Verwaiste AWS-Ressourcen auffinden Tipps und Tricks zur AWS-Cloud

Einmal provisioniert, für immer vergessen? (Viel zu) viele Cloud-Ressourcen fristen unnütz ihr überflüssiges Schattendasein. Wer den Stecker ziehen will, braucht Durchblick. Einfach abschalten geht aber nicht. Doch das mit dem Durchblick lässt sich einrichten.

In der AWS-Cloud schafft bereits die schiere Vielfalt der mittlerweile kaum noch überschaubaren Dienste Anlass zur Verwirrung. Fragmentiert und hochspezialisiert, aber nicht überscheidungsfrei, greifen sie zum Teil wild ineinander. Dennoch gibt es einen Hoffnungsschimmer: einige fragmentierte und hochspezialisierte AWS-Dienste, die eben Durchblick schaffen sollen (was sonst).

AWS-Nutzer können eigentlich bereits mit Hilfe der AWS-Befehlszeilenschnittstelle oder der AWS-API alle Ressourcen auflisten. Doch ein wenig Wissen ist eine gefährliche Sache. Ein Fehlgriff bei der übereifrigen Ressourcenfreigabe kann für die übrige Bereitstellung – sogar in verwandten AWS-Konten der Organisation und bei den Nutzern der Arbeitslasten – ganz schön nach hinten losgehen. Denn die Kunst besteht ja eigentlich nicht darin, den Gürtel auf Biegen und Brechen enger zu schnallen, sondern vielmehr darin, Kosten zu senken, ohne „kaputtzusparen“.

Die eigentliche Aufgabe besteht darin, erst einmal herauszubekommen, welche der scheinbar überflüssigen Infrastrukturelemente und welche sonstigen Dienste keine Existenzberechtigung mehr haben. Die Zusammenhänge sind selten offensichtlich. Dienste wie AWS Config oder AWS Trusted Advisor können Abhilfe schaffen.

Mit AWS Config zur eisernen Cloud-Disziplin

AWS Config zählt zu den leistungsstärksten Hilfsmitteln, wenn es darum geht, AWS-Ressourcen in den Griff zu bekommen und fortan im Zaum zu halten. Mit AWS Config können Cloud-Ressourcen niemals „aus der Reihe tanzen“: Der Dienst wird eine überwachte Bereitstellung automatisch zurechttrimmen.

Wenn Sie AWS Config mithilfe der Konsole oder der AWS-CLI einrichten, startet der Service einen sogenannten Configuration Recorder. Dieser durchsucht die unterstützten AWS-Ressourcen in Ihrem Konto und erstellt für jede einzelne ein sogenanntes Konfigurationselement (eine zeitpunktbezogene Ansicht der zugehörigen Attribute der betreffenden Ressource).

AWS Config generiert neue Konfigurationselemente, wenn sich die Konfiguration einer überwachten Ressource ändert (selbst wenn nicht durch die API), zum Beispiel wenn eine Sicherheitsgruppe oder eine neue ENI an eine EC2-Instanz angehängt wird. Der Dienst speichert auch historische Datensätze der Konfigurationselemente ab, um die Änderungen nachvollziehbar zu machen.

Tipp: Mit AWS Config können Sie die Konfigurationsänderungen Ihrer AWS-Ressourcen auf einer Zeitachse mitverfolgen.

Für den fortlaufenden „Aktivismus“ des Configuration Recorders fallen Gebühren an. Wenn Sie den Dienst anhalten, können Sie bereits erfasste Informationen kostenfrei nutzen. Mit dem Beginn der nächsten Aufzeichnung läuft dann wieder der Tacho.

AWS Config ist ein bezahlter Dienst. Die Kosten setzen sich zusammen aus der Anzahl der aufgezeichneten Konfigurationselemente (gemeint ist hierbei jeder einzelne Konfigurationsstatus einer überwachten Ressource in der AWS-Region oder eine geänderte Beziehung zu anderen Elementen), der Anzahl aktiver AWS-Config-Regelbewertungen und der Anzahl der Konformitätspaket-Bewertungen in Ihrem Konto. Ein Konformitätspaket ist eine Sammlung von AWS-Config-Regeln und Abhilfemaßnahmen.

