# 失敗管理
**Topics**
+ [REL 9 您如何備份資料?](w2aac19b9c11b5.md)
+ [REL 10 如何使用故障隔離來保護您的工作負載?](w2aac19b9c11b7.md)
+ [REL 11 如何設計工作負載以承受元件失敗?](w2aac19b9c11b9.md)
+ [REL 12 如何測試可靠性?](w2aac19b9c11c11.md)
+ [REL 13 您如何規劃災難復原 (DR)?](w2aac19b9c11c13.md)
# REL 9 您如何備份資料?
備份資料、應用程式和組態,以符合復原時間目標 (RTO) 和復原點目標 (RPO) 的要求。
**Topics**
+ [REL09-BP01 識別並備份所有需要備份的資料,或從來源複製資料](rel_backing_up_data_identified_backups_data.md)
+ [REL09-BP02 保護和加密備份](rel_backing_up_data_secured_backups_data.md)
+ [REL09-BP03 自動執行資料備份](rel_backing_up_data_automated_backups_data.md)
+ [REL09-BP04 定期執行資料復原以驗證備份的完整性和程序](rel_backing_up_data_periodic_recovery_testing_data.md)
# REL09-BP01 識別並備份所有需要備份的資料,或從來源複製資料
所有 AWS 資料存放區都會提供備份功能。Amazon RDS 和 Amazon DynamoDB 等服務會額外地支援啟用時間點復原 (PITR) 的自動備份,這可讓您將備份還原到目前時間之前最多五分鐘或更短的任何時間。許多 AWS 服務提供將備份複製到另一個 AWS 區域 的能力。AWS Backup 是一種工具,可讓您跨 AWS 服務集中化和自動化資料保護。
Amazon S3 可以用作自行受管和 AWS 受管資料來源的備份目的地。Amazon EBS、Amazon RDS 和 Amazon DynamoDB 等 AWS 服務具有內建功能來建立備份。也可以使用第三方備份軟體。
內部部署資料可以備份至 AWS 雲端,方法為使用 [AWS Storage Gateway](https://docs.aws.amazon.com/storagegateway/latest/vgw/WhatIsStorageGateway.html) 或 [AWS Datasync](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html)。Amazon S3 儲存貯體可以用來將此資料儲存在 AWS 上。Amazon S3 提供多個儲存層,例如 [Amazon Glacier 或 S3 Glacier Deep Archive](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/amazon-s3-glacier.html) 來減少資料儲存的成本。
您能夠從其他資源重現資料來符合資料復原需求。例如, [Amazon Elasticache 複本節點](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Replication.Redis.Groups.html) 或 [RDS 讀取複本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html) 可以用來重現資料,如果主要節點遺失的話。如果像這樣的來源可以用來符合您的 [復原時間目標 (RTO) 和復原點目標 (RPO)](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/disaster-recovery-dr-objectives.html),您可能不需要備份。另一個範例,如果使用 Amazon EMR,可能不需要備份 HDFS 資料存放區,只要您可以 [從 S3 將資料重現至 EMR。](https://aws.amazon.com/premiumsupport/knowledge-center/copy-s3-hdfs-emr/)。
選取備份策略時,請考慮復原資料所需的時間。復原資料所需的時間取決於備份的類型 (若有備份策略),或資料重現機制的複雜性。此時間應該落在工作負載的 RTO 內。
**預期成果:**
已根據關鍵性識別和分類資料來源。然後,根據 RPO 建立資料復原的策略。此策略涉及備份這些資料來源,或具有從其他來源重現資料的能力。若遺失資料,實作的策略可讓您在定義的 RPO 和 RTO 內復原或重現資料。
**雲端成熟度階段:** 基礎級
**常用的反模式:**
+ 未注意工作負載的所有資料來源及其關鍵性。
+ 未備份關鍵資料來源。
+ 只備份某些資料來源,而未使用關鍵性做為準則。
+ 沒有已定義的 RPO,或備份頻率無法符合 RPO。
+ 未評估是否需要備份,或是否可從其他來源重現資料。
**建立此最佳實務的優勢:** 識別需要備份的位置並實作機制來建立備份,或者能夠從外部源重現資料,可以改善在中斷期間還原和復原資料的能力。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
了解和使用工作負載所使用的 AWS 服務和資源的備份功能。大部分 AWS 服務都會提供備份工作負載資料的功能。
**實作步驟:**
1. **識別工作負載的資料來源**。資料可以儲存在多個來源上,例如 [資料庫](https://aws.amazon.com/products/databases/), [磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html), [檔案系統](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html), [記錄系統](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)和 [物件儲存](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)。如需有關 Web 應用程式後端的建議,請參閱 **資源** 一節來尋找 **相關文件** ,其中關於儲存資料的不同 AWS 服務,以及這些服務提供的備份功能。
1. **根據關鍵性將資料來源分類**。不同的資料集對工作負載具有不同的關鍵性等級,因此對彈性具有不同的要求。例如,有些資料可能至關重要,且需要接近零的 RPO,而其他資料可能不太重要,且可以容忍更高的 RPO 和一些資料遺失。同樣地,不同的資料集也可能具有不同的 RTO 要求。
1. **使用 AWS 或第三方服務來建立資料的備份**。 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 是受管服務,可讓您在 AWS 上建立各種資料來源的備份。其中大部分服務也具有建立備份的原生功能。AWS Marketplace 具有許多也提供這些功能的解決方案。如需有關 Web 應用程式後端的建議,請參閱 **資源** ,以取得如何從各種 AWS 服務建立資料備份的相關資訊。
1. **對於未備份的資料,請建立資料重現機制**。您可能基於各種原因選擇不備份可從其他來源重現的資料。可能有一種情況,即在需要時從來源重現資料比建立備份更便宜,因為可能有與儲存備份相關聯的成本。另一個範例是從備份中還原比從來源重現資料需要更長的時間,因而導致 RTO 中出現缺口。在這類情況下,考慮取捨並建立一個妥善定義的流程,其中指出在需要資料復原時如何從這些來源重現資料。例如,如果您已將資料從 Amazon S3 載入至資料倉儲 (如 Amazon Redshift) 或 MapReduce 叢集 (如 Amazon EMR),對該資料執行分析,則這可能是可從其他來源重現的資料範例。只要這些分析的結果存放在某處或可複製,您就不會因為資料倉儲或 MapReduce 叢集故障而遺失資料。其他可從來源複製的範例包括快取 (如 Amazon ElastiCache) 或 RDS 的僅供讀取複本。
1. **建立備份資料的規律。**。建立資料來源的備份是一種定期流程,而且頻率應取決於 RPO。
**實作計劃的工作量:** 中
## 資源
**相關的最佳實務:**
[REL13-BP01 定義停機和資料遺失的復原目標](rel_planning_for_recovery_objective_defined_recovery.md)
[REL13-BP02 使用定義的復原策略來滿足復原目標](rel_planning_for_recovery_disaster_recovery.md)
**相關文件:**
+ [什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [什麼是 AWS DataSync?](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html)
+ [什麼是磁碟區閘道?](https://docs.aws.amazon.com/storagegateway/latest/vgw/WhatIsStorageGateway.html)
+ [APN 合作夥伴:可以幫助備份的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace:可用於備份的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
+ [備份 Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/efs-backup-solutions.html)
+ [備份 Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/using-backups.html)
+ [ElastiCache for Redis 備份與還原](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)
+ [在 Neptune 中建立資料庫叢集快照](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html)
+ [建立資料庫快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateSnapshot.html)
+ [建立依照排程觸發的 EventBridge 規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [跨區域複寫](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html) 搭配 Amazon S3
+ [EFS-to-EFS AWS Backup](https://aws.amazon.com/solutions/efs-to-efs-backup-solution/)
+ [將日誌資料匯出至 Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)
+ [物件生命週期管理](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html)
+ [DynamoDB 的隨需備份和還原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/backuprestore_HowItWorks.html)
+ [DynamoDB 的時間點復原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)
+ [使用 Amazon OpenSearch Service 索引快照](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-managedomains-snapshots.html)
**相關影片:**
+ [AWS re:Invent 2021 - 使用 AWS 進行備份、災難復原和勒索軟體防護](https://www.youtube.com/watch?v=Ru4jxh9qazc)
+ [AWS Backup 示範:跨帳戶和跨區域備份](https://www.youtube.com/watch?v=dCy7ixko3tE)
+ [AWS re:Invent 2019:深入探討 AWS Backup,ft.Rackspace (STG341)](https://youtu.be/av8DpL0uFjc)
**相關範例:**
+ [Well-Architected 實驗室:實作 Amazon S3 雙向跨區域複寫 (CRR)](https://wellarchitectedlabs.com/reliability/200_labs/200_bidirectional_replication_for_s3/)
+ [Well-Architected 實驗室:測試備份並還原資料](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
+ [Well-Architected 實驗室:透過適用於分析工作負載的容錯回復進行備份和還原](https://wellarchitectedlabs.com/reliability/200_labs/200_backup_restore_failback_analytics/)
+ [Well-Architected 實驗室:災難復原 - 備份和還原](https://wellarchitectedlabs.com/reliability/disaster-recovery/workshop_1/)
# REL09-BP02 保護和加密備份
使用身分驗證和授權 (例如AWS IAM) 控制並偵測對備份的存取。使用加密來防止並檢測是否危及備份的資料完整性。
Amazon S3 支援多種靜態資料的加密方法。使用伺服器端加密時,Amazon S3 會以未加密資料的形式接受物件,然後在儲存這些物件之前將其加密。使用用戶端加密時,您的工作負載應用程式需負責加密資料,然後將資料傳送至 Amazon S3。這兩種方法都可讓您使用 AWS Key Management Service (AWS KMS) 來建立和存放資料金鑰,或者您也可以提供自己的金鑰,之後由您對其負責。使用 AWS KMS 時,您可以透過 IAM 設定政策,設定誰可以和誰無法存取您的資料金鑰和解密資料。
對於 Amazon RDS,如果您已選擇加密資料庫,則備份也會加密。DynamoDB 備份一律加密。
**常用的反模式:**
+ 讓備份和還原自動化的存取權與資料的存取權相同。
+ 不加密您的備份。
**建立此最佳實務的優勢:** 保護您的備份可防止資料遭到竄改,加密資料可防止意外暴露時存取該資料。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 在每個資料存放區使用加密。如果來源資料已加密,則備份也會加密。
+ 在 RDS 中啟用加密。您可以在建立 RDS 執行個體時,使用 AWS Key Management Service 設定靜態加密。
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ 在 EBS 磁碟區上啟用加密。您可以在建立磁碟區時設定預設加密或指定唯一金鑰。
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ 使用必要的 Amazon DynamoDB 加密。DynamoDB 會加密所有靜態資料。您可以使用 AWS 自有的 AWS KMS 金鑰或 AWS 受管 KMS 金鑰,指定帳戶中儲存的金鑰。
+ [DynamoDB 靜態加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)
+ [管理加密表格](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html)
+ 加密存放在 Amazon EFS 中的資料。在建立檔案系統時設定加密。
+ [在 EFS 中加密資料和中繼資料](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)
+ 在來源和目的地區域設定加密。您可以使用 KMS 中存放的金鑰來設定 Amazon S3 中的靜態加密,但金鑰受到區域限定。您可以在設定複寫時指定目的地金鑰。
+ [CRR 其餘組態:複寫使用 AWS KMS 中存放的加密金鑰,透過伺服器端加密 (SSE) 所建立的物件。](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr-replication-config-for-kms-objects.html)
+ 實作存取備份的最低許可。遵循最佳實務,以根據安全最佳實務限制對備份、快照和複本的存取。
+ [安全支柱:AWS Well-Architected](./wat.pillar.security.en.html)
## 資源
**相關文件:**
+ [AWS Marketplace:可用於備份的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Amazon S3:利用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [CRR 其餘組態:複寫使用 AWS KMS 中存放的加密金鑰,透過伺服器端加密 (SSE) 所建立的物件。](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr-replication-config-for-kms-objects.html)
+ [DynamoDB 靜態加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [在 EFS 中加密資料和中繼資料](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)
+ [AWS 中的備份加密](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [管理加密表格](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html)
+ [安全支柱:AWS Well-Architected](./wat.pillar.security.en.html)
**相關範例:**
+ [Well-Architected 實驗室:實作 Amazon S3 雙向跨區域複寫 (CRR)](https://wellarchitectedlabs.com/reliability/200_labs/200_bidirectional_replication_for_s3/)
# REL09-BP03 自動執行資料備份
設定備份以根據復原點目標 (RPO) 所通知的定期排程或資料集中的變更自動執行。資料遺失要求低的關鍵資料集需要經常自動備份,而可以接受一些遺失的不太重要資料可以較不頻繁地備份。
AWS Backup 可以用來建立各種 AWS 資料來源的自動資料備份。Amazon RDS 執行個體幾乎可以持續每五分鐘備份一次,而且 Amazon S3 物件幾乎可以持續每十五分鐘備份一次,同時將時間點復原 (PITR) 提供至備份歷史記錄內的特定時間點。針對其他 AWS 資料來源,例如 Amazon EBS 磁碟區、Amazon DynamoDB 資料表或 Amazon FSx 檔案系統,AWS Backup 可以頻繁地每小時執行自動備份。這些服務也會提供原生備份功能。提供自動備份與時間點復原的 AWS 服務包括 [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery_Howitworks.html)、 [Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIT.html)和 [Amazon
Keyspaces (適用於 Apache Cassandra)](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html) – 這些可以還原至備份歷史記錄內的特定時間點。大部分其他 AWS 資料儲存服務都會提供定期備份排程的能力,頻率為每小時備份一次。
Amazon RDS 和 Amazon DynamoDB 會提供連續備份與時間點復原。一旦啟用了 Amazon S3 版本控制,就會自動執行。[Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snapshot-lifecycle.html) 可以用來自動建立、複製和刪除 Amazon EBS 快照。其也可以自動建立、複製、棄用和取消註冊 Amazon EBS 支援的 Amazon Machine Image (AMI) 及其基礎 Amazon EBS 快照。
為了集中檢視備份自動化和歷史記錄,AWS Backup 提供全受管的、基於政策的備份解決方案。它使用 AWS Storage Gateway 在雲端和內部部署中跨多個 AWS 服務,自動集中進行資料備份。
除版本控制之外,Amazon S3 還具有複寫功能。整個 S3 儲存貯體可自動複寫至相同或不同 AWS 區域中的另一個儲存貯體。
**預期成果:**
以建立的規律建立資料來源備份的自動化流程。
**常用的反模式:**
+ 手動執行備份。
+ 使用具有備份功能的資源,但不包含您的自動化中的備份。
**建立此最佳實務的優勢:** 自動化備份可確保它們根據您的 RPO 定期進行備份,如果未進行備份則會提醒您。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
1. **識別目前正在** 手動備份的資料來源。請參閱 [REL09-BP01 識別並備份所有需要備份的資料,或從來源複製資料](rel_backing_up_data_identified_backups_data.md) 以取得此動作的指引。
1. **判斷工作負載的 ** PRO。請參閱 [REL13-BP01 定義停機和資料遺失的復原目標](rel_planning_for_recovery_objective_defined_recovery.md) 以取得此動作的指引。
1. **使用自動化備份解決方案或受管服務**。AWS Backup 是全受管服務,可讓您 [輕鬆地在雲端和內部部署跨 AWS 服務集中和自動保護資料。](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup.html#creating-automatic-backups)。備份計劃是 AWS Backup 的功能,可讓您建立規則,定義要備份的資源,以及應以何種頻率建立這些備份。此頻率應由步驟 2 中建立的 RPO 通知。 [此 WA 實驗室](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/) 提供如何使用 AWS Backup 建立自動備份的實作指引。大多數存放資料的 AWS 服務都會提供原生備份功能。例如,可以利用 RDS 搭配時間點復原 (PITR) 進行自動備份。
1. **針對自動化備份解決方案或** 受管服務不支援的資料來源 (例如內部部署資料來源或訊息佇列),請考慮使用信任的第三方解決方案建立自動化備份。或者,您可以使用 AWS CLI 或 SDK 建立自動化來執行此動作。您可以使用 AWS Lambda Functions 或 AWS Step Functions,定義涉及建立資料備份的邏輯,以及使用 Amazon EventBridge,以基於步驟 2 中所建立 RPO 的頻率執行它。
**實作計劃的工作量:** 低
## 資源
**相關文件:**
+ [APN 合作夥伴:可以幫助備份的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace:可用於備份的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [建立依照排程觸發的 EventBridge 規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [什麼是 AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
**相關影片:**
+ [AWS re:Invent 2019:深入探討 AWS Backup,ft.Rackspace (STG341)](https://youtu.be/av8DpL0uFjc)
**相關範例:**
+ [Well-Architected 實驗室:測試備份並還原資料](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
# REL09-BP04 定期執行資料復原以驗證備份的完整性和程序
透過執行復原測試,驗證您的備份程序實作是否符合復原時間目標 (RTO) 和復原點目標 (RPO)。
使用 AWS 時,您可以建立一個測試環境,還原備份來評估 RTO 和 RPO 功能,並針對資料內容和完整性執行測試。
此外,Amazon RDS 和 Amazon DynamoDB 允許時間點復原 (PITR)。使用持續備份時,您可以將資料集還原到指定日期和時間當時的狀態。
**預期成果:** 使用妥善定義的機制定期復原來自備份的資料,以確保可在工作負載的既定復原時間點目標 (RTO) 內復原。驗證從備份中還原是否會導致資源包含原始資料 (而其中沒有任何損壞或無法存取),但在復原點目標 (RPO) 內發生資料遺失。
**常用的反模式:**
+ 還原備份,但不查詢或擷取任何資料,以確保還原可用。
+ 假設備份存在。
+ 假設系統的備份可以完全運作,而且可以從中復原資料。
+ 假設從備份中還原或復原資料的時間落在工作負載的 RTO 內。
+ 假設備份上包含的資料落在工作負載的 RPO 內。
+ 在不使用執行手冊的情況下,或在建立的自動化程序外部,還原特定資料。
**建立此最佳實務的優勢:** 測試備份的復原確保可在需要時還原資料,而不必擔心資料可能丟失或損壞,也可確保還原和復原可在工作負載的 RTO 內進行,而且任何資料遺失都會落在工作負載的 RPO 內。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
測試備份和還原功能可以提高能夠在中斷期間執行這些動作的信心。定期將備份還原至新位置,並執行測試以驗證資料的完整性。某些應該執行的常用測試正在檢查
所有資料是否可用、未損壞、可存取,並且任何資料遺失都落在工作負載的 RPO 內。此類測試也可以協助確定,復原機制是否足夠快到適應工作負載的 RTO。
1. **識別目前正在** 備份的資料來源,以及這些備份的存放位置。請參閱 [REL09-BP01 識別並備份所有需要備份的資料,或從來源複製資料](rel_backing_up_data_identified_backups_data.md) 以取得如何實作此動作的指引。
1. **建立每個資料來源的** 資料驗證準則。不同類型的資料將具有不同的屬性,可能需要不同的驗證機制。在您自信可於生產環境中使用此資料之前,請考慮如何驗證它。一些驗證資料的常用方法是使用資料和備份屬性,例如資料類型、格式、檢查總和、大小,或這些屬性與自訂驗證邏輯的組合。例如,這可能是建立備份時所還原資源與資料來源之間的檢查總和值比較。
1. **建立 RTO 和 RPO,** 根據資料關鍵性還原資料。請參閱 [REL13-BP01 定義停機和資料遺失的復原目標](rel_planning_for_recovery_objective_defined_recovery.md) 以取得如何實作此動作的指引。
1. **存取您的復原功能**。審查您的備份和還原策略,以了解它是否可以符合您的 RTO 和 RPO,並視需要調整策略。您可以使用 [AWS Resilience Hub](https://docs.aws.amazon.com/resilience-hub/latest/userguide/create-policy.html),執行工作負載的評定。此評定會針對彈性政策評估您的應用程式組態,並報告您的 RTO 和 RPO 目標是否可以實現。
1. **使用目前建立且用於** 生產環境進行資料還原的程序執行測試還原。這些程序取決於原始資料來源的備份方式、備份本身的格式和儲存位置,或是否已從其他源重現資料。例如,如果您是使用類似 [AWS Backup 的受管服務,這可能與將備份還原至新資源一樣簡單](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html)。如果已使用 AWS 彈性災難復原,您可以 [啟動復原練習。](https://docs.aws.amazon.com/drs/latest/userguide/failback-preparing.html)。
1. **根據您先前** 在步驟 2 中針對資料驗證建立的準則,驗證從已還原的資源 (來自上一個步驟) 進行的資料復原。還原和復原的資料是否包含備份時最新的記錄/項目? 此資料是否落在工作負載的 RPO 內?
