Quote per il controllo del routing](routing-control.quotas.md)
# Registrazione e monitoraggio per il controllo del routing in Amazon Application Recovery Controller (ARC)
Puoi utilizzarlo AWS CloudTrail per monitorare il controllo del routing in Amazon Application Recovery Controller (ARC), per analizzare i modelli e aiutare a risolvere i problemi.
**Topics**
+ [Registrazione delle chiamate API ARC utilizzando AWS CloudTrail](cloudtrail-routing.md)
# Registrazione delle chiamate API ARC utilizzando AWS CloudTrail
Amazon Application Recovery Controller (ARC) è integrato con AWS CloudTrail un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in ARC. CloudTrail acquisisce tutte le chiamate API per ARC come eventi. Le chiamate acquisite includono chiamate dalla console ARC e chiamate in codice alle operazioni dell'API ARC.
Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per ARC. Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli **eventi**.
Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta che è stata effettuata ad ARC, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.
Per ulteriori informazioni CloudTrail, consulta la [Guida AWS CloudTrail per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informazioni ARC in CloudTrail
CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. Quando si verifica un'attività in ARC, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella **cronologia degli eventi**. Puoi visualizzare, cercare e scaricare eventi recenti in Account AWS. Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi del tuo Account AWS, compresi gli eventi per ARC, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le azioni ARC vengono registrate CloudTrail e sono documentate nella [Recovery Readiness API Reference Guide per Amazon Application Recovery Controller, nella Recovery Control](https://docs.aws.amazon.com/recovery-readiness/latest/api/) [Configuration API Reference Guide per Amazon Application Recovery Controller](https://docs.aws.amazon.com/recovery-cluster/latest/api/) e nella [Routing Control API Recovery Guide per Amazon Application Recovery Controller](https://docs.aws.amazon.com/routing-control/latest/APIReference/). Ad esempio, le chiamate `UpdateRoutingControlState` e le `CreateRecoveryGroup` azioni generano voci nei file di registro. `CreateCluster` CloudTrail
Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Visualizzazione degli eventi ARC nella cronologia degli eventi
CloudTrail consente di visualizzare gli eventi recenti nella **cronologia degli eventi**. Per visualizzare gli eventi per le richieste API ARC, devi scegliere **US West (Oregon)** nel selettore di regione nella parte superiore della console. Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) per l'*AWS CloudTrail utente*.
## Comprendere le voci dei file di registro ARC
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`CreateCluster`azione per configurare il controllo del routing.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/smithj",
"accountId": "111122223333",
"userName": "smithj"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-06-30T04:44:41Z"
}
}
},
"eventTime": "2021-06-30T04:45:46Z",
"eventSource": "route53-recovery-control-config.amazonaws.com",
"eventName": "CreateCluster",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "aws-cli/2.0.0 Python/3.8.2 Darwin/19.6.0 botocore/2.0.0dev7",
"requestParameters": {
"ClientToken": "12345abcdef-1234-5678-abcd-12345abcdef",
"ClusterName": "XYZCluster"
},
"responseElements": {
"Cluster": {
"Arn": "arn:aws:route53-recovery-control::012345678901:cluster/abc123456-aa11-bb22-cc33-abc123456",
"ClusterArn": "arn:aws:route53-recovery-control::012345678901:cluster/abc123456-aa11-bb22-cc33-abc123456",
"Name": "XYZCluster",
"Status": "PENDING"
}
},
"requestID": "6090509a-5a97-4be6-8e6a-7d73example",
"eventID": "9cab44ef-0777-41e6-838f-f249example",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`UpdateRoutingControlState`azione per il controllo del routing.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/admin/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-06-30T04:44:41Z"
}
}
},
"eventTime": "2021-06-30T04:45:46Z",
"eventSource": "route53-recovery-control-config.amazonaws.com",
"eventName": "UpdateRoutingControl",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "aws-cli/2.0.0 Python/3.8.2 Darwin/19.6.0 botocore/2.0.0dev7",
"requestParameters": {
"RoutingControlName": "XYZRoutingControl3",
"RoutingControlArn": "arn:aws:route53-recovery-control::012345678:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567"
},
"responseElements": {
"RoutingControl": {
"ControlPanelArn": "arn:aws:route53-recovery-control::012345678:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
"Name": "XYZRoutingControl3",
"Status": "DEPLOYED",
"RoutingControlArn": "arn:aws:route53-recovery-control::012345678:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567"
}
},
"requestID": "6090509a-5a97-4be6-8e6a-7d73example",
"eventID": "9cab44ef-0777-41e6-838f-f249example",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# Identity and Access Management per il controllo del routing in
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse ARC. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Come funziona il controllo del routing con IAM](security_iam_service-with-iam-routing.md)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples-routing.md)
+ [AWS politiche gestite](security-iam-awsmanpol-routing.md)
# Come funziona il controllo del routing in Amazon Application Recovery Controller (ARC) con IAM
Prima di utilizzare IAM per gestire l'accesso al controllo del routing in Amazon Application Recovery Controller (ARC), scopri quali funzionalità IAM sono disponibili per il controllo del routing.
