Brytyjska platforma healthcare zmigrowała z ręcznych wdrożeń na EC2 do w pełni zautomatyzowanego ECS Fargate z Terraform, GitHub Actions CI/CD i bezpieczeństwem zgodnym z NHS. Czas wdrożenia spadł z godzin do poniżej 10 minut.
Branża
Medtech, Opieka zdrowotna
Lokalizacja
Wielka Brytania
Czas
11.2023 - Obecnie (bieżący retainer)
Firma
Objęte NDA
Nasz klient to brytyjska platforma z zakresu opieki zdrowotnej i wellbeingu, łącząca użytkowników ze specjalistami medycznymi oraz usługami społecznymi. Działając w silnie regulowanym sektorze z integracjami do systemów NHS, musi spełniać wymagania UK Cyber Essentials Plus oraz GDPR, jednocześnie utrzymując wysoką dostępność i integralność wrażliwych danych zdrowotnych.
Infrastruktura klienta działała na gołych instancjach EC2 bez jakiejkolwiek automatyzacji. Wdrożenia były ręczne przez SSH, infrastruktura provisjonowana przez konsolę AWS, a środowiska staging i produkcyjne nie były rozdzielone. W miarę jak roadmapa produktowa wymagała kolejnych usług, w tym API wyszukiwania, silnika analitycznego i warstwy wzbogacania AI, to podejście po prostu nie nadążało.
Ryzyka były realne: wolne i podatne na błędy release’y, brak możliwości rollbacku, brak audit trail, rosnące luki w compliance i zerowa widoczność stanu infrastruktury. Coś musiało się zmienić zanim skala uczyni te problemy nieodwracalnymi.
To typowy przykład tego, jak nasze usługi CI/CD i CloudOps i utrzymanie współpracują, aby przekształcić legacy infrastrukturę w nowoczesną, zautomatyzowaną platformę.
Współpracowaliśmy z klientem, aby zaprojektować i wdrożyć nowoczesną architekturę AWS od podstaw, zastępując ręczne operacje automatyzacją na każdej warstwie.
Zmigrowaliśmy wszystkie workloady z EC2 do Amazon ECS na AWS Fargate, rozbijając monolit na niezależnie wdrażalne i skalowalne konteneryzowane usługi. Oceniliśmy EKS, Elastic Beanstalk i Lambda zanim zdecydowaliśmy się na ECS Fargate jako najlepsze dopasowanie. Oferował izolację kontenerów i skalowanie, którego klient potrzebował, bez narzutu operacyjnego Kubernetes czy ograniczeń bardziej opiniotwórczych platform.
Wdrożyliśmy Amazon OpenSearch Service z klastrem wielowęzłowym zawierającym dedykowane węzły ML do semantycznego wyszukiwania wektorowego, dając platformie inteligentne możliwości wyszukiwania w listingach i danych referralowych.
Zmigrowaliśmy workloady bazodanowe do Amazon RDS for MySQL z automatycznymi kopiami zapasowymi, szyfrowaniem w spoczynku i w tranzycie oraz point-in-time recovery. Od tego czasu wykonaliśmy major version upgrade na produkcji bez utraty danych.
Każdy zasób AWS jest zarządzany przez Terraform i Terragrunt, od usług ECS i konfiguracji ALB po role IAM i security groups. Dodanie nowej usługi do platformy odbywa się teraz według powtarzalnego, szablonowego wzorca zamiast ręcznego maratonu provisioningu.
Wdrożyliśmy pipeline’y GitHub Actions dla każdej usługi. Merge kodu uruchamia automatyczny cykl build, test i deployment bez ręcznych kroków. CI/CD uwierzytelnia się do AWS przez federację OIDC, całkowicie eliminując długożyjące klucze dostępowe. Zobacz nasze usługi CI/CD po więcej szczegółów o naszym podejściu do projektowania pipeline’ów.
Polityki IAM least-privilege zdefiniowane w kodzie. Sekrety zarządzane przez AWS Secrets Manager. Ruch sieciowy zablokowany warstwowymi security groups. CloudTrail i AWS Config włączone dla pełnej audytowalności. Security Hub prowadzący ciągłe kontrole zgodności. Wszystko zgodne z zobowiązaniami klienta wobec Cyber Essentials Plus i GDPR.
Obsługa połączenia z systemami NHS to temat sam w sobie. Wymagania compliance, standardy obsługi danych i wzorce integracji są znaczące i wpłynęły na wiele naszych decyzji architektonicznych dotyczących bezpieczeństwa.
To było nasze pierwsze zaangażowanie wymagające pełnej zgodności z Cyber Essentials Plus i potraktowaliśmy to jako poważne ćwiczenie edukacyjne. Od tego czasu mieliśmy wiele okazji zastosować to doświadczenie z innymi klientami w regulowanych sektorach. Zobacz nasze usługi bezpieczeństwa i zgodności po szczegóły.
Metryki CloudWatch, alarmy i scentralizowane logowanie ze wszystkich komponentów, w tym ECS, RDS, OpenSearch i ALB, dające zespołowi widoczność, jakiej nigdy wcześniej nie mieli, oraz alerting wyłapujący problemy proaktywnie.
Wdrożenia Multi-AZ, automatyczne health checki i wymiana tasków, point-in-time recovery bazy danych oraz udokumentowane cele RTO/RPO dla krytycznych workloadów.
To co zaczęło się jako projekt modernizacyjny, przekształciło się w bieżące partnerstwo. Po początkowej transformacji klient podpisał retainer na kontynuację CloudOps i utrzymania. Nadal wdrażamy nowe usługi, zarządzamy operacjami produkcyjnymi i optymalizujemy koszty przez te same fundamenty IaC i CI/CD, które zbudowaliśmy od pierwszego dnia.
Usługi AWS: Amazon ECS (Fargate), Amazon ECR, Application Load Balancer, Amazon RDS, Amazon OpenSearch Service, AWS Secrets Manager, AWS Systems Manager, Amazon CloudWatch, AWS CloudTrail, AWS Config, AWS Security Hub, Amazon Route53, AWS KMS, Amazon S3, AWS IAM
Narzędzia: Terraform, Terragrunt, GitHub Actions, Docker
Czas wdrożenia spadł z godzin do poniżej 10 minut. Provisioning nowych usług zmniejszył się z wielodniowych wysiłków do 2-4 godzin z szablonami IaC. Projekt modernizacyjny przekształcił się w bieżący retainer CloudOps.