1. **測量還原和復原** 所需的時間,並將其與步驟 3 中建立的 RTO 進行比較。此程序是否落在工作負載的 RTO 內? 例如,比較從還原程序開始到復原驗證完成的時間戳記,以計算此程序需要多長時間。所有 AWS API 都會加上時間戳記,而且此資訊可用於 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。儘管此資訊可以提供有關還原程序何時開始的詳細資訊,但驗證完成時的結束時間戳記應由驗證邏輯記錄。如果使用自動程序,則 [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) 之類服務可以用來存放此資訊。此外,許多 AWS 服務會提供事件歷史記錄,其中提供特定動作何時發生的時間戳記資訊。在 AWS Backup 內,備份和還原動作都稱為 *工作*,而且這些工作包含時間戳記資訊做為其中繼資料的一部分,而此中繼資料可以用來測量還原和復原所需的時間。
1. **通知利害關係人** 如果資料驗證失敗,或如果還原和復原所需的時間超出針對工作負載建立的 RTO。實作自動化來執行此動作 [(例如在此實驗室中)](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)時,Amazon Simple Notification Service (Amazon SNS) 之類服務可以用來將電子郵件或 SMS 等通知推送至利害關係人。 [這些訊息也可以推送至傳訊應用程式,例如 Amazon Chime、Slack 或 Microsoft Teams,](https://aws.amazon.com/premiumsupport/knowledge-center/sns-lambda-webhooks-chime-slack-teams/) 或用來 [使用 AWS Systems Manager OpsCenter 建立任務做為 OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-creating-OpsItems.html)。
1. **將此程序自動化為定期執行**。例如,服務 (例如 AWS Lambda 或 AWS Step Functions 中的狀態機器) 可以用來將還原和復原程序自動化,而且 Amazon EventBridge 可以用來定期觸發此自動化工作流程,如下面架構圖所示。了解如何 [使用 AWS Backup 將資料復厡驗證自動化](https://aws.amazon.com/blogs/storage/automate-data-recovery-validation-with-aws-backup/)。此外, [這個 Well-Architected 實驗室](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/) 會提供實作體驗,有關在這裡為數個步驟執行自動化的方式。
![\[圖表:顯示自動的備份和還原程序\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/automated-backup-restore-process.png)
**實作計劃的工作量:** 中到高,取決於驗證準則的複雜性。
## 資源
**相關文件:**
+ [使用 AWS Backup 將資料復厡驗證自動化](https://aws.amazon.com/blogs/storage/automate-data-recovery-validation-with-aws-backup/)
+ [APN 合作夥伴:可以幫助備份的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace:可用於備份的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [建立依照排程觸發的 EventBridge 規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [DynamoDB 的隨需備份和還原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/BackupRestore.html)
+ [什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [什麼是 AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [什麼是 AWS 彈性災難復原](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [AWS 彈性災難復原](https://docs.aws.amazon.com/resilience-hub/latest/userguide/what-is.html)
**相關範例:**
+ [Well-Architected 實驗室:測試備份並還原資料](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
# REL 10 如何使用故障隔離來保護您的工作負載?
故障隔離界限會在工作負載內將失敗影響限制至有限數量的元件。界限外的元件不受失敗影響。使用多個故障隔離界限時,您可以限制對工作負載的影響。
**Topics**
+ [REL10-BP01 將工作負載部署至多個位置](rel_fault_isolation_multiaz_region_system.md)
+ [REL10-BP02 為您的多位置部署選取適當位置](rel_fault_isolation_select_location.md)
+ [REL10-BP03 針對限制在單一位置的元件將復原自動化](rel_fault_isolation_single_az_system.md)
+ [REL10-BP04 使用隔板架構限制影響範圍](rel_fault_isolation_use_bulkhead.md)
# REL10-BP01 將工作負載部署至多個位置
跨多個可用區域或視需要跨 AWS 區域,分配工作負載資料和資源。這些位置可以根據需要多樣化。
AWS 服務設計的基本原則之一是避免底層實體基礎設施中出現單點故障。這樣一來,我們將能建置可使用多個可用區域且能應對單一區故障的軟體和系統。同樣地,可將系統建置為能應對單一運算節點、單一儲存磁碟區或資料庫的單一執行個體的故障。建置依賴冗餘元件的系統時,務必要確保元件能獨立運行,而對於 AWS 區域而言,應能自主運行。具有冗餘元件的理論可用性計算,其優點只有在符合此條件時才有效。
**可用區域 (AZ)**
AWS 區域由多個可用區域組成,它們設計為彼此獨立作業。每個可用區域與其他可用區域是以有意義的實體距離隔開,從而可避免因火災、洪水和龍捲風等環境危害導致相關的失敗情境。每個可用區域也都具有獨立的實體基礎設施:可用區域內部和外部的公用電源專用連接、獨立的備用電源、獨立的機械服務以及獨立的網路連線。這種設計會將任何這些系統中的錯誤僅限制在受影響的可用區域。儘管在地理位置上是分開的,但可用區域位於啟用高輸送量、低延遲聯網的同一區域。整個 AWS 區域 (跨所有可用區域,由多個實體上獨立的資料中心組成) 可以視為工作負載的單一邏輯部署目標,包括同步複寫資料的能力 (例如,在資料庫之間)。這可讓您在主動/主動或主動/待命組態中使用可用區域。
可用區域是各自獨立的,因此當工作負載架構為使用多個區域時,工作負載的可用性也會隨之提高。一些 AWS 服務 (包括 Amazon EC2 執行個體資料平面) 會部署為嚴格的區域服務,其中它們與其所在的可用區域共享命運。不過,其他 AZ 中的 Amazon EC2 執行個體將不受影響並繼續運作。同樣地,如果可用區域中的失敗導致 Amazon Aurora 資料庫失敗,則未受影響 AZ 中的讀取副本 Aurora 執行個體可以自動提升為主要執行個體。另一方面,區域 AWS 服務 (例如 Amazon DynamoDB) 可內部使用主動/主動組態中的多個可用區域,以實現該服務的可用性設計目標,無需您設定 AZ 置放。
![\[圖表:顯示跨三個可用區域部署的多層架構。請注意,Amazon S3 和 Amazon DynamoDB 一律自動採用異地同步備份策略。ELB 也會部署至全部三個區域。\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/multi-tier-architecture.png)
儘管 AWS 控制平面通常有能力管理整個區域 (多個可用區域) 內的資源,但是某些控制平面 (包括 Amazon EC2 和 Amazon EBS) 能夠將結果篩選至單一可用區域。完成此操作後,僅在指定的可用區域中處理該請求,從而減少其他可用區域中的中斷風險。此 AWS CLI 範例說明僅從 us-east-2c 可用區域取得 Amazon EC2 執行個體資訊:
```
AWS ec2 describe-instances --filters Name=availability-zone,Values=us-east-2c
```
*AWS Local Zones*
AWS Local Zones 的作用與各自 AWS 區域內的可用區域類似,它們可在其中被選取為區域 AWS 資源 (如子網路和 EC2 執行個體) 的置放位置。特別之處在於它們不是位於相關聯的 AWS 區域,而是鄰近目前沒有 AWS 區域的大型人口、產業和 IT 中心。然而,它們仍可在本機區域的本機工作負載與在 AWS 區域中執行的本機工作負載之間保持高頻寬、安全的連線。您應該使用 AWS Local Zones,針對低延遲要求部署離使用者更近的工作負載。
**Amazon Global Edge Network**
Amazon Global Edge Network 由分布在全球各城市的節點組成。Amazon CloudFront 使用此網路以較低的延遲將內容交付給最終使用者。AWS Global Accelerator 讓您可以在這些節點建立工作負載端點,以便在靠近使用者的 AWS 全球網路提供引導服務。Amazon API Gateway 使用 CloudFront 分配啟用邊緣最佳化的 API 端點,以透過最接近的節點加快用戶端存取。
*AWS 區域*
AWS 區域都設計為自主的,因此,若要使用多區域方法,您要部署專用的服務副本至每個區域。
多區域方法常用於 *災難復原* 策略,以在一次性大規模事件發生時符合復原目標。請參閱 [https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html) 以取得這些策略的詳細資訊。然而在此,我們反而專注於 *可用性*,尋求隨時間交付平均運行時間目標。對於高可用性目標,多區域架構通常會設計為主動/主動,其中每個服務副本 (在其各自的區域中) 都是主動的 (服務請求)。
**建議**
您可以在單一 AWS 區域 內使用異地同步備份策略,滿足大部分工作負載的可靠性目標。僅在工作負載具有極端的可用性要求或其他需要多區域架構的業務目標時,才考慮多區域架構。
AWS 可讓您跨區域操作服務。例如,AWS 使用 Amazon Simple Storage Service (Amazon S3) 複寫、Amazon RDS 讀取複本 (包括 Aurora 讀取複本) 和 Amazon DynamoDB 全域表提供資料的連續、非同步資料複寫。透過持續複寫,您的資料版本幾乎可以立即在您的每個作用中區域中使用。
使用 AWS CloudFormation,您可以定義基礎設施,並以一致方式跨 AWS 帳戶 和跨 AWS 區域 進行部署。為了擴充此功能,AWS CloudFormation StackSets 會讓您可以使用單一作業跨多個帳戶和區域建立、更新或刪除 AWS CloudFormation 堆疊。對於 Amazon EC2 部署執行個體,AMI (Amazon Machine Image) 用來提供資訊,例如硬體組態和安裝的軟體。您可以實作 Amazon EC2 Image Builder 管道,建立您需要的 AMI,並將這些 AMI 複製到作用中區域。這可確保這些 *黃金 AMI* 具備您在每個新區域中部署和橫向擴展工作負載所需的一切。
若要路由流量,Amazon Route 53 和 AWS Global Accelerator 會啟用政策的定義,而這些政策可決定哪些使用者前往哪個作用中區域端點。透過 Global Accelerator,您可以設定流量刻度盤,來控制導向到每個應用程式端點的流量百分比。Route 53 支援這種百分比方法,也支援多種其他可用政策,包括地理位置臨近性和延遲型政策。Global Accelerator 自動利用廣泛的 AWS 邊緣伺服器網路,盡快將流量上線至 AWS 網路主幹,這會導致降低請求延遲。
所有這些功能都會運作,以保留每個區域的自主權。這種方法幾乎不存在例外情況,包括我們可提供全域交付的服務 (例如 Amazon CloudFront 和 Amazon Route 53) 以及 AWS Identity and Access Management (IAM) 服務的控制平面。大部分服務完全在單一區域內運行。
**內部部署資料中心**
對於在內部部署資料中心執行的工作負載,請盡可能架構混合式體驗。AWS Direct Connect 提供從內部設施連接至 AWS 的專用網路連線,讓您可以在兩種環境中執行。
另一個選項是使用 AWS Outposts 在內部設施執行 AWS 基礎設施和服務。AWS Outposts 是一種全受管服務,可將 AWS 基礎設施、AWS 服務、API 和工具延伸到您的資料中心。AWS 雲端中使用的硬體基礎設施與資料中心安裝的硬體基礎設施相同。AWS Outposts 會接著連接至最近的 AWS 區域 區域。然後,您可以使用 AWS Outposts 來支援低延遲或有本機資料處理要求的工作負載。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 使用多個可用區域和 AWS 區域。跨多個可用區域或視需要跨 AWS 區域,分配工作負載資料和資源。這些位置可以根據需要多樣化。
+ 區域服務固有地跨可用區域部署。
+ 這包括 Amazon S3、Amazon DynamoDB 和 AWS Lambda (未連線至 VPC 時)
+ 將容器、執行個體和函數中的工作負載部署到多個可用區域中。使用多區域資料存放區,包括快取。使用 EC2 Auto Scaling 的功能、ECS 任務放置、AWS Lambda 函數組態 (在 VPC 中執行時) 和 ElastiCache 叢集。
+ 部署 Auto Scaling 群組時,使用單獨的可用區域中的子網路。
+ [範例:將執行個體分散到多個可用區域](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ [Amazon ECS 任務置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [設定 AWS Lambda 函數以存取 Amazon VPC 中的資源](https://docs.aws.amazon.com/lambda/latest/dg/vpc.html)
+ [選擇區域和可用區域](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ 部署 Auto Scaling 群組時,使用單獨的可用區域中的子網路。
+ [範例:將執行個體分散到多個可用區域](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ 使用 ECS 任務置放參數,指定資料庫子網路群組。
+ [Amazon ECS 任務置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ 將函數設定為在 VPC 中執行時,在多個可用區域中使用子網路。
+ [設定 AWS Lambda 函數以存取 Amazon VPC 中的資源](https://docs.aws.amazon.com/lambda/latest/dg/vpc.html)
+ 將多個可用區域與 ElastiCache 叢集一起使用。
+ [選擇區域和可用區域](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ 如果您的工作負載必須部署至多個區域,請選擇多區域策略。大多數的可靠性需求都可透過多個可用區域策略,在單一 AWS 區域內滿足。視需要使用多區域策略,以符合您的業務需求。
+ [AWS re:Invent 2018:適用於多區域主動-主動應用程式的架構模式 (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ 在另一個 AWS 區域的備份可以進一步確保資料在需要時可用。
+ 有些工作負載會有法規要求,規定要使用多區域策略。
+ 針對您的工作負載評估 AWS Outposts。如果您的工作負載需要內部部署資料中心達到低延遲要求,或有本機資料處理要求。然後使用 AWS Outposts 在內部部署執行 AWS 基礎設施和服務
+ [什麼是 AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)
+ 判斷 AWS Local Zones 是否協助您為使用者提供服務。如果您有低延遲要求,請查看 AWS Local Zones 是否靠近您的使用者。如果是如此,則使用它來部署更靠近這些使用者的工作負載。
+ [AWS Local Zones 常見問答集](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
## 資源
**相關文件:**
+ [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure)
+ [AWS Local Zones 常見問答集](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
+ [Amazon ECS 任務置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [選擇區域和可用區域](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ [範例:將執行個體分散到多個可用區域](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ [全域資料表:使用 DynamoDB 進行多區域複寫](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/GlobalTables.html)
+ [使用 Amazon Aurora 全球資料庫](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database.html)
+ [使用 AWS Services 部落格系列建立多區域應用程式](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
+ [什麼是 AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)
**相關影片:**
+ [AWS re:Invent 2018:適用於多區域主動-主動應用程式的架構模式 (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [AWS re:Invent 2019:AWS 全球網路基礎設施的創新和營運 (NET339)](https://youtu.be/UObQZ3R9_4c)
# REL10-BP02 為您的多位置部署選取適當位置
## 預期成果
如需高可用性,請一律 (如果可能) 將工作負載元件部署到多個可用區域 (AZ),如圖 10 所示。對於具有極端彈性要求的工作負載,請仔細評估多區域架構的選項。
![\[圖表:顯示備份至另一個 AWS 區域的彈性異地同步備份資料庫部署\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/multi-az-architecture.png)
## 常用的反模式
+ 當異地同步備份架構滿足要求時,選擇設計多區域架構。
+ 如果這些元件之間的彈性和多位置要求不同,則不考慮應用程式元件之間的相依性。
## 建立此最佳實務的優勢
對於彈性,您應該使用建置防禦層的方法。一層透過使用多個 AZ 建置高度可用的架構來防範更小、更常見的中斷。另一防御層旨在防範發生罕見事件,例如廣泛的自然災害和區域級中斷。這第二層涉及架構您的應用程序以跨越多個 AWS 區域。
+ 99.5% 可用性和 99.99% 可用性之間的差異每月超過 3.5 小時。如果工作負載位於多個可用區域中,則工作負載的預期可用性只能達到「四個九」。
+ 透過在多個可用區域中執行您的工作負載,您可以隔離電源、冷卻和聯網中的故障,以及火災和洪水等大多數自然災害。
+ 針對您的工作負載實作多區域策略有助於其防範影響國家一大片地理區域的廣泛自然災害,或整個區域範圍的技術失敗。請注意,實作多區域架構可能相當複雜,並且通常對於大多數工作負載而言不是必要的。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
