【每周快报】0312-0318 AWS 服务更新
前言
AWS 这周调降了 Amazon GuardDuty 的价格收费,比之前的 discount 下降了高达 40% 的费用,帮助企业节省许多成本。 另外为了让用户更方便读取数据,Amazon ElastiCache for Redis 推出了 Global Datastore,来实现跨区域的低延迟读取也有助于灾难复原。 而 Amazon Redshift 则推出了 materialized views 的功能以加速存取数据的速度。上述服务外,AWS 也在安全性上做了些加强,像是 AWS Security Finding Format 更新了安全性问题,Amazon Managed Cassandra Service 现在可以利用 Amazon IAM Role 或 federated identities 来提供短暂性的权限,协助用户管理对键值空间以及数据表的存取。这周新闻也会提及 Amazon Lex、AWS Elastic Beanstalk、AWS AppConfig… 等多项服务!
一、服务价格优化
Amazon GuardDuty 收费价格降低
至 2020 年 3 月 1 日起,若用户使用 GuardDuty for VPC Flow Log 及 DNS Log analysis 超过 10,000 GB,可享有 discount tier: $0.15 per GB,比现有的 discount 再下降 40%。
- 以 US East (N. Virginia) 为例:
- $1.00 per GB for the first 500 GB of VPC Flow Log and DNS Log analysis
- $0.50 per GB for the next 2,000 GB of VPC Flow Log and DNS Log analysis
- $0.25 per GB for the next 7,500 GB of VPC Flow Log and DNS Log analysis
- [NEW] $0.15 per GB for VPC Flow Log and DNS Log analysis over 10,000 GB
此外,AWS 优化了利用 CloudTrail 分析来侦测威胁的效能,可减少用于威胁检测的事件处理量,从而降低了所有 GuardDuty 客户的成本。
二、服务的新功能
Amazon ElastiCache for Redis 推出 Global Datastore
Global Datastore 可以在多个区域之间复制 ElastiCache cluster 中存储的数据,如果正在使用的区域因为灾难,而导致数据无法使用,可以利用 Global Datastore 做灾难复原,将其他未故障的区域的 cluster 设为 Master,提高 ElastiCache 的可用性。
Global Datastore 在一开始建立的时候要选择 Redis 引擎版本,必须要选择 5.0.6 版本或是更新的版本,才能去创造 Global Datastore,且要指定一个主要储存数据的区域,主要进行读取与写入数据,以及最多两个辅助区域,这里会储存数据的读取副本。
注意:辅助区域可以创造 1 到 5 份的读取副本。
参考来源至:Amazon ElastiCache for Redis announces Global Datastore
Amazon Redshift 正式推出 materialized views 功能
当用户在跨数据表存取数据库里的数据时,有时会需要跨数据表查询或运算,才能取回需要的数据。 不仅耗时,用户需要输入的指令也会因此变得复杂。以往,为解决上述的问题,用户会建立 View(视图)来简化查询的过程,但每次查询仍需要到原始数据表做运算,所以仍然无法加快查询速度。
现在 Amazon Redshift 推出 materialized views 功能后,就像是为 View 建立快取,在用户查询前就会建立好检视表,从而加速存取数据的速度。对于可预先计算好的数据,可帮助回传数据的速度,此外,每一次原始数据的更新,materialized views 会同步数据改变的部分(incrementally processing the latest changes)。
此功能对于大量数据的读取具有很大的效益,进而优化用户体验。
参考来源至:Amazon Redshift introduces support for materialized views (Generally Available)
Amazon Lex、Amazon VPC Flow Logs、S3 Batch Operations jobs 新增 Tagging 的功能
随着各个企业或用户的商业模型扩大,在 AWS 上使用的资源也会随之增加,因此使管理层面的工作变得复杂而困难。以 Amazon Lex 为例,用户会创造许多功能相似的聊天机器人,但因应不同的使用场景而改变机器人的回话内容,随着 Bot 的数量增加而使搜寻、修改的管理工作变得耗时。
此次更新之后,用户可以为每个 Bot、Aliases、Channel 加上 Tag,用户可依据不同的分类标准来制定卷标,例如:根据成本单位、拥有者等来分类,让资源管理上更加简单、方便。
此外,用户在访问权限上的控管,也可以针对 Tag 来分配权限给 User 或 Role,而不像以往需要把此规范套用的资源全部写入 Policy,简化权限控管的过程。
AWS Elastic Beanstalk 支持在 Amazon Linux 2 beta 平台上运行 Container 应用程序
近期 AWS 宣布即将停止对 Linux AMI 的更新及维护,AWS 建议用户将原本为 Linux AMI 的应用程序升级到 Amazon Linux 2,可以利用 beta 版程序,将原本的应用程序环境迁移到 Amazon Linux 2 beta 平台上,此次更新之后,当你在使用 Elastic Beanstalk 时,Amazon Linux 2 beta 平台可以支持 Docker 可以运行 Container 应用程序,同时也增强部分功能。
参考来源至:AWS Elastic Beanstalk Launches Docker on AL2 Platform (Beta)
AWS App Mesh 支持端对端加密
当用户以 Container 作为应用程序服务的基本单位时,随着服务客群的扩大,Container 的数量也会随之增加,这使得应用程序需承受大量的流量,也容易产生联机问题,例如:带宽超载、等待联机… 等。因此用户可以利用 AWS App Mesh 建立 Envoys Proxy,作为联机时的中介者,管控每次 request 的 Connection,使联机问题得以改善。
此次更新之后,当 request 在每个 Service 之间传输时,也支持加密的功能,强制使用 TLS 传输方式。用户可利用 AWS Certificate Manager (ACM) 或是自身信任的认证方式来加密,同时意味者,用户不须在程序代码中设置 TLS-encrypted session,使联机更加安全。
三、功能的增强或改动
AWS AppConfig 支持将 config 设定存放在 S3
在过去,用户只能将应用程序的相关 config 设定存放在 System Manager 的参数存放区 (Parameter Store) 或文件中,而现在 AppConfig 支持将应用程序相关 config 设定存放在 S3,并透过设定 IAM Role 让 AppConfig 可以存取 S3 中的 config 配置文件。藉由此次更新,用户将可对其 config 设定的运用具有更高的灵活性。
