Pular para o conteúdo principal
Esta lista de verificação deve ser completada e revisada com o cliente antes de implantar a infraestrutura EKB EKS na conta AWS deles. Todos os itens devem ser confirmados, capturados e aprovados antes da implantação.

Lista de Verificação

Conta AWS e Acesso

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
ContaAWS Account IDUm AWS Account ID válido deve ser compartilhadoNecessário para criação de funções IAM, titularidade de faturamento, tags e acesso ao backend TerraformAccount ID está correto, faturamento habilitado e acessível
RegiãoSeleção de Região AWSA região deve suportar EKS, EC2, VPC, ACM, ElastiCache, Amazon MQAlguns serviços têm restrições regionais; regiões não suportadas quebram a implantaçãoRegião confirmada no console AWS e suporta todos os serviços necessários
CLIAWS CLI ConfiguradaUsuário IAM com AWS CLI autenticadaImplantacoes Terraform/Terragrunt requerem acesso programáticoaws sts get-caller-identity retorna a conta esperada
IAMPermissões de ImplantaçãoPermissões IAM de AdministradorA implantação abrange EC2, EKS, IAM, S3, ACM, Route 53, MQ, ElastiCache, CloudWatchPolítica IAM permite criar/atualizar/excluir nos serviços necessários

Cotas de Serviço

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
EC2Cota de vCPU On-DemandMínimo de 100–150 cotas de vCPU para instâncias On-Demand Standard (A, C, D, H, I, M, R, T, Z)Escalonamento automático, instâncias r6a e Karpenter requerem folga alta de vCPUAumento de cota aprovado no console Service Quotas
EC2Disponibilidade de Famílias de InstânciasInstâncias das famílias C, M, R disponíveis na regiãoCargas de trabalho requerem nós otimizados em computação, memória e banco de dadosFamílias de instâncias visíveis e selecionáveis no console EC2
EKSCota de Cluster EKSPelo menos 1 cluster EKS permitido com base na implantação de ambiente necessáriaCriação de cluster bloqueada se cota insuficienteCota >= 1 cluster
VPCCota de NAT Gateway1 NAT Gateway por AZ (recomendado 3)Sub-redes privadas requerem acesso de saída à internetCota >= número de AZs
RedeCota de Elastic IPElastic IPs disponíveis para NAT GatewaysCada NAT Gateway consome um Elastic IPCota de Elastic IP suficiente para o número de AZs
ElastiCacheCota ElastiCachePelo menos 2 nós para cluster Redis (cache.t3.micro, Redis 7.0)Necessário quando ENABLE_AWS_SERVICES=trueCota >= 2 nós
Amazon MQCota Amazon MQPelo menos 1 broker para RabbitMQ (mq.m5.large, RabbitMQ 3.13)Necessário quando ENABLE_AWS_SERVICES=trueCota >= 1 broker

Domínios e SSL

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
DomíniosDomínio FrontendDomínio público para o frontend web (por exemplo, app.example.com)Usado para roteamento ALB e terminação SSLDomínio resolve e titularidade confirmada
DomíniosDomínio API BackendDomínio público para o backend FastAPI (por exemplo, api.example.com)Necessário para acesso à API e TLSDomínio documentado e aprovado
DomíniosDomínio do Serviço AutomatorDomínio público para o Serviço Automator (por exemplo, automations.example.com)Necessário para acesso à API e TLSDomínio documentado e aprovado
DomíniosDomínio do Serviço SupabaseQuando não usando Supabase Cloud — domínio público para o Supabase (por exemplo, supabase.example.com)Necessário para acesso à API e TLS ao auto-hospedar o SupabaseDomínio documentado e aprovado
CertificadosCertificados ACMCertificados ACM wildcard ou individuais criados na região de implantaçãoTerminação TLS no ALB requer certificados ACM válidosCertificados em estado ISSUED e na mesma região AWS da implantação

Rede

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
VPCEstratégia VPCConfirmar VPC existente ou aprovar nova criação de VPCDefine isolamento, roteamento e limites de segurançaVPC ID ou bloco CIDR aprovado
CIDRPlanejamento CIDRCIDR não deve sobrepor com VPCs locais ou outrasCIDRs sobrepostos quebram roteamento e conectividade VPNCIDR validado em relação a redes existentes
Sub-redesSub-redes PúblicasSub-redes públicas por AZ para ALB e NAT GatewaysNecessário para tráfego de entrada e saídaSub-redes com tags e roteáveis
Sub-redesSub-redes PrivadasSub-redes privadas por AZ para nós worker do EKSGarante que cargas de trabalho não estão diretamente expostas à internetSub-redes mapeadas e acessíveis via NAT Gateway
EgressAcesso de SaídaPortas de saída 80, 443, 53 permitidas a partir dos nós workerNecessário para pull de imagens de container, chamadas de API AWS e resolução DNSRegras de firewall/grupo de segurança validadas