若是基於一個可用區域之中斷或局部損失的災難事件,在單一 AWS 區域內的多個可用區域中實作高可用工作負載,可緩解自然發生的災難和技術性災難。每個 AWS 區域都是由多個可用區域構成,每個可用區域都會與其他區域中的錯誤隔離開來,而且會隔開有意義的距離。不過,災難事件若包括失去多個可用區域元件的風險,而這些元件彼此相距甚遠,您應該實作災難復原選項,以緩解整個區域範圍的失敗。對於需要極端彈性的工作負載 (關鍵基礎設施、健康相關應用程式、金融系統基礎設施等),可能需要多區域策略。
## 實作步驟
1. 評估您的工作負載並判斷異地同步備份方法 (單一 AWS 區域) 是否可以滿足彈性需求,或者它們是否需要多區域方法。實作多區域架構來滿足這些要求將引進額外的複雜性,因此請仔細考慮您的使用案例及其要求。使用單一 AWS 區域,幾乎可以一律符合彈性要求。在判斷是否需要使用多個區域時,請考慮以下可能的要求:
1. **災難復原 (DR)**:若是基於一個可用區域之中斷或局部損失的災難事件,在單一 AWS 區域內的多個可用區域中實作高可用工作負載,可緩解自然發生的災難和技術性災難。災難事件若包括失去多個可用區域元件的風險,而這些元件彼此相距甚遠,您應該跨多個區域實作災難復原,以緩解整個區域範圍的自然災難或技術失敗。
1. **高可用性 (HA)**:多區域架構 (在每個區域中使用多個可用區域) 可以用來實現大於四個 9 (> 99.99%) 的可用性。
1. **堆疊本地化**:將工作負載部署到全球對象時,您可以在不同的 AWS 區域 中部署本地化的堆疊,為這些區域中的對象提供服務。本地化可以包括語言、貨幣及存放的資料類型。
1. **接近使用者:** 將工作負載部署到全球對象時,您可以在接近最終使用者所在位置的 AWS 區域中部署堆疊來減少延遲。
1. **資料落地**:某些工作負載受制於資料落地要求,其中來自特定使用者的資料必須保留在特定國家/地區的邊界內。根據討論中的法規,您可以選擇將整個堆疊或只將資料部署到這些邊界內的 AWS 區域。
1. 以下是 AWS 服務提供的異地同步備份功能的一些範例:
1. 若要使用 EC2 或 ECS 保護工作負載,請在運算資源前面部署 Elastic Load Balancer。然後,Elastic Load Balancing 會提供解決方案,以偵測運作狀態不佳區域中的執行個體,並將流量路由至運作良好的區域。
1. [Application Load Balancers 入門](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancer-getting-started.html)
1. [Network Load Balancer 入門](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html)
1. 如果執行商務現成軟體的 EC2 執行個體不支援負載平衡,您可以透過實作異地同步備份災難復原方法來實現某種形式的容錯。
1. [REL13-BP02 使用定義的復原策略來滿足復原目標](rel_planning_for_recovery_disaster_recovery.md)
1. 對於 Amazon ECS 任務,將您的服務平均地部署在三個可用區域之中,以實現可用性與成本的平衡。
1. [Amazon ECS 可用性最佳實務 \$1 容器](https://aws.amazon.com/blogs/containers/amazon-ecs-availability-best-practices/)
1. 對於非 Aurora Amazon RDS,您可以選擇異地同步備份做為組態選項。在主資料庫執行個體失敗時,Amazon RDS 會自動提升備用資料庫,以接收另一個可用區域中的流量。也可以建立多區域讀取複本來改善彈性。
1. [Amazon RDS 異地同步備份部署](https://aws.amazon.com/rds/features/multi-az/)
1. [在不同的 AWS 區域 中建立讀取複本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.XRgn.html)
1. 以下是 AWS 服務提供的多區域功能的一些範例:
1. 對於服務自動提供異地同步備份可用性的 Amazon S3 工作負載,如果需要多區域部署,請考慮使用多區域存取點。
1. [Amazon S3 中的多區域存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPoints.html)
1. 對於服務自動提供異地同步備份可用性的 DynamoDB 資料表,您可以輕鬆地將現有的資料表轉換為全域表,以利用多個區域。
1. [將您的單一區域 Amazon DynamoDB 資料表轉換為全域表](https://aws.amazon.com/blogs/aws/new-convert-your-single-region-amazon-dynamodb-tables-to-global-tables/)
1. 如果您的工作負載面臨 Application Load Balancers 或 Network Load Balancer,請使用 AWS Global Accelerator,透過將流量導向到多個包含運作狀態良好之端點的區域,來改善應用程式的可用性。
1. [AWS Global Accelerator - AWS Global Accelerator 中標準加速器的端點 (amazon.com)](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.html)
1. 對於利用 AWS EventBridge 的應用程式,請考慮跨區域匯流排,將事件轉送到您選取的其他區域。
1. [在 AWS 區域 之間傳送和接收 Amazon EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-region.html)
1. 對於 Amazon Aurora 資料庫,請考慮跨越多個 AWS 區域的 Aurora 全球資料庫。您也可以修改現有的叢集來新增區域。
1. [Amazon Aurora 全球資料庫入門](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-getting-started.html)
1. 如果您的工作負載包括 AWS Key Management Service (AWS KMS ) 加密金鑰,請考慮多區域金鑰是否適合您的應用程式。
1. [AWS KMS 中的多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)
1. 如需其他 AWS 服務功能,請在下列一文參閱此部落格系列: [使用 AWS Services 系列建立多區域應用程式](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
**實作計劃的工作量: **中到高
## 資源
**相關文件:**
+ [使用 AWS Services 系列建立多區域應用程式](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
+ [AWS 上的災難復原 (DR) 架構,第 IV 部分:多站點主動/主動](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iv-multi-site-active-active/)
+ [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure)
+ [AWS Local Zones 常見問答集](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
+ [AWS 上的災難復原 (DR) 架構,第 I 部分:在雲端中復原的策略](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/)
+ [災難復原在雲端中有所不同](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-is-different-in-the-cloud.html)
+ [全域資料表:使用 DynamoDB 進行多區域複寫](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/GlobalTables.html)
**相關影片:**
+ [AWS re:Invent 2018:適用於多區域主動-主動應用程式的架構模式 (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [Auth0:多區域高可用架構,可擴展至 1.5B\$1搭配自動容錯移轉的一個月登入](https://www.youtube.com/watch?v=vGywoYc_sA8)
**相關範例:**
+ [AWS 上的災難復原 (DR) 架構,第 I 部分:在雲端中復原的策略](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/)
+ [DTCC 所達成的彈性程度遠超乎其在內部部署所能達到的](https://aws.amazon.com/solutions/case-studies/DTCC/)
+ [Expedia Group 使用多區域、多可用區域架構,搭配專有的 DNS 服務,為應用程式提高彈性](https://aws.amazon.com/solutions/case-studies/expedia/)
+ [使用者:多區域 Kafka 的災難復原](https://eng.uber.com/kafka/)
+ [Netflix:多區域彈性的主動-主動](https://netflixtechblog.com/active-active-for-multi-regional-resiliency-c47719f6685b)
+ [我們如何為 Atlassian Cloud 建置資料彈性](https://www.atlassian.com/engineering/how-we-build-data-residency-for-atlassian-cloud)
+ [Intuit TurboTax 在兩個區域上執行](https://www.youtube.com/watch?v=286XyWx5xdQ)
# REL10-BP03 針對限制在單一位置的元件將復原自動化
如果工作負載的元件只能在單一可用區域或內部部署資料中心執行,您必須在定義的復原目標內實作完整重建工作負載的功能。
如果因為技術限制而無法實作將工作負載部署至多個位置的最佳實務,您必須實作彈性的替代路徑。您必須將以下能力自動化:重新建立必要基礎設施、重新部署應用程式,以及針對這些案例重新建立必要資料。
例如,Amazon EMR 會在相同可用區域中啟動指定叢集的所有節點,因為在相同區域執行叢集可以提供更高的資料存取速率,從而能提高任務流程的效能。如果為實現工作負載彈性而需要此元件,您必須要有方法重新部署叢集及其資料。此外,對於 Amazon EMR,您還應以異地同步備份以外的方式佈建冗餘。您可以佈建 [多個節點](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-ha-launch.html)。使用 [EMR 檔案系統 (EMRFS)](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-fs.html)時,EMR 中的資料可存放在 Amazon S3 中,然後可複寫至多個可用區域或 AWS 區域。
同樣地,對於 Amazon Redshift,它預設會將叢集佈建在您所選 AWS 區域內隨機選取的可用區域中。所有叢集節點都佈建在相同區域中。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 實作自我修復。盡可能使用 Automatic Scaling 來部署執行個體或容器。如果無法使用 Automatic Scaling,則對 EC2 執行個體使用自動復原,或者根據 Amazon EC2 或 ECS 容器生命週期事件實作自我修復自動化。
+ 對於不需要單個執行個體 IP 地址、私有 IP 地址、彈性 IP 地址和執行個體中繼資料的執行個體和容器工作負載,使用 Auto Scaling 群組。
+ [什麼是 EC2 自動擴展?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
+ [服務自動擴展](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html)
+ 啟動組態使用者資料可用於實作自動自我修復大多數工作負載。
+ 對於需要單個執行個體 IP 地址、私有 IP 地址、彈性 IP 地址和執行個體中繼資料的工作負載,使用 EC2 執行個體的自動復原。
+ [復原您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ 在偵測到執行個體失敗時,自動復原會將提醒傳送到 SNS 主題。
+ 在無法使用 Auto Scaling 或 EC2 復原的情況下,使用 EC2 執行個體生命週期事件或 ECS 事件自動執行自我修復。
+ [EC2 Auto Scaling 生命週期掛鉤](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
+ [Amazon ECS 事件](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs_cwe_events.html)
+ 使用事件來叫用自動化,以根據您所需的過程邏輯來修復您的元件。
## 資源
**相關文件:**
+ [Amazon ECS 事件](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs_cwe_events.html)
+ [EC2 Auto Scaling 生命週期掛鉤](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
+ [復原您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [服務自動擴展](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html)
+ [什麼是 EC2 自動擴展?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
# REL10-BP04 使用隔板架構限制影響範圍
如同船舶上的隔板一樣,此模式可確保失敗限制在一小部分的請求或用戶端中,如此一來才能限制受損的請求數量,讓大部分的請求可以繼續運行,而不會發生錯誤。資料的隔板通常稱為分割區,而服務的隔板稱為儲存格。
在 *以儲存格為基礎的架構中*,每個儲存格都是完整的獨立服務執行個體,且具有固定的大小上限。隨著負載增加,工作負載會增加更多儲存格。分割區索引鍵用於傳入流量,以判斷使用哪個儲存格處理請求。任何失敗都會限制在它發生的單一儲存格之中,因此受損的請求數量會受到限制,而其他儲存格會繼續運行,且不會發生錯誤。務必要識別適當的分割區索引鍵,以最大程度地減少跨儲存格互動,並避免在每個請求中都加入複雜的對應服務。需要複雜對應的服務最終僅僅是將問題移轉到了對應服務,而需要跨儲存格互動的服務則會在儲存格之間建立相依性 (因此減低了假定的可用性改善)。
![\[圖表:顯示儲存格型架構\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/cell-based-architecture.png)
Colm MacCarthaigh 在他的 AWS 部落格文章中說明 Amazon Route 53 如何使用 [https://aws.amazon.com/blogs/architecture/shuffle-sharding-massive-and-magical-fault-isolation/](https://aws.amazon.com/blogs/architecture/shuffle-sharding-massive-and-magical-fault-isolation/) 將客戶請求隔離為分區。此案例中的分區包含兩個或更多個儲存格。根據分割區索引鍵,來自客戶 (或資源,或任何您想要隔離的項目) 的流量會路由至其指派的分區。如果有八個儲存格,每個分區為兩個儲存格,客戶會分割成四個分區,有 25% 的客戶會在發生問題時受到影響。
![\[圖表:顯示分為傳統分區的服務\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/service-divided-into-traditional-shards.png)
透過隨機切換分區,您可以建立每個都含有兩個儲存格的虛擬分區,並將您的客戶指派至其中一個虛擬分區。發生問題時,您仍可能會失去整個服務的四分之一,但透過此方式來指派客戶或資源,隨機切換分區的影響範圍遠小於 25%。若有八個儲存格,則會有 28 個含有兩個儲存格的獨特組合,這表示可能會有 28 個隨機切換分區 (虛擬分區)。如果您有數百或數千位客戶,並將每位客戶指派至一個隨機切換分區,則問題造成的影響範圍只有 1/28。這比一般分區好七倍。
![\[圖表:顯示分為切換分區的服務。\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/service-divided-into-shuffle-shards.png)
除儲存格之外,分區還可用於伺服器、佇列或其他資源。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 使用隔板架構。如同船舶上的隔板一樣,此模式可確保失敗限制在一小部分的請求/使用者中,如此一來才能限制受損的請求數量,讓大部分的請求可以繼續運行,而不會發生錯誤。資料的隔板通常稱為分割區,而服務的隔板稱為儲存格。
+ [Well-Architected 實驗室:搭配隨機分片的故障隔離](https://wellarchitectedlabs.com/reliability/300_labs/300_fault_isolation_with_shuffle_sharding/)
+ [隨機切換分區:AWS re:Invent 2019:Amazon Builders’ Library 簡介 (DOP328)](https://youtu.be/sKRdemSirDM?t=1373)
+ [AWS re:Invent 2018:AWS 如何最大程度地減小故障的影響範圍 (ARC338)](https://youtu.be/swQbA4zub20)
+ 評估小組型架構是否適用於您的工作負載。在以儲存格為基礎的架構中,每個儲存格都是完整的獨立服務執行個體,且具有固定的大小上限。隨著負載增加,工作負載會增加更多儲存格。分割區索引鍵用於傳入流量,以判斷使用哪個儲存格處理請求。任何失敗都會限制在它發生的單一儲存格之中,因此受損的請求數量會受到限制,而其他儲存格會繼續運行,且不會發生錯誤。務必要識別適當的分割區索引鍵,以最大程度地減少跨儲存格互動,並避免在每個請求中都加入複雜的對應服務。需要複雜對應的服務最終僅僅是將問題移轉到了對應服務,而需要跨儲存格互動的服務則會降低儲存格的自主性 (因此提高了假定的可用性)。
+ Colm MacCarthaigh 在他的 AWS 部落格文章中說明 Amazon Route 53 如何使用隨機切換分區的概念,將客戶請求隔離為分區
+ [隨機分片:神奇的大型故障隔離](https://aws.amazon.com/blogs/architecture/shuffle-sharding-massive-and-magical-fault-isolation)
## 資源
**相關文件:**
+ [隨機分片:神奇的大型故障隔離](https://aws.amazon.com/blogs/architecture/shuffle-sharding-massive-and-magical-fault-isolation)
+ [Amazon Builders' Library:使用隨機切換分區隔離工作負載](https://aws.amazon.com/builders-library/workload-isolation-using-shuffle-sharding/)
**相關影片:**
+ [AWS re:Invent 2018:AWS 如何最大程度地減小故障的影響範圍 (ARC338)](https://youtu.be/swQbA4zub20)
+ [隨機切換分區:AWS re:Invent 2019:Amazon Builders’ Library 簡介 (DOP328)](https://youtu.be/sKRdemSirDM?t=1373)
**相關範例:**
+ [Well-Architected 實驗室:搭配隨機分片的故障隔離](https://wellarchitectedlabs.com/reliability/300_labs/300_fault_isolation_with_shuffle_sharding/)
