Visualizzi la sua infrastruttura AWS in tempo reale con Cloud Diagrams. Riduca i tempi di risoluzione degli incidenti, individui le vulnerabilità di sicurezza e migliori la collaborazione tra team grazie a mappe architetturali sempre aggiornate.
Quando si verifica un incidente critico in produzione, gli engineer perdono spesso tempo prezioso a destreggiarsi tra un diagramma di infrastruttura ormai obsoleto e una miriade di schede della console cloud, saltando freneticamente da un servizio all'altro alla ricerca di quello che potrebbe aver causato il problema.
È una scena che si ripete ogni giorno in azienda: gli ambienti cloud crescono in modo organico fino a un punto in cui la documentazione non riesce più a stare al passo. Risultato: gli SRE e gli specialisti InfoSec sono costretti a dedicare tempo a ricostruire il contesto invece di risolvere la causa principale dei problemi infrastrutturali. Nel frattempo i clienti ne pagano le conseguenze, il fatturato si erode e l'orologio dell'incidente continua a scorrere.
Ecco perché siamo entusiasti di presentare Cloud Diagrams. Frutto della nostra recente acquisizione di LiveDiagrams, Cloud Diagrams offre ai team SRE e di sicurezza una fotografia quasi in tempo reale della loro architettura AWS — con il supporto ad altre piattaforme in arrivo — per risolvere i problemi alla fonte e, allo stesso tempo, rendere possibili confronti architetturali ricchi di contesto, da cui nascono decisioni migliori.
Con una rappresentazione visiva sempre aggiornata della propria infrastruttura, i team possono individuare rapidamente non solo cosa non funziona, ma perché non funziona, ricostruendo i problemi attraverso le loro dipendenze e abbattendo i tempi di risoluzione da ore a minuti.
Vediamo insieme la crescente complessità degli ambienti cloud, le sfide che ne derivano e in che modo Cloud Diagrams offre ai team la visibilità di cui hanno bisogno.
Vuole provare Cloud Diagrams in prima persona? Clicchi qui sotto per accedere a una demo interattiva e autoguidata.
La crescente complessità degli ambienti cloud
Le applicazioni si costruiscono nel tempo, ma quando arriva il momento di rimettere mano alle decisioni architetturali o di intervenire su un incidente, il contesto e le motivazioni iniziali sono spesso sbiaditi o del tutto perduti.
Magari chi aveva preso quelle decisioni non lavora più in azienda. Oppure i deployment più importanti, quelli che hanno cambiato le carte in tavola, non sono mai stati documentati. In ogni caso, ci si ritrova con ambienti cloud cresciuti ben oltre ciò che chiunque possa tenere a mente.
Da qui nascono tre sfide che ogni giorno mettono in difficoltà le aziende:
#1 - Interdipendenze invisibili
Gli strumenti esistenti possono restituire i dati grezzi, ma si perdono la storia che la sua infrastruttura sta raccontando.
Strumenti come AWS Resource Explorer la sommergono con migliaia di righe di risorse — comprese quelle provisionate automaticamente da AWS — senza offrire una vera vista correlata dei componenti deployati. Nell'esempio qui sotto, ad esempio, non è possibile capire se ci sono risorse all'interno della subnet.
EC2 Global View conta le sue istanze e le mostra in mappa, ma non sa spiegare come lavorino insieme, cosa le circondi e come siano collegate a load balancer, cluster EKS e così via.
Lei e il suo team siete così costretti a vestire i panni dell'investigatore, ricostruendo le connessioni tra servizi senza alcun contesto sul perché siano state realizzate in quel modo.
E intanto, le risorse cloud all'interno di quei servizi hanno relazioni ancora più intricate.
Le istanze girano nelle subnet, che vivono nelle VPC, che possono essere collegate ad altre VPC, con i security group a fare da guardiani. Load balancer, API gateway, funzioni Lambda, container, database e bucket S3 hanno proprietà e dipendenze proprie, indispensabili al funzionamento del servizio.
Senza visibilità su queste connessioni, i team lavorano con una comprensione frammentaria e si lasciano sfuggire relazioni critiche persino all'interno di sistemi che gestiscono direttamente. Il risultato è che gli engineer mettono mano alle modifiche basandosi su un quadro incompleto, incrociando le dita perché nulla si rompa più a valle.
#2 - Documentazione obsoleta
Quel diagramma architetturale dettagliato che lei e il suo team avete preparato? È diventato obsoleto nell'istante esatto in cui è stata aggiunta una nuova risorsa.
