Mit AWS-Cloud-Monitoring optimale Leistung sicherstellen

Das AWS-Cloud-Monitoring umfasst die Beobachtung von AWS-nativen Lösungen, Ressourcen und Services, die in der AWS-Cloud gehostet werden. Für die Überwachung werden Metriken gesammelt, aggregiert und analysiert, um im Anschluss IT-Teams und Cloud-Architekt:innen über die Gesundheit und die Performance von auf der AWS-Plattform ausgeführten Anwendungen zu informieren. AWS-Monitoring ist der Teil eines umfassenderen Cloud-Monitorings, der sich auf die Überwachung von AWS-Umgebungen konzentriert.

Das Cloud-Angebot von AWS ist sehr umfangreich und umfasst Dutzende von Anwendungsfällen. Daher kann AWS-Monitoring für IT-Teams zu einer recht komplexen Aufgabe werden, abhängig der eingesetzten Services und wie diese miteinander interagieren.

AWS bietet eine große Anzahl von Cloud-Services für Unternehmen, die eine performante und leicht skalierbare IT-Infrastruktur benötigen. Sie können Datenbanken, Storage, virtuelle Netzwerke, Computing-Umgebungen, Load Balancer, virtuelle Maschinen und vieles mehr in der AWS-Cloud hosten. Diese Cloud-Services eignen sich ausschließlich für das Hosting Ihrer IT-Infrastruktur oder als Ergänzung Ihrer lokalen Infrastruktur in einem hybriden Setup. Das AWS-Monitoring schließt daher lokale Monitoring-Bemühungen nicht aus und IT-Teams implementieren oft eine einzige Monitoring-Lösung, um die gesamte IT zu überwachen.

In Anbetracht des umfangreichen AWS-Angebots ist es sinnvoll, bestimmte Bereiche dieser Cloud-Plattform sowie die Monitoring-Möglichkeiten zu erläutern.

AWS-Clouds bestehen aus mehreren Bereichen, die unterschiedliche Ressourcen- und Rechenanforderungen haben. Welche von diesen Bereichen Sie überwachen müssen, hängt also von Ihrem Anwendungsfall ab. Wenn Sie beispielsweise serverlose Applikationen oder Microservices verwenden, müssen Sie wahrscheinlich eine Monitoring-Strategie für Ihr AWS-Computing einrichten. Ein Storage-Monitoring hingegen konzentriert sich auf AWS S3, dem AWS-Service für Storage. Wenn Sie einen Load Balancer verwenden, ist das Monitoring von AWS-Load-Balancern ein weiterer Bereich, den Sie in Betracht ziehen sollten. Es hängt weitgehend davon ab, wie Sie Ihre AWS-Cloud in der Praxis nutzen.

Das AWS-Performance-Monitoring und das AWS-Security-Monitoring sind umfassendere Bereiche, die alle AWS-Cloud-Services und -Ressourcen beeinflussen. Sie müssen im Mittelpunkt einer jeden AWS-Monitoring-Lösung stehen, da sie sich auf jede Art von AWS-Infrastruktureinrichtung auswirken.

Die Überwachung der Performance Ihrer AWS-Anwendungen ist das absolute Minimum, das Sie in jeder Cloud-Umgebung implementieren müssen. Zusammen mit dem Performance- und Security-Monitoring stellen Sie so sicher, dass Ihre AWS-Anwendungen optimal laufen.

Die Überwachung der Performance ist ein Schlüsselbereich des AWS-Monitorings, da die Cloud-Plattform viele Bestandteile hat, die die Gesamtleistung einer Anwendung beeinflussen. Aus diesem Grund gibt es mehrere AWS-Performance-Monitoring-Lösungen. AWS selbst verfügt ebenfalls über einige solcher Tools, darunter zum Beispiel AWS X-Ray, das Trace-Daten bereitstellt. Es verfolgt die Ausführung einer Anwendung und liefert einen umfangreichen Satz technischer Informationen zu Debugging-Zwecken. AWS Config bietet hingegen ein Inventar aller Konfigurationen der AWS-Ressourcen. Es ist somit nicht nur ein hilfreiches Tool, um Fehlkonfigurationen zu identifizieren, sondern auch um festzustellen, wie sich Konfigurationsänderungen auf die Performance auswirken können.