# REL 11 如何設計工作負載以承受元件失敗?
需要高可用性和低平均復原時間 (MTTR) 的工作負載必須建立彈性架構。
**Topics**
+ [REL11-BP01 監控工作負載的所有元件以偵測失敗](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP02 容錯移轉至運作良好的資源](rel_withstand_component_failures_failover2good.md)
+ [REL11-BP03 將所有分層的修復自動化](rel_withstand_component_failures_auto_healing_system.md)
+ [REL11-BP04 復原期間需使用資料平面,而非控制平面](rel_withstand_component_failures_avoid_control_plane.md)
+ [REL11-BP05 使用靜態穩定性來防止雙模態行為](rel_withstand_component_failures_static_stability.md)
+ [REL11-BP06 當事件影響可用性時傳送通知](rel_withstand_component_failures_notifications_sent_system.md)
# REL11-BP01 監控工作負載的所有元件以偵測失敗
持續監控工作負載的運作狀態,讓您和自動化系統在發生效能降低或失敗時能夠察覺。根據商業價值監控關鍵績效指標 (KPI)。
所有復原和修復機制首先都必須能夠快速偵測問題。應該先偵測技術故障,以便解決問題。不過,可用性取決於工作負載提供商業價值的能力,因此測量此需求的關鍵績效指標 (KPI) 必須成為偵測和修復策略的一部分。
**常用的反模式:**
+ 未設定任何警示,因此會在未發出通知的情況下發生停機。
+ 警示存在,但在此臨界值下無法提供足夠的回應時間。
+ 收集的指標經常不足以符合復原時間目標 (RTO)。
+ 只會主動監控面對客戶的工作負載層。
+ 只會收集技術指標,不收集業務功能指標。
+ 無測量工作負載的使用者體驗的指標。
**建立此最佳實務的優勢:** 在各層級內進行適當的監控,可讓您減少偵測時間,進而減少復原時間。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 根據您的復原目標決定元件的收集間隔。
+ 您的監控間隔取決於復原必須多快完成。您的復原時間取決於所需的復原時間,因此您必須考量此時間和復原時間目標 (RTO),藉以決定收集頻率。
+ 設定元件的詳細監控。
+ 判斷 EC2 執行個體和 Auto Scaling 是否需要詳細監控。詳細監控提供 1 分鐘的間隔指標,預設監控則提供 5 分鐘的間隔指標。
+ [為執行個體啟用或停用詳細監控](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-cloudwatch-new.html)
+ [使用 Amazon CloudWatch 監控 Auto Scaling 群組和執行個體](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)
+ 判斷 RDS 是否需要增強型監控。增強型監控使用 RDS 執行個體上的代理程式,以取得 RDS 執行個體上不同處理程序或執行緒的實用資訊。
+ [增強監控](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
+ 建立自訂指標來測量業務關鍵績效指標 (KPI)。工作負載會實作關鍵業務功能。這些功能應做為 KPI,以協助確定何時發生間接問題。
+ [發布自訂指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ 以使用者 Canary 監控使用者的故障體驗。可執行和模擬客戶行為的綜合交易測試 (也稱為 Canary 測試,但請別與 Canary 部署混淆),是最重要的測試程序之一。針對來自不同遠端位置的工作負載端點持續執行這些測試。
+ [Amazon CloudWatch Synthetics 可讓您建立使用者 Canary](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ 建立追蹤使用者體驗的自訂指標。如果您可以檢測客戶的體驗,則可以判斷消費者體驗何時變差。
+ [發布自訂指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ 設定警示以偵測工作負載的任何部分何時未正常運作,並指示何時自動擴展資源。警示會在儀表板上以視覺化方式顯示、透過 Amazon SNS 或電子郵件傳送提醒,以及使用 Auto Scaling 向上或向下擴展工作負載的資源。
+ [使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ 建立儀表板以視覺化指標。儀表板可以讓您以視覺化方式查看趨勢、極端值和其他潛在問題的指標,或提供您可能想要調查之問題的指示。
+ [使用 CloudWatch 儀表板](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
## 資源
**相關文件:**
+ [Amazon CloudWatch Synthetics 可讓您建立使用者 Canary](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [為執行個體啟用或停用詳細監控](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-cloudwatch-new.html)
+ [增強監控](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
+ [使用 Amazon CloudWatch 監控 Auto Scaling 群組和執行個體](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)
+ [發布自訂指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ [使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [使用 CloudWatch 儀表板](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
**相關範例:**
+ [Well-Architected 實驗室:第 300 級:實作運作狀態檢查和管理相依性以提升可靠性](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP02 容錯移轉至運作良好的資源
可確保如果發生資源故障,運作良好的資源可以繼續為請求提供服務。對於位置故障 (例如可用區域或 AWS 區域),請確保您的系統已就位,可容錯移轉至未受影響位置中運作良好的資源。
AWS 服務 (例如 Elastic Load Balancing 和 AWS Auto Scaling) 會協助跨資源和可用區域分配負載。因此,可以透過將流量轉移到剩餘運作狀態良好的資源來緩解個別資源 (例如 EC2 執行個體) 的失敗或可用區域的損害。對於多區域工作負載,這會更複雜。例如,跨區域僅供讀取複本讓您可以將資料部署至多個 AWS 區域,但您仍須將僅供讀取複本升階為主節點,並在發生容錯移轉時將流量指向其中。Amazon Route 53 和 AWS Global Accelerator 可以協助跨 AWS 區域 路由流量。
如果您的工作負載使用 Amazon S3 或 Amazon DynamoDB 等 AWS 服務,則它們會自動部署至多個可用區域。如果發生失敗,AWS 控制平面會自動為您路由流量至運作良好的位置。資料以冗餘方式存放在多個可用區域中,並且仍然可用。對於 Amazon RDS,您必須選擇異地同步備份做為組態選項,然後在發生失敗時,AWS 會自動將流量導向至運作良好的執行個體。對於 Amazon EC2 執行個體、Amazon ECS 任務或 Amazon EKS Pod,您可以選擇要部署的可用區域。然後,Elastic Load Balancing 會提供解決方案,以偵測運作狀態不佳區域中的執行個體,並將流量路由至運作良好的區域。Elastic Load Balancing 甚至可將流量路由至內部部署資料中心內的元件。
對於多區域方法 (可能也包含內部部署資料中心),Amazon Route 53 提供一種定義網際網路網域的方法,並指派包含運作狀態檢查的路由政策,以確保流量路由至運作良好的區域。或者,AWS Global Accelerator 提供靜態 IP 地址,做為應用程式的固定進入點,然後使用 AWS 全球網路 (而不是網際網路) 路由至您所選 AWS 區域中的端點,以獲得更好的效能和可靠性。
AWS 在設計服務時會考慮到故障復原。我們設計服務以最大程度地減少從故障復原的時間以及對資料的影響。我們的服務主要使用僅在將請求持久儲存於區域內的多個複本中之後才確認請求的資料存放區。這些資源和服務包括 Amazon Aurora、Amazon Relational Database Service (Amazon RDS) 異地同步備份資料庫執行個體、Amazon S3、Amazon DynamoDB、Amazon Simple Queue Service (Amazon SQS) 和 Amazon Elastic File System (Amazon EFS)。它們經建構為使用基於儲存格的隔離以及可用區域提供的故障隔離。我們在營運程序中廣泛使用自動化。我們還對我們的取代-重啟功能進行優化,以期從中斷中快速復原。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 容錯移轉至運作良好的資源。可確保如果發生資源故障,運作良好的資源可以繼續為請求提供服務。對於位置故障 (例如可用區域或 AWS 區域),請確保您的系統已就位,可容錯移轉至未受影響位置中運作良好的資源。
+ 如果您的工作負載使用 Amazon S3 或 Amazon DynamoDB 等 AWS 服務,則它們會自動部署至多個可用區域。如果發生失敗,AWS 控制平面會自動為您路由流量至運作良好的位置。
+ 對於 Amazon RDS,您必須選擇異地同步備份做為組態選項,然後在發生失敗時,AWS 會自動將流量導向至運作良好的執行個體。
+ [Amazon RDS 的高可用性 (多可用區域)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)
+ 對於 Amazon EC2 執行個體或 Amazon ECS 任務,您可以選擇要部署的可用區域。然後,Elastic Load Balancing 會提供解決方案,以偵測運作狀態不佳區域中的執行個體,並將流量路由至運作良好的區域。Elastic Load Balancing 甚至可將流量路由至內部部署資料中心內的元件。
+ 如果採用多區域方法 (可能也包含內部部署資料中心),確保來自運作狀態良好之位置的資料和資源可以繼續為請求提供服務
+ 例如,跨區域僅供讀取複本讓您可以將資料部署至多個 AWS 區域,但您仍須將僅供讀取複本升階為主節點,並在主要位置發生失敗時將流量指向該主節點。
+ [Amazon RDS 讀取複本的概觀](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html)
+ Amazon Route 53 提供一種方法,可定義網際網路網域和指派路由政策 (可能包含運作狀態檢查),以確保流量路由到運作狀態良好的區域。或者,AWSGlobal Accelerator 提供靜態 IP 地址,做為應用程式的固定進入點,然後使用 AWS 全球網路 (而不是公用網際網路) 路由至您所選 AWS 區域中的端點,以獲得更好的效能和可靠性。
+ [Amazon Route 53:選擇路由政策](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)
+ [什麼是 AWS Global Accelerator?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
## 資源
**相關文件:**
+ [APN 合作夥伴:可以幫助您實現容錯自動化的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace:可用於容錯的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [AWS OpsWorks:使用自動修復來替換故障的執行個體](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ [Amazon Route 53:選擇路由政策](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)
+ [Amazon RDS 的高可用性 (多可用區域)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)
+ [Amazon RDS 讀取複本的概觀](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html)
+ [Amazon ECS 任務置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [為多個可用區域建立 Kubernetes Auto Scaling 群組](https://aws.amazon.com/blogs/containers/amazon-eks-cluster-multi-zone-auto-scaling-groups/)
+ [什麼是 AWS Global Accelerator?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
**相關範例:**
+ [Well-Architected 實驗室:第 300 級:實作運作狀態檢查和管理相依性以提升可靠性](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP03 將所有分層的修復自動化
偵測到失敗時,使用自動化功能執行動作來進行修復。
*重新啟動的能力* 是修復故障的重要工具。如同先前針對分散式系統的討論一樣,最佳實務是盡可能讓服務無狀態。這可防止重新啟動時遺失資料或可用性。在雲端,您可以在重新啟動時 (且通常應該) 取代整個資源 (例如,EC2 執行個體或 Lambda 函數)。重新啟動本身是從故障中復原的一個簡單、可靠方法。工作負載中會發生許多不同類型的故障。硬體、軟體、通訊和營運可能會發生故障。與其建構新穎的機制來捕獲、識別並修正每個不同類型的故障,不如將許多不同類型的故障映射至相同的復原策略。執行個體可能因為硬體故障、作業系統錯誤、記憶體洩漏或其他原因而發生故障。不要為每個情況建置自訂修復,而是將任何情況都視為執行個體故障。終止執行個體,並允許 AWS Auto Scaling 取代之。之後,請對故障的頻外資源執行分析。
另一個範例是能夠重新啟動網路請求。對網路逾時和相依系統故障 (其中相依系統會返回錯誤) 套用相同的復原方法。這兩個事件對系統具有類似的影響,因此,不要嘗試讓任何一個事件成為「特殊情況」,而是藉由指數退避和抖動來採用類似的限制重試策略。
*重新啟動的能力* 是復原導向運算和高可用性叢集架構中的一種復原機制。
Amazon EventBridge 可用來監控並篩選事件,例如 CloudWatch 警示或其他 AWS 服務的狀態變更。根據事件資訊,它可以觸發 AWS Lambda、AWS Systems Manager Automation 或其他目標,在您的工作負載上執行自訂修復邏輯。
Amazon EC2 Auto Scaling 可設定為檢查 EC2 執行個體的運作狀態。如果執行個體處於執行中以外的任何狀態,或系統狀態為受損,Amazon EC2 Auto Scaling 會將執行個體視為運作狀態不佳,並啟動替代執行個體。如果使用 AWS OpsWorks,您可以在 OpsWorks 層級中設定 EC2 執行個體的自動修復功能。
對於大規模替換 (例如遺失整個可用區域),靜態穩定性是高可用性的首選,而不是一次嘗試取得多個新資源。
**常用的反模式:**
+ 個別部署執行個體或容器中的應用程式。
+ 部署不透過自動復原就無法部署到多個位置的應用程式。
+ 手動復原自動擴展和自動復原無法修復的應用程式。
**建立此最佳實務的優勢:** 即使工作負載一次只能部署到一個位置,自動修復也會減少平均復原時間,並確保工作負載的可用性。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 使用 Auto Scaling 群組在工作負載中部署分層。Auto Scaling 可以對無狀態應用程式進行自我修復,並新增和移除容量。
+ [AWS Auto Scaling 的運作方式](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ 對已部署無法在多個位置中部署之應用程式,且可以容忍失敗後重新開機的 EC2 執行個體,實作自動復原。在應用程式無法部署於多個位置時,自動復原可以用來取代失敗硬體並重新啟動執行個體。執行個體中繼資料和相關聯的 IP 地址,以及 Amazon EBS 磁碟區和 Lustre 及 Windows 的彈性檔案系統或檔案系統的掛載點皆會保留。
+ [Amazon EC2 自動復原](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEFS.html)
+ [什麼是 Amazon FSx for Lustre?](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html)
+ [什麼是 Amazon FSx for Windows File Server?](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html)
+ 您可以使用 AWS OpsWorks,在層級中設定 EC2 執行個體的自動修復功能。
+ [AWS OpsWorks:使用自動修復來替換故障的執行個體](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ 當您無法使用自動擴展或自動復原,或自動復原失敗時,則使用 AWS Step Functions 和 AWS Lambda 實作自動復原。當您無法使用自動擴展,且無法使用自動復原或自動復原失敗時,則可以使用 AWS Step Functions 和 AWS Lambda 將修復作業自動化。
+ [什麼是 AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [什麼是 AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ Amazon EventBridge 可用來監控並篩選事件,例如 CloudWatch 警示或其他 AWS 服務的狀態變更。根據事件資訊,它接著可以觸發 AWS Lambda (或其他目標),在您的工作負載上執行自訂修復邏輯。
+ [什麼是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## 資源
**相關文件:**
+ [APN 合作夥伴:可以幫助您實現容錯自動化的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace:可用於容錯的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [AWS OpsWorks:使用自動修復來替換故障的執行個體](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ [Amazon EC2 自動復原](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEFS.html)
+ [AWS Auto Scaling 的運作方式](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ [使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [什麼是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [什麼是 AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [什麼是 AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [什麼是 Amazon FSx for Lustre?](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html)
+ [什麼是 Amazon FSx for Windows File Server?](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html)
**相關影片:**
+ [AWS 中的靜態穩定性:AWS re:Invent 2019:The Amazon Builders’ Library 簡介 (DOP328)](https://youtu.be/sKRdemSirDM?t=704)
**相關範例:**
+ [Well-Architected 實驗室:第 300 級:實作運作狀態檢查和管理相依性以提升可靠性](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP04 復原期間需使用資料平面,而非控制平面
控制平面是用來配置資源,資料平面用來提供服務。一般而言,資料平面的可用性設計目標會高於控制平面,且較為簡單。針對有可能影響彈性的事件實作復原或緩解回應時,使用控制平面作業可能會降低架構的整體彈性。例如,您可以使用 Amazon Route 53 資料平面,根據運作狀態檢查可靠地路由 DNS 查詢,但更新 Route 53 路由政策需使用控制平面,所以不要將控制平面用於復原。
Route 53 資料平面回答 DNS 佇列,以及執行並評估運作狀態檢查。它們遍布全球,而且針對 [100% 可用性服務水準協議 (SLA) 設計的。](https://aws.amazon.com/route53/sla/) 您可在其中建立、更新和刪除 Route 53 資源的 Route 53 管理 API 和主控台,在控制平面上執行,這些控制平面的設計旨在優先考慮您在管理 DNS 時所需的強式一致性和耐久性。為了實現此目標,控制平面位於單一區域 US East (N. Virginia) 中。儘管將這兩個系統建置為非常可靠,但控制平面未包含在 SLA 中。在極少數情況下,資料平面的彈性設計允許它保持可用性,而控制平面則不允許。對於災難復原和容錯移轉機制,使用資料平面功能提供可能最好的可靠性。
如需資料平面、控制平面,以及 AWS 如何建置服務以符合高可用性目標的詳細資計,請參閱 [使用可用區域實現靜態穩定性](https://aws.amazon.com/builders-library/static-stability-using-availability-zones) 文件和 [Amazon 建置者資料中心。](https://aws.amazon.com/builders-library/)
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 將 Amazon Route 53 用於災難復原時,請使用資料平面,而非控制平面。Route 53 應用程式復原控制器可協助您使用準備度檢查和路由控制,來管理和協調容錯移轉。這些功能會持續監控應用程式從失敗中復原的功能,可讓您在多個 AWS 區域、可用區域和內部部署上控管應用程式復原。
+ [什麼是 Route 53 應用程式復原控制器?](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html)
+ [使用 Amazon Route 53 建立災難復原機制](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)
+ [使用 Amazon Route 53 應用程式復原控制器建置高彈性應用程式 (第 1 部分):單一區域堆疊](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/)
+ [使用 Amazon Route 53 應用程式復原控制器建置高彈性應用程式,第 2 部分:單一區域堆疊](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-2-multi-region-stack/)
+ 了解哪些作業位於資料平面,哪些位於控制平面。
+ [Amazon Builders' Library:控管較小服務,避免分散式系統過載](https://aws.amazon.com/builders-library/avoiding-overload-in-distributed-systems-by-putting-the-smaller-service-in-control/)
+ [Amazon DynamoDB API (控制平面和資料平面)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.API.html)
+ [AWS Lambda 執行](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (分割成控制平面和資料平面)
+ [AWS Lambda 執行](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (分割成控制平面和資料平面)
## 資源
**相關文件:**
+ [APN 合作夥伴:可以幫助您實現容錯自動化的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace:可用於容錯的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [Amazon Builders' Library:控管較小服務,避免分散式系統過載](https://aws.amazon.com/builders-library/avoiding-overload-in-distributed-systems-by-putting-the-smaller-service-in-control/)
+ [Amazon DynamoDB API (控制平面和資料平面)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.API.html)
+ [AWS Lambda 執行](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (分割成控制平面和資料平面)
+ [AWS 資料平面](https://docs.aws.amazon.com/mediastore/latest/apireference/API_Operations_AWS_Elemental_MediaStore_Data_Plane.html)
+ [使用 Amazon Route 53 應用程式復原控制器建置高彈性應用程式 (第 1 部分):單一區域堆疊](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/)
+ [使用 Amazon Route 53 應用程式復原控制器建置高彈性應用程式,第 2 部分:單一區域堆疊](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-2-multi-region-stack/)
+ [使用 Amazon Route 53 建立災難復原機制](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)
+ [什麼是 Route 53 應用程式復原控制器?](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html)
**相關範例:**
+ [簡介 Amazon Route 53 應用程式復原控制器](https://aws.amazon.com/blogs/aws/amazon-route-53-application-recovery-controller/)
# REL11-BP05 使用靜態穩定性來防止雙模態行為
雙模態行為是您的工作負載在正常和失敗模式下展現出不同的行為,例如,當可用區域失敗時,仰賴啟動新的執行個體。您應改為建置靜態穩定且僅以一種模式操作的工作負載。在這種情況下,如果移除一個可用區域,則在每個可用區域佈建足夠的執行個體來處理工作負載負載,然後使用 Elastic Load Balancing 或 Amazon Route 53 運作狀態檢查,將負載從受損的執行個體移出。
運算部署 (例如 EC2 執行個體或容器) 的靜態穩定性可提供最高的可靠性。這必須與成本考量進行權衡。佈建較少的運算容量,而且在發生故障時仰賴啟動新的執行個體,所需的成本會更低。但對於大規模故障 (例如可用區域故障),此方法效率較低,因為它仰賴在發生故障時對受損情況做出回應,而不是在發生之前為這些受損情況做好準備。您的解決方案應該權衡可靠性與工作負載的成本需求。透過使用更多可用區域,靜態穩定性所需的額外運算量會減少。
![\[圖表:顯示跨可用區域之 EC2 執行個體的靜態穩定性\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/static-stability.png)
流量轉移後,使用 AWS Auto Scaling 以非同步方式取代故障區域的執行個體,並在運作良好的區域中啟動這些執行個體。
另一個雙模態行為範例是網路逾時,網路逾時可能導致系統嘗試重新整理整個系統的組態狀態。這樣一來,即會給另一個元件新增意外負載,且可能導致其發生故障,從而引發其他意外後果。這種負面意見回饋迴圈會影響工作負載的可用性。反之,您應該建置靜態穩定且僅以一種模式操作的系統。靜態穩定的設計是執行持續工作,並始終以固定的規律重新整理組態狀態。叫用失敗時,工作負載會使用先前的快取數值,並觸發警示。
另一個雙模態行為範例是允許用戶端在發生失敗時繞過您的工作負載快取。這看起來可能是滿足用戶端需求的解決方案,但不應得到允許,因為這會大幅變更工作負載的需求,且可能導致故障。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
+ 使用靜態穩定性來防止雙模態行為。雙模態行為是您的工作負載在正常和失敗模式下展現出不同的行為,例如,當可用區域失敗時,仰賴啟動新的執行個體。
+ [在災難復原計畫中盡可能減少相依關係](https://aws.amazon.com/blogs/architecture/minimizing-dependencies-in-a-disaster-recovery-plan/)
+ [Amazon Builders' Library:使用可用區域實現靜態穩定性](https://aws.amazon.com/builders-library/static-stability-using-availability-zones)
+ [AWS 中的靜態穩定性:AWS re:Invent 2019:The Amazon Builders’ Library 簡介 (DOP328)](https://youtu.be/sKRdemSirDM?t=704)
+ 您應改為建置靜態穩定且僅以一種模式操作的系統。在這種情況下,如果移除一個 AZ,則在每個區域佈建足夠的執行個體來處理工作負載負載,然後使用 Elastic Load Balancing 或 Amazon Route 53 運作狀態檢查,將負載從受損的執行個體移出。
+ 另一個雙模態行為範例是允許用戶端在發生失敗時繞過您的工作負載快取。這看起來可滿足用戶端需求的解決方案,但不應允許,因為這會大幅變更工作負載的需求,且可能導致失敗。
## 資源
**相關文件:**
+ [在災難復原計畫中盡可能減少相依關係](https://aws.amazon.com/blogs/architecture/minimizing-dependencies-in-a-disaster-recovery-plan/)
+ [Amazon Builders' Library:使用可用區域實現靜態穩定性](https://aws.amazon.com/builders-library/static-stability-using-availability-zones)
**相關影片:**
+ [AWS 中的靜態穩定性:AWS re:Invent 2019:The Amazon Builders’ Library 簡介 (DOP328)](https://youtu.be/sKRdemSirDM?t=704)
# REL11-BP06 當事件影響可用性時傳送通知
當偵測到重大事件時傳送通知,即使事件造成的問題已自動解決。
自動修復功能可讓您的工作負載變得可靠。不過,它也可能會遮蔽需要解決的潛在問題。實作適當的監控和事件,讓您能夠偵測到問題模式 (包括自動修復功能處理的問題模式),以便解決根本原因問題。Amazon CloudWatch 警示可根據發生的故障來觸發,也可以根據執行的自動修復動作來觸發。CloudWatch 警示可設定為傳送電子郵件,或使用 Amazon SNS 整合在第三方事件追蹤系統中記錄事件。
**常用的反模式:**
+ 傳送無人對其採取行動的警示。
+ 進行自動修復自動化,但不通知需要修復。
**建立此最佳實務的優勢:** 復原事件的通知可確保您不會忽略不常發生的問題。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 當業務關鍵績效指標超過臨界值下限時,發出該指標的警示:對業務 KPI 制定臨界值下限警示,有助於您知道何時無法使用工作負載或工作負載無法運作。
+ [根據靜態臨界值建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)
+ 叫用修復自動化的事件警示:您可以直接叫用 SNS API,以透過您建立的任何自動化來傳送通知。
+ [什麼是 Amazon Simple Notification Service?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
## 資源
**相關文件:**
+ [根據靜態臨界值建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)
+ [什麼是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [什麼是 Amazon Simple Notification Service?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
