Domina herramientas y mejores prácticas de DevOps - DevOps Knowledge Hub Domina herramientas y mejores prácticas de DevOps - DevOps Knowledge Hub

Una guía sistemática para la resolución de problemas de cualquier servicio de AWS

Utilice un flujo de trabajo de solución de problemas de AWS repetible para aislar problemas de servicio, verificar registros, verificar permisos y reducir el tiempo de recuperación.

Una Guía Sistemática para Solucionar Cualquier Problema de Servicio de AWS

Cuando surge un problema de servicio de AWS, adivinar pierde tiempo y a menudo empeora el incidente. Un flujo de trabajo sistemático de solución de problemas de AWS le ayuda a definir el síntoma, verificar la evidencia correcta, aislar la causa y solucionar el problema sin cambiar tres cosas a la vez.

Utilice esta guía cuando esté lidiando con una instancia EC2 inaccesible, un error AccessDenied, una llamada API limitada, una función Lambda que falla o cualquier otro problema de servicio de AWS donde la causa raíz no sea obvia.

La Metodología Sistemática de Solución de Problemas

La solución de problemas efectiva no se trata de adivinar; se trata de seguir un proceso lógico y repetible. Adoptar una metodología estructurada garantiza que recopile toda la información necesaria, forme hipótesis plausibles y las pruebe de manera eficiente. Aquí hay un desglose de los pasos principales:

1. Definir el Problema Claramente

Antes de sumergirse en los registros, tómese un momento para comprender el problema a fondo. Pregúntese:

  • ¿Qué es exactamente el problema? (por ejemplo, instancia EC2 inaccesible, cargas S3 fallidas, tiempo de espera de la función Lambda).
  • ¿Cuándo comenzó? ¿Es constante o intermitente? ¿Hay momentos específicos en que ocurre?
  • ¿Dónde está sucediendo? ¿Qué región, zona de disponibilidad, servicio o recurso específico?
  • ¿Quién está afectado? ¿Todos los usuarios, un grupo específico o sistemas internos?
  • ¿Con qué frecuencia ocurre? ¿Es un evento único o un patrón recurrente?
  • ¿Cuál es el impacto? ¿Es de gravedad crítica, alta, media o baja?

Consejo: Verifique las implementaciones recientes, los cambios de Terraform o CloudFormation, las ediciones de IAM, las actualizaciones de la tabla de rutas y los cambios en los grupos de seguridad antes de profundizar.

2. Recopilar Información y Observar

Aquí es donde entran en juego las potentes herramientas de monitoreo y registro de AWS. Recopile tantos datos relevantes como sea posible sin realizar cambios.

  • Verifique el Panel de Salud de AWS: Busque eventos específicos de la cuenta, eventos de servicio regionales o mantenimiento programado.
  • Revise las Métricas de CloudWatch: Examine las métricas relevantes para su servicio (por ejemplo, utilización de CPU, E/S de red, tasas de error, solicitudes limitadas).
  • Analice los Registros de CloudWatch: Profundice en los registros de aplicaciones, registros de flujo de VPC, registros de Lambda, etc., en busca de errores o patrones inusuales.
  • Consulte los Registros de CloudTrail: Identifique llamadas API recientes, especialmente si sospecha de acceso no autorizado o configuraciones incorrectas.
  • Examine la Configuración: Use AWS Config para ver si las configuraciones de los recursos han cambiado recientemente.
  • Verifique el Estado del Recurso: Verifique el estado de instancias, bases de datos, balanceadores de carga en sus respectivas consolas.

3. Formular una Hipótesis

Basándose en la información recopilada, proponga una o más causas probables del problema. Su hipótesis debe ser específica y comprobable. Por ejemplo:

  • "La instancia EC2 es inalcanzable porque su grupo de seguridad no permite el tráfico SSH entrante."
  • "Las cargas S3 están fallando debido a un error de Acceso Denegado, lo que indica una política de IAM incorrecta."
  • "La función Lambda está agotando el tiempo de espera porque está alcanzando un límite de concurrencia del servicio."

