【每周快报】0305-0311 AWS 服务更新
前言
对于容器服务用户来说,这周最重大的新闻莫过于 AWS 推出了 Bottlerocket,这是一项专为 Container 打造的操作系统,目前已经支持 Amazon EKS 了,相信很快也会支持 Amazon ECS! 除此之外,Amazon EKS 也新增了更多支持,现在可以用信封式加密来保护较敏感的数据。另外,AWS 也针对数据库服务做了些优化。像是 Amazon Redshift 在更新后可以支持 column-level 的访问权限控管,更加符合安全性的需求,而 Amazon Aurora with PostgreSQL Compatibility 现在多了 Global Database 的功能,可以在灾难发生时更快做到灾难复原。本周新闻也会提及 Amplify Console、AWS Chatbot、SageMaker Ground Truth… 等多项不同 domain 的服务改动。
一、全新推出
Bottlerocket – 为 Container 而生的操作系统
在云端优势下,搭配 Container 其不需要变更 Infrastructure 以及跨平台/环境部署的特性下,用 Container 打包 Application 已成为企业在部署、管理的首选方式。
作为运行 Container 的 Host 在环境配置、安全、管理或是资源调配等面向,虽然 AWS 自身有针对 Container 运行环境所推出来的 ECS-Optimized AMI,同时支持了 Amazon Linux 1 / 2、Windows Server 2016 / 2019 / 1909 等版本,仍在其额外套件上仍遇到瓶颈,像是套件会额外占据 Host CPU、Memory ,甚至其 Initial 的时间会影响到 Auto Scaling 的响应速度等问题。
为了解决这些疑虑,AWS 发布专为 Container 而生的操作系统 – Bottlerocker!
Bottlerocket 完全免费、开源在 bottlerocket-os/bottlerocket,包含运行 Container 所需组件,并整合现有 Container Orchestrators,支持 Docker Image 及 OCI(Open Container Initiative)格式 Image。
Bottlerocket 以使用 Image-based model 来部署所需套件,在必要时能快速且完整的回滚,同时降低系统冲突和故障的机率。在 API 设计上,用户可以利用 API 来调整配置,而不需要像以往以 SSH 登入手动更改,并且这些配置还可以在更新时自动套用。Bottlerocket 的文件系统为 Read-Only 只读,并在 boot time 以 dm-verity
检查其完整性。
目前 Bottlerocket 已经 Public Preview 支持 Amazon EKS,相信近期也会支持 Amazon ECS!
图片来源自:Bottlerocket
推出 AWS Certification Database – Specialty
此张证照目的是为了设计和维护最佳 AWS 数据库解决方案,实现高性能、成本优化的专业知识认证,涵盖了所有的数据库概念,从设计,迁移,部署,访问,维护,自动化,监视,安全和故障排除。
参考来源至:New AWS Certification validates expertise in AWS databases
二、服务改动
Amazon EKS 支持信封式加密保护敏感数据
通常我们会把敏感数据放在 Kubernetes Secrets,例如:密码、OAuth Tokens 和 SSh Key,现在我们可以利用 AWS KMS 里的 CMK 以信封式加密的方式来保护放在 Kubernetes Secrets 敏感数据,我们会利用 AWS KMS 里的 CMK 在 Kubernetes 里产出一把 Data Key,再利用这把 Key 去加密 Kubernetes Secrets 里的敏感数据。
注意:在利用 AWS Console 去建 EKS 1.14 cluster,必须在
Network settings
下启用 Secret Encryption,否则创建之后无法再度设定信封式加密。
参考来源至:Amazon EKS adds envelope encryption for secrets with AWS KMS
Amplify Console 新增 command line interface,可用于 CI/CD(持续交付及持续部署)
自动化 CI/CD 为 Amplify Console 的一项功能之一,原先用户若想使用该功能,并不能直接透过 Amplify CLI 来对应用程序下 CI/CD 的指令,此次更新之后,用户可以透过 Amplify CLI 直接初始化 Amplify 应用程序,并选择手动部署或是自动化持续部署,让用户在部署的过程中,多了一种选择。
- 若选择「持续部署 (continuous deployment)」,需在 Amplify Console 设定程序代码来源,并授权 Amplify 取用程序代码。 完成设定后,Amplify 会自动侦测程序代码中的任何变更,再将新版的程序代码部署于应用程序之中。
- 抑或是选择「手动部署 (Manual Deployment)」,则可以等到程序代码改动完成后,直接利用 Amplify CLI 部署应用程序。
参考来源至:Amplify Console adds command line interface for configuring continuous deployment and hosting 图片来源至:Host Your Apps with AWS Amplify Console from the AWS Amplify CLI
用户现在可自行启用 AWS Local Zones