# REL 12 如何測試可靠性?
在將工作負載設計為可彈性應對生產壓力之後,測試是確保其依設計運作並交付您預期之彈性的唯一方法。
**Topics**
+ [REL12-BP01 使用程序手冊調查失敗](rel_testing_resiliency_playbook_resiliency.md)
+ [REL12-BP02 執行事件後分析](rel_testing_resiliency_rca_resiliency.md)
+ [REL12-BP03 測試功能要求](rel_testing_resiliency_test_functional.md)
+ [REL12-BP04 測試擴展和效能需求](rel_testing_resiliency_test_non_functional.md)
+ [REL12-BP05 使用混沌工程測試彈性](rel_testing_resiliency_failure_injection_resiliency.md)
+ [REL12-BP06 定期執行演練日](rel_testing_resiliency_game_days_resiliency.md)
# REL12-BP01 使用程序手冊調查失敗
透過在程序手冊中記錄調查程序,實現對無法充分理解的失敗情境進行快速一致的回應。程序手冊是為識別造成失敗情境的因素所執行的預先定義步驟。在確定或向上呈報問題之前,任何程序步驟的結果都用於確定要採取的後續步驟。
程序手冊是您必須進行的主動規劃,然後才能有效地採取回應動作。在生產環境中遇到程序手冊未涵蓋的故障情境時,請先解決問題 (解決燃眉之急)。然後返回並查看您為解決問題所採取的步驟,並使用這些步驟在程序手冊中新增新的項目。
請注意,程序手冊用於回應特定事件,而執行手冊則用於實現特定成果。執行手冊通常用於例行活動,而程序手冊則用於回應非例行事件。
**常用的反模式:**
+ 在不知道診斷問題或回應事件的程序之情況下,規劃部署工作負載。
+ 調查事件時,未規劃即決定要向哪些系統收集日誌和指標。
+ 指標和事件的保留時間過短,無法用以擷取資料。
**建立此最佳實務的優勢:** 擷取程序手冊可確保一致地遵循程序。有系統地編纂您的程序手冊可限制手動活動引入錯誤。程序手冊自動化可免除團隊成員介入的需要,或在介入開始時提供其他資訊,從而縮短事件回應時間。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 使用程序手冊識別出問題。程序手冊是調查問題的書面程序。透過在程序手冊中記錄程序,對失敗情境做出一致且迅速的回應。程序手冊包含的資訊和指南必須能夠讓技能嫻熟的人員得以收集適用資訊、識別潛在的失敗來源、隔離故障,以及判斷成因 (執行事件後分析)。
+ 將程序手冊實作為程式碼。透過編寫程序手冊指令碼,以程式碼形式執行操作,確保一致性並限制和減少手動程序引起的錯誤。程序手冊可由多個指令碼組成,這些指令碼代表識別成因時可能需要的不同步驟。執行手冊活動可以作為程序手冊活動的一部分被觸發或執行,或者在程序手冊中提示執行,以回應已識別的事件。
+ [透過 AWS Systems Manager 自動化您的操作程序手冊](https://aws.amazon.com/about-aws/whats-new/2019/11/automate-your-operational-playbooks-with-aws-systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [什麼是 AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ [什麼是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## 資源
**相關文件:**
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [透過 AWS Systems Manager 自動化您的操作程序手冊](https://aws.amazon.com/about-aws/whats-new/2019/11/automate-your-operational-playbooks-with-aws-systems-manager/)
+ [使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [使用 Canary (Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [什麼是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [什麼是 AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
**相關範例:**
+ [使用程序手冊和執行手冊將操作自動化](https://wellarchitectedlabs.com/operational-excellence/200_labs/200_automating_operations_with_playbooks_and_runbooks/)
# REL12-BP02 執行事件後分析
審查影響客戶的事件,並識別成因和預防性行動項目。使用此資訊來開發緩解措施,以限制或防止事件再次發生。制定可快速有效回應的程序。適當地傳達成因和為目標受眾量身打造的糾正措施。建立一種可以根據需要將這些原因傳達給其他人的方法。
評估現有測試找不到問題的原因。如果測試尚未存在,請為此案例新增測試。
**常用的反模式:**
+ 尋找成因,但未繼續深入尋找其他潛在問題和減輕方法。
+ 僅確定人為錯誤原因,不未嘗試可防止人為錯誤發生的任何培訓或或自動化。
**建立此最佳實務的優勢:** 進行事件後分析並分享結果,以讓其他實作了相同成因的工作負載減輕風險,並讓工作負載能夠在事件發生前實作減輕措施或自動復原。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 建立事件後分析標準。良好的事件後分析提供了機會,為系統中其他地方使用的架構模式問題提出通用解決方案。
+ 確保成因真實且不責備相關人員。
+ 如果您不記錄問題,則無法糾正它們。
+ 確保事件後分析不會讓相關人員受到責備,這樣您就可以平心靜氣看待建議的糾正措施,並促進應用程式團隊誠實地自我評估與合作。
+ 使用程序判斷成因。建立程序來識別和記錄事件的成因,以便您可以制定緩解措施來限制或防止事件再次發生。另外,您還可以制定快速有效地做出回應的程序。適當地傳達成因和為目標受眾量身打造的糾正措施。
+ [什麼是日誌分析?](https://aws.amazon.com/log-analytics/)
## 資源
**相關文件:**
+ [什麼是日誌分析?](https://aws.amazon.com/log-analytics/)
+ [為什麼您應該開發錯誤糾正 (COE)](https://aws.amazon.com/blogs/mt/why-you-should-develop-a-correction-of-error-coe/)
# REL12-BP03 測試功能要求
使用驗證所需功能的單位測試和整合測試等技術。
當這些測試做為建置和部署動作的一部分自動執行時,您會獲得最佳成果。例如,使用 AWS CodePipeline 時,開發人員會將變更遞交至來源儲存庫,而 CodePipeline 會在該儲存庫中自動偵測變更。系統會建置這些變更,並執行測試。測試完成後,會將內建的程式碼部署至預備伺服器以進行測試。CodePipeline 會從預備伺服器執行更多測試,例如整合或負載測試。成功完成這些測試後,CodePipeline 會將已測試及已核准的程式碼部署至生產執行個體。
此外,經驗顯示可執行和模擬客戶行為的綜合交易測試 (也稱為 *Canary 測試,*但請別與 Canary 部署混淆),是最重要的測試程序之一。針對來自不同遠端位置的工作負載端點持續執行這些測試。Amazon CloudWatch Synthetics 讓您能夠 [建立 Canary,](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) 以監控您的端點和 API。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 測試功能要求。這包括驗證所需功能的單位測試和整合測試。
+ [搭配使用 CodePipeline 與 AWS CodeBuild 以測試程式碼和執行建置](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-create-pipeline.html)
+ [AWS CodePipeline 新增對於單位的支援,以及透過 AWS CodeBuild 自訂整合測試](https://aws.amazon.com/about-aws/whats-new/2017/03/aws-codepipeline-adds-support-for-unit-testing/)
+ [持續交付與持續整合](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)
+ [使用 Canary (Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [軟體和測試自動化](https://aws.amazon.com/marketplace/solutions/devops/software-test-automation)
## 資源
**相關文件:**
+ [APN 合作夥伴:可以幫助實作持續整合管道的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Continuous+Integration)
+ [AWS CodePipeline 新增對於單位的支援,以及透過 AWS CodeBuild 自訂整合測試](https://aws.amazon.com/about-aws/whats-new/2017/03/aws-codepipeline-adds-support-for-unit-testing/)
+ [AWS Marketplace:可用於持續整合的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Continuous+integration)
+ [持續交付與持續整合](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)
+ [軟體和測試自動化](https://aws.amazon.com/marketplace/solutions/devops/software-test-automation)
+ [搭配使用 CodePipeline 與 AWS CodeBuild 以測試程式碼和執行建置](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-create-pipeline.html)
+ [使用 Canary (Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
# REL12-BP04 測試擴展和效能需求
使用負載測試等技術,以驗證工作負載是否滿足擴展和效能需求。
在雲端,您可以隨需建立工作負載的生產規模測試環境。如果您在縮減的基礎設施上執行這些測試,您必須將觀察到的結果擴展到您認為在生產環境中會發生的情況。如果您很謹慎,力求不影響實際使用者,也可以在生產環境中執行負載和效能測試,並將您的測試資料加上標籤,以免與實際使用者資料混淆並損毀使用統計資料或生產報告。
透過測試,確保您的基本資源、擴展設定、服務配額和彈性設計能夠在負載下如預期運作。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 測試擴展和效能需求。進行負載測試,以驗證工作負載是否滿足擴展和效能需求。
+ [AWS 上的分散式負載測試:模擬數千名連線的使用者](https://aws.amazon.com/solutions/distributed-load-testing-on-aws/)
+ [Apache JMeter](https://github.com/apache/jmeter?ref=wellarchitected)
+ 在與生產環境相同的環境中部署應用程式並執行負載測試。
+ 使用基礎設施即程式碼概念來建立與您的生產環境盡可能相似的環境。
## 資源
**相關文件:**
+ [AWS 上的分散式負載測試:模擬數千名連線的使用者](https://aws.amazon.com/solutions/distributed-load-testing-on-aws/)
+ [Apache JMeter](https://github.com/apache/jmeter?ref=wellarchitected)
# REL12-BP05 使用混沌工程測試彈性
定期在位於或盡可能鄰近生產環境的環境中執行混沌試驗,以了解您的系統因應不良狀況的能力。
** 預期成果: **
除了以彈性測試驗證您的工作負載在某事件期間的已知預期行為以外,還可以藉由在錯誤注入試驗中套用混沌工程或注入非預期的負載,來定期驗證工作負載的彈性。結合混沌工程與彈性測試,您將可確信工作負載在經歷元件失敗後仍可存留,並且可在 (幾乎) 不受影響的情況下從非預期的中斷復原。
** 常見的反模式: **
+ 針對彈性進行設計,但未確認工作負載在錯誤發生時的整體運作情形。
+ 未曾在真實的情況和預期的負載下試驗。
+ 未將試驗視為程式碼或透過開發週期加以維護。
+ 未在 CI/CD 管道中與部署以外執行混沌試驗。
+ 在決定要以哪些錯誤進行試驗時,未使用過去的事故後分析。
** 建立此最佳實務的優勢:** 注入錯誤以驗證工作負載的彈性,可讓您確信在發生真正的錯誤時,彈性設計的復原程序將可發揮作用。
**未建立此最佳實務時的曝險等級:** 中
## 實作指引
混沌工程可讓您的團隊有能力以受控的方式,持續在服務供應商、基礎架構、工作負載和元件層級注入真實的中斷 (模擬),且對客戶 (幾乎) 不會造成影響。它可讓您的團隊從錯誤中學習,並且觀察、測量及改善工作負載的彈性,以及驗證在事件發生時會引發提醒,且團隊會收到通知。
持續執行時,混沌工程可能會凸顯您工作負載中的缺陷,且若未解決,可能會對可用性與操作產生負面影響。
**注意**
混沌工程是在系統中進行試驗的專業領域,旨在建立對系統承受生產環境中紊亂情況的能力的信心。 [混沌工程的原則](https://principlesofchaos.org/)
如果系統能夠承受這些中斷,則應將混沌試驗視為自動化迴歸測試來維護。此時,您應在系統開發生命週期 (SDLC) 和 CI/CD 管道中執行混沌試驗。
若要確定您的工作負載可以承受元件失敗,請在試驗中注入真實事件。例如,進行遺失 Amazon EC2 執行個體或容錯移轉主要 Amazon RDS 資料庫執行個體的試驗,並驗證您的工作負載未受影響 (或僅受到些微影響)。使用元件錯誤的組合,模擬可用區域的中斷可能導致的事件。
對於應用程式層級的錯誤 (例如當機),您可以從記憶體和 CPU 用盡之類的壓力源開始著手。
若要對因間歇性網路中斷而產生的外部相依性驗證其 [備用或容錯移轉機制](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems/) ,您的元件應藉由封鎖對第三方供應商的存取達指定的持續期間 (可延續數秒到數小時),來模擬這類事件。
其他降級模式可能會導致功能降低和回應速度緩慢,而往往會導致服務中斷。這種降級的常見原因是關鍵服務的延遲增加和不可靠的網路通訊 (丟包)。以這些錯誤 (包括延遲、已捨棄訊息和 DNS 失敗等聯網影響) 進行的試驗,可包含無法解析名稱、無法連線到 DNS 服務,或無法建立相依服務的連線等情境。
**混沌工程工具:**
AWS Fault Injection Service (AWS FIS) 是用來執行錯誤注入試驗的全受管服務,這些試驗可作為 CD 管道的一部分,或未於管道以外。AWS FIS 很適合在混沌工程演練日期間使用。它支援同時在不同類型的資源間導入錯誤,包括 Amazon EC2、Amazon Elastic Container Service (Amazon ECS)、Amazon Elastic Kubernetes Service (Amazon EKS) 和 Amazon RDS。這些錯誤包括終止資源、強制執行容錯移轉、施壓於 CPU 或記憶體、限流,以及封包遺失。由於它與 Amazon CloudWatch 警示整合,因此您可以將停止條件設定為防護機制,以在試驗導致非預期的影響時將其回復。
![\[圖表:顯示 AWS Fault Injection Service 與 AWS 資源整合,此整合可讓您對工作負載執行錯誤注入試驗。\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/fault-injection-simulator.png)
錯誤注入試驗也有數個第三方選項。其中包括開放原始碼工具,例如 [Chaos Toolkit](https://chaostoolkit.org/),[Chaos Mesh](https://chaos-mesh.org/)和 [Litmus Chaos](https://litmuschaos.io/),以及 Gremlin 之類的商業選項。為了擴展可在 AWS 上注入的錯誤範圍,AWS FIS [與 Chaos Mesh 和 Litmus Chaos 整合](https://aws.amazon.com/about-aws/whats-new/2022/07/aws-fault-injection-simulator-supports-chaosmesh-litmus-experiments/),讓您能夠在多項工具間協調錯誤注入工作流程。例如,您可以在使用 AWS FIS 錯誤動作終止隨機選定百分比的叢集節點時,使用 Chaos Mesh 或 Litmus 錯誤對 Pod 的 CPU 執行壓力測試。
## 實作步驟
+ 決定要將哪些錯誤用於試驗。
評估您的工作負載設計是否有彈性。這類設計 (使用 [Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)的最佳實務建立的) 可根據重大相依性、過去的事件、已知問題和合規要求來衡量風險。列出要用來維護彈性的每個設計元素,及其依設計要減輕的錯誤。如需關於建立這類清單的詳細資訊,請參閱 [「營運準備度審查」白皮書,](https://docs.aws.amazon.com/wellarchitected/latest/operational-readiness-reviews/wa-operational-readiness-reviews.html) 此文件會說明如何建立相關程序來防止過去的事故再次發生。Failure Modes and Effects Analysis (FMEA) 程序提供了相關架構,讓您執行失敗的元件層級分析,並說明失敗對於工作負載有何影響。Adrian Cockcroft 在 [Failure Modes and Continuous Resilience 中提供了 FMEA 的詳細說明](https://adrianco.medium.com/failure-modes-and-continuous-resilience-6553078caad5)。
