【每周快报】0319-0325 AWS 服务更新
前言
为了让 AWS 用户在管理多项服务上更为便利,这周 AWS 针对 Systems Manager 做了些改善,现在用户可以将 Chef 方法的功能与 Systems Manager 提供的控制和安全优势相结合,另外 AWS Systems Manager 也加强了 Resource Group 的功能,用户能够更轻松地监视资源的运行状况。 AWS 在大数据服务方面也有些更新,像是 Amazon Kinesis Data Streams 现在的传输量为以往的 20 倍,RDS MySQL 和 MariaDB 则新增了实例类型,现在 R5 实例扩增到以往的四倍。 在资安方面,用户现在可以透过 Amazon VPC Endpoint policy 控制对 EC2 访问动作以提高安全性。 上述服务外,文章内还会提到 AWS Global Accelerator、AWS CloudFormation、AWS Cost Explorer… 等服务。
一、服务的新功能
AWS Site-to-Site VPN 支持 IKE 连接到 Transit Gateway
AWS Site-to-Site VPN 可以为 AWS Transit Gateway 建立 IPSec 信道,现在支持 Internet Key Exchange(IKE)身份验证的方式,用于与 AWS Transit Gateway 的 VPN 连接,首先需要从 AWS Certificate Manager 取得 CA,然后从 CA 生成一组数字证书装在 customer gateway,当在身份验证时,你不需要指定 customer gateway IP,因此当你的 IP 地址改变,不需要重新去配置 VPN 设定,且这之中传送的流量都会经由 AES128 或 AES256 加密,增强安全性。
参考来源至:AWS Site-to-Site VPN now supports certificate authentication for connections to AWS Transit Gateway
二、功能的增强或改动
AWS System Manager Run Command 新增支持 Chef 脚本
Chef 是一个能够自动化组态设定的第三方程序,现在用户可以将 Recipe (Chef 脚本的名称) 存放于 S3 或 Github 上,并透过 System Manager 新的 Document:AWS-ApplyChefRecipes
快速的对 EC2 或本地 Linux 主机执行脚本。
参考来源至:Execute Chef recipes on Linux with AWS Systems Manager
RDS for MySQL & MariaDB 新增实例类型
以往 R5 实例仅支持到 16 TB 容量大小,若用户想突破这个大小限制则需要透过其他方式达成,而此次更新后,R5 实例直接支持到 64 TB(gp2 & io1 皆有支持)。
参考来源至:RDS MySQL and MariaDB Increase Maximum Storage Size for R5 Instances
Amazon EC2 Hibernation 现在支持 T2 Instance Types
原先只有使用 C3、C4、C5、M3、M4、M5、R3、R4、R5 系列的用户可以运用 Hibernation 的功能。此次更新之后,T2 系列的 EC2 也可以使用 Hibernation,加快重启 Instance 所需要的时间。
参考来源至:Amazon EC2 Hibernation now Lets you Pause and Resume Your Workloads on T2 Instance Types
使用 Amazon VPC Endpoint policy 控制对 EC2 访问动作
用户可以透过 VPC Endpoint,走 Amazon 网络联机至支持的 AWS 服务,不需要透过 Internet Gateway、NAT 装置、VPN 或是 DX 联机,所以用户可以透过 EC2 Endpoint,来存取 VPC 内的 EC2 instances。此次更新后,可以将 VPC Endpoint policy 套用在 EC2 Endpoint,来规定可以进行什么动作,如同设置 IAM policy 一样。开始使用之前,要先决定以下事项: Amazon EC2 Hibernation * 可以执行动作的主体 * 可以执行的动作(设定在 Action) * 可以执行操作的资源(设定在 Resource,可搭配使用 Condition 来设定符合条件的 EC2)
以下范例显示了 VPC Endpoint policy,该 policy Deny 创建未加密的 Volume 或启动具有未加密 Volume 的 Instance 的权限。该 Policy 范例还授予执行所有其他 Amazon EC2 操作的权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateVolume"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
},
{
"Action": [
"ec2:RunInstances"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
}]
}
参考来源至:Use Amazon VPC Endpoint Policies for granular control of Amazon EC2 APIs