4. Probar la Hipótesis y Aislar Variables

Diseñe una prueba simple para confirmar o refutar su hipótesis. Si su prueba inicial no resuelve el problema, refine su hipótesis y pruebe de nuevo. Al probar, haga un cambio a la vez para identificar fácilmente la causa y el efecto.

  • Ejemplo (Conectividad): Si sospecha de un problema de grupo de seguridad, pruebe desde una dirección IP de origen conocida y un puerto. Si eso demuestra que la regla es el problema, reemplace la prueba temporal con la regla estrecha que realmente necesita.
  • Ejemplo (Permisos): Use el Simulador de Políticas de IAM para probar diferentes políticas de IAM contra las acciones que están fallando.

5. Resolver y Verificar

Una vez que haya identificado la causa raíz, implemente la solución adecuada. Después de aplicar la solución, verifique a fondo que el problema esté resuelto y que no se hayan introducido nuevos problemas.

6. Documentar y Aprender

Después de la resolución, documente el problema, los pasos de diagnóstico, la causa raíz y la solución. Esto crea una valiosa base de conocimientos para incidentes futuros y ayuda a mejorar la resiliencia de su sistema. Considere una autopsia para problemas críticos para identificar medidas preventivas.

Herramientas y Recursos Clave para la Solución de Problemas de AWS

AWS proporciona un rico conjunto de herramientas esenciales para diagnosticar problemas.

Amazon CloudWatch

Su herramienta principal para monitorear recursos y aplicaciones. CloudWatch ofrece:

  • Métricas: Puntos de datos en tiempo real sobre prácticamente todos los servicios de AWS (utilización de CPU, E/S de red, recuentos de solicitudes S3, eventos limitados de DynamoDB, invocaciones/errores de Lambda). Cree métricas personalizadas para datos específicos de la aplicación.
  • Registros: Registro centralizado para casi cualquier fuente (EC2, Lambda, registros de flujo de VPC, CloudTrail, registros de aplicaciones). Use CloudWatch Logs Insights para consultas y análisis potentes.
  • Alarmas: Establezca umbrales en las métricas para activar notificaciones (a través de SNS) o acciones automatizadas (por ejemplo, escalado automático).
  • Paneles: Cree paneles personalizados para visualizar métricas y registros clave, proporcionando una vista única de la salud operativa.

AWS CloudTrail

CloudTrail registra la actividad de la API en toda su cuenta de AWS, mostrando quién hizo qué, cuándo, desde dónde y con qué resultado. Es indispensable para investigaciones de seguridad, auditorías de cumplimiento y, fundamentalmente, para solucionar problemas relacionados con permisos o cambios no deseados en los recursos.

  • Uso: Busque eventos de Acceso Denegado, operaciones UPDATE, DELETE o CREATE que coincidan con el inicio del problema.
  • Ejemplo de consulta Athena para registros de CloudTrail en S3:
    SELECT eventtime, eventsource, eventname, useridentity.arn, errorcode, errormessage
FROM cloudtrail_logs
WHERE eventtime > current_timestamp - interval '1' hour
  AND (errorcode LIKE '%AccessDenied%' OR errormessage LIKE '%denied%')
ORDER BY eventtime DESC
LIMIT 100

Consola de Administración de AWS

Cada consola de servicio proporciona paneles específicos, páginas de estado y detalles de configuración. Este suele ser el primer lugar para verificar el estado y la configuración de los recursos. Por ejemplo, la consola EC2 muestra el estado de la instancia, los grupos de seguridad y las interfaces de red.

AWS CLI/SDK

Para verificaciones programáticas, automatización y consultas ad-hoc rápidas, la Interfaz de Línea de Comandos (CLI) y los Kits de Desarrollo de Software (SDK) de AWS son invaluables. Le permiten obtener información, modificar configuraciones e interactuar con los servicios directamente desde su terminal o aplicación.

