Перейти к содержанию

Дополнительная информация по запуску Glarus BI на Elastic Beanstalk

Журналирование

Журнал сетевого доступа

Если вам нужен журнал всех IP-адресов и URL, к которым происходили запросы в течение определённого периода, вы можете настроить балансировщик нагрузки для отправки этих логов в S3. Это также может быть полезно для анализа трафика вашего экземпляра Glarus BI.

Чтобы включить это ведение журнала, вам необходимо перейти к настройкам балансировщика нагрузки и включить Хранить журналы в разделе Доступ к файлам журнала. Вам нужно будет выбрать корзину S3 для дампа журналов и префикс, который будет идентифицировать журналы, поступающие от этого балансировщика.

Логи приложений

Если вы хотите сохранить логи приложений Glarus BI, вы можете опубликовать их в корзине S3:

  • В среде Glarus BI Elastic Beanstalk щёлкните ссылку Конфигурация на панели навигации с левой стороны. На странице конфигурации нажмите кнопку Изменить рядом с Программное обеспечение.
  • Прокрутите вниз и установите флажок рядом с Включено в разделе хранения журнала S3.
  • Нажмите Сохранить в правом нижнем углу.

Вам нужно будет подождать некоторое время, пока операция завершится, после чего Elastic Beanstalk будет периодически публиковать файлы журналов приложений в S3, которые вы сможете загрузить, если возникнет необходимость в их анализе.

Использование Papertrail для логирования в AWS

Вы также можете использовать службу ведения журналов Papertrail для сбора логов.

  • Нажмите Конфигурация на левой боковой панели.
  • В разделе Веб-уровень прокрутите вниз до Конфигурация программного обеспечения и щёлкните значок шестерёнки.
  • В разделе Свойства среды добавьте следующие записи:
  • PAPERTRAIL_HOST – должно быть предоставлено Papertrail.
  • PAPERTRAIL_PORT – должно быть предоставлено Papertrail.
  • PAPERTRAIL_HOSTNAME - имя вашего сервера, которое будет использоваться в Papertrail.
  • Прокрутите страницу вниз и нажмите Применить в правом нижнем углу, затем подождите, пока ваше приложение обновится.

ПРИМЕЧАНИЕ. Иногда эти настройки не будут применяться до тех пор, пока вы не перезапустите сервер приложений. Это можно сделать, выбрав опцию Перезапустить серверы приложений в раскрывающемся списке Действия. Вы также можете повторно инсталлировать с нуля вашу версию, указав данные настройки в самом начале.

Запуск Glarus BI через HTTPS

По умолчанию запускать Glarus BI через HTTPS не обязательно, но если вы хотите обеспечить безопасность работы с вашими данными, то мы рекомендуем вам настроить HTTPS на AWS.

Загрузка сертификата на сервер

Откройте в новой вкладке менеджер сертификатов AWS (вы можете найти его на панели управления AWS), после чего добавьте сертификаты или зарегистрируйте частный центр сертификации. Выберите Предоставление сертификатов и нажмите Начать.

В верхней части страницы появится синяя кнопка с функцией импорта сертификатов (вы также можете запросить у AWS новый сертификат, если это необходимо).

Следуйте инструкциям, чтобы ввести данные сертификатов. После отправки сведений и загрузки сертификата вы сможете увидеть его и в других инструментах AWS (например, в балансировщике загрузки).

Конфигурация DNS CNAME

  • Откройте AWS Route 53, выбрав Services > Networking > Route 53 в заголовке консоли AWS.

  • Щёлкните Hosted Zones, затем щёлкните доменное имя, которое хотите использовать для Glarus BI.

  • Нажмите синюю кнопку Создать запись (откроется новая панель).

  • Введите Имя записи для вашего приложения - точный URL, с помощью которого вы планируете получить доступ к Glarus BI (например, metabase.mycompany.com).

  • В раскрывающемся списке Тип записи выберите A — направляет трафик на адрес IPv4 и некоторые ресурсы AWS.
  • Включите переключатель Alias. Для параметра Направить трафик на выберите Alias to Application and Classic Load Balancer, регион - Восток США (Огайо)[us-east-2] или тот, в котором вы развернули свой экземпляр (например, mycompany-metabase.elasticbeanstalk.com).
  • Выберите балансировщик нагрузки, соответствующий вашему экземпляру.
  • Оставьте все остальные настройки в значениях по умолчанию.
  • В нижней части страницы нажмите Создать запись.

После создания записи её регистрация и активация может занять до 10 минут (иногда больше).

Конфигурация Glarus BI для использования HTTPS

Прежде чем включить HTTPS, необходимо загрузить сертификат сервера в свою учётную запись AWS.