**Funzionalità IAM che puoi utilizzare con il controllo del routing in Amazon Application Recovery Controller (ARC)**
| Funzionalità IAM | Supporto per il controllo del routing |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-routing-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-routing-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-routing-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-routing-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-routing-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-routing-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-routing-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-routing-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-routing-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-routing-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-routing-roles-service-linked) | No |
Per avere una panoramica generale di alto livello su come AWS i servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per ARC
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di politiche ARC basate sull'identità per il controllo del routing, vedere. [Esempi di policy basate sull'identità per il controllo del routing in ARC](security_iam_id-based-policy-examples-routing.md)
## Politiche basate sulle risorse nell'ambito del controllo del routing
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy di bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica.
## Azioni politiche per il controllo del routing
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di azioni ARC per il controllo del routing, consulta [Azioni definite da Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-actions-as-permissions) e [Azioni definite da Amazon Route 53 Recovery Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in ARC per il controllo del routing utilizzano i seguenti prefissi prima dell'azione, a seconda dell'API con cui stai lavorando:
```
route53-recovery-control-config
route53-recovery-cluster
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Ad esempio, è possibile eseguire le operazioni seguenti:
```
"Action": [
"route53-recovery-control-config:action1",
"route53-recovery-control-config:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "route53-recovery-control-config:Describe*"
```
Per visualizzare esempi di politiche basate sull'identità ARC per il controllo del routing, consulta. [Esempi di policy basate sull'identità per il controllo del routing in ARC](security_iam_id-based-policy-examples-routing.md)
## Risorse politiche per ARC
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Nel *Service Authorization Reference*, è possibile visualizzare le seguenti informazioni relative ad ARC:
Per visualizzare un elenco dei tipi di risorse e delle relative ARNs azioni e le azioni che è possibile specificare con l'ARN di ciascuna risorsa, vedere i seguenti argomenti nel *Service Authorization* Reference:
+ [Azioni definite da Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-actions-as-permissions)
+ [Azioni definite da Amazon Route 53 Recovery Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-actions-as-permissions).
Per visualizzare esempi di politiche ARC basate sull'identità per il controllo del routing, consulta. [Esempi di policy basate sull'identità per il controllo del routing in ARC](security_iam_id-based-policy-examples-routing.md)
## Chiavi relative alle condizioni delle policy per ARC
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione ARC per il controllo del routing, consulta i seguenti argomenti nel *Service Authorization Reference:*
+ [Chiavi di condizione per Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-policy-keys)
+ [Chiavi di condizione per Amazon Route 53 Recovery Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-policy-keys)
Per visualizzare le azioni e le risorse che puoi utilizzare con una chiave di condizione, consulta i seguenti argomenti nel *Service Authorization Reference*:
+ Per visualizzare un elenco dei tipi di risorse e relativi ARNs, consulta [Azioni definite da Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-actions-as-permissions) e [Azioni definite da Amazon Route 53 Recovery Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-actions-as-permissions).
+ Per visualizzare un elenco delle azioni che puoi specificare con l'ARN di ogni risorsa, consulta [Risorse definite da Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-resources-for-iam-policies) e [Resources defined by Amazon Route 53 Recovery](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-resources-for-iam-policies) Cluster.