AWS Local Zones 是一种更加接近大量人口、产业和 IT 中心等新型的 AWS 基础设施,对 latency 较为敏感的应用程序,则可将资源部署在 AWS Local Zones 中,以便更贴近终端用户或加速数据传输。此次更新之后,用户可直接在 EC2 console 中的 Settings 启用该服务。
参考来源至:AWS adds the ability for customers to enable AWS Local Zones themselves
AWS Chatbot 新增支持 AWS CloudFormation
此次更新之后,用户可以透过编写 CloudFormation Template 来建立与 AWS Chatbot 相关的资源,例如:Slack channel、IAM roles、SNS topics… 等,可帮助提升效率及降低手动部署可能发生的错误。
参考来源至:Provision AWS Chatbot configurations with AWS CloudFormation
Amazon Redshift 支持 column-level 的访问权限控管
此次更新之后,用户不仅能够针对 Redshift 中的各个 Table 做访问权限控管,现在可以做到更细部的控制。用户可针对 Table 中的 column 设定权限,以更加符合安全性及合规性的需求。
参考来源至:Announcing column-level access control for Amazon Redshift
Amazon Redshift 支持暂停 cluster 与恢复 cluster 功能
Amazon Redshift 此次推出的功能让用户在不需要使用 cluster 进行运算时将 cluster 暂停,因此用户仅需支付 cluster 储存的费用。此功能可在 Amazon Redshift 控制台控制或利用 Redshift API 控制 cluster 的暂停与恢复,而用户可以透过此功能对 Redshift 的 cluster 进行自动暂停与恢复的排程,最终节省在使用这项服务的成本并增加灵活度。
AWS WAF 针对 AWS Managed Rules 增加匿名 IP 列表
此次更新之后,你可以利用匿名 IP 列表,识别并阻止来自 VPN、Tor nodes、Proxies 或是 data centers 的请求,这个新的 AWS Managed Rules 除了可以阻止试图隐藏身份或是想逃避位置限制的用户,也可以阻止匿名网络背后的恶意流量。
Amazon Data Lifecycle Manager(DLM)更新备份限制
以往备份时间的间距只能设定在 2、3、4、6、8、12 或 24 小时,此次更新之后,可以透过修改生命周期或创建新的 Policy,启用 1 小时自动备份,不仅可以频繁地进行备份,也能满足较短的 RPO 和 RTO。
参考来源至:Amazon Data Lifecycle Manager (DLM) Adds Support For 1 hour Backup Interval
SageMaker Ground Truth 新增支持多卷标辨识
此次更新后用户可以针对图片或文字提供多个卷标选项,让 SageMaker Ground Truth 选择图片或文字中适合的卷标。
以往的卷标形式类似于二分法的卷标类型,但无法完全符合用户的需求。
SageMaker Ground Truth 新增支持 CloudWatch Event
以往用户在启动 Label job 后,需要等待一段时间才会完成,导致用户必须常常切到控制台查看 Label job 的状态,以及手动操作后续的动作。
此次更新后可以针对 Stoped
、Completed
、Failed
等卷标阶段触发 CloudWatch Event 迅速的触发后续动作,以减少用户的工作负担。
Amazon Aurora with PostgreSQL Compatibility 现在支持 Global Database 功能
针对用户遍布全球的应用程序,例如:交友软件、社群软件等等。
此次更新之后,用户可以利用 Global Database 功能,将 Aurora 数据库复制至多 5 个到不同的 Region 中,进而可降低全球型应用程序的 Latency,此外,当灾难发生时,也可以做到更快速的灾难复原。
參考來源至:Amazon Aurora with PostgreSQL Compatibility supports Amazon Aurora Global Database
Tag:Amazon Aurora with PostgreSQL Compatibility, Amazon Data Lifecycle Manager, Amazon ECS, Amazon EKS, Amazon Linux 1 / 2, Amazon Redshift, Amplify CLI, Amplify Console, AWS, AWS Certification Database - Specialty, AWS Chatbot, AWS CloudFormation, AWS Console, AWS KMS, AWS Local Zones, AWS Managed Rules, AWS WAF, Bottlerocket, CI/CD, CloudWatch Event, Cluster, column-level, command line interface, Container, Container Orchestrators, Data Key, DLM, ECS-Optimized AMI, Global Database, Kubernetes Secrets, Latency, OAuth Tokens, OCI, Open Container Initiative, SageMaker Ground Truth, SSh Key