+ 指派每個錯誤的優先順序。
請從粗略的分類開始著手,例如高、中或低。若要評估優先順序,請考量錯誤的頻率,以及失敗對整體工作負載的影響。
考量特定錯誤的頻率時,請分析此工作負載過去的資料 (如果可用)。如果無法使用,請使用在類似環境中執行的其他工作負載所包含的資料。
考量特定錯誤的影響時,錯誤的範圍愈大,通常影響就愈大。另請考量工作負載的設計和用途。例如,對執行資料轉換和分析的工作負載而言,存取來源資料存放區的能力至關重要。在此情況下,您應優先執行存取錯誤以及限流存取和延遲注入的試驗。
事故後分析是您了解失敗模式的頻率與影響的理想資料來源。
請使用指派的優先順序,決定要先以哪些錯誤進行試驗,以及要以何種順序開發新的錯誤注入試驗。
+ 對於您所執行的每個試驗,均應依循混沌工程和連續彈性飛輪操作。
![\[混沌工程和連續彈性飛輪的圖表,顯示「改善」、「穩定狀態」、「假設」、「執行試驗」和「驗證」等階段。\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/chaos-engineering-flywheel.png)
+ 將穩定狀態定義為顯示出正常行為之工作負載的某種可測量輸出。
工作負載的運作若可靠且符合預期,就會呈現穩定狀態。因此,在定義穩定狀態前,請先驗證工作負載的運作狀態良好。穩定狀態不一定表示在錯誤發生時完全不會影響到工作負載,因為有特定百分比的錯誤可能會在可接受的限制內。穩定狀態是您在試驗期間將觀察到的基準,如果您在下一步定義的假設未符合預期,就會凸顯異常。
例如,支付系統的穩定狀態可定義為 300 TPS、成功率 99%、且來回時間為 500 毫秒的處理。
+ 形成關於工作負載將如何回應錯誤的假設。
良好的假設奠基於工作負載應如何減輕錯誤以維護穩定狀態。假設指出,在發生特定類型的錯誤時,系統或工作負載將持續保有穩定狀態,因為工作負載設有特定緩解機制。特定類型的錯誤和緩解機制應指定於假設中。
以下是可用於假設的範本 (但也接受其他措辭):
**注意**
若 *特定錯誤* 發生, *工作負載名稱* 工作負載將 *說明緩解控制* 以維護 *業務或技術指標影響*。
例如:
+ 若 Amazon EKS 節點群組中有 20% 的節點遭到關閉,Transaction Create API 會在 100 毫秒以內繼續提供第 99 個百分位數的請求 (穩定狀態)。Amazon EKS 節點將在五分鐘內復原,而 Pod 將在試驗起始後的八分鐘內進入排程並處理流量。提醒將在三分鐘內引發。
+ 單一 Amazon EC2 執行個體失敗發生時,訂單系統的 Elastic Load Balancing 運作狀態檢查將使 Elastic Load Balancing 僅將請求傳送至其餘運作狀態良好的執行個體,而 Amazon EC2 Auto Scaling 會取代失敗的執行個體,將伺服器端 (5xx) 錯誤的增量維持在 0.01% 以內 (穩定狀態)。
+ 主要 Amazon RDS 資料庫執行個體失敗時,供應鏈資料收集工作負載將進行容錯移轉並連線至待命 Amazon RDS 資料庫執行個體,以維持不到 1 分鐘的資料庫讀取或寫入錯誤 (穩定狀態)。
+ 藉由注入錯誤來執行試驗。
試驗依預設應處於安全模式,並獲得工作負載的容許。如果您確知工作負載將失敗,請不要執行試驗。混沌工程應該用來尋找已知的未知或未知的未知。*已知的未知* 是指您知道,但未能完全了解的事物, *未知的未知* 則是指您不知道也未能完全了解的事物。對您確知已失效的工作負載執行試驗,將不會為您帶來新的見解。試驗應經過審慎規劃、具有明確的影響範圍,並且提供在非預期的錯亂發生時可供套用的回復機制。如果您的盡職調查顯示工作負載應可承受試驗,請繼續執行試驗。有數種選項可用來注入錯誤。對於 AWS 上的工作負載,[AWS FIS](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html) 會提供許多預先定義的錯誤模擬,名為 [動作](https://docs.aws.amazon.com/fis/latest/userguide/actions.html)。您也可以定義在 AWS FIS 中執行的自訂動作 (使用 [AWS Systems Manager 文件)](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html)。
我們不鼓勵使用自訂指令碼來執行混沌試驗,除非指令碼有能力理解工作負載目前的狀態、能夠發出日誌,並且提供回復機制和停止條件 (若情況允許)。
支援混沌工程的有效架構或工具集,應追蹤試驗目前的狀態、發出日誌,並提供回復機制以支援受控制的試驗執行。請先從 AWS FIS 這類已建立的服務著手,以便能以明確定義的範圍執行試驗,並且有安全機制可在試驗導入非預期的錯亂時回復試驗。若要進一步了解使用 AWS FIS 的各種試驗,另請參閱 [「將彈性和 Well-Architected 應用程式用於混沌工程」實驗室](https://catalog.us-east-1.prod.workshops.aws/workshops/44e29d0c-6c38-4ef3-8ff3-6d95a51ce5ac/en-US)。此外, [AWS Resilience Hub](https://docs.aws.amazon.com/resilience-hub/latest/userguide/what-is.html) 也會分析您的工作負載,並建立可供您選擇在 AWS FIS 中實作並執行的試驗。
**注意**
對於每一項試驗,您都應明確了解其範圍與影響。我們建議,錯誤應先在非生產環境中模擬,再於生產環境中執行。
試驗應在真實的負載下執行於生產環境中,且應使用 [金絲雀部署](https://medium.com/the-cloud-architect/chaos-engineering-q-a-how-to-safely-inject-failure-ced26e11b3db) 同時推動控制和試驗系統部署 (在情況允許時)。在非尖峰時段執行試驗是很好的做法,可以減少首次在生產環境中試驗時的潛在影響。此外,如果使用實際的客戶流量會伴隨太高的風險,您可以對控制和試驗部署使用生產基礎架構上的綜合流量,來執行試驗。無法使用生產環境時,請在盡可能接近生產環境的生產前環境中執行試驗。
您必須建立防護機制並加以監控,以確定試驗不會超出可接受的限制而影響到生產流量或其他系統。請建立停止條件,以在試驗達到您定義的防護機制指標閾值時,將試驗停止。其中應包括工作負載的穩定狀態指標,以及您對其注入錯誤的元件所適用的指標。路由層 [綜合監控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) 也稱為使用者金絲雀,是您在一般情況下應納入作為使用者代理的指標之一。[AWS FIS 的停止條件](https://docs.aws.amazon.com/fis/latest/userguide/stop-conditions.html) 被視為試驗範本的一部分受到支援,每個範本最多可啟用五個停止條件。
混沌的準則之一,是盡可能縮小試驗的範圍與影響:
儘管容許某些短期負面影響是必要的,但混沌工程師有責任和義務將試驗的副作用控制在最低限度。
驗證範圍和潛在影響的方法之一,是先在非生產環境中執行試驗,驗證停止條件的閾值在試驗期間會依預期啟動,且有可觀測性會捕捉例外狀況,而不是直接在生產環境中試驗。
執行錯誤注入試驗時,請驗證所有的責任方都會及時獲得通知。請與營運團隊、服務可靠性團隊和客戶支援等適當的團隊通訊,讓他們知道試驗將於何時執行,且預期會有何情況。請為這些團隊提供通訊工具,以便他們在試驗執行期間發現任何不利影響時發出通知。
您必須將工作負載及其基礎系統還原為原始的已知良好狀態。工作負載的彈性設計通常具有自癒能力。但某些錯誤設計或失敗的試驗可能會使您的工作負載處於非預期的失敗狀態。試驗結束時,您必須察覺到這一點,並還原工作負載和系統。透過 AWS FIS,您可以在動作參數內設定回復組態 (也稱為後置動作)。後置動作會將目標回復為動作執行前原有的狀態。無論是自動 (例如使用 AWS FIS) 還是手動,這些後續動作皆應為程序手冊的一部分,以說明如何偵測及處理失敗。
+ 驗證假設。
[混沌工程的原則](https://principlesofchaos.org/) 提供了下列關於如何驗證工作負載穩定狀態的指引:
著重於可測量的系統輸出,而不是系統的內部屬性。這類輸出在一段時間內的測量,會構成系統穩定狀態的代理。整體系統的輸送量、錯誤率和延遲百分位數,全都可能成為呈現穩定狀態行為的相關指標。著重於試驗期間的系統行為模式,混沌工程會驗證系統是否可運作,而非試著驗證其運作情形。
在先前的兩個範例中,我們納入了伺服器端 (5xx) 錯誤的增量低於 0.01% 的穩定狀態指標,以及資料庫讀取和寫入錯誤不到一分鐘的穩定狀態指標。
5xx 錯誤是工作負載的用戶端在失敗模式下將直接經歷的結果,因此可說是良好的指標。資料庫錯誤測量是錯誤的直接產物,因此有其效用,但應同時輔以用戶端影響測量,例如失敗的客戶請求或用戶端遇到的錯誤。此外,請在工作負載的用戶端直接存取的任何 API 或 URI 納入綜合監控 (也稱為使用者金絲雀)。
+ 改善工作負載設計的彈性。
如果未維持穩定狀態,請調查工作負載設計可經由哪些改進來減輕錯誤,運用 [AWS Well Architected 可靠性支柱的最佳實務](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)。如需其他指引和資源,請前往 [AWS Builder’s Library](https://aws.amazon.com/builders-library/),內含相關文章說明如何 [改善您的運作狀態檢查](https://aws.amazon.com/builders-library/implementing-health-checks/) 或 [在應用程式碼中使用退避重試](https://aws.amazon.com/builders-library/timeouts-retries-and-backoff-with-jitter/),以及其他主題。
這些變更實作完成後,請再次執行試驗 (在混沌工程飛輪中以虛線表示) 以判斷其有效性。若驗證步驟指出假設成立,則工作負載將處於穩定狀態,且週期會繼續。
+ 請定期執行試驗。
混沌試驗是一個週期,而試驗應被視為混沌工程的一部分定期執行。當工作負載符合試驗的假設後,即應將試驗自動化,以將其視為 CI/CD 管道的迴歸部分持續執行。若要了解其執行方式,請參閱此部落格: [如何使用 AWS CodePipeline 執行 AWS FIS 試驗](https://aws.amazon.com/blogs/architecture/chaos-testing-with-aws-fault-injection-simulator-and-aws-codepipeline/)。此實驗室涉及 [CI/CD 管道中的 AWS FIS 試驗,](https://chaos-engineering.workshop.aws/en/030_basic_content/080_cicd.html) 可讓您進行實際操作。
錯誤注入試驗也是演練日的一部分 (請參閱 [REL12-BP06 定期執行演練日](rel_testing_resiliency_game_days_resiliency.md)) 建立持續整合/持續部署 (CI/CD) 管道。演練日會模擬失敗或事件,以驗證系統、程序和團隊的應變。目的是實際執行在異常事件發生時團隊將要執行的動作。
+ 擷取並儲存試驗結果。
錯誤注入試驗的結果必須擷取並保存。請納入所有必要資料 (例如時間、工作負載和條件),以便後續能分析試驗結果和趨勢。舉例來說,結果可包括儀表板的螢幕擷取畫面、指標的資料庫產生的 CSV 傾印,或是試驗中的事件與觀察的手寫記錄。[AWS FIS 的試驗記錄](https://docs.aws.amazon.com/fis/latest/userguide/monitoring-logging.html) 可作為此資料擷取的一部分。
## 資源
**相關的最佳實務:**
+ [REL08-BP03 將彈性測試整合為部署的一部分](rel_tracking_change_management_resiliency_testing.md)
+ [REL13-BP03 測試災難復原實作以驗證實作](rel_planning_for_recovery_dr_tested.md)
**相關文件:**
+ [什麼是 AWS Fault Injection Service?](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html)
+ [什麼是 AWS Resilience Hub?](https://docs.aws.amazon.com/resilience-hub/latest/userguide/what-is.html)
+ [混沌工程的原則](https://principlesofchaos.org/)
+ [混沌工程:規劃您的第一個試驗](https://medium.com/the-cloud-architect/chaos-engineering-part-2-b9c78a9f3dde)
+ [彈性工程:學習接受故障](https://queue.acm.org/detail.cfm?id=2371297)
+ [混沌工程案例](https://github.com/ldomb/ChaosEngineeringPublicStories)
+ [避免分散式系統的備用](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems/)
+ [混沌試驗的金絲雀部署](https://medium.com/the-cloud-architect/chaos-engineering-q-a-how-to-safely-inject-failure-ced26e11b3db)
**相關影片:**
+ [AWS re:Invent 2020:使用混沌工程測試彈性 (ARC316)](https://www.youtube.com/watch?v=OlobVYPkxgg)
+ [AWS re:Invent 2019:透過混沌工程提升彈性 (DOP309-R1)](https://youtu.be/ztiPjey2rfY)
+ [AWS re:Invent 2019:在無伺服器環境中執行混沌工程 (CMY301)](https://www.youtube.com/watch?v=vbyjpMeYitA)
**相關範例:**
+ [Well-Architected 實驗室:第 300 級:測試 Amazon EC2、Amazon RDS 和 Amazon S3 的彈性](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
+ [「AWS 上的混沌工程」實驗室](https://chaos-engineering.workshop.aws/en/)
+ [「將彈性和 Well-Architected 應用程式用於混沌工程」實驗室](https://catalog.us-east-1.prod.workshops.aws/workshops/44e29d0c-6c38-4ef3-8ff3-6d95a51ce5ac/en-US)
+ [「無伺服器混沌」實驗室](https://catalog.us-east-1.prod.workshops.aws/workshops/3015a19d-0e07-4493-9781-6c02a7626c65/en-US/serverless)
+ [「使用 AWS Resilience Hub 測量及改善您的應用程式彈性」實驗室](https://catalog.us-east-1.prod.workshops.aws/workshops/2a54eaaf-51ee-4373-a3da-2bf4e8bb6dd3/en-US/200-labs/1wordpressapplab)
** 相關工具: **
+ [AWS Fault Injection Service](https://aws.amazon.com/fis/)
+ AWS Marketplace: [Gremlin 混沌工程平台](https://aws.amazon.com/marketplace/pp/prodview-tosyg6v5cyney)
+ [Chaos Toolkit](https://chaostoolkit.org/)
+ [Chaos Mesh](https://chaos-mesh.org/)
+ [Litmus](https://litmuschaos.io/)
# REL12-BP06 定期執行演練日
使用演練日定期執行回應事件和失敗的程序,盡可能接近生產環境 (包括在生產環境中),並與實際參與失敗情境的人員共同演練。在演練日當天強制執行措施,以確保生產事件不會影響使用者。
演練日模擬失敗或事件,以測試系統、流程和團隊的回應。目的是實際執行在異常事件發生時團隊將要執行的動作。如此可協助您了解何處有改善空間,並能協助發展組織處理活動的經驗。這些應該定期進行,以便您的團隊建置 *有關如何回應的* 肌肉記憶。
在彈性設計就緒,並已在非生產環境中進行測試之後,演練日就是確保生產中的一切按照計畫運作。演練日,特別是第一個演練日,是一個「全員參與」活動,工程師和操作人員會被告知何時發生,以及會發生什麼情況。執行手冊已就緒。以規定的方式在生產系統中執行模擬事件 (包括可能的失敗事件),並評估影響。如果所有系統都如設計運作,偵測和自我修復將幾乎不會產生影響。不過,如果觀察到負面影響,測試會回復並視需要手動修復工作負載問題 (使用執行手冊)。由於演練日通常會在生產環境中進行,因此應採取所有預防措施,以確保不會對客戶的可用性造成影響。
**常用的反模式:**
+ 記載您的程序,但絕不練習程序。
+ 未在測試練習中納入業務決策者。
**建立此最佳實務的優勢:** 定期進行演練日可確保所有員工在發生實際事件時遵守政策和程序,並驗證這些政策和程序是否適當。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 安排演練日以定期練習您的執行手冊和程序手冊。演練日應納入生產事件發生時參與的每個人:企業擁有者、開發人員、營運人員和事件反應團隊。
+ 執行負載或效能測試,然後執行錯誤注入。
+ 尋找執行手冊上的異常情況,並尋找練習程序手冊的機會。
+ 如果您偏離了執行手冊,應優化執行手冊或更正該行為。如果您練習程序手冊,確定應使用的執行手冊,或建立一個新的執行手冊。
## 資源
**相關文件:**
+ [什麼是 AWS GameDay?](https://aws.amazon.com/gameday/)
**相關影片:**
+ [AWS re:Invent 2019:透過混沌工程提升彈性 (DOP309-R1)](https://youtu.be/ztiPjey2rfY)
**相關範例:**
+ [AWS Well-Architected 實驗室 - 測試彈性](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