  • Перейдите в Elastic Beanstalk и выберите приложение Glarus BI.
  • Нажмите на окружение, которую вы хотите обновить.
  • На левой боковой панели нажмите Конфигурация.
  • Прокрутите вниз до Load Balancer и нажмите кнопку Изменить в правой части экрана.
  • В разделе Листнеры нажмите Добавить листнер и измените протокол на HTTPS в открывшемся модальном окне.
  • Установите значение для Порт на 443.
  • Нажмите Идентификатор SSL-сертификата и выберите имя сертификата, который вы загрузили.
  • Сертификат ДОЛЖЕН соответствовать домену, который вы планируете использовать для установки Glarus BI.
  • В Политике SSL выберите ELBSecurityPolicy-TLS-1-2-2017-01.
  • Прокрутите страницу вниз и нажмите Сохранить.

Ваша окружение начнёт обновляться с вашим новым изменением. Прежде чем настроить дополнительные конфигурации вам необходимо дождаться завершения этого процесса.

После внесения этого изменения вы больше не сможете получить доступ к своему экземпляру Glarus BI по URL \*.elasticbeanstalk.com, предоставленному Amazon, поскольку это приведёт к несоответствию сертификата. Чтобы продолжить доступ к защищённому экземпляру Glarus BI, необходимо Настроить DNS CNAME.

После того, как ваше приложение будет работать через HTTPS, мы рекомендуем установить дополнительную настройку, чтобы направить весь не-HTTPS-траффик в HTTPS.

  • Нажмите Конфигурация на левой боковой панели.
  • Прокрутите вниз до Конфигурация программного обеспечения в разделе Веб-уровень и щёлкните значок шестерёнки, чтобы изменить эти настройки.
  • В разделе Свойства среды добавьте запись для NGINX_FORCE_SSL со значением 1.
  • Прокрутите страницу вниз и нажмите Применить в правом нижнем углу, затем подождите, пока ваше приложение обновится.
  • Нажмите Конфигурация на левой боковой панели.
  • На левой боковой панели нажмите Конфигурация.
  • Прокрутите вниз до Load Balancer и нажмите кнопку Изменить в правой части экрана.
  • В разделе Листнеры нажмите Добавить листнер и измените протокол на HTTPS в открывшемся модальном окне.
  • Установите значение для Порт на 443.
  • Затем чуть ниже в раскрывающемся списке Идентификатор SSL-сертификата выберите имя сертификата, который вы загрузили в свою учётную запись.
  • ПРИМЕЧАНИЕ: сертификат ДОЛЖЕН соответствовать домену, который вы планируете использовать для установки Glarus BI.
  • В Политике SSL выберите ELBSecurityPolicy-TLS-1-2-2017-01.
  • Прокрутите страницу вниз и нажмите Сохранить в правом нижнем углу.
  • ПРИМЕЧАНИЕ: ваша среда начнёт обновляться с вашим новым изменением. Вам придется дождаться завершения, прежде чем вносить дополнительные изменения.
  • ВАЖНО: после внесения этого изменения вы больше не сможете получить доступ к своему экземпляру Glarus BI по URL *.elasticbeanstalk.com, предоставленному Amazon, поскольку это приведёт к несоответствию Glarus BI. Чтобы продолжить доступ к защищённому экземпляру Glarus BI, необходимо Настроить DNS CNAME.

После того, как ваше приложение будет работать через HTTPS, мы рекомендуем установить дополнительную настройку, чтобы направить весь не-HTTPS-траффик в HTTPS. - Нажмите Конфигурация на левой боковой панели. - Прокрутите вниз до Конфигурация программного обеспечения в разделе Веб-уровень и щёлкните значок шестерёнки, чтобы изменить эти настройки. - В разделе Свойства среды добавьте запись для NGINX_FORCE_SSL со значением 1. - Прокрутите страницу вниз и нажмите Применить в правом нижнем углу, затем подождите, пока ваше приложение обновится.

Мониторинг использования памяти

Glarus BI установит агент CloudWatch в вашу среду Elastic Beanstalk, который будет отправлять данные о вашем приложении в CloudWatch, что позволит контролировать как использование оперативной памяти Glarus BI, так и многих других показателей.

Чтобы настроить CloudWatch для среды Elastic Beanstalk, выполните действия, описанные в документации AWS, чтобы предоставить разрешения на публикацию метрик CloudWatch.

Оценка безопасности

Glarus BI установит также AWS Inspector в Elastic Beanstalk, чтобы вы могли в режиме реального времени оценивать безопасность своего приложения и интегрировать его в другие продукты AWS. Чтобы запустить автоматические проверки вашего приложения, вам нужно включить Inspector в консоли AWS.

О конфигурациях NGINX в развёртываниях Elastic Beanstalk

В ближайшем будущем мы удалим пользовательскую конфигурацию NGINX, которая поставлялась вместе с Glarus BI в предыдущих конфигурациях, поэтому в случае, если вы использовали такие переменные, как NGINX_FORCE_SSL или же использовали пользовательские сертификаты, вам нужно будет перенести их в AWS Application Load Balancers. Для этого ознакомьтесь с частью включение VPC руководства по Elastic Beanstalk, где указано, как использовать Application Load Balancer. Как альтернатива, вы можете создать заново вашу структуру Elastic Beanstalk, предварительно сделав резервную копию базы данных вашего приложения, чтобы не потерять конфигурацию метаданных.