  • Ejemplo (Verificar Reglas del Grupo de Seguridad):
    aws ec2 describe-security-groups --group-ids sg-0123456789abcdef0

Panel de Salud de AWS

Proporciona información personalizada sobre la salud de los servicios de AWS y su cuenta. Es crucial para comprender si un problema es específico de la cuenta o un evento de servicio de AWS más amplio. Muestra problemas operativos, mantenimiento planificado y alertas personalizadas.

AWS Config

Registra los cambios de configuración de sus recursos de AWS. Si un recurso se comporta inesperadamente de repente, Config puede mostrarle su historial de configuración, señalando cuándo y cómo se realizó un cambio.

Categorías Comunes de Problemas de AWS y Soluciones

La mayoría de los problemas de AWS se dividen en algunas categorías recurrentes. Comprender estos patrones ayuda a formar hipótesis precisas.

1. Problemas de Conectividad

Cuando los recursos no pueden comunicarse, verifique la ruta de red:

  • Grupos de Seguridad y ACL de Red (NACL): Estos son los culpables más comunes. Los grupos de seguridad son stateful y se aplican a instancias/ENI; las NACL son stateless y se aplican a subredes. Verifique que las reglas de entrada/salida permitan el tráfico necesario.
    • Consejo: Recuerde que los grupos de seguridad son listas de permitir. Las NACL tienen reglas de permitir y denegar. El orden importa para las NACL.
  • Tablas de Rutas: Asegúrese de que sus subredes tengan rutas correctas a Internet (a través de Internet Gateway), otras VPC (peering) o redes locales (VPN/Direct Connect).
  • Resolución DNS: Si los recursos no pueden resolver nombres de host, verifique la configuración de DNS de la VPC, las configuraciones de Route 53 o la configuración de DNS a nivel de aplicación.
  • Registros de Flujo de VPC: Para la solución de problemas de red profunda, los registros de flujo registran todo el tráfico IP que entra y sale de las interfaces de red en su VPC. Analícelos en CloudWatch Logs Insights para ver conexiones aceptadas/rechazadas.
    fields @timestamp, @message
| filter logStatus = 'OK'
| filter action = 'REJECT'
| filter srcAddr = '192.0.2.1' or dstAddr = '192.0.2.1' -- IP de interés
| sort @timestamp desc

2. Errores de Permiso (Acceso Denegado)

Estos se encuentran con frecuencia y se indican con mensajes de Acceso Denegado, Operación No Autorizada o Prohibido.

  • Políticas de IAM: Verifique las políticas de IAM adjuntas para el usuario, rol o grupo que realiza la acción. Verifique que tengan declaraciones Allow para la Acción específica en el Recurso correcto.
    • Consejo: Las políticas de IAM son denegar por defecto. Necesita un permitir explícito.
  • Políticas de Recursos: Algunos servicios, incluidos S3, SQS, KMS, SNS y Lambda, admiten políticas basadas en recursos que otorgan o deniegan el acceso directamente en el recurso. Estas deben alinearse con las políticas de identidad de IAM.
    • Ejemplo de política de bucket S3 para una cuenta de AWS, no acceso público:
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadFromAppRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/app-readonly-role"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::example-private-bucket/*"
      ]
    }
  ]
}
  • Políticas de Control de Servicio (SCP): Si usa AWS Organizations, las SCP pueden establecer los permisos máximos disponibles en una cuenta. Un permiso de IAM no puede anular una restricción de SCP.
  • CloudTrail: Busque errores de Acceso Denegado en los registros de CloudTrail para identificar la llamada API exacta, la entidad principal y el recurso involucrado.
  • Simulador de Políticas de IAM: Una herramienta poderosa en la consola de IAM para probar los efectos de diferentes políticas en acciones específicas.

3. Límites de Servicio y Limitación

Los servicios de AWS tienen límites blandos y duros. Alcanzar estos límites puede causar errores o degradación del rendimiento (ThrottlingException, TooManyRequestsException).

  • Métricas de CloudWatch: Monitoree métricas específicas del servicio en busca de signos de limitación, como ReadThrottleEvents de DynamoDB o Throttles de Lambda.
  • Consola de Cuotas de Servicio: Esta consola enumera todas las cuotas de servicio de AWS, su uso actual y le permite solicitar aumentos para cuotas ajustables.
  • Retroceso Exponencial y Reintentos: Implemente estos patrones en sus aplicaciones al interactuar con las API de AWS para manejar correctamente la limitación temporal.