# REL 13 您如何規劃災難復原 (DR)?
備妥備份和冗餘工作負載元件是 DR 策略的開始。[RTO 和 RPO 是您還原](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/disaster-recovery-dr-objectives.html) 工作負載的目標。根據業務需求設定這些目標。實作策略以滿足這些目標,考量工作負載資源和資料的位置和功能。發生中斷的可能性和復原成本也是重要因素,可反映為工作負載提供災難復原的商業價值。
**Topics**
+ [REL13-BP01 定義停機和資料遺失的復原目標](rel_planning_for_recovery_objective_defined_recovery.md)
+ [REL13-BP02 使用定義的復原策略來滿足復原目標](rel_planning_for_recovery_disaster_recovery.md)
+ [REL13-BP03 測試災難復原實作以驗證實作](rel_planning_for_recovery_dr_tested.md)
+ [REL13-BP04 管理 DR 站點或區域的組態偏移](rel_planning_for_recovery_config_drift.md)
+ [REL13-BP05 自動化復原](rel_planning_for_recovery_auto_recovery.md)
# REL13-BP01 定義停機和資料遺失的復原目標
工作負載具有復原時間目標 (RTO) 和復原點目標 (RPO)。
*復原時間目標 (RTO)* 是服務中斷與恢復服務之間的最大可接受延遲。這會決定可接受的服務無法使用之時間長度。
*復原點目標 (RPO)* 是自上次資料復原點之後的最大可接受時間長度。這會決定最後一個復原點與服務中斷之間可接受的資料遺失。
在為您的工作負載選取適用的災難復原 (DR) 策略時,RTO 和 RPO 值是重要的考慮因素。這些目標是由企業決定,然後由技術團隊用來選取和實作 DR 策略。
**預期成果:**
每個工作負載都獲指派一個 RTO 和 RPO,其是根據業務影響來定義的。工作負載會指派給預先定義的層級,定義服務可用性和可接受的資料遺失,以及相關聯的 RTO 和 RPO。如果這類分層不可行,則可以根據工作負載以定制方式指派此分層,旨在稍後建立層級。RTO 和 RPO 會在選取工作負載的災難復原策略實作時的主要考量之一。挑選 DR 策略的其他考量是成本限制、工作負載相依性和營運要求。
對於 RTO,了解基於中斷持續時間的影響。它是線性的,還是有非線性的影響?(例如,四個小時後,您關閉了一條生產線,直到下一個輪班開始)。
如下的災難復原方法可以協助您了解工作負載關鍵性與復原目標之間的關係。(請注意,X 軸和 Y 軸的實際值應根據您的組織需求加以自訂)。
![\[圖表:顯示災難復原方法\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/disaster-recovery-matrix.png)
**常用的反模式:**
+ 沒有已定義的復原目標。
+ 選擇任意復原目標。
+ 選擇過於寬鬆且不符合業務目標的復原目標。
+ 不了解關機時間和資料遺失的影響。
+ 選取不切實際的復原目標,例如零時間復原和零資料遺失,這對於您的工作負載組態可能無法實現。
+ 選擇比實際業務目標更嚴格的復原目標。這會被迫進行比工作負載所需更昂貴和更複雜的 DR 實作。
+ 選取的復原目標與工作負載的復原目標不相容。
+ 您的復原目標未考慮法規合規性要求。
+ 已定義工作負載的 RTO 和 RPO,但從未進行測試。
**建立此最佳實務的優勢:** 需以時間和資料損失的復原目標來引導 DR 實作。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
對於給定的工作負載,您必須了解停機時間和資料遺失對您業務的影響。隨著停機時間或資料遺失的增加,影響會大幅地增長,但這種增長形式可能會根據工作負載類型而有所不同。例如,您可以容忍長達一小時的停機時間而影響不大,但在此之後影響會迅速加大。對業務的影響會以多種形式顯現,包括貨幣成本 (例如收益損失)、客戶信任 (以及對信譽的影響)、營運問題 (例如發不出薪資或生產力下降),以及監管風險。使用下列步驟來了解這些影響,並為您的工作負載設定 RTO 和 RPO。
**實作步驟**
1. 確定此工作負載的業務利害關係人,並與他們一起實作這些步驟。工作負載的復原目標是業務決策。然後,技術團隊與業務利害關係人合作,使用這些目標來選取 DR 策略。
**注意**
針對步驟 2 和 3,您可以使用 [實作工作表](#implementation-worksheet)。
1. 收集必要資訊,藉由回答下列問題來做出決策。
1. 對於組織中的工作負載影響,您是否具有關鍵性的類別或層級?
1. 若是,請將此工作負載指派給類別。
1. 若否,請建立這些類別。建立五個或更少的類別,然後縮小每個類別的復原時間目標範圍。範例類別包括:重大、高、中、低。若要了解工作負載如何對應至類別,請考慮工作負載是任務為主、業務為主,還是非業務推動。
1. 根據類別設定工作負載 RTO 和 RPO。一律選擇比進入此步驟所計算的原始值更嚴格的類別 (更低的 RTO 和 RPO)。如果這導致值發生不適當的大變更,則考慮建立一個新類別。
1. 根據這些答案,將 RTO 和 RPO 指派給工作負載。這可以直接完成,也可以透過將工作負載指派給預先定義的服務層來完成。
1. 在工作負載團隊和利害關係人可存取的位置記錄此工作負載的 [災難復原計劃 (DRP)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/business-continuity-plan-bcp.html),這是貴組織業務持續性計劃 (BCP) 的一部分。
1. 記錄 RTO 和 RPO,以及用來決定這些值的資訊。包括用於評估對業務之工作負載影響的策略。
1. 記錄除 RTO 和 RPO 之外的其他指標,您是否正在追蹤或規劃追踨災難復原目標。
1. 建立 DR 策略和執行手冊的詳細資訊時,會將這些資訊新增至此計劃。
1. 藉由在如圖 15 所示的矩陣中查看工作負載的關鍵性,您可以開始建立針對組織定義的預先定義服務層。
1. 在您根據 實作了 DR 策略 (或 DR 策略的概念證明) 之後[REL13-BP02 使用定義的復原策略來滿足復原目標](rel_planning_for_recovery_disaster_recovery.md),請測試此策略以判定工作負載的實際 RTC (復原時間能力) 和 RPC (復原點能力)。如果這些不符合目標復原目標,則可與您的業務利害關係人合作,一起調整這些目標,或可對 DR 策略進行變更以符合目標。
**主要問題**
1. 在對業務產生嚴重影響之前,工作負載可以關閉的時間上限
1. 如果工作負載中斷,請判定每分鐘對業務造成的貨幣成本 (直接財務影響)。
1. 考慮到影響並非總是線性的。一開始影響可能會受到限制,然後在超過關鍵時間點後迅速增加。
1. 在對業務產生嚴重影響之前,可以遺失的資料量上限
1. 考慮將此值用於您最關鍵的資料存放區。識別其他資料存放區的各自關鍵性。
1. 如果遺失工作負載資料,可以重建嗎? 如果在操作上這樣做比備份和還原更容易,則根據用來重建工作負載資料之來源資料的關鍵性來選擇 RPO。
1. 依賴下游游相依性的工作負載或依賴上游相依性的工作負載,其復原目標和可用性期望是什麼?
1. 選擇可讓此工作負載符合上游相依性要求的復原目標
1. 鑑於下游相依性的復原能力,選擇可實現的復原目標。可以執行非關鍵的下游相依性 (您可以「解決」的相依性)。或者,使用關鍵的下游相依性,在必要時改善其復原能力。
**其他問題**
考慮這些問題,以及它們如何套用至這個工作負載:
1. 您是否有不同的 RTO 和 RPO,取決於中斷的類型 (區域與可用區域等)?
1. 您的 RTO/RPO 是否會在特定時間 (季節性、銷售活動、產品發佈) 發生變化? 若是,有什麼不同的測量和時間界限?
1. 如果工作負載中斷,有多少客戶會受到影響?
1. 如果工作負載中斷,對信譽有何影響?
1. 如果工作負載中斷,可能會發生哪些其他營運影響? 例如,如果電子郵件系統無法使用,或如果薪資系統無法提交交易,則會影響員工的生產力。
1. 工作負載 RTO 和 RPO 如何與業務線和組織 DR 策略保持一致?
1. 是否有提供服務的內部合約義務? 未符合它們時會受到處罰嗎?
1. 資料的法規或合規限制是什麼?
## 實作工作表
您可以將此工作表用於實作步驟 2 和 3。您可以調整此工作表以滿足您的特定需求,例如新增其他問題。
![\[工作表\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/worksheet.png)
**實作計劃的工作量: **低
## 資源
**相關的最佳實務:**
+ [REL09-BP04 定期執行資料復原以驗證備份的完整性和程序](rel_backing_up_data_periodic_recovery_testing_data.md)
+ [REL13-BP02 使用定義的復原策略來滿足復原目標](rel_planning_for_recovery_disaster_recovery.md)
+ [REL13-BP03 測試災難復原實作以驗證實作](rel_planning_for_recovery_dr_tested.md)
**相關文件:**
+ [AWS 架構部落格:災難復原系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS 上工作負載的災難復原:在雲端中復原 (AWS 白皮書)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [使用 AWS Resilience Hub 管理彈性政策](https://docs.aws.amazon.com/resilience-hub/latest/userguide/resiliency-policies.html)
+ [APN 合作夥伴:可以幫助災難復原的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS Marketplace:可用於災難復原的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
**相關影片:**
+ [AWS re:Invent 2018:適用於多區域主動-主動應用程式的架構模式 (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [AWS 上工作負載的災難復原](https://www.youtube.com/watch?v=cJZw5mrxryA)
# REL13-BP02 使用定義的復原策略來滿足復原目標
定義一個符合工作負載復原目標的災難復原 (DR) 策略。選擇如下策略:備份與還原;待命 (主動/被動);或是主動/主動。
如果您的主要位置變成無法執行工作負載,則災難復原策略會依賴在復原站點中支持您工作負載的能力。最常見的復原目標為 RTO 和 RPO,其討論在 [REL13-BP01 定義停機和資料遺失的復原目標](rel_planning_for_recovery_objective_defined_recovery.md)。
單一 AWS 區域 內跨多個可用區域 (AZ) 的 DR 策略可以緩解火災、洪水和重大停電等災難事件。如果需要實作保護,以防範阻止您的工作負載在給定 AWS 區域 中執行且不太可能發生的事件,您可以使用一個使用多個區域的 DR 策略。
在跨多個區域架構 DR 策略時,您應該選擇下列其中一個策略。這些策略按成本和複雜度遞增的順序列出,以及按 RTO 和 RPO 的遞減順序列出。 *復原區域* 稱為 AWS 區域,而不是用於工作負載的主要區域。
![\[圖表:顯示 DR 策略\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/disaster-recovery-strategies.png)
+ **備份與恢復** (RPO 幾小時,RTO 24 小時以內):將您的資料和應用程式備份至復原區域。使用自動或連續備份將啟用時間點復原,在某些情況下可以將 RPO 降低至 5 分鐘。如果發生災難,您將部署您的基礎設施 (使用基礎設施架構即程式碼來減少 RTO)、部署您的程式碼,並還原備份的資料以從復原區域中的災難中復原。
+ **指示燈** (RPO 幾分鐘,RTO 幾十分鐘):在復原區域中佈建核心工作負載基礎設施的副本。將您的資料複寫到復原區域並在該處建立其備份。支援資料複寫和備份所需的資源 (例如資料庫和物件儲存) 始終處於開啟狀態。其他元素 (例如應用程式伺服器或無伺服器運算) 未部署,但可在需要時使用必要的組態和應用程式碼建立。
+ **暖待命** (RPO 幾秒鐘,RTO 幾分鐘):維持工作負載的縮減但完整功能版本,該工作負載始終在復原區域中執行。業務關鍵系統會完全複製且持續開啟,但叢集會縮小。資料會被複寫並存在於復原區域中。當需要復原時,系統會迅速擴展以處理生產負載。熱待命的縱向擴增越多,對 RTO 和控制平面的依賴就越低。完全擴展時,稱之為 **熱待命**。
+ **多區域 (多站點) 主動-主動** (RPO 近乎零,RTO 可能為零) 您的工作負載會部署至多個 AWS 區域,並主動處理來自多個 AWS 區域 的流量。此策略需要您跨區域同步資料。必須避免或處理在兩個不同區域複本中寫入同一記錄所引起的可能衝突,這可能很複雜。資料複寫對於資料同步很有用,而且可以保護您防範某些類型的災難,但它不能保護您防範資料損毀或破壞,除非您的解決方案也包括時間點復原的選項。
**注意**
指示燈和暖待命之間的差異有時可能很難理解。這兩者都在您的復原區域中包含一個環境,其中具有主要區域資產的副本。區別在於,若未先採取額外動作,指示燈無法處理請求,而暖待命可以立即處理流量 (容量層級降低)。指示燈將需要您開啟伺服器,可能會部署額外 (非核心) 基礎設施並縱向擴展,而暖待命只需要您縱向擴展 (一切都已部署並執行中)。根據您的 RTO 和 RPO 需求在這兩者之間進行選擇。
**預期成果:**
對於每個工作負載,都有一個已定義和實作的 DR 策略,讓該工作負載能夠實現 DR 目標。工作負載之間的 DR 策略會利用可重複使用模式 (例如上述策略)。
**常用的反模式:**
+ 針對具有類似 DR 目標的工作負載實作不一致的復原程序。
+ 災難發生時臨時實作 DR 策略。
+ 沒有 DR 計劃。
+ 復原期間依賴控制平面操作。
**建立此最佳實務的優勢:**
+ 使用定義的復原策略可讓您使用常用的工具和測試程序。
+ 使用定義的復原策略可讓您更有效地在團隊之間分享知識,並更輕鬆地在他們擁有的工作負載上實作 DR。
**若未建立此最佳實務,暴露的風險等級為:** 高
+ 若沒有事先規劃、實作和測試災難復原策略,您就不可能在發生災難時實現復原目標。
## 實作指引
對於其中每一個步驟,請參閱下列詳細資訊。
1. 確定將滿足此工作負載之復原要求的 DR 策略。
1. 審查如何實作所選 DR 策略的模式。
1. 評估工作負載的資源,以及在容錯移轉之前 (在正常操作期間) 其哪個組態將位於復原區域中。
1. 確定並實作如何在需要時 (在災難事件期間) 使您的復原區域為容錯移轉做好準備。
1. 確定並實作如何在需要時 (在災難事件期間) 將流量路由至容錯移轉。
1. 設計您的工作負載將如何復原的計劃。
**實作步驟**
1. **確定將滿足此工作負載之復原要求的 DR 策略。**
選擇 DR 策略是在減少停機時間和資料遺失 (RTO 和 RPO) 與實作策略的成本和復雜性之間進行取捨。您應該避免實作比其所需更嚴格的策略,因為這會產生不必要的成本。
例如,在下圖中,企業已確定其最大允許的 RTO 以及其可以在服務還原策略上花費的限制。鑑於業務目標,DR 策略指示燈或暖待命將同時滿足 RTO 和成本準則。
![\[圖形:顯示根據 RTO 和成本選擇 DR 策略\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/choosing-a-dr-strategy.png)
若要深入了解,請參閱 [業務持續性計劃 (BCP)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/business-continuity-plan-bcp.html)。
1. **審查如何實作所選 DR 策略的模式。**
此步驟在於了解您將如何實作所選策略。使用 AWS 區域 做為主要站點和復原站點來解釋這些策略。不過,您也可以選擇使用單一區域內的可用區域,做為您的 DR 策略,這會利用其中多個策略的元素。
在此步驟之後的後續步驟中,您會將此策略套用至您的特定工作負載。
**備份與恢復**
*備份與恢復* 是最不複雜的實作策略,但需要更多時間和精力來還原工作負載,從而導致更高的 RTO 和 RPO。始終對資料進行備份並將其複製到另一個站點 (例如另一個 AWS 區域) 是一種很好的做法。
![\[圖表:顯示備份和還原架構\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/backup-restore-architecture.png)
如需此策略的詳細資訊,請參閱 [AWS 上的災難復原 (DR) 架構,第 II 部分:具有快速復原的備份和還原](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-ii-backup-and-restore-with-rapid-recovery/)。
**指示燈**
使用 *指示燈* 方法,您可以將資料從主要區域複寫至復原區域。用於工作負載基礎設施的核心資源會部署在復原區域中,不過,仍需要額外的資源和任何相依性,才能使其成為功能堆疊。例如,在圖 20 中,未部署任何運算執行個體。
![\[圖表:顯示指示燈架構\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/pilot-light-architecture.png)
如需此策略的詳細資訊,請參閱 [AWS 上的災難復原 (DR) 架構,第 III 部分:指示燈和暖待命](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/)。
**暖待命**
AWS Well-Architected *基礎架構* 方法涉及確保在另一個區域中有一個縮減規模,但功能完全的生產環境副本。這種方法擴充了指示燈概念並減少了復原時間,因為您的工作負載始終在另一個區域中開啟。如果部署完整容量的復原區域,這稱為 *熱待命*。
![\[顯示圖 21 的圖表:暖待命架構\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/warm-standby-architecture.png)
使用暖待命或指示燈需要縱向擴展復原區域中的資源。若要確保需要時容量可用,請考慮針對 [EC2 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html) 使用容量保留。如果使用 AWS Lambda,則 [佈建的並行](https://docs.aws.amazon.com/lambda/latest/dg/provisioned-concurrency.html) 可以確保執行環境,以便它們準備好立即回應您的函數叫用。
如需此策略的詳細資訊,請參閱 [AWS 上的災難復原 (DR) 架構,第 III 部分:指示燈和暖待命](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/)。
**多站點主動/主動**
您可以同時在多個區域中執行工作負載,做為 *多站點主動/主動* 策略。多站點主動/主動會為來自其部署至的所有區域的流量提供服務。基於 DR 以外的理由,客戶可能會選取此策略。它可以用來提高可用性,或在將工作負載部署至全球對象 (使端點更靠近使用者和/或將本地化的堆疊部署到該區域的對象) 時使用它。作為 DR 策略,如果工作負載無法在其部署至的其中一個 AWS 區域中得到支援,則會撤離該區域,而其餘區域則會用來維護可用性。多站點主動/主動是災難復原策略中操作最複雜的策略,因此只有在業務要求有此需要時才應選取它。
![\[圖表:顯示多站點主動/主動架構\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/multi-site-active-active-architecture.png)
如需此策略的詳細資訊,請參閱 [AWS 上的災難復原 (DR) 架構,第 IV 部分:多站點主動/主動](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iv-multi-site-active-active/)。
**其他保護資料的做法**
使用所有策略時,您還必須緩解資料災難。持續資料複寫可以保護您防範某些類型的災難,但它不能保護您防範資料損毀或破壞,除非您的策略也包括所存放資料的版本控制,或時間點復原的選項。除了複本之外,您還必須備份復原站點中的複寫資料,以建立時間點備份。
**在單一 AWS 區域 內使用多個可用區域 (AZ)**
在單一區域內使用多個 AZ 時,您的 DR 實作會使用上述策略的多個元素。首先,您必須建立高可用性 (HA) 架構,使用多個 AZ,如圖 23 所示。此架構會利用多站點主動/主動方法,因為 [Amazon EC2 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-availability-zones) 和 [Elastic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#availability-zones) 已在多個 AZ 中部署資源,主動處理請求。架構也會示範熱待命,其中如果主要 [Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html) 執行個體失敗 (或 AZ 本身失敗),則待命執行個體會提升至主要執行個體。
![\[顯示圖 23 的圖表:異地同步備份架構\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/multi-az-architecture2.png)
除了這種 HA 架構之外,您還需要新增執行工作負載所需之所有資料的備份。這對於受制於單一區域的資料尤其重要,例如 [Amazon EBS 磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volumes.html) 或 [Amazon Redshift 叢集](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html)。如果 AZ 失敗,您需要將此資料還原至另一個 AZ。可能的話,您也應該將資料備份複製到另一個 AWS 區域,做為額外的保護層。
下列部落格文章中描述了一種不太常見的單一區域替代方法 (異地同步備份 DR): [使用 Amazon Route 53 應用程式復原控制器建置高彈性應用程式,第 1 部分:單一區域堆疊](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/)。在這裡,策略是盡可能地在 AZ 之間保持隔離,就像區域的操作方式一樣。使用這種替代策略,您可以選擇主動/主動或主動/被動方法。
注意:某些工作負載具有法規資料落地要求。如果在目前只有一個 AWS 區域的區域性中,這適用於您的工作負載,則多區域將不適合您的業務需求。異地同步備份策略提供良好的保護,可防範大部分災難。
1. **評估工作負載的資源,以及在容錯移轉之前 (在正常操作期間) 其哪個組態將位於復原區域中。**
