Как реализуется развертывание Amazon RDS в нескольких -зонах доступности?

Недавно я подумывал об использовании развертывания Amazon RDS Multi -AZ для службы в производственной среде и прочитал соответствующие документы.

Однако у меня есть вопрос по поводу отказоустойчивости. В FAQ по Amazon RDS отработка отказа описана следующим образом:

Q: What happens during Multi-AZ failover and how long does it take?

Failover is automatically handled by Amazon RDS so that you can resume database operations as quickly as possible without administrative intervention. When failing over, Amazon RDS simply flips the canonical name record (CNAME) for your DB Instance to point at the standby, which is in turn promoted to become the new primary. We encourage you to follow best practices and implement database connection retry at the application layer. Failover times are a function of the time it takes crash recovery to complete. Start-to-finish, failover typically completes within three minutes.

Из приведенного выше описания я предполагаю, что должна быть служба мониторинга, которая могла бы обнаружить сбой основного экземпляра и выполнить переключение.

У меня вопрос: в какой зоне доступности находится эта служба мониторинга? Есть 3 возможности :1. Та же зона доступности, что и основная 2. Та же зона доступности, что и резервная 3. Еще один АЗ

По-видимому, 1 и 2 не будут иметь место, поскольку они не могут справиться с ситуацией, когда вся зона доступности недоступна. Итак, если 3, что делать, если АЗ службы мониторинга выйдет из строя? Есть ли другая служба для мониторинга этой службы мониторинга? Кажется, что это бесконечное домино.

Итак, как Amazon обеспечивает доступность RDS в развертывании в нескольких -AZ?