Per visualizzare esempi di politiche basate sull'identità ARC per il controllo del routing, consulta [Esempi di policy basate sull'identità per il controllo del routing in ARC](security_iam_id-based-policy-examples-routing.md)
## Liste di controllo degli accessi () in ARC ACLs
**Supporti ACLs:** No
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con ARC
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Il controllo del routing ARC include il seguente supporto per ABAC:
+ Recovery Control Config supporta ABAC.
+ Recovery Cluster non supporta ABAC.
## Utilizzo di credenziali temporanee con ARC
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per ARC
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Quando utilizzi un'entità IAM (utente o ruolo) per eseguire azioni AWS, sei considerato un principale. Le policy concedono autorizzazioni a un'entità. Quando si utilizzano alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni.
Per vedere se un'azione richiede azioni dipendenti aggiuntive in una policy, consulta i seguenti argomenti nel *Service Authorization Reference*:
+ [Cluster di ripristino Amazon Route 53](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53recoverycluster.html)
+ [Controlli di ripristino di Amazon Route 53](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)
## Ruoli di servizio per ARC
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
## Ruoli collegati ai servizi per ARC
**Supporta ruoli collegati ai servizi:**
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un servizio. AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nell' AWS account e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Il controllo del routing non utilizza ruoli collegati al servizio.
# Esempi di policy basate sull'identità per il controllo del routing in ARC
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse ARC. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da ARC, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Esempio: accesso alla console ARC per il controllo del routing](#security_iam_id-based-policy-examples-console-routing)
+ [Esempi: azioni dell'API ARC per la configurazione del controllo del routing](#security_iam_id-based-policy-examples-api-routing)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse ARC nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Esempio: accesso alla console ARC per il controllo del routing
Per accedere alla console Amazon Application Recovery Controller (ARC), devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse ARC presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la console ARC quando consenti l'accesso solo a operazioni API specifiche, allega anche una policy `ReadOnly` AWS gestita per ARC alle entità. Per ulteriori informazioni, consulta la [pagina delle politiche gestite di ARC ARC](security-iam-awsmanpol.md) o [Aggiungere autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente IAM*.
Per consentire agli utenti l'accesso completo all'utilizzo delle funzionalità di controllo del routing ARC tramite la console, allega all'utente una policy come la seguente, per concedere all'utente le autorizzazioni complete per configurare le risorse e le operazioni di controllo del routing ARC:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates",
"route53-recovery-control-config:CreateCluster",
"route53-recovery-control-config:CreateControlPanel",
"route53-recovery-control-config:CreateRoutingControl",
"route53-recovery-control-config:CreateSafetyRule",
"route53-recovery-control-config:DeleteCluster",
"route53-recovery-control-config:DeleteControlPanel",
"route53-recovery-control-config:DeleteRoutingControl",
"route53-recovery-control-config:DeleteSafetyRule",
"route53-recovery-control-config:DescribeCluster",
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeSafetyRule",
"route53-recovery-control-config:DescribeRoutingControl",
"route53-recovery-control-config:ListAssociatedRoute53HealthChecks",
"route53-recovery-control-config:ListClusters",
"route53-recovery-control-config:ListControlPanels",
"route53-recovery-control-config:ListRoutingControls",
"route53-recovery-control-config:ListSafetyRules",
"route53-recovery-control-config:UpdateControlPanel",
"route53-recovery-control-config:UpdateRoutingControl",
"route53-recovery-control-config:UpdateSafetyRule"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"route53:GetHealthCheck",
"route53:CreateHealthCheck",
"route53:DeleteHealthCheck",
"route53:ChangeTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Esempi: azioni dell'API ARC per la configurazione del controllo del routing
Per garantire che un utente possa utilizzare le azioni dell'API ARC per lavorare con la configurazione del controllo del routing ARC, allega una policy che corrisponda alle operazioni API con cui l'utente deve lavorare, come descritto di seguito.