Beim AWS-Performance-Monitoring geht es hauptsächlich darum, die Echtzeit-Metriken zu überprüfen, die AWS für seine Ressourcen bereitstellt. Für EC2-Instanzen, RDS-Datenbanken, S3-Buckets usw. gibt es jedoch andere Indikatoren, die Rückschlüsse auf deren Funktionsfähigkeit zulassen. Um diese Metriken zu überwachen ist AWS CloudWatch am wichtigsten, dazu aber im späteren Abschnitt zum AWS-Service-Monitoring mehr. Für kleine Anwendungen und Workloads bietet CloudWatch ein übersichtliches Dashboard, mit dem IT-Teams problemlos Performance-Engpässe in ihrer AWS-Cloud erkennen können. Für kompliziertere Aufgaben ist eine dedizierte AWS-Monitoring-Software, die ein größeres Maß an Anpassung und sammelbaren Metriken bietet, oft vorzuziehen.

Beim AWS-Performance-Monitoring geht es sowohl um die Überwachung der AWS-Anwendung-Performance als auch um die Überwachung der Ressourcen. Demnach müssen IT-Teams beide Aspekte überprüfen, um einen vollständigen Überblick über die Leistung ihrer AWS-Umgebung zu erhalten.

Sowohl reine Cloud-Infrastrukturen als auch hybride Umgebungen bestehen aus mehr als einem Netzwerk. Die Netzwerke können sich über mehrere private oder öffentliche Rechenzentren erstrecken und möglicherweise die Latenzzeit der Pakete erhöhen. Auch wenn AWS-Clouds in hohem Maße optimiert sind, um Netzwerkprobleme zu reduzieren, ist es dennoch unerlässlich, ein AWS-Netzwerk-Monitoring zu implementieren.

Es ist besonders wichtig, sowohl lokale als auch Cloud-Netzwerke zu überwachen. Heutzutage wird nur noch selten ein einzelnes Netzwerk verwendet, daher muss Ihre Überwachungslösung in der Lage sein, beide Varianten zu überwachen, um eine inkonsistente Überwachungs- und Verwaltungserfahrung zu vermeiden. AWS verfügt über integrierte Tools, die hilfreich sind, um sich einen Überblick über Ihre AWS-Netzwerke zu verschaffen. AWS Transit Gateway Network Manager kann sowohl Ihre Cloud-Netzwerke als auch Ihre lokalen Netzwerke überwachen. Er kann auf Konnektivitätsprobleme reagieren und verfügt über ein einheitliches Interface, mit der Sie alle Probleme auf einen Blick erkennen können.

Ein guter Ausgangspunkt für den Zugriff auf die tatsächlichen Metriken in Bezug auf AWS-Netzwerke ist die Überwachung der verschiedenen Elastic Network Interfaces (ENI). Dabei handelt es sich um virtuelle Netzwerkkarten in einer VPC (Virtual Private Cloud) auf AWS, die die grundlegenden Merkmale einer realen Netzwerkkarte offenlegen, z. B. öffentliche und private IP-Adressen, Mac-Adresse, Sicherheitsgruppen, Quell-/Zielflags und eine Beschreibung. Dies sind jedoch nur grundlegende Informationen. Für eine ganzheitliche Überwachung sollten Sie auf jeden Fall zusätzliche Metriken sammeln, zum Beispiel über AWS-APIs oder durch Verwendung einer AWS-Cloud-Überwachungslösung eines Drittanbieters.

Hilfreich sind auch die Netzwerkprotokolle. Vor allem die der VPCs und Load Balancer können Ihnen eine Menge Einblicke geben, wie oder ob ein AWS-Netzwerk funktioniert. Sie sind eher manuell zu überprüfen, daher ist vor allem eine lokale Überwachungslösung zu bevorzugen, die über einen benutzerdefinierten Agenten mehr Metriken aus AWS exportieren kann.

Sicherheit ist immer ein wichtiger Faktor, der in jedem Unternehmen zu berücksichtigen ist, insbesondere wenn ein Teil Ihrer IT-Infrastruktur an einen Service eines Drittanbieters delegiert wird. Daher ist es von entscheidender Bedeutung, die Sicherheit des AWS-Monitorings zu überwachen. AWS selbst verfügt über eine Handvoll Tools, die bei der AWS-Sicherheitsüberwachung helfen können.