I diagrammi architetturali sono per lo più statici e non vengono aggiornati con la frequenza che servirebbe. Del resto, chi ha il tempo di rivedere un diagramma dopo ogni deployment o cambio di configurazione?
Così i team finiscono per affidarsi alla memoria collettiva come strategia di documentazione non ufficiale.
Un approccio che funziona benissimo — finché il lead architect non parte per le ferie o lascia l'azienda e, da un giorno all'altro, il contesto critico svanisce nel nulla.
#3 - Tempi di risoluzione più lunghi
Le lacune nella visibilità sull'infrastruttura non sono un semplice grattacapo tecnico: si traducono in problemi di business molto costosi.
Senza una chiara visibilità architetturale, il troubleshooting si trasforma in un rompicapo. Gli engineer sprecano tempo prezioso a tracciare manualmente le connessioni tra i servizi, incrociando log diversi e ricostruendo a memoria le relazioni tra le risorse.
Quella latenza dipende da un database sovraccarico? Da una configurazione di rete sbagliata? O da un limite di risorse nascosto nella catena di dipendenze?
Questo lavoro investigativo sottrae tempo all'implementazione delle soluzioni, dilata i tempi di risoluzione degli incidenti e ricade direttamente sui suoi clienti e sui suoi conti.
Cloud Diagrams affronta queste sfide di petto, offrendo la visibilità chiara e completa sull'infrastruttura di cui i team hanno bisogno per lavorare in modo efficiente. Vediamo come aiuta a visualizzare e a risolvere rapidamente i problemi infrastrutturali.
Come Cloud Diagrams offre piena visibilità sulla sua infrastruttura
Cloud Diagrams mette a disposizione due viste principali per aiutarla a comprendere la sua infrastruttura:
- Diagramma per account: Cloud Diagrams crea un diagramma per ogni account AWS connesso, permettendole di visualizzare e analizzare le risorse e di capire le relazioni che le legano.
- Network flow: il Network flow mostra l'intera topologia di networking cloud su tutti gli account connessi, in un'unica vista consolidata.
Per visualizzare i suoi account AWS dovrà concedere permessi di sola lettura sui servizi di networking, compute, storage e sicurezza dell'account. In questo modo Cloud Diagrams potrà mappare topologia di rete, container service, sistemi di storage, configurazioni di sicurezza e connessioni tra servizi all'interno di quell'account.
Visualizzare l'infrastruttura del suo account AWS
Dopo aver connesso un account AWS, Cloud Diagrams genera una mappa completa e in tempo reale dell'infrastruttura attuale dell'account, comprensiva di risorse, servizi e relative connessioni.
Il diagramma si aggiorna automaticamente man mano che le risorse vengono aggiunte, modificate o eliminate.
Mappatura dell'infrastruttura di un account AWS in Cloud Diagrams
Diventa così molto più semplice cogliere le relazioni tra servizi e individuare incoerenze architetturali che altrimenti resterebbero nascoste.
Il diagramma segue il flusso naturale dei dati di rete da sinistra a destra: dalle risorse esposte pubblicamente come Route 53 e i load balancer, attraverso i layer di networking, fino alle risorse private come bucket S3 interni e servizi di database.
Esplorazione dell'infrastruttura e delle connessioni del suo account AWS in Cloud Diagrams
Cliccando su una qualsiasi istanza di servizio vengono evidenziate le altre istanze a cui è collegata e mostrate ulteriori proprietà e informazioni sulla risorsa.
Qui sotto, ad esempio, sono visibili i dettagli di configurazione, le impostazioni di rete e le regole di sicurezza dell'ALB. I servizi connessi vengono inoltre evidenziati, mentre le risorse non correlate vengono attenuate: il flusso di traffico e le dipendenze risultano così immediatamente leggibili.
Proprietà di un Application Load Balancer (ALB) in Cloud Diagrams
Questa visibilità le permette di intercettare all'istante criticità che richiederebbero altrimenti indagini ben più lunghe.
Possiamo notare, ad esempio, come questo network load balancer orfano non abbia nulla collegato, eppure continui a generare costi ogni mese.
Network Load Balancer (NLB) orfano identificato in Cloud Diagrams
È possibile inoltre individuare architetture di routing incoerenti che possono celare potenziali vulnerabilità di sicurezza.