Per utilizzare le operazioni API per la configurazione del controllo del ripristino, allega all'utente una policy come la seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:CreateCluster",
"route53-recovery-control-config:CreateControlPanel",
"route53-recovery-control-config:CreateRoutingControl",
"route53-recovery-control-config:CreateSafetyRule",
"route53-recovery-control-config:DeleteCluster",
"route53-recovery-control-config:DeleteControlPanel",
"route53-recovery-control-config:DeleteRoutingControl",
"route53-recovery-control-config:DeleteSafetyRule",
"route53-recovery-control-config:DescribeCluster",
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeSafetyRule",
"route53-recovery-control-config:DescribeRoutingControl",
"route53-recovery-control-config:GetResourcePolicy",
"route53-recovery-control-config:ListAssociatedRoute53HealthChecks",
"route53-recovery-control-config:ListClusters",
"route53-recovery-control-config:ListControlPanels",
"route53-recovery-control-config:ListRoutingControls",
"route53-recovery-control-config:ListSafetyRules",
"route53-recovery-control-config:ListTagsForResource",
"route53-recovery-control-config:UpdateControlPanel",
"route53-recovery-control-config:UpdateRoutingControl",
"route53-recovery-control-config:UpdateSafetyRule",
"route53-recovery-control-config:TagResource",
"route53-recovery-control-config:UntagResource"
],
"Resource": "*"
}
]
}
```
------
Per eseguire attività di controllo del routing ARC con l'API del piano dati del cluster di ripristino, ad esempio l'aggiornamento degli stati di controllo del routing per il failover durante un evento di emergenza, puoi allegare una policy ARC IAM come la seguente al tuo utente IAM.
Il valore `AllowSafetyRuleOverride` booleano consente di ignorare le regole di sicurezza che hai configurato come protezione per i controlli di routing. Questa autorizzazione potrebbe essere richiesta negli scenari «break glass» per aggirare le misure di protezione in caso di disastri o altri scenari di failover urgenti. Ad esempio, un operatore potrebbe aver bisogno di eseguire rapidamente il failover per il disaster recovery e una o più regole di sicurezza potrebbero impedire inaspettatamente l'aggiornamento dello stato di controllo del routing necessario per reindirizzare il traffico. Questa autorizzazione consente all'operatore di specificare le regole di sicurezza da ignorare quando si effettuano chiamate API per aggiornare gli stati di controllo del routing. Per ulteriori informazioni, consulta [Sostituire le regole di sicurezza per reindirizzare il traffico](routing-control.override-safety-rule.md).
Se desideri consentire a un operatore di utilizzare l'API del piano dati del cluster di ripristino ma *evitare* di ignorare le regole di sicurezza, puoi allegare una politica come la seguente, con `AllowSafetyRuleOverrides` boolean to. `false` Per consentire all'operatore di ignorare le regole di sicurezza, imposta il valore booleano su. `AllowSafetyRuleOverrides` `true`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:ListRoutingControls"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:UpdateRoutingControlStates",
"route53-recovery-cluster:UpdateRoutingControlState"
],
"Resource": "*",
"Condition": {
"Bool": {
"route53-recovery-cluster:AllowSafetyRulesOverrides": "false"
}
}
}
]
}
```
------
# AWS politiche gestite per il controllo del routing in Amazon Application Recovery Controller (ARC)
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AmazonRoute 53 RecoveryControlConfigFullAccess
È possibile collegare `AmazonRoute53RecoveryControlConfigFullAccess` alle entità IAM. Questa politica garantisce l'accesso completo alle azioni per l'utilizzo della configurazione del controllo di ripristino in ARC. Collegala agli utenti IAM e ad altri responsabili che necessitano dell'accesso completo alle azioni di configurazione del controllo del ripristino.
A tua discrezione, puoi aggiungere l'accesso ad altre azioni di Amazon Route 53 per consentire agli utenti di creare controlli di integrità per i controlli di routing. Ad esempio, potresti concedere l'autorizzazione per una o più delle seguenti azioni:`route53:GetHealthCheck`, `route53:CreateHealthCheck``route53:DeleteHealthCheck`, e`route53:ChangeTagsForResource`.
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonRoute53 RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) nel *AWS Managed Policy Reference.*
## AWS politica gestita: 53 AmazonRoute RecoveryControlConfigReadOnlyAccess
È possibile collegare `AmazonRoute53RecoveryControlConfigReadOnlyAccess` alle entità IAM. È utile per gli utenti che devono visualizzare il controllo del routing e le configurazioni delle regole di sicurezza. Questa politica garantisce l'accesso in sola lettura alle azioni per l'utilizzo della configurazione del controllo di ripristino in ARC. Questi utenti non possono creare, aggiornare o eliminare risorse per il controllo del ripristino.
