Dieser Blogartikel ist der Auftakt zu einer Blog-Reihe, die sich mit den System Management-Tools von AWS befasst. Neben dem AWS Systems Manager, welcher in diesem Beitrag beschrieben wird, folgen weitere Artikel zu AWS Config, AWS Organizations und AWS CloudWatch.
Cloud-Umgebungen (wie natürlich auch Rechenzentrumsumgebungen) neigen dazu, groß und unübersichtlich zu werden. Eine Testumgebung hier und ein kleiner Toolserver dort sind schnell bereitgestellt, und so wachsen Cloud-Umgebungen schnell unkontrolliert an.
Schön wäre es, wenn es eine Möglichkeit gäbe, solche Umgebungen auf Sicherheit, Resilienz und Compliance zu überwachen und notwendige Änderungen an der Umgebung automatisiert durchführen zu können, ohne erst eine komplexe Software hierfür ausrollen zu müssen.
AWS stellt für solche Zwecke ein ganzes Set an Services zur Verfügung, welche helfen, den Lebenszyklus der AWS-Umgebung zentral zu überwachen. „AWS Systems Manager“ dient dabei als zentrale Applikation für das Lifecycle Management einer Cloud oder On Premise-Umgebung. Der Service „AWS Config“ überprüft die Compliance bzw. die Konformität der deployten Systeme mit Unternehmensrichtlinien. Da der Systems Manager häufig Querverweise zu AWS Config enthält, ist es sinnhaft, beide Tools frühzeitig einzuführen. Dies ist relativ schnell und unkompliziert erledigt.
Was kann der AWS Systems Manager
Die Grafik zeigt, wie mächtig das Werkzeug ist: Mittels Systems Manager können nicht nur Ressourcen in AWS inventarisiert und zeitgesteuert gestartet und gestoppt werden, sondern Systeme können auch automatisiert gepatcht werden (Patch Manager). Es lassen sich Fernzugriffe koordinieren, Runbooks auf Systeme anwenden (z.B. für Systemausfälle und Fehlfunktionen) und Laufzeit-Statistiken erstellen und auswerten. Dabei ist der Systems Manager nicht nur auf den aktuellen AWS-Account beschränkt. Für das Management von hybriden (also Cloud- und OnPrem-) Umgebungen können mittels des Fleed-Managers auch Ressourcen in anderen Clouds und sogar in lokalen Rechenzentren eingebunden werden. Die Verwaltung von AWS Edge Devices und sogar lokalen Servern ist damit möglich. So wächst der System Manager zu einer zentralen Service Management Plattform. Ein ausgefeiltes Change-Management mit ITIL-konformen Genehmigungsprozessen rundet die Funktionalität ab. Changes an Systemen können geplant, genehmigt und automatisiert ausgerollt werden.
Wie funktioniert der Rollout
Der AWS Systems Manager ist in der AWS Console über das Menü „Management & Governance“ oder über die Suchleiste zu finden. Ist noch keine Umgebung definiert, lässt sich über das Quick Setup sehr schnell eine Grundkonfiguration vornehmen. Die notwendigen IAM-Rollen werden damit ebenso erstellt wie Regeln für CloudWatch oder die Protokollierung Amazon S3.
Die Nutzung des AWS Systems Managers ist relativ „straight forward“. Über das Quick Setup werden die notwendigen Rollen und Funktionen einfach bereitgestellt. Meist werden die erforderlichen Änderungen nach ein oder zwei Konfigurationsseiten und Klick auf „Fertigstellen“ bereitgestellt. Danach wird das Inventory der aktuellen Umgebung angezeigt und erste Betriebswerte generiert. Tiefergehende Kenntnisse in AWS sind wertvoll, an dieser Stelle aber nicht zwingend erforderlich. Ein nachträglicher Review der vergebenen Rechte von Rollen bietet sich aber an.
Einen guten Anfang, um überhaupt einen Überblick über die bereitgestellten Ressourcen in AWS zu erhalten, stellt die Nutzung des „Host Managements“ dar. Anschließend kann über AWS Config die Überwachung der Konformität mit Unternehmens-Richtlinien sichergestellt werden. Laufzeit-Statistiken spiegeln die Effizienz und die Verfügbarkeit der ausgerollten Instanzen wider. Ausgehend von diesem Punkt können auch die weiteren Bestandteile wie der Change Manager und Patch Manager in Betrieb genommen werden.
Für die Nutzung von AWS Systems Manager fallen zum Teil Kosten an, welche am besten vorab mit dem AWS Pricing Calculator geschätzt werden. Gerne beraten wir Sie bei der Auswahl der richtigen Parameter.
Fazit
AWS Systems Manager stellt eine gute Option für Kunden dar, die noch keine Cloud-fähige System Management-Lösung im Portfolio haben und schnell und relativ kostengünstig den Lifecycle ihrer Cloud-Umgebung überwachen und steuern wollen.
Weitere Beiträge unserer Blogserie zu den System-Management-Tools von AWS:
Teil 2 – Compliance in der AWS-Cloud überwachen mit AWS Config
Teil 3 – Accounts strukturieren mit AWS Organizations
Teil 4 – Container erfolgreich überwachen mit AWS CloudWatch