Amazon Athena 现在发布用于 Athena 查询状态转换的 CloudWatch Events
原先用户若是想知道 Athena query 之后的结果,可以直接透过 console 或是呼叫 GetQueryExecution API 来取的结果。此次更新之后,当 query 的状态改变时,会触发 CloudWatch Events,用户可利用 CloudWatch Events 结合其他服务来完成自动化的处理动作。例如:当 query 状态从 Running 转变成 Succeeded 或 Cancelled 时,Event 触发 Amazon SNS 寄送通知给用户;或是触发 AWS Lambda 做更多应用。
参考来源至:Amazon Athena now publishes CloudWatch Events for Athena query state transitions
除了上述更新外,用户现在可透过 Amazon CloudFormation 来部署 Athena Workgroups
此次更新之后,用户可以利用 CloudFormation Template 来创建或更新 Athena Workgroups 的设定,仅透过 AWS::Athena::Workgroup
参数即可。
參考來源至:Amazon Athena adds support for managing Athena Workgroups using AWS CloudFormation
AWS Security Finding Format (ASFF) 安全性问题更新
AWS Security Finding Format (ASFF) 为 AWS Security Hub 的其中功能之一,能够快速地将所有安全性问题分成各个等级以外,且能排定优先处理顺序,透过 ASFF 除了可以看到所有异常资源及服务,也可以看到这些问题违反哪些合规标准。以往用户可以从 ASFF 底下的 Severity.Normalized
这个属性看到问题的严重性程度,利用数值 0 到 100 来表示严重性程度为何,此次更新后,则可利用 Severity.Label
去自定义严重性程度,利用以下几个定义来说明问题的严重程度:
INFORMATIONAL
– 未发现问题。LOW
– 不需要特别采取措施处理。MEDIUM
– 必须解决问题,但不是紧急的。HIGH
– 必须优先解决问题。CRITICAL
– 必须立即解决问题,以避免问题扩大。
参考来源至:AWS Security Hub adds new fields and resources to the AWS Security Finding Format
Amazon ECS 现在可以更新现有 Cluster 的 Placement Strategy and Constraints (Preview)
当用户在利用 Amazon ECS 来运行 Container 服务时,Container 应该怎么摆放在作为 Host OS 的 Instances 上,我们可以透过 Placement Strategy 及 Placement Constraints 来指定。例如:若用户希望 Container 可以优先摆放在较新 AMI 版本的 Instances 上,可以指定 Instance AMI ID;又或是考虑 Container 运行时的效能问题,可指定 Container 以分布式的方式摆放,让 Container 可以取用完成 Instance 的资源。
- 可制定 Placement Constraints 来让 Container 摆放的位置在指定的 Instance 上。
- 可制定 Spread Placement Strategy 让 Container 分散存放。
"placementStrategy": [
{
"field": "attribute:ecs.availability-zone",
"type": "spread"
}
]
此次更新之后,用户可改变现有 Cluster 里的 Container 的 Placement Strategy and Constraints,不需要再像以前重新创建 ECS Srevice,再套用新的 Placement Strategy and Constraints,可简化用户更新的现有 Container 的速度。
参考来源至:Amazon ECS supports in Preview updating Placement Strategy and Constraints for existing ECS Services
Amazon Managed Cassandra Service 现在可以利用 Amazon IAM 或 federated identities 来控管 Keyspaces 及 Tables
此次更新之后,用户可以利用 Amazon IAM Role 或 federated identities 来提供短暂性的权限,使应用程序在传送 Amazon MCS API requests 可以成功存取数据库的数据。
利用 Amazon Elastic Inference 降低使用 Amazon SageMaker for PyTorch 训练模型的费用
当用户在训练机器学习的模型时,因为每个模型需要耗费的 GPU、CPU、memory 程度不同,因此容易产生以其中之一作为预估标准而高估或低估其他资源,变成资源的浪费。使用 Amazon Elastic Inference,可帮助用户赋予适量的 GPU-powered 资源给运算单位来训练模型。
此次更新之后,使用 PyTorch 框架来训练模型的用户也可以受用于这项服务,也让 Amazon SageMaker 的用户有更多的选择。
参考来源至:Reduce ML inference costs on Amazon SageMaker for PyTorch models using Amazon Elastic Inference
Tag:ACM, Amazon Athena, Amazon CloudFormation, Amazon ECS, Amazon Elastic Inference, Amazon ElastiCache, Amazon GuardDuty, Amazon IAM, Amazon Lex, Amazon Linux 2 beta, Amazon Managed Cassandra Service, Amazon Redshift, Amazon SageMaker for PyTorch, Amazon VPC Flow Logs, ASFF, Athena Workgroups, AWS App Mesh, AWS AppConfig, AWS Certificate Manager, AWS Elastic Beanstalk, AWS Security Finding Format, AWS Security Hub, CloudWatch Events, Cluster, config, Container, federated identities, Global Datastore, Keyspaces, materialized views, Placement Strategy and Constraints, Redis, S3, S3 Batch Operations jobs, Tables, Tagging