Si noti come la prima rotta passi attraverso CloudFront e le sue funzionalità WAF integrate, mentre la seconda lo bypassi e si colleghi direttamente a un load balancer.
Identificazione di una rotta Route 53 che non passa per CloudFront prima di comunicare con un Application Load Balancer
Isolare le risorse cloud per un troubleshooting mirato
Quando si gestiscono incidenti in ambienti complessi, muoversi tra decine di servizi e connessioni può essere disorientante.
In alternativa è possibile usare Filter per isolare visivamente le risorse su cui ci si vuole concentrare.
Mettiamo che lei sappia già che un picco di costo o un problema di performance riguarda EC2 e voglia isolare le istanze EC2 e le loro connessioni per semplificare l'analisi. Può filtrare le risorse EC2 e affinare ulteriormente il filtro sulle risorse di servizio con specifiche coppie chiave-valore di tag.
Filtro sulle sole risorse EC2 e relative connessioni in Cloud Diagrams
Il diagramma si trasforma così in una vista mirata sulle sole istanze EC2 con la coppia chiave-valore selezionata e su tutti i componenti collegati rilevanti, semplificando la ricostruzione delle dipendenze e l'identificazione della causa principale degli incidenti.
Vista filtrata delle risorse EC2 con una specifica coppia chiave:valore e relative connessioni in Cloud Diagrams
Raggruppare risorse simili per una visualizzazione più chiara
Gli ambienti cloud più estesi possono diventare rapidamente caotici a livello visivo, con decine di risorse singole — come i bucket S3 qui sotto — che rendono difficile mettere a fuoco ciò che conta. Dal confronto con i clienti emerge spesso che il problema degli strumenti di diagrammazione esistenti è proprio questo: c'è troppo da guardare.
Più bucket S3 mostrati nella vista di infrastruttura in Cloud Diagrams
La funzionalità Combine di Cloud Diagrams permette di consolidare risorse simili in gruppi logici, per una visualizzazione più pulita. E come per Filter, è possibile combinarle in base al servizio e/o a specifiche coppie chiave:valore.
Aggregazione delle risorse S3 per alleggerire la vista di infrastruttura in Cloud Diagrams
Come si può vedere, abbiamo riunito 14 bucket S3 in un unico nodo, semplificando drasticamente il diagramma.
14 bucket S3 riuniti in un unico nodo, per alleggerire il diagramma di infrastruttura
Cronologia delle versioni e snapshot dell'infrastruttura
Oltre a fotografare lo stato attuale, Cloud Diagrams traccia l'evoluzione nel tempo dell'infrastruttura del suo account AWS.
Cliccando su History si apre un audit trail cronologico che indica con precisione cosa è stato creato, modificato o eliminato nel suo ambiente, confrontabile con gli snapshot precedenti dell'infrastruttura.
Cronologia delle versioni dell'infrastruttura di un account AWS in Cloud Diagrams
Se le serve un confronto prima/dopo più mirato, Snapshots le permette di creare viste di confronto personalizzate, filtrate per tipo di servizio, account AWS o altre dimensioni.
In questo modo è facile isolare e comprendere le modifiche apportate a parti specifiche dell'architettura. Nel confronto di snapshot qui sotto, ad esempio, si vede l'istanza del web server passare da arrestata a in esecuzione, acquisire un indirizzo IP pubblico e mostrare le relative modifiche di configurazione di sicurezza.
Tracciamento delle modifiche su un'istanza EC2 che fa parte del Cloud Diagram del nostro account AWS.
Network Layer: risolvere i problemi di rete in pochi minuti
Se i diagrammi dei singoli account offrono un contesto prezioso sulle risorse, capita spesso di dover affrontare problemi di connettività che attraversano più VPC, regioni e persino account AWS.
È qui che entra in gioco la vista Network layer di Cloud Diagrams.
Il Network layer offre una visione globale dell'infrastruttura di networking cloud su tutti gli account connessi. Aiuta a comprendere i flussi di rete tra subnet in VPC, regioni e account differenti, creando di fatto una mappa completa della topologia di networking.
Una vista chiara della sua architettura di rete
Il Network layer organizza le risorse per account — disposti come colonne verticali — e per regione — disposte come sezioni orizzontali all'interno di ciascun account — rendendo immediatamente evidente come i componenti di rete si relazionino tra loro lungo l'intera infrastruttura.
