Формирование облака AWS, что следует исключить

Пара (произвольных) правил, которым я обычно следую:

1. Разделите свои шаблоны на меньшие куски и развертывать вещи, которые могут часто меняться (задачи ECS), отдельно от вещей, которые почти никогда не меняются (VPC, подсети) или редко меняются (RDS).

2. Использовать CloudFormation Export / ImportValue для передачи переменных между стеками. Это помогает уменьшить количество параметров, необходимых для каждого шаблона.

3. Держать Группы безопасности и роли IAM близко к ресурсам которые в них нуждаются. Некоторые люди склонны создавать все SG в одном шаблоне, а затем использовать их для ресурсов в другом шаблоне. Не надо, ALB SG должен быть определен в шаблоне ALB CFN.

4. Обновление стека CFN через CI / CD для развертывания любых новых изменений ресурсов.

   Например. когда вы создаете новую версию контейнера ECS, CI / CD отправит его в ECR, а затем вызовет CloudFormation для обновления стека, чтобы он указывал на новый идентификатор образа ECR. Это поможет сохранить дрейф в ваших шаблонах до минимума.

   Аналогично с лямбдами - вы можете использовать Пакет / развертывание CloudFormation для развертывания новых версий с CI / CD.

5. Вы также можете использовать Ansible для развертывания шаблонов CloudFormation, он весьма умен в том смысле, что не пытается обновлять стеки, в которых шаблон или параметры не изменились с последнего запуска.

По существу все надо делать через CloudFormation. Фактически, в некоторых учетных записях мы не разрешаем вносить изменения вручную через консоль и разрешаем развертывание вещей только через CloudFormation. Один из возможных способов сделать это - использовать Роль службы CFN.

Надеюсь, это поможет :)