AWS CloudTrail ist der AWS-Service, der Betriebs- und Risikoprüfungen, Compliance und Governance für das gesamte AWS-Konto ermöglichen kann. Er zeichnet eine Reihe von überwachbaren Ereignissen auf, um sicherzustellen, dass nur autorisierte Akteure auf ihre Ressourcen und Daten zugegriffen haben. Ferner hilft der Service Ihnen, ungewöhnliche Aktivitäten zu erkennen und darauf zu reagieren. CloudTrail arbeitet mit Amazon GuardDuty zusammen, einem weiteren AWS-Service, der Ereignisse aus CloudTrail zusammen mit verschiedenen Arten von Protokollen analysiert, um potenziell bösartige oder nicht autorisierte Aktivitäten im gesamten AWS-Konto zu identifizieren. Beide sind für die AWS-Sicherheitsüberwachung von grundlegender Bedeutung. Sie lassen sich jedoch leicht durch AWS-Cloud-Überwachungslösungen von Drittanbietern ersetzen.

Bei der AWS-Sicherheitsüberwachung geht es nicht nur um die Erkennung von unbefugten Zugriffen und Ereignissen. Es geht auch darum, die Ausnutzung von Software durch böswillige externe Agenten zu verhindern. AWS-Monitoring-Lösungen können AWS-Services scannen, um Software-Schwachstellen und unbeabsichtigte Netzwerkexposition zu entdecken. Für AWS-Clouds übernimmt das Inspector-Tool von Amazon diese Aufgabe. In ähnlicher Weise kann AWS Config den Konfigurationsstatus und -änderungen bewerten und darüber Bericht erstatten, was die Fehlerbehebung und Compliance-Audits erleichtert.

All diese Tools sind spezifisch für AWS und bieten keine einheitliche Ansicht. Die Verwendung einer zentralisierten Cloud-Überwachungslösung hat daher den großen Vorteil, dass es dieselben oder ähnliche Funktionen in einem einzigen Dashboard und Berichtssystem darstellen kann.

AWS Lambda, eine Säule des serverlosen Computings, ist einer der am häufigsten verwendeten AWS Services. Daher ist die AWS Lambda-Überwachung eine Notwendigkeit, um sicherzustellen, dass die auf AWS ausgeführten Anwendungen eine optimale Performance aufweisen, nicht unter Stress stehen und keine Ausfälle verursachen. Das AWS-Lambda-Monitoring besteht aus der Kontrolle der üblichen Metriken, die mit jeder Anwendung verbunden sind, wie CPU-Nutzung, Speicher, Festplatten- und Netzwerknutzung.

Amazon bietet Lambda Insights im Rahmen des umfassenderen AWS-CloudWatch-Services an. Jede Lambda-Anwendung exportiert ihre wichtigsten Metriken an CloudWatch, um sie bei Bedarf zu analysieren und Fehler zu beheben. Die gleichen Metriken können extern mit einer Überwachungssoftware überwacht werden, die die AWS-Cloud-Überwachung unterstützt.

Lambda-Anwendungen haben ihre eigenen Protokolle, die ebenfalls für CloudWatch verfügbar sind. Diese Protokolle lassen sich exportierten und in einer externen AWS-Überwachungslösung anzeigen.

AWS S3 (kurz für Simple Storage Service) ist der AWS-Cloud-Service für die Datenspeicherung. Dazu gehören nicht nur Daten für Anwendungen, sondern auch Backups und die langfristige Speicherung von Dokumenten. Diese Daten lassen sich je nach der gewünschten Verfügbarkeit an verschiedenen Standorten und mit unterschiedlichen Tier-Level hosten.

