【每周快报】0213-0219 AWS 服务更新
前言
本周 AWS 新闻主要着重在对于既有服务进行优化。文章会先带大家了解 Amazon EBS 新增的 Multi-attach 功能还有限制,接着会针对 Amazon RDS for Oracle, Amazon DynamoDB 和 Amazon Neptune 做介绍。对于功能增强的部分,文中会讨论到 Amazon EC2, Amazon MSK, CloudFormation, Amazon Redshift… 等十多项服务。
一、服务的新功能
Amazon EBS 新增 Multi-attach 功能
EBS 新增支持 attach 至多台 EC2 实例,已连接的实例能够共享此 Volume 的读写权限,但仍然有些许限制及注意事项:
- 目前仅支持 io1
- 仅支持 Nitro-based EC2 Instances
- 至多连接 16 台
- 仅能连接同 AZ 中的 EC2
此外性能部分,假设用户 io1 使用 50,000 PIOPS 并启用了 Multi-attach,然后连接到一台 m5.8xlarge 和一台 c5.12xlarge。
由于 m5.8xlarge 与 c5.12xlarge 机型支持的最大 IOPS 分别为 30,000 和 40,000,代表在个别读写的情况下能够完全发挥该机型的最大读写效能,但倘若两台实例同时对此 Volume 进行读写时,IOPS 上限则为此 Volume 的最大 IOPS (50,000)。
参考来源至:Amazon EBS Multi-Attach now available on Provisioned IOPS io1 volumes
Amazon RDS for Oracle 新增支持 Oracle OLAP
Oracle OLAP 功能为 Oracle Database 企业版中的多维分析引擎,提供更许多进阶的 SQL 分析与多维数据的 BI 分析等功能。
Amazon DynamoDB 支持将备份还原至其他区域
用户可以还原 DynamoDB 备份在其他的区域中,产生新的 Table,可以帮助跨区域合规性的要求,为灾难恢复及业务需求带来更多的选择。
参考来源至:You can now restore Amazon DynamoDB table backups as new tables in other AWS Regions
Amazon Neptune 新增功能
Amazon Neptune 现在强制使用 SSL 联机方式
Amazon Neptune 原先已支持 SSL 联机方式,但并不是默认的联机方式,因此在考虑资安层面时,用户必须自行设定。此次更新之后,当用户在创建新的 Neptune database cluster 时,透过自动启用 neptune_enforce_ssl
参数,将会默认只允许 SSL 的联机,以提升安全性。此功能为 AWS 建议使用,若有其他需求,用户仍可以停用此功能。
Amazon Neptune 现在支持 Stopping 及 Starting 的功能
在测试与开发应用程序的过程中,数据库并不需要长时间处于启用的状态。此次更新之后,用户可中途暂停使用 Neptune 数据库,待更新数据库完成后,再度启用,以帮助降低测试成本,可达到更加弹性的操作;或是停用后,将数据库的状态回溯到先前备份的时间点。但用户需注意以下事项:
- 暂停期间仍会收取储存的费用,但不需支付 database instance 运行的费用
- 数据库最长可停用 7 天,超过时间将会自动启用
参考来源至:Amazon Neptune Now Supports Stopping and Starting of Database Clusters
二、功能的增强或改动
Amazon EC2 改善 Auto Scaling 的设定
大多数的 EC2 用户都会使用 Auto Scaling Group(ASG)来自动扩展实例,但每个使用场景中的 EC2 会因为工作负载不同而会有不同的 Scaling Policy,甚至是多个 Scaling Policy,以满足不同的扩展需求。
设定好适合的 Scaling Policy 是一门艺术,往往经过多次的测试才能得知此适合此工作负载的过展机制,然而以往在修改 Scaling Policy 时并没用停用(Disable)、启用(Enable)等选项,使得在测试时常常需要删除 Sacling Policy,然后又要重复建立相同的 Scaling Policy。
此次更新后,用户能够 针对单一的 Scaling Policy 选择停用(Disable)与启用(Enable),相比在不需要时暂时删除,然后又要重新创建容易得多。
参考来源至:Amazon EC2 Auto Scaling Now Supports Enabling and Disabling Scaling Policies
Amazon MSK 提高每个 Cluster 的 Broker 上限至 30 个
此次更新之后,透过提高 Amazon MSK 每个 Cluster 的 Broker 数量,对于具有高流量或大量存储需求的用户,可以更容易依照需求,动态扩展或配置新的 Clster,以有效利用资源。
参考来源至:Amazon MSK increases the default broker limit per cluster to 30 brokers
最新版 Amazon ECS-optimized Linux 2 AMIs:新增预安装 AWS Systems Manager Agent