4. Configuraciones Incorrectas de Recursos

Los recursos configurados incorrectamente son una causa frecuente de problemas.

  • Almacenamiento: Permisos incorrectos del bucket S3 (acceso público), volúmenes EBS no cifrados, IOPS insuficientes para EBS.
  • Cómputo: Tipo de instancia EC2 incorrecto, AMI incorrecta, datos de usuario mal configurados, problemas del grupo de escalado automático.
  • Bases de Datos: Problemas de cadena de conexión, configuración incorrecta del grupo de seguridad, configuraciones del grupo de parámetros.
  • Balanceadores de Carga: Reglas de escucha incorrectas, grupos de destino no saludables, problemas de grupo de seguridad.
  • AWS Config: Use Config para rastrear los cambios en las configuraciones de los recursos a lo largo del tiempo, lo que ayuda a identificar cuándo se introdujo una configuración incorrecta.

5. Problemas Específicos de la Aplicación

Incluso con los servicios de AWS funcionando perfectamente, el código de la aplicación puede tener problemas.

  • Registros de Aplicación: Asegúrese de que los registros de su aplicación fluyan a CloudWatch Logs. Analícelos en busca de errores, excepciones o comportamientos inesperados.
  • Métricas de Aplicación: Emita métricas personalizadas de CloudWatch desde su aplicación (por ejemplo, recuentos de errores, latencia de solicitudes, profundidad de cola) para obtener información más profunda.
  • AWS X-Ray: Para aplicaciones distribuidas, X-Ray proporciona visibilidad de extremo a extremo, rastreando las solicitudes a medida que fluyen a través de varios servicios e identificando cuellos de botella de rendimiento o errores.

Mejores Prácticas para Reducir el MTTR

Una buena preparación reduce la cantidad de trabajo de detective que necesita durante un incidente.

  • Monitoreo y Alertas Proactivos: Implemente alarmas completas de CloudWatch para métricas críticas (uso de CPU, tasas de error, latencia, espacio en disco, errores de API). Integre con SNS para enviar notificaciones a PagerDuty, Slack o correo electrónico.
  • Registro Centralizado: Agregue registros de todos sus servicios (EC2, Lambda, contenedores, etc.) en CloudWatch Logs o un lago de datos basado en S3 para facilitar la búsqueda y el análisis.
  • Infraestructura como Código (IaC): Use CloudFormation, AWS CDK o Terraform para definir su infraestructura. Esto garantiza consistencia, reduce errores manuales y facilita la reversión de cambios.
  • Runbooks y Playbooks: Documente problemas comunes, sus síntomas, pasos de diagnóstico y procedimientos de resolución. Esto permite a su equipo resolver problemas de manera rápida y consistente.
  • Adopte el Marco de Buenas Prácticas de AWS Well-Architected: Diseñe sus sistemas teniendo en cuenta la excelencia operativa, la seguridad, la confiabilidad, la eficiencia del rendimiento y la optimización de costos. El diseño proactivo previene muchos problemas.
  • Auditorías y Revisiones Regulares: Revise periódicamente las reglas del grupo de seguridad, las políticas de IAM y las configuraciones de los recursos para asegurarse de que se alineen con las mejores prácticas y los requisitos actuales.
  • Aproveche el Soporte de AWS: Para problemas complejos que no puede resolver, o si sospecha de un problema de servicio del lado de AWS, abra un caso de soporte si su plan de soporte lo permite. Incluya ID de recursos, regiones, marcas de tiempo con zonas horarias, mensajes de error, ID de solicitud y los pasos que ya ha intentado.

Conclusión

Comience cada problema de servicio de AWS con el mismo ritmo: defina el síntoma, verifique los cambios recientes, recopile registros y métricas, pruebe una hipótesis a la vez, luego documente la solución. Ese hábito mantiene su solución de problemas tranquila cuando el incidente no lo está.