Configuração de Serviços

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
SupabaseHabilitação do SupabaseConfirmar Supabase auto-hospedado (ENABLE_SUPABASE=true) ou Supabase CloudAfeta provisionamento de DB, segredos, ingress e configuração de redeDecisão documentada; flags ENABLE_* correspondentes definidas na implantação
Serviços AWSUso do RedisConfirmar AWS ElastiCache Redis (ENABLE_AWS_SERVICES=true) ou Redis externoAfeta alta disponibilidade, custo e design de redeDecisão documentada
Serviços AWSUso do RabbitMQConfirmar Amazon MQ (ENABLE_AWS_SERVICES=true) ou RabbitMQ externoImpacta confiabilidade de mensagens e HADecisão documentada
Balanceador de CargaControlador ALBAWS Load Balancer Controller habilitado (ENABLE_ALB_CONTROLLER=true, padrão)Necessário para provisionamento de ingress ALB a partir de anotações KubernetesPods do controlador em execução no namespace infrastructure

Escalonamento Automático

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
KarpenterKarpenter InstaladoControlador Karpenter implantado via módulo EKSLida com provisionamento dinâmico de nós; substitui escalonamento automático de node group gerenciadoPods do Karpenter saudáveis no node group dedicado
KarpenterEstratégia SpotDefinição de uso Spot vs On-Demand por classe de nóOtimiza custos mantendo estabilidade; tratamento de interrupção Spot deve estar habilitadoTratamento de interrupção via SQS habilitado se instâncias Spot forem usadas
KEDAEscalonamento Automático de PodsKEDA instalado via chart Helm (namespace keda)Lida com escalonamento dinâmico de pods baseado em limites de CPU/MemóriaPods do operador KEDA saudáveis; ScaledObjects aplicados a todos os serviços

Armazenamento

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
EBSEBS CSI DriverEBS CSI driver instalado (namespace kube-system)Necessário para provisionamento dinâmico de volumes persistentes via StorageClassPods do driver saudáveis; PVCs provisionados com sucesso

Segurança

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
CriptografiaCriptografia em RepousoVolumes EBS, bucket de estado S3 e criptografia Redis habilitadosProtege dados sensíveis em repouso em todas as camadas de armazenamentoCriptografia confirmada via console AWS para cada serviço
CriptografiaCriptografia em TrânsitoTLS obrigatório para toda comunicação externa e interna de serviçosPrevine interceptação de dados em trânsitoEndpoints HTTPS verificados; Redis transit_encryption_enabled = true
AuditoriaRegistro de AuditoriaCloudTrail, VPC Flow Logs e logs de auditoria Kubernetes habilitadosNecessário para investigação de incidentes, conformidade e auditoriasLogs visíveis e consultáveis no CloudWatch / S3

Implantação

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
AgendaJanela de ImplantaçãoData e janela de horário da implantação aprovados pelo clienteGarante disponibilidade da equipe do cliente para validação e reversão, se necessárioConfirmação por escrito recebida

Aprovação

ÁreaItem da ListaRequisito DetalhadoO que / Por quêCritérios de AceitaçãoStatusValores Capturados / Notas
AprovaçãoAprovação do ClienteO cliente aprova formalmente a estimativa de custo, escopo e plano de implantaçãoAutorização formal de entrada em produção necessária antes que a infraestrutura seja provisionadaAprovação por e-mail ou documento assinado recebida

Referência das Flags de Habilitação/Desabilitação de Serviços

Confirme o valor pretendido para cada flag com o cliente antes da implantação.
Variável de AmbientePadrãoEfeito
ENABLE_SUPABASEfalseImplantar pilha Supabase auto-hospedado (Kong, Auth, Storage, Studio)
ENABLE_CNPGfalseImplantar operador CloudNativePG (pré-requisito para Supabase DB auto-hospedado)
ENABLE_HA_SUPABASE_DBfalseImplantar cluster PostgreSQL HA via CloudNativePG (pré-requisito para Supabase)
ENABLE_AWS_SERVICESfalseProvisionar ElastiCache Redis e Amazon MQ RabbitMQ
ENABLE_ALB_CONTROLLERtrueImplantar AWS Load Balancer Controller
ENABLE_SIGNOZfalseImplantar plataforma de observabilidade SigNoz + agente k8s-infra

Resumo dos Valores Capturados

Registre os valores finais coletados do cliente antes da implantação.
ParâmetroValor
AWS Account ID
Região AWS
CIDR VPC
Zonas de Disponibilidade
Domínio Frontend
Domínio API
Domínio Automator
Domínio Supabase (se auto-hospedado)
Domínio SigNoz (se habilitado)
ARN(s) do Certificado ACM
Modo do SupabaseCloud / Auto-hospedado
RedisElastiCache / Externo
RabbitMQAmazon MQ / Externo
Data/Janela de Implantação
Referência de Aprovação do Cliente