對於基礎設施和 AWS 資源,使用基礎設施即程式碼,例如 [AWS CloudFormation](https://aws.amazon.com/cloudformation) ,或使用第三方工具,例如 Hashicorp Terraform。若要使用單一作業跨多個帳戶和區域進行部署,您可以使用 [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。對於多站點主動/主動和熱待命策略,您的復原區域中部署的基礎設施具有與您主要區域相同的資源。對於指示燈和暖待命策略,部署的基礎設施將需要額外的動作,才能為生產做好準備。使用 CloudFormation [參數](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html) 和 [條件式邏輯](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-conditions.html),您可以使用單一範本控制部署的堆疊是主動還是待命。這類 CloudFormation 範本的範例包含在 [這篇部落格文章](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/)。
所有 DR 策略都要求在 AWS 區域內備份資料來源,然後將這些備份複製到復原區域。[AWS Backup](https://aws.amazon.com/backup/) 提供了一個集中檢視,您可以在其中設定、排定和監控這些資源的備份。對於指示燈、暖待命和多站點主動/主動,您還應該將資料從主要區域複寫到復原區域中的資料資源,例如 [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds) 資料庫執行個體或 [Amazon DynamoDB](https://aws.amazon.com/dynamodb) 資料表。因此,這些資料資源是即時的,而且可以為復原區域中的請求提供服務。
若要深入了解 AWS 服務如何跨區域操作,請參閱此部落格系列,其位於 [使用 AWS Services 建立多區域應用程式](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)。
1. **確定並實作如何在需要時 (在災難事件期間) 使您的復原區域為容錯移轉做好準備。**
對於多站點主動/主動,容錯移轉意味著撤離一個區域,並依賴剩餘的主 動區域。通常,這些區域已準備好接受流量。對於指示燈和暖待命策略,您的復原動作將需要部署遺漏的資源,例如圖 20 中的 EC2 執行個體,以及任何其他遺漏的資源。
對於上述所有策略,您可能需要提升資料庫的唯讀執行個體,以變成主要讀取/寫入執行個體。
對於備份和還原,從備份還原資料會為該資料建立資源,例如 EBS 磁碟區、RDS 資料庫執行個體和 DynamoDB 資料表。您也需要還原基礎設施和部署程式碼。您可以使用 AWS Backup,還原復原區域中的資料。請參閱 [REL09-BP01 識別並備份所有需要備份的資料,或從來源複製資料](rel_backing_up_data_identified_backups_data.md) 以取得詳細資訊。重建基礎設施包括建立 EC2 執行個體之類的資源,還有 [Amazon Virtual Private Cloud (Amazon VPC))](https://aws.amazon.com/vpc)、子網路,以及所需的安全群組。您可以將大部分還原程序自動化。若要了解做法,請參閱 [這篇部落格文章](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-ii-backup-and-restore-with-rapid-recovery/)。
1. **確定並實作如何在需要時 (在災難事件期間) 將流量路由至容錯移轉。**
此容錯移轉作業可以自動或手動啟動。應謹慎使用根據運作狀態檢查或警示自動啟動的容錯移轉,因為不必要的容錯移轉 (誤報) 會產生非可用性和資料遺失等成本。因此通常使用手動啟動的容錯移轉。在此情況下,您仍應將容錯移轉的步驟自動化,讓手動啟動就像按下按鈕一樣簡易。
使用 AWS 服務時,有數個流量管理選項需要考慮。其中一個選項是使用 [Amazon Route 53](https://aws.amazon.com/route53)。使用 Amazon Route 53,您可以將一個或多個 AWS 區域中的 IP 端節與一個 Route 53 網域名稱建立關聯。若要實作手動啟動的容錯移轉,您可以使用 [Amazon Route 53 應用程式復原控制器](https://aws.amazon.com/route53/application-recovery-controller/),其會提供一個高度可用的資料平面 API,將流量重新路由到復原區域。實作容錯移轉時,使用資料平面作業並避免控制平面作業,其描述在 [REL11-BP04 復原期間需使用資料平面,而非控制平面](rel_withstand_component_failures_avoid_control_plane.md)。
若要深入了解這個和其他選項,請參閱 [災難復原白皮書的這一節](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html#pilot-light)。
1. **設計您的工作負載將如何復原的計劃。**
復原是指在災難事件減弱後將工作負載操作回復到主要區域。將基礎設施和程式碼佈建到主要區域通常遵循最初使用的相同步驟,依賴基礎設施即程式碼和程式碼部署管道。復原的挑戰是還原資料存放區,並確保它們與操作中的復原區域保持一致。
在容錯移轉狀態下,復原區域中的資料庫是即時的並具有最新資料。後續目標是從復原區域重新同步到主要區域,確保它是最新的。
有些 AWS 服務將會自動執行此動作。如果使用 [Amazon DynamoDB 全域資料表](https://aws.amazon.com/dynamodb/global-tables/),即使主要區域中的資料表變成無法可用,則當它重新上線時,DynamoDB 仍會繼續傳播任何擱置的寫入。如果使用 [Amazon Aurora 全球資料庫](https://aws.amazon.com/rds/aurora/global-database/) 和使用 [受管規劃容錯移轉](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-disaster-recovery.managed-failover),則會維護 Aurora 全球資料庫的現有複寫拓撲。因此,主要區域中先前的讀取/寫入執行個體將成為複本,並從復原區域中接收更新。
如果這不是自動的,您將需要在主要區域中重建資料庫,做為復原區域中資料庫的複本。在許多情況下,這將涉及刪除舊的主要資料庫並建立新的複本。例如,如需如何在假設非計劃容錯移轉的情況下使用 Amazon Aurora *全球資料庫* 執行此動作的指示,請參閱此實驗室: [復原全球資料庫](https://awsauroralabsmy.com/global/failback/)。
容錯移轉後,如果您可以繼續在復原區域中執行,請考慮使其成為新的主要區域。您仍會執行上述所有步驟,使先前的主要區域成為復原區域。有些組織會執行排程輪換,定期 (例如每三個月) 交換其主要區域和復原區域。
容錯移轉和復原所需的所有步驟都應保持在可供所有團隊成員使用的程序手冊中,並定期進行審查。
**實作計劃的工作量**:高
## 資源
**相關的最佳實務:**
+ [REL09-BP01 識別並備份所有需要備份的資料,或從來源複製資料](rel_backing_up_data_identified_backups_data.md)
+ [REL11-BP04 復原期間需使用資料平面,而非控制平面](rel_withstand_component_failures_avoid_control_plane.md)
+ [REL13-BP01 定義停機和資料遺失的復原目標](rel_planning_for_recovery_objective_defined_recovery.md)
**相關文件:**
+ [AWS 架構部落格:災難復原系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS 上工作負載的災難復原:在雲端中復原 (AWS 白皮書)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [雲端中的災難復原選項](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html)
+ [一小時建置無伺服器的多區域、主動-主動後端解決方案](https://read.acloud.guru/building-a-serverless-multi-region-active-active-backend-36f28bed4ecf)
+ [多區域無伺服器後端 - 重新載入](https://medium.com/@adhorn/multi-region-serverless-backend-reloaded-1b887bc615c0)
+ [RDS:跨區域複寫僅供讀取複本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html#USER_ReadRepl.XRgn)
+ [Route 53:設定 DNS 備援](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-configuring.html)
+ [S3:跨區域複寫](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html)
+ [什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [什麼是 Route 53 應用程式復原控制器?](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html)
+ [AWS 彈性災難復原](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [HashiCorp Terraform:入門 - AWS](https://learn.hashicorp.com/collections/terraform/aws-get-started)
+ [APN 合作夥伴:可以幫助災難復原的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS Marketplace:可用於災難復原的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
**相關影片:**
+ [AWS 上工作負載的災難復原](https://www.youtube.com/watch?v=cJZw5mrxryA)
+ [AWS re:Invent 2018:適用於多區域主動-主動應用程式的架構模式 (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [AWS 彈性災難復原入門 \$1 Amazon Web Services](https://www.youtube.com/watch?v=GAMUCIJR5as)
**相關範例:**
+ [AWS Well-Architected 實驗室 - 災難復原](https://wellarchitectedlabs.com/reliability/disaster-recovery/) - 說明 DR 系列的研討會系列
# REL13-BP03 測試災難復原實作以驗證實作
定期測試容錯移轉到您的復原站點以確保正常操作,並符合 RTO 和 RPO。
要避免的模式是:開發鮮少執行的復原路徑。例如,您可能有一個次要資料存放區,只供唯讀查詢之用。當您寫入資料存放區而主資料存放區發生故障時,您可能需要容錯移轉到次要資料存放區。如果您不經常測試此容錯移轉,則可能會發現您對次要資料存放區的功能的假設不正確。次要資料存放區的容量 (在您上次測試時可能已經足夠) 在這種情況下可能無法再容忍負載。我們的經驗顯示,唯一能發揮功用的錯誤復原,是您經常測試的路徑。因此,最好擁有少量的復原路徑。您可建立復原模式,並定期進行測試。若擁有複雜或關鍵復原路徑,您還是需要定期在生產環境中執行該故障,說服自己該復原路徑能發揮功用。在我們剛剛討論的範例中,無論是否需要,您都應定期容錯移轉到備用資料庫。
**常用的反模式:**
+ 切勿在生產環境中執行容錯移轉。
**建立此最佳實務的優勢:** 定期測試您的災難復原計畫,可確保該計畫能在需要時運作,也能讓您的團隊知道如何執行策略。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 為復原設計您的工作負載。定期測試您的復原路徑:復原導向運算 (ROC) 可識別系統中能增強復原能力的特性。這些特性包括:隔離和冗餘,系統範圍內的回復變更能力,監控和確定運行狀態的能力,提供診斷、自動復原和模組化設計的能力,以及重新啟動的能力。練習復原路徑,以確保您可以在指定時間內完成復原到指定狀態。在復原過程中使用您的執行手冊,以記錄問題並在下一次測試前找出其解決方案。
+ [柏克萊加州大學/史丹佛大學復原導向的運算專案](http://roc.cs.berkeley.edu/)
+ 使用 CloudEndure Disaster Recovery 實作和測試您的 DR 策略。
+ [透過 CloudEndure 測試災難復原解決方案](https://docs.cloudendure.com/Content/Configuring_and_Running_Disaster_Recovery/Testing_the_Distaster_Recovery_Solution/Testing_the_Disaster_Recovery_Solution.htm)
+ [CloudEndure Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
+ [AWS 的 CloudEndure Disaster Recovery](https://aws.amazon.com/marketplace/pp/B07XQNF22L)
## 資源
**相關文件:**
+ [APN 合作夥伴:可以幫助災難復原的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS 架構部落格:災難復原系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS Marketplace:可用於災難復原的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [CloudEndure Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
+ [AWS 上工作負載的災難復原:在雲端中復原 (AWS 白皮書)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [透過 CloudEndure 測試災難復原解決方案](https://docs.cloudendure.com/Content/Configuring_and_Running_Disaster_Recovery/Testing_the_Distaster_Recovery_Solution/Testing_the_Disaster_Recovery_Solution.htm)
+ [柏克萊加州大學/史丹佛大學復原導向的運算專案](http://roc.cs.berkeley.edu/)
+ [什麼是 AWS Fault Injection Simulator?](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html)
**相關影片:**
+ [AWS re:Invent 2018:適用於多區域主動-主動應用程式的架構模式 (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [AWS re:Invent 2019:使用 AWS 的備份與還原和災難復原解決方案 (STG208)](https://youtu.be/7gNXfo5HZN8)
**相關範例:**
+ [AWS Well-Architected 實驗室 - 測試彈性](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
# REL13-BP04 管理 DR 站點或區域的組態偏移
確保根據需要在 DR 站點或區域提供基礎設施、資料和組態。例如,檢查 AMI 和服務配額是否為最新版本。
AWS Config 會持續監控和記錄 AWS 資源組態。它可以偵測偏移,並觸發 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 修正並引發警示。AWS CloudFormation 可額外偵測您已部署之堆疊中的偏移。
**常用的反模式:**
+ 當您在主要位置進行組態或基礎設施變更時,無法在復原位置進行更新。
+ 未考量主要和復原位置中潛在的限制 (例如服務差異)。
**建立此最佳實務的優勢:** 確保 DR 環境與現有環境一致,便可保證完整復原。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 確保您的交付管道同時交付到主要站點和備份站點。用於將應用程式部署到生產中的交付管道,應分發到所有指定的災難復原策略位置,包括開發和測試環境。
+ 啟用 AWS Config 追蹤潛在的偏移位置。使用 AWS Config 規則建立系統,以執行災難復原策略,並在發現偏移時產生提醒。
+ [依 AWS Config 規則 修補不合規的 AWS 資源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ 使用 AWS CloudFormation 偵測您的基礎設施。AWS CloudFormation 可以偵測 CloudFormation 範本指定項目與實際部署項目之間的偏移。
+ [AWS CloudFormation:在整個 CloudFormation 堆疊上偵測偏移](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/detect-drift-stack.html)
## 資源
**相關文件:**
+ [APN 合作夥伴:可以幫助災難復原的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS 架構部落格:災難復原系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS CloudFormation:在整個 CloudFormation 堆疊上偵測偏移](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/detect-drift-stack.html)
+ [AWS Marketplace:可用於災難復原的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS 上工作負載的災難復原:在雲端中復原 (AWS 白皮書)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [如何在 AWS 上實作基礎設施組態管理解決方案?](https://aws.amazon.com/answers/configuration-management/aws-infrastructure-configuration-management/?ref=wellarchitected)
+ [依 AWS Config 規則 修補不合規的 AWS 資源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
**相關影片:**
+ [AWS re:Invent 2018:適用於多區域主動-主動應用程式的架構模式 (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
# REL13-BP05 自動化復原
使用 AWS 或第三方工具自動化系統復原,並將流量路由到 DR 站點或區域。
根據設定的運作狀態檢查,Elastic Load Balancing 和 AWS Auto Scaling 等 AWS 服務可將負載分散到運作狀態良好的可用區域,而 Amazon Route 5、AWS 和 Global Accelerator 等服務則可將負載路由到運作狀態良好的 AWS 區域。Amazon Route 53 應用程式復原控制器可協助您使用準備度檢查和路由控制功能,來管理和協調容錯移轉。這些功能會持續監控應用程式從失敗中復原的功能,以便您跨多個 AWS 區域、可用區域和內部部署來控制應用程式復原。
對於現有實體或虛擬資料中心或私有雲端上的工作負載, [AWS 彈性災難復原](https://aws.amazon.com/cloudendure-disaster-recovery/)(可透過 AWS Marketplace 取得) 可讓組織設定 AWS 的自動化災難復原策略。CloudEndure 也支援 AWS 中的跨區域/跨可用區域災難復原。
**常用的反模式:**
+ 實作相同的自動化容錯移轉和容錯回復會在失敗發生時導致翻動。
**建立此最佳實務的優勢:** 自動化復原可以消除手動錯誤的機會,減少您的復原時間。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
+ 自動化復原路徑。若復原時間較短,則人為判斷和行動無法用於可用性高的方案。系統應在每種情況下都能自動復原。
+ 使用 CloudEndure Disaster Recovery 進行自動化容錯移轉和容錯回復:CloudEndure Disaster Recovery 會持續將您的機器 (包括作業系統、系統狀態組態、資料庫、應用程式和檔案) 複寫至您的目標 AWS 帳戶和慣用區域中的低成本階段區域。發生災難時,您可以指示 CloudEndure Disaster Recovery 在數分鐘內自動啟動處於完全佈建狀態的數千部機器。
+ [執行災難復原容錯移轉和退回](https://docs.cloudendure.com/Content/Configuring_and_Running_Disaster_Recovery/Performing_a_Disaster_Recovery_Failover/Performing_a_Disaster_Recovery_Failover.htm)
+ [CloudEndure Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
## 資源
**相關文件:**
+ [APN 合作夥伴:可以幫助災難復原的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS 架構部落格:災難復原系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS Marketplace:可用於災難復原的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS 的 CloudEndure Disaster Recovery](https://aws.amazon.com/marketplace/pp/B07XQNF22L)
+ [AWS 上工作負載的災難復原:在雲端中復原 (AWS 白皮書)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
**相關影片:**
+ [AWS re:Invent 2018:適用於多區域主動-主動應用程式的架構模式 (ARC209-R2)](https://youtu.be/2e29I3dA8o4)