Tipp: Konfigurieren Sie Alarme für AWS Config-Regeln, um Echtzeit-Benachrichtigungen über Änderungen an Ihren Ressourcen zu erhalten.

Die Überwachung einer Ressource schlägt also für jeden geänderten Zustand einmal zu Buche. Jede Untersuchung einer überwachten Ressource auf Konformität mit einer AWS-Config-Regel hin zählt als eine Regelbewertung (wenn sie sowohl im „investigativen“ als auch im „proaktiven“ Modus ausgeführt wird, zählt nur Ersteres). Jede Auswertung eines Konformitätspakets zählt dann noch obendrauf.

Für 10.000 Konfigurationselemente, 100.000 Bewertungen und ebenso viele Auswertungen eines Konformitätspakets kassiert AWS rund 100 Euro ein (zzgl. MwSt.). Alles in allem ist es ein kleiner Preis für etwas Seelenfrieden. Denn so können Unternehmen gewährleisten, dass keine Ressource aus der Reihe tanzt – selbst dort, wo viele „Köche“ (sprich: Administratoren) den Brei leicht verderben könnten.

Tipp: Aktivieren Sie AWS Config in allen Regionen und in allen AWS-Konten Ihrer Organisation.

Mit Hilfe eines sogenannten Aggregators verschaffen Sie sich einen zentralen Überblick über Ihren Ressourcenbestand und die Compliance mit vordefinierten Regeln. Ein Aggregator ist ein AWS-Config-Ressourcentyp, der Konfigurationsdaten und Compliance-Vorgaben von mehreren AWS-Konten und aus mehreren AWS-Regionen an einer zentralen Stelle zusammenführt. So erhalten Sie einen umfassenden Überblick über Ihre Ressourcen.

Tag Editor und die Tagging API

Mit dem Tag Editor für AWS-Ressourcengruppen können Sie Tags für mehrere AWS-Ressourcen – ob im selben oder in verschiedenen AWS-Konten in einer AWS-Organisation – gleichzeitig hinzufügen, bearbeiten oder löschen, um sie schneller auffindbar zu machen. Dank Tags lassen sich die Zusammenhänge zwischen Diensten schneller erkennen und nicht benötigte Ressourcen gemeinsam freigeben.

Um einer AWS-Ressource Tags zuzuweisen, Tags zu bearbeiten und Ressourcen anhand von Tags zu verwalten, können Sie die AWS-Konsole, die AWS-CLI oder die AWS-API verwenden. Sie können auch Tags in IAM-Richtlinien nutzen, um den Zugriff auf Ressourcen zu steuern. Die AWS Ressource Groups Tagging API erlaubt es, Ressourcen mit bestimmten Tags aufzulisten, um deren Nutzwert für die übrige Bereitstellung zu untersuchen.

AWS Resource Explorer

AWS Resource Explorer macht es möglich, AWS-Services und ihre Funktionalität zu erkunden. Der Dienst bietet eine einzige Ansicht aller verfügbaren Services und Funktionen mit detaillierten Beschreibungen. Darüber hinaus haben Cloud-Nutzer die Möglichkeit, Services zu vergleichen, Zusammenhänge zu untersuchen, Preise einzusehen und auf Dokumentation und Anleitungen zuzugreifen. Resource Explorer kann helfen, Zeit und Geld zu sparen.

