Lista de Verificação
Conta AWS e Acesso
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| Conta | AWS Account ID | Um AWS Account ID válido deve ser compartilhado | Necessário para criação de funções IAM, titularidade de faturamento, tags e acesso ao backend Terraform | Account ID está correto, faturamento habilitado e acessível | ||
| Região | Seleção de Região AWS | A região deve suportar EKS, EC2, VPC, ACM, ElastiCache, Amazon MQ | Alguns serviços têm restrições regionais; regiões não suportadas quebram a implantação | Região confirmada no console AWS e suporta todos os serviços necessários | ||
| CLI | AWS CLI Configurada | Usuário IAM com AWS CLI autenticada | Implantacoes Terraform/Terragrunt requerem acesso programático | aws sts get-caller-identity retorna a conta esperada | ||
| IAM | Permissões de Implantação | Permissões IAM de Administrador | A implantação abrange EC2, EKS, IAM, S3, ACM, Route 53, MQ, ElastiCache, CloudWatch | Política IAM permite criar/atualizar/excluir nos serviços necessários |
Cotas de Serviço
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| EC2 | Cota de vCPU On-Demand | Mínimo de 100–150 cotas de vCPU para instâncias On-Demand Standard (A, C, D, H, I, M, R, T, Z) | Escalonamento automático, instâncias r6a e Karpenter requerem folga alta de vCPU | Aumento de cota aprovado no console Service Quotas | ||
| EC2 | Disponibilidade de Famílias de Instâncias | Instâncias das famílias C, M, R disponíveis na região | Cargas de trabalho requerem nós otimizados em computação, memória e banco de dados | Famílias de instâncias visíveis e selecionáveis no console EC2 | ||
| EKS | Cota de Cluster EKS | Pelo menos 1 cluster EKS permitido com base na implantação de ambiente necessária | Criação de cluster bloqueada se cota insuficiente | Cota >= 1 cluster | ||
| VPC | Cota de NAT Gateway | 1 NAT Gateway por AZ (recomendado 3) | Sub-redes privadas requerem acesso de saída à internet | Cota >= número de AZs | ||
| Rede | Cota de Elastic IP | Elastic IPs disponíveis para NAT Gateways | Cada NAT Gateway consome um Elastic IP | Cota de Elastic IP suficiente para o número de AZs | ||
| ElastiCache | Cota ElastiCache | Pelo menos 2 nós para cluster Redis (cache.t3.micro, Redis 7.0) | Necessário quando ENABLE_AWS_SERVICES=true | Cota >= 2 nós | ||
| Amazon MQ | Cota Amazon MQ | Pelo menos 1 broker para RabbitMQ (mq.m5.large, RabbitMQ 3.13) | Necessário quando ENABLE_AWS_SERVICES=true | Cota >= 1 broker |
Domínios e SSL
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| Domínios | Domínio Frontend | Domínio público para o frontend web (por exemplo, app.example.com) | Usado para roteamento ALB e terminação SSL | Domínio resolve e titularidade confirmada | ||
| Domínios | Domínio API Backend | Domínio público para o backend FastAPI (por exemplo, api.example.com) | Necessário para acesso à API e TLS | Domínio documentado e aprovado | ||
| Domínios | Domínio do Serviço Automator | Domínio público para o Serviço Automator (por exemplo, automations.example.com) | Necessário para acesso à API e TLS | Domínio documentado e aprovado | ||
| Domínios | Domínio do Serviço Supabase | Quando não usando Supabase Cloud — domínio público para o Supabase (por exemplo, supabase.example.com) | Necessário para acesso à API e TLS ao auto-hospedar o Supabase | Domínio documentado e aprovado | ||
| Certificados | Certificados ACM | Certificados ACM wildcard ou individuais criados na região de implantação | Terminação TLS no ALB requer certificados ACM válidos | Certificados em estado ISSUED e na mesma região AWS da implantação |
Rede
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| VPC | Estratégia VPC | Confirmar VPC existente ou aprovar nova criação de VPC | Define isolamento, roteamento e limites de segurança | VPC ID ou bloco CIDR aprovado | ||
| CIDR | Planejamento CIDR | CIDR não deve sobrepor com VPCs locais ou outras | CIDRs sobrepostos quebram roteamento e conectividade VPN | CIDR validado em relação a redes existentes | ||
| Sub-redes | Sub-redes Públicas | Sub-redes públicas por AZ para ALB e NAT Gateways | Necessário para tráfego de entrada e saída | Sub-redes com tags e roteáveis | ||
| Sub-redes | Sub-redes Privadas | Sub-redes privadas por AZ para nós worker do EKS | Garante que cargas de trabalho não estão diretamente expostas à internet | Sub-redes mapeadas e acessíveis via NAT Gateway | ||
| Egress | Acesso de Saída | Portas de saída 80, 443, 53 permitidas a partir dos nós worker | Necessário para pull de imagens de container, chamadas de API AWS e resolução DNS | Regras de firewall/grupo de segurança validadas |
Configuração de Serviços