Amazon ECS-optimized Linux 2 AMIs 是在启用 Amazon ECS Instance 时,建议使用的 AMI,其 AMI 包含运行 ECS 所需基本的套件,例如:与 Amazon ECS 沟通用的 Amazon ECS container agent、Docker daemon 以运行 Docker Container。
原先用户若是想透过 Systems Manager 来管理 ECS Instance,需要手动安装 SSM Agent。此次更新之后,使用 ECS-optimized Linux 2 AMIs 的用户只要更新 AMI 至最新版,即可省去手动安装的前置工作,便可使用 Systems Manager 来管理 ECS Instance。
参考来源至:Amazon ECS-optimized Linux 2 AMIs now come with pre-installed AWS Systems Manager Agent
AWS Systems Manager Patch Manager 功能增强
用户能使用 Patch Manager 来自动维护 EC2 的 Patch 版本,但可能会发生一些状况是用户不想要太过于频繁得做 Patch 或者希望可以以时间来订定要 Patch 的版本。此次更新后,可以将截止日期指定为 Patch 的条件。
例如:将 2020 年 2 月 7 日指定为截止日期,则 Patch Manager 将不会使用发布尔日期为 2020 年 2 月 8 日或更晚发布的 Patch 版本。
参考来源至:AWS Systems Manager now enables auto-approval of patches by date
CloudFormation 新增支持更多部署设定
使用 CloudFormation 启用 EC2 休眠模式
此次更新后可直接于 CloudFormation Template 中定义是否启用 EC2 休眠模式。
可直接于 AWS::EC2::Instance 下的 Property 中定义 HibernationOptions
选项为 true
。
参考来源至:Now enable Amazon EC2 Hibernation for On-Demand and Reserved Instances through AWS CloudFormation
CloudFormation 现在支持 AWS AppConfig
此次更新之后,用户可以透过 Cloudformation Template 直接部署 AWS AppConfig 资源,以帮助管理运行在 EC2 Instances、Container 上的应用程序,或是其他运算资源,例如:AWS Lambda、IoT Devices 等。
AWS Directory Service 透过 LDAP 协议来提升 Active Directory 和 AWS Application 之间的安全性
此次更新之后,用户可以利用 Lightweight Directory Access Protocol (LDAP) 来加密组织内部的身份认证数据,当数据在 AWS Directory Service 与本身 Active Directory 沟通时,便能得到更好的安全性保障。此外,随着 client-side secure LDAP (LDAPS) 的支持,也可以确保 AWS Directory Service 与 AD 联机是透过 Secure Sockets Layer/Transport Layer Security (SSL/TLS)。
参考来源至:How to improve LDAP security in AWS Directory Service with client-side LDAPS
Amazon EKS 发布 VPC CNI Version 1.6
此新版 VPC CNI 主要新增以下参数:
- MINIMUM_IP_TARGET:可帮助减少 EKS pod 的启动时间,同时最小化分配给 nodes 的 IP address。
- AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS:允许将 CIDR 范围排除在 Source Network Address Translation (SNAT)中,此参数加强了对 peered VPC 的支持。
若是要使用最新版的 VPC CNI,用户可以利用以下 AWS CLI 指令,手动更新现有 EKS Cluster:
$ kubectl apply -f https://raw.githubusercontent.com/aws/amazon-vpc-cni-k8s/release-1.5/config/v1.5/aws-k8s-cni.yaml
Amazon Rekognition 现在可以在影片中侦测文字,且可利用 Region、Bounding Box 大小、信心水平分数等作为过滤结果的依据
此次更新之后,除了辨识图片中的文字外,也可以辨识 影片中的文字了!辨识结果会依照影片的时间轴,显示该文字的信心水準(detection confidence)、Bounding Box 等数据位于影片的哪一个时间点。此外,用户可以利用 Region、Bounding Box 大小、信心水平分数来做过滤的动作,找出重要讯息。