Die Aufgabe der AWS-S3-Überwachung besteht darin, sicherzustellen, dass die S3-Daten sicher und unangetastet sind. Sie überschneidet sich natürlich mit der AWS-Sicherheitsüberwachung, da Daten ein Teil der Gesamtressourcen einer Infrastruktur sind und vor externen Parteien geschützt werden müssen. AWS bietet einige Möglichkeiten, um zu gewährleisten, dass Daten nicht verloren gehen oder manipuliert werden. Die erste Option ist der S3 Access Analyzer, der über S3-Buckets (ein virtueller Container für auf S3 gespeicherte Objekte) informiert, die im Internet oder außerhalb Ihres Unternehmens öffentlich zugänglich sind. Für jeden Bucket stellt er Informationen über den Grad des Zugriffs und seine Quelle bereit. Er meldet auch falsch konfigurierte Dateiberechtigungen, sollten sie gegen eine Zugriffsrichtlinie verstoßen.

Zusammen mit der üblichen Verfügbarkeit von Protokollen ist es möglich, eine gute Vorstellung davon zu haben, wer zu welchem Zeitpunkt auf welche Dateien zugegriffen hat und ob dabei Änderungen vorgenommen wurden.

Um die Sicherheit der Daten zu gewährleisten, stellt Amazon das Tool S3 Inventory zur Verfügung. Es ermöglicht, den Replikations- und Verschlüsselungsstatus Ihrer Objekte zu überprüfen und zu dokumentieren. In dieser Hinsicht ist das AWS-S3-Monitoring im Grunde ein Bestandteil einer umfassenden AWS-Sicherheitsüberwachung.

Mit AWS EC2 (Elastic Compute Cloud) bietet AWS einen virtuellen Server für Cloud-Workloads und Computing-Aufgaben an. Viele Anwendungen werden auf EC2-Instanzen ausgeführt, was das AWS-EC2-Monitoring zu einem wichtigen Aspekt der AWS-Überwachung macht. Es ist nicht überraschend, dass sowohl Amazon als auch Lösungen von Drittanbietern EC2-Instanzen überwachen, um Ihre virtuellen Server zu kontrollieren und eventuelle Probleme zu erkennen.

AWS bietet einige Metriken, die über den Zustand von EC2-Instanzen informieren. Zu diesen Metriken gehören CPU-, Netzwerk-, Arbeitsspeicher- und Festplattenauslastung sowie festplattenspezifische Performance-Metriken wie Lese- und Schreibvorgänge, verfügbarer Festplattenspeicher sowie Page-File- und Swap-Nutzung. Sie alle sind erforderlich, um zu wissen, ob Ihre Anwendungen über genügend Ressourcen für den Betrieb verfügen.

AWS CloudWatch umfasst auch die Überwachung von AWS EC2 und kombiniert die oben genannten Metriken in einem Dashboard. Auch viele andere Cloud-Überwachungssysteme wie Checkmk erfassen diese Metriken und bieten Ihnen einen ganzheitlichen Überblick über Ihre gesamte (hybride) Infrastruktur.

Datenbanken sind Bestandteil jeder Infrastruktur und eine AWS-Cloud bildet da keine Ausnahme. Als Aufbewahrungsort für wichtige Betriebsdaten ist das Datenbank-Monitoring natürlich ein wichtiger Teil der Überwachungsbemühungen jedes Unternehmens. Bei AWS unterstützt das Tool RDS (Relational Database Service) eine große Auswahl an Datenbanken (MySQL, PostgreSQL, MariaDB, Oracle und SQL Server), um allen Anforderungen gerecht zu werden.

Die AWS-RDS-Überwachung ist der Teil des AWS-Monitorings, der sich um die Überwachung aller Arten von Datenbanken kümmert. AWS sammelt eine Reihe von Schlüsselmetriken, um Sie darüber zu informieren, wie gut die Performance der Datenbanken ist. Die wichtigsten sind die Anzahl der Verbindungen, die Anzahl der Lese- und Schreibvorgänge, die Menge an Speicherplatz, Arbeitsspeicher und CPU, die von jeder Datenbank genutzt wird, sowie der an die Datenbank gerichtete Netzwerkverkehr. RDS stellt – wie andere AWS-Services auch – Logs zur Verfügung, die weitere Einblicke und Analysen für das Monitoring Ihrer AWS-Datenbanken ermöglichen. 

Alle diese Metriken und Protokolle sind für CloudWatch und die spezielleren Amazon-RDS-Performance-Insight-Tools verfügbar. Monitoring-Agenten, wie sie etwa Checkmk verwendet, sammeln sowohl Metriken als auch Protokolle ein und stellen Sie der Cloud-Monitoring-Lösung bereit. Statt sich auf die proprietären Tools von AWS verlassen zu müssen, haben Sie dadurch alle wichtigen Details in einer zentralen Überwachungsplattform.