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| Supabase | Habilitação do Supabase | Confirmar Supabase auto-hospedado (ENABLE_SUPABASE=true) ou Supabase Cloud | Afeta provisionamento de DB, segredos, ingress e configuração de rede | Decisão documentada; flags ENABLE_* correspondentes definidas na implantação | ||
| Serviços AWS | Uso do Redis | Confirmar AWS ElastiCache Redis (ENABLE_AWS_SERVICES=true) ou Redis externo | Afeta alta disponibilidade, custo e design de rede | Decisão documentada | ||
| Serviços AWS | Uso do RabbitMQ | Confirmar Amazon MQ (ENABLE_AWS_SERVICES=true) ou RabbitMQ externo | Impacta confiabilidade de mensagens e HA | Decisão documentada | ||
| Balanceador de Carga | Controlador ALB | AWS Load Balancer Controller habilitado (ENABLE_ALB_CONTROLLER=true, padrão) | Necessário para provisionamento de ingress ALB a partir de anotações Kubernetes | Pods do controlador em execução no namespace infrastructure |
Escalonamento Automático
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| Karpenter | Karpenter Instalado | Controlador Karpenter implantado via módulo EKS | Lida com provisionamento dinâmico de nós; substitui escalonamento automático de node group gerenciado | Pods do Karpenter saudáveis no node group dedicado | ||
| Karpenter | Estratégia Spot | Definição de uso Spot vs On-Demand por classe de nó | Otimiza custos mantendo estabilidade; tratamento de interrupção Spot deve estar habilitado | Tratamento de interrupção via SQS habilitado se instâncias Spot forem usadas | ||
| KEDA | Escalonamento Automático de Pods | KEDA instalado via chart Helm (namespace keda) | Lida com escalonamento dinâmico de pods baseado em limites de CPU/Memória | Pods do operador KEDA saudáveis; ScaledObjects aplicados a todos os serviços |
Armazenamento
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| EBS | EBS CSI Driver | EBS CSI driver instalado (namespace kube-system) | Necessário para provisionamento dinâmico de volumes persistentes via StorageClass | Pods do driver saudáveis; PVCs provisionados com sucesso |
Segurança
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| Criptografia | Criptografia em Repouso | Volumes EBS, bucket de estado S3 e criptografia Redis habilitados | Protege dados sensíveis em repouso em todas as camadas de armazenamento | Criptografia confirmada via console AWS para cada serviço | ||
| Criptografia | Criptografia em Trânsito | TLS obrigatório para toda comunicação externa e interna de serviços | Previne interceptação de dados em trânsito | Endpoints HTTPS verificados; Redis transit_encryption_enabled = true | ||
| Auditoria | Registro de Auditoria | CloudTrail, VPC Flow Logs e logs de auditoria Kubernetes habilitados | Necessário para investigação de incidentes, conformidade e auditorias | Logs visíveis e consultáveis no CloudWatch / S3 |
Implantação
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| Agenda | Janela de Implantação | Data e janela de horário da implantação aprovados pelo cliente | Garante disponibilidade da equipe do cliente para validação e reversão, se necessário | Confirmação por escrito recebida |
Aprovação
| Área | Item da Lista | Requisito Detalhado | O que / Por quê | Critérios de Aceitação | Status | Valores Capturados / Notas |
|---|---|---|---|---|---|---|
| Aprovação | Aprovação do Cliente | O cliente aprova formalmente a estimativa de custo, escopo e plano de implantação | Autorização formal de entrada em produção necessária antes que a infraestrutura seja provisionada | Aprovação por e-mail ou documento assinado recebida |
Referência das Flags de Habilitação/Desabilitação de Serviços
Confirme o valor pretendido para cada flag com o cliente antes da implantação.| Variável de Ambiente | Padrão | Efeito |
|---|---|---|
ENABLE_SUPABASE | false | Implantar pilha Supabase auto-hospedado (Kong, Auth, Storage, Studio) |
ENABLE_CNPG | false | Implantar operador CloudNativePG (pré-requisito para Supabase DB auto-hospedado) |
ENABLE_HA_SUPABASE_DB | false | Implantar cluster PostgreSQL HA via CloudNativePG (pré-requisito para Supabase) |
ENABLE_AWS_SERVICES | false | Provisionar ElastiCache Redis e Amazon MQ RabbitMQ |
ENABLE_ALB_CONTROLLER | true | Implantar AWS Load Balancer Controller |
ENABLE_SIGNOZ | false | Implantar plataforma de observabilidade SigNoz + agente k8s-infra |
Resumo dos Valores Capturados
Registre os valores finais coletados do cliente antes da implantação.| Parâmetro | Valor |
|---|---|
| AWS Account ID | |
| Região AWS | |
| CIDR VPC | |
| Zonas de Disponibilidade | |
| Domínio Frontend | |
| Domínio API | |
| Domínio Automator | |
| Domínio Supabase (se auto-hospedado) | |
| Domínio SigNoz (se habilitado) | |
| ARN(s) do Certificado ACM | |
| Modo do Supabase | Cloud / Auto-hospedado |
| Redis | ElastiCache / Externo |
| RabbitMQ | Amazon MQ / Externo |
| Data/Janela de Implantação | |
| Referência de Aprovação do Cliente |