AWS Trusted Advisor

AWS Trusted Advisor hilft bei der Implementierung von Best Practices in vier Kategorien: Kostenoptimierung, Sicherheit, Fehlertoleranz und Leistungssteigerung. Auf der Basis geballter Erfahrungen anderer AWS-Kunden kann der Dienst helfen, unsinnige Entscheidungen zu vermeiden. So kommen verwaiste Ressourcen hoffentlich erst gar nicht zu Stande. Der Dienst kann die Leistung von AWS-Ressourcen überwachen und helfen, sie zu optimieren. Läuft alles prima, bestätigt es der Service mit einem grünen Häkchen. Ein orangenes Ausrufezeichen kennzeichnet eine Bereitstellung, die eine menschliche Inspektion verkraften könnte. Ein rotes Ausrufezeichen soll die Umsetzung dringender Korrekturmaßnahmen anregen.

Die Anzahl der Überprüfungen hängt vom AWS-Supportplan ab: Basic- und Developer-Pläne sind auf vier Überprüfungen beschränkt, Business- und Enterprise-Pläne erlauben 41 Überprüfungen. AWS Trusted Advisor bietet einem Administrator ein Dashboard zur Visualisierung der vier Kategorien samt jüngsten Änderungen. Ein Cloud-Administrator kann zudem Benachrichtigungen erhalten, um über Ressourcenbereitstellungen auf dem Laufenden zu bleiben.

AWS Billing Dashboard und Cost Explorer

Um ungenutzte Ressourcen in der AWS-Cloud ausfindig zu machen, können Sie außerdem auch das AWS Billing Dashboard und den AWS Cost Explorer zur Hilfe rufen. Im AWS Cost Explorer können Sie im Übrigen auf Tags zurückgreifen, um Ihre AWS-Kosten aufzuschlüsseln und den Ressourcenverbrauch zu untersuchen und auf das Erforderliche zu trimmen.

Doch die umfassendste Zusammenstellung aller Kostenpunkte der Cloud bietet der sogenannte AWS Cost & Usage Report. Hier müssen sich die Verantwortlichen allerdings mit Rohdaten auseinandersetzen. Der Kosten- und Nutzungsbericht enthält den umfassendsten Satz von Amazon-Kosten- und Nutzungsdaten. Diese Informationen können helfen, Optimierungsmöglichkeiten zu identifizieren. Jeder Bericht enthält Einzelposten für jede einzigartige Kombination von AWS-Produkten, Nutzungsart und Betriebsvorgang, und dergleichen andere. Cloud-Nutzer können Berichte erstellen, die die Kosten nach Zeit, nach Produkten, Ressourcen oder nach benutzereigenen Tags aufschlüsseln.

Mit Hebelwirkung von außen

Schließlich besteht für Cloud-Nutzer auch noch die verlockende Möglichkeit, ihrer AWS-Cloud mit externen Hilfsmitteln unter die Haube zu schauen. Ein solcher Dienst ist Cloud Custodian, ein Projekt der CNCF. Er ermöglicht es den Cloud-Nutzern, ihre Cloud-Ressourcen zu verwalten, indem sie diese filtern, mit Tags kennzeichnen und dann Aktionen auf sie anwenden. Cloud Custodian unterstützt Public-Cloud-Umgebungen auf AWS, Azure und auf der GCP mit Kubernetes-, Tencent Cloud- und OpenStack (Letzteres noch in der Betaphase).

Das Besondere daran sind die ausgefuchsten Herangehensweisen, um die Cloud-Kosten in den Griff zu bekommen. Zum einen können Cloud-Nutzer ihre Umgebung so einrichten, dass sie sich außerhalb der Geschäftszeiten von selbst „zurechtschrumpft“, um Geld zu sparen. Zum anderen kann Cloud Custodian Metriken der Ressourcen-Auslastung ins Visier nehmen, um ungenutzte Ressourcen zu identifizieren, mit Tags zu kennzeichnen und auszureizen.

Cloud Custodian lässt sich sowohl lokal als auch auf einer virtualisierten Cloud-Instanz oder als eine Serverless-Bereitstellung auf AWS Lambda ausführen. So kommen alle Cloud-Nutzer (hoffentlich) auf ihre Kosten.

* Das Autorenduo Anna Kobylinska und Filipe Pereia Martins arbeitet für McKinley Denali Inc. (USA).

(ID:49231951)