EC2 Security group connection tracking dodaje obsługę konfigurowalnych limitów czasu bezczynności
Dzisiaj AWS ogłosił nową funkcję EC2 do konfigurowania limitów czasu bezczynności, na przykład śledzenia połączenia.
Umożliwi to klientom zarządzanie zasobami śledzenia połączeń ich instancji i zapewni im możliwość skonfigurowania optymalnych limitów czasu w celu zarządzania skalą połączenia.
EC2 wykorzystuje śledzenie połączeń (conntrack) do wdrażania grup zabezpieczeń i egzekwowania reguł. Dzięki tej nowej funkcji limity czasu bezczynności dla połączeń w sesjach TCP Established, UDP stream i UDP unidirectional sessions w instancjach EC2 można teraz konfigurować dla poszczególnych interfejsów sieci elastycznej (ENI) i można je edytować na podstawie domyślnych ustawień limitu czasu. Do tej pory wszystkie bezczynne połączenia w stanach TCP i UDP były śledzone przez wstępnie zdefiniowany okres domyślny lub do momentu ich zamknięcia.
TCP, jeśli instancja EC2 nie wysyła ani nie odbiera FIN lub RST, połączenia mogą pozostać bezczynne przez maksymalnie 5 dni. Podobnie w przypadku dużych obciążeń DNS korzystających ze strumieni UDP klienci mogą zapobiec wyczerpaniu śledzenia połączeń, konfigurując krótsze limity czasu bezczynności. Określając wartości limitu czasu „tcp-standing”, „udp-stream”, „udp-timeout” dla identyfikatorów ENI dołączonych do instancji, EC2 będzie teraz oczyszczał te sesje po określonej wartości limitu czasu.
Funkcja EC2 Configurable Idle Timeout jest dostępna we wszystkich regionach komercyjnych AWS tylko dla instancji opartych na Nitro. Ta funkcja jest dostępna w ramach śledzenia połączeń instancji EC2.
Aby dowiedzieć się więcej, przejrzyj najnowszą dokumentację EC2.
źródło: AWS