Load Balancer sind Services, die den eingehenden Datenverkehr automatisch auf mehrere Ziele verteilen. Ein Load Balancer wird beispielsweise vor EC2-Instanzen, Container oder eine Reihe von IP-Adressen geschaltet, um Anfragen so zu verteilen, dass kein virtueller Server ausgelastet wird. Jedes Mal, wenn eine neue Anfrage eingeht, berechnet der Load Balancer, welche der von ihm verwalteten Ressourcen am ehesten frei sind, und kann sich so um die Anfrage kümmern. Ein Load Balancer ist ein Schlüsselelement der Cloud-Skalierbarkeit.

Der Load Balancer von AWS heißt Elastic Load Balancer und muss daher überwacht werden. Er macht zwar nur einen kleinen Teil der Infrastruktur aus, ist aber dennoch ein äußerst wichtiger. Wenn der Load Balancer ausfällt oder sich falsch verhält, würden einige Ressourcen einen starken Anstieg der Arbeitslasten verzeichnen, während andere Ressourcen im Leerlauf verbleiben.

AWS Elastic Load Balancer stellt an CloudWatch und externe Lösungen Metriken wie die Gesamtzahl der aktiven TCP-Verbindungen von Clients, die Anzahl der nicht konformen Netzwerkanfragen, die Anzahl der Umleitungen, die Anzahl der gesunden Ziele (die also als offen für die Annahme von Anfragen gelten) und viele weitere bereit. Zusammen mit den Protokollen kann die Überwachung des AWS-Lastausgleichs leicht mit CloudWatch oder einem externen Cloud-Überwachungstool durchgeführt werden.

Um die Cloud-Kosten im Blick zu behalten, sollte die Überwachung der globalen Ressourcennutzung und deren Auswirkungen auf die Kosten in keinem AWS-Monitoring fehlen. Jeder Cloud-Service verursacht Kosten, die budgetiert werden müssen. Die Ressourcennutzung steht in direktem Zusammenhang mit den Kosten, wobei es auch einige kostenlose Stufen gibt, die vorerst keine Gebühren verursachen.

AWS bietet einige Tools, um die Kosten unter Kontrolle zu halten. Der AWS Cost Explorer erstellt nach seiner Aktivierung 24-Stunden-Berichte über die aktuellen und prognostizierten Kosten für die Nutzung Ihrer AWS-Cloud-Services. Er ist Teil des umfassenderen “AWS Billing and Cost Management”-Services, der ebenfalls Nutzungsberichte enthält. AWS-Überwachungstools von Drittanbietern unterstützen die Überprüfung Ihrer Kosten und Ressourcennutzung auf AWS und sind in der Regel die bessere Wahl, da ihre Berichte vollständiger sind und anpassbare Dashboards zur Visualisierung der AWS-Kosten enthalten.

Falls eine Budgetierung erforderlich ist, um Ihre AWS-Cloud-Nutzung besser zu planen, ist AWS Budgets ein weiterer Service von Amazon, der Ihnen hilft, verschiedene Budgets einzurichten. Er warnt Sie, wenn Sie das Budget an irgendeiner Stelle überschritten haben. Für diesen Fall gibt es ein weiteres Tool, das Ihnen helfen kann, die Ursache für die Überschreitung Ihrer geplanten Ausgaben für die AWS-Cloud zu ermitteln: AWS Cost Anomaly Detection. Dabei handelt es sich um ein Überwachungssystem nur für AWS-Kosten, das saisonale und vergangene Nutzungsmuster analysieren, Schwellwerte festlegen und Warnmeldungen senden kann. So unterstützt es Sie dabei, die Ursache der Ausgabenüberschreitung zu ermitteln.

Den Überblick über die Ausgaben für Ihre AWS-Cloud-Services zu behalten, ist nicht so einfach. Die von AWS bereitgestellten Tools erleichtern dies zwar, aber eine externe AWS-Überwachungslösung bietet im Idealfall mehr Funktionen als die Tools von Amazon – zentral an einer Stelle.