此功能帮助用户在目标客群所在的 Region,寻找关键词在整个影片中出现的所有时间点,并与黑名单比对,可用于屏蔽不适当的文字内容,或是以其他文字替换之;同時也可以用其他语言文字代替,达到翻译 / 字幕的目的。最后,也可以帮助营销人员研究文字在影片中出现的位置及大小,作为分析营销效果的依据。
AWS Firewall Manager 现在支持 AWS CloudFormation
用户可以利用 CloudFormation stack templates 去管理 Firewall Manager 所有的 Policy 以及资源,例如:我们可以使用 CloudFormation stack templates 去自定义 WAF、Shield Advanced 还有 Security Group 的 Policy,我们也可以在这些 Policy 上面加上 Tag,除此之外,我们也可以利用 CloudFormation stack templates 去建 SNS Topics 和通知作为 Firewall Manager notification channels,不需要再自己手动完成,在操作上提供更大的便利性。
AWS Console Mobile Application for iOS 新增支持更多服务
此次更新之后,使用 AWS Console Mobile Application – iOS 版的用户,可以直接在手机上使用 Amazon API Gateway、AWS CloudTrail、AWS Identity and Access Management、AWS Lambda,以及 Amazon Simple Queue Service。同时,也可使用 Amazon CloudWatch logs 的功能。
参考来源至:AWS Console Mobile Application adds support for new services on iOS
AWS CodeCommit 新增 Pull Request 的相关通知
现在可以收到关于核准、拒绝或是撤销了哪些 Pull Request 的通知,用户可以针对 Pull Request 去设定核准条件,可以从 CodeCommit Console 中的 Pull Request 中选择 Approvals,然后在选择 Create approval rule,去设定你的条件。
假设你今天想设定在 Merge 之前需要两个人核准 Pull Request,就像下面这样:
在 Rule name 中写下规则的名称,在 Number of approvals needed 写下你需要的数量,你也可以在 Approval rule members 选项中去指定 IAM User、Assumed role 或是你也可以指定 IAM User 和 Role 的 ARN。
参考来源至:You can now receive notifications about pull request approvals in AWS CodeCommit
Amazon Redshift 新增支持 Microsoft Azure Active Directory 验证登入
过往用户在存取 Amazon Redshift 时需要 JDBC 或 ODBC 驱动程序建立数据库用户登入数据,而现在 Amazon Redshift 新增支持 Microsoft Azure Active Directory 身份验证,对于已使用 Microsoft Azure Active Directory 作为身份的企业,Amazon Redshift 允许用户以 Microsoft Azure Active Directory 进行身份验证。
使用此功能需确定 Amazon Redshift JDBC 驱动程序必须为 1.2.37.1061 版本或更高版本,而 Amazon Redshift ODBC 驱动程序必须为 1.4.10.1000 或更高版本。
参考来源至:Announcing Microsoft Azure Active Directory support for Amazon Redshift
Tag:Active Directory, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon ECS-optimized Linux 2 AMIs, Amazon EKS, Amazon MSK, Amazon Neptune, Amazon RDS, Amazon Redshift, Amazon Rekognition, Approvals, Auto Scaling, AWS, AWS AppConfig, AWS Application, AWS CodeCommit, AWS Console Mobile Application for iOS, AWS Directory Service, AWS Firewall Manager, AWS Systems Manager Agent, AWS Systems Manager Patch Manager, Bounding box, Broker, CloudFormation, Cluster, Create approval rule, detection confidence, LDAP, Microsoft Azure Active Directory, Multi-attach, Oracle, Pull Request, Scaling Policy, SSL, Starting, Stopping, VPC CNI Version 1.6