AWS Cloudformation y cambios manuales

10

Parece que no puedo encontrar ninguna documentación sobre lo que sucede cuando te metes manualmente con los objetos de Cloudformation.
Veo que etiqueta sus objetos, pero ¿se recupera si, por ejemplo, alguien elimina una regla de enrutamiento?

EDITAR : Acabo de recibir dos respuestas contradictorias. Me gustaría solicitar documentación / evidencia, ya que tengo que decidir qué instrucciones les estoy dando a mis colegas para modificar estos recursos.

Nitz
fuente

Respuestas:

8

CloudFormation solo crea o modifica los recursos de AWS durante la implementación, actualización o eliminación de una pila. No 'verifica y exige continuamente' estados de configuración de 'recursos de pila individuales'; definitivamente puede ocurrir una deriva.

Como ejemplo, si implemento una pila CF y luego modifico manualmente una regla de entrada en uno de sus grupos de seguridad, esta modificación persistirá hasta que ejecute una actualización CF explícita o vuelva a implementar la pila.

Aquí hay algunos fragmentos / enlaces útiles:

P: ¿Puedo administrar recursos de AWS individuales que forman parte de una pila de AWS CloudFormation?

Si. AWS CloudFormation no se interpone en el camino; Usted retiene el control total de todos los elementos de su infraestructura. Puede continuar utilizando todas sus herramientas existentes de AWS y de terceros para administrar sus recursos de AWS.

Actualizaciones de AWS CloudFormation Stacks: http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks.html

Evitar actualizaciones a los recursos de la pila: http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/protect-stack-resources.html

Tenga en cuenta que el último enlace solo se refiere a la protección de recursos durante una acción de Actualización de CloudFormation, no a cambios ad-hoc realizados a través de la Consola de administración o API a recursos individuales.

Adán
fuente
1
¿Tiene experiencia real al hacerlo, o es solo especulación? La cita de la documentación no dice nada sobre la modificación de Cloudformation / evitar modificar sus personalizaciones.
Nitz
44
Sí, he desplegado muchas pilas de CF y nunca he presenciado la configuración forzada de CF. Me he disparado en el pie antes modificando accidentalmente varios SG que formaban parte de una pila de CF y tuve que volver a implementarlo. Tenías razón sobre la falta de documentación: esto es lo mejor que pude encontrar en 10 minutos.
Adam
2
¿Por 'redistribuir' quiere decir eliminar y desplegar nuevamente, o hay otra forma?
Dusan Bajic
4

Si se mete con los recursos que despliega Cloudformation, los recursos no se recuperarán / restaurarán / pondrán en conformidad, si realmente necesita imponer integridad, tendrá que volver a implementar la pila.

Sirch
fuente
0

Hasta donde yo sé, CloudFormation esencialmente impondrá un "estado del mundo" y corregirá los recursos mal configurados.

En su ejemplo, se recreará una regla de enrutamiento eliminada. Si alguien ha modificado una comprobación de estado de ELB, se restablecerá a la configuración declarada en la plantilla.

Craig Watson
fuente
44
Estoy en desacuerdo. Puede ser el caso de algunos recursos pero no de otros. Por ejemplo, alguien eliminó un par de CloudFromation creó Auto Scaling Groups en la consola, y ahora la pila no se actualiza porque no puede encontrarlos.
Jeff Strunk
@JeffStrunk sería porque CloudFormation no volverá a crear un recurso si no hubiera cambios en las propiedades de ese recurso. Hace una diferencia de la plantilla, no de los recursos reales para determinar si debe activarse para esos recursos. Entonces, si elimina un recurso y luego cambia una propiedad de ese recurso en su plantilla de CloudFormation, ese recurso probablemente se volverá a crear cuando la acción de actualización no lo encuentre.
JacksonHaenchen