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigReadOnlyAccess.html) nel *AWS Managed Policy Reference.*
## AWS politica gestita: 53 AmazonRoute RecoveryClusterFullAccess
È possibile collegare `AmazonRoute53RecoveryClusterFullAccess` alle entità IAM. Questa politica garantisce il pieno accesso alle azioni per lavorare con il piano dati del cluster in ARC. Collegala agli utenti IAM e ad altri responsabili che necessitano dell'accesso completo all'aggiornamento e al recupero degli stati di controllo del routing.
*Per visualizzare le autorizzazioni per questa policy, vedi [AmazonRoute53 RecoveryClusterFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterFullAccess.html) nel Managed Policy Reference.AWS *
## AWS politica gestita: 53 AmazonRoute RecoveryClusterReadOnlyAccess
È possibile collegare `AmazonRoute53RecoveryClusterReadOnlyAccess` alle entità IAM. Questa politica garantisce l'accesso in sola lettura al piano dati del cluster in ARC. Questi utenti possono recuperare gli stati di controllo del routing ma non possono aggiornarli.
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonRoute53 RecoveryClusterReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterReadOnlyAccess.html) nel *AWS Managed* Policy Reference.
## AWS politica gestita: AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy
È possibile collegare `AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy` alle entità IAM. Questa politica concede le autorizzazioni per l'esecuzione e la valutazione del piano di commutazione della regione ARC. Collegala ai ruoli IAM utilizzati per l'esecuzione del piano di cambio di regione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `arc-region-switch:GetPlan`— Consente ai responsabili di recuperare i dettagli di configurazione per un piano di switch di regione.
+ `arc-region-switch:GetPlanExecution`— Consente ai responsabili di recuperare informazioni sull'esecuzione di un piano di cambio di regione specifico.
+ `arc-region-switch:ListPlanExecutions`— Consente ai responsabili di elencare tutte le esecuzioni dei piani di cambio di regione.
+ `iam:SimulatePrincipalPolicy`— Consente ai responsabili di simulare e valutare le azioni che un ruolo IAM può eseguire. Questa autorizzazione è limitata solo ai ruoli IAM e viene utilizzata durante la valutazione del piano per verificare che siano disponibili le autorizzazioni necessarie prima di eseguire un piano di cambio di regione.
+ `cloudwatch:DescribeAlarms`— Consente ai responsabili di recuperare informazioni sugli allarmi Amazon CloudWatch .
+ `cloudwatch:DescribeAlarmHistory`— Consente ai responsabili di recuperare le modifiche storiche dello stato degli allarmi Amazon CloudWatch .
+ `cloudwatch:GetMetricStatistics`— Consente ai mandanti di recuperare dati statistici per le metriche di Amazon CloudWatch .
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## Aggiornamenti per le politiche AWS gestite per il controllo del routing
Per dettagli sugli aggiornamenti alle politiche AWS gestite per il controllo del routing in ARC da quando questo servizio ha iniziato a tenere traccia di queste modifiche, vedere. [Aggiornamenti alle politiche AWS gestite per Amazon Application Recovery Controller (ARC)](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates) Per avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei [documenti](doc-history.md) ARC.
# Quote per il controllo del routing
Il controllo del routing in Amazon Application Recovery Controller (ARC) è soggetto alle seguenti quote (precedentemente denominate limiti).
| Entità | Quota |
| --- | --- |
| Numero di cluster per account | 2 |
| Numero di pannelli di controllo per cluster | 50 |
| Numero di controlli di routing per pannello di controllo | 100 |
| Numero totale di controlli di routing (in tutti i pannelli di controllo) per cluster | 300 |
| Numero di regole di sicurezza per pannello di controllo | 20 |
| Numero di controlli di routing per chiamata [UpdateRoutingControlStates](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlStates.html)operativa | 10 |
| Numero di chiamate API mutanti a un endpoint del cluster, al secondo | 3 |