Vista Network layer degli account AWS connessi a Cloud Diagrams e di come i loro componenti di rete si collegano tra loro
Con questa vista può:
- Mappare le connessioni di rete nel suo ambiente, visualizzando reti CloudWAN, TransitVPC e VPN che attraversano account diversi e setup di hybrid cloud.
- Ottenere un inventario di NAT e internet gateway, riunendo tutti questi componenti in un'unica vista consolidata.
- Risolvere problemi di routing verificando che le routing table siano configurate correttamente sulla sua rete, così da intercettare gli errori di configurazione prima che causino interruzioni di servizio.
Un esempio concreto: risolvere problemi di comunicazione tra VPC
Immagini che due delle sue applicazioni in VPC differenti non riescano a comunicare, nonostante i security group siano configurati correttamente.
Con gli strumenti tradizionali passerebbe ore tra una schermata e l'altra della console AWS, controllando le configurazioni delle subnet e confrontando le routing table. Con Cloud Diagrams il problema si risolve in modo molto più diretto.
Il Network Layer mostra subito la sua Core Network con le connessioni a tre subnet VPC distribuite sui nostri due account AWS.
Tre subnet VPC identificate nella vista Network layer di Cloud Diagrams
Seguendo la prima connessione verso il nostro primo account AWS, vedrà una subnet con la routing table configurata correttamente per puntare alla Network Manager Core Network.
Subnet VPC configurata correttamente verso la Network Manager Core Network
Quando però controlla la seconda subnet del secondo account AWS, scopre subito che manca la voce di routing essenziale per il traffico di ritorno.
Subnet VPC priva di una voce di routing verso la Network Manager Core Network
Una volta individuato il problema, può usare il link diretto alla console AWS per aggiungere la rotta mancante.
Abbattere i silos di conoscenza tra i team
Cloud Diagrams va ben oltre l'incident response: è anche uno strumento eccellente per allineare i team.
Diversi team ci hanno raccontato di engineer riluttanti a esplorare servizi che non gestiscono direttamente.
Cloud Diagrams li aiuta offrendo un modo visivo e immediato per addentrarsi in territori meno familiari: a differenza delle opzioni di documentazione tradizionali, troppo ad alto livello o troppo dettagliate, Cloud Diagrams si colloca nella giusta via di mezzo, lasciando ai team la libertà di fare zoom in avanti o indietro a seconda delle esigenze.
Diverse aziende ci hanno inoltre raccontato come la loro meticolosa documentazione su Confluence o i diagrammi su LucidChart/Vizio/Gliffy diventassero obsoleti quasi all'istante, sopraffatti dalla rapida evoluzione dell'infrastruttura.
Con le visualizzazioni sempre aggiornate di Cloud Diagrams, oggi i team possono confrontarsi con il giusto contesto al momento di prendere decisioni architetturali, senza sprecare tempo a mantenere manualmente i diagrammi.
Il futuro di Cloud Diagrams
Mentre continuiamo a far evolvere Cloud Diagrams, siamo entusiasti di ampliarne le capacità per offrire ancora più valore e farne uno strumento sempre più potente a supporto di decisioni tecniche e finanziarie informate sul suo ambiente cloud.
Alcuni aggiornamenti che attendiamo con interesse:
- La visualizzazione dei dati di costo direttamente sulle risorse del diagramma, per capire non solo come è costruita la sua infrastruttura cloud, ma anche quanto ciascun componente pesa sul costo complessivo.
- Il supporto ad altre piattaforme cloud, tra cui Google Cloud, per una vera visibilità multicloud da un'unica interfaccia.
- Integrazioni più strette con altre funzionalità di DoiT Cloud Intelligence come Anomaly Detection: ad esempio, alla ricezione di un alert per un picco di costo potrà visualizzare immediatamente la risorsa e le sue dipendenze e arrivare in fretta alla causa principale.
- Infine, stiamo lavorando anche a integrazioni con strumenti di terze parti come Wiz, per arricchire i suoi diagrammi con eventi di sicurezza e altri dati operativi.
Vuole vedere Cloud Diagrams all'opera? Scopra il nostro walkthrough passo dopo passo, oppure contatti oggi stesso un esperto DoiT per scoprire come iniziare a visualizzare la sua infrastruttura AWS.
Cloud Diagrams è disponibile per tutti i clienti dei piani DoiT Cloud Intelligence Enhanced ed Enterprise, oltre che dei piani DoiT Cloud Navigator Enhanced, Premium ed Enterprise.