AWS Global Accelerator 透过在 Edge Location 启用 TCP Termination 来加速应用程序与 AWS 端的互动
一般来说,当 client 端的用户利用 Internet 与 AWS Region 中应用程序的 endpoint 建立 TCP 联机时,会使用 three-way handshake 的方式,因此成功建立联机需经过 3 次的讯息交换,若 client 端与 AWS 端的距离越远,初始化联机所花费的时间也就越长。
此次更新之后,当 client 端用户同样要建立 TCP 联机时,Global Accelerator 会先在 client 端与 Edge Location(一个距离 client 端用户较近的实体位置)设置 TCP 联机,而 Edge Location 到 AWS Region 中应用程序的 endpoint 则是透过 AWS 内网来建立第二次的 TCP 联机,以此方式来加快用户得到 response 的时间。
参考来源至:AWS Global Accelerator launches TCP Termination at the Edge
现在可透过 AWS CloudFormation 部署及建立 AWS Transit Gateway Network Manager、Amazon Managed Cassandra、AWS Resource Groups
现在用户可以透过撰写 AWS CloudFormation Template 来部署或建立以下 AWS 资源:
- AWS Transit Gateway Network Manager:创建及设立相关的设定,例如:创立 Global Networks、注册相关 Transit Gateway 到 Global Networks 中,并设置经由该 Transit Gateway 管理的联机方式。
- Amazon Managed Cassandra:设定 keyspaces 及 tables 相关信息。
- AWS Resource Groups:Resource Groups 可以用 Tags 来区分资源,或是以 CloudFormation Stacks 为基准来替其中的资源分组。现在用户可以同时创建 Resource Groups,也可以组织需要被管理在该群组内的资源,让管理者更容易完成设置 Resource Groups 的前置作业。
参考来源至:AWS Transit Gateway Network Manager now includes support for AWS CloudFormation
Amazon Kinesis Data Streams 现在可以在一次的 API call 中支持高达 10,000 MB/s 的 throughput
此次更新之后,用户在使用 UpdateShardCount API 时,可以针对每一个 stream 存取最多 10,000 shards 的 throughput。每个 shards 提供 1 MB/s ingress 及 2 MB/s egress throughput,随着 shards 的上限提高,可传输的量变成以往的 20 倍。
参考来源至:Amazon Kinesis Data Streams now supports scaling up to 10,000 MB/s throughput with a single API call
AWS Systems Manager 增强 Resource Group 功能
现在可以从 AWS Systems Manager Console 中点选 Resource Group,即可监视资源的运行状况,追踪资源分配更改、操作问题以及审核帐户活动,像是:
- Amazon CloudWatch 指针和警报
- AWS Config 详细信息
- AWS CloudTrail log
- Systems Manager OpsItems
参考来源至:AWS Systems Manager announces enhanced AWS Resource Groups view
AWS Cost Explorer 现在为 Member (Linked) Accounts 提供 Savings Plans 推荐
在过去,AWS Cost Explorer 仅提供 Savings Plans 推荐给具有 Master (Payer) Accounts 身份的用户,而为 Member (Linked) Accounts 则无法查看建议。AWS Cost Explorer 此次推出的更新,让 Member Accounts 可以根据选择的时段内的使用情况推荐 Savings Plan。下图为 Master Accounts 可以查看 AWS Cost Explorer 依照所有 Member Accounts 的使用状况所提出的 Savings Plans 建议。
除了所有 Member Accounts,AWS Cost Explorer 也提供 Master Accounts 可以查看特定 Member Account 的 Savings Plans。
参考来源至:AWS Cost Explorer now offers Savings Plans Recommendations for Member (Linked) Accounts
图片来源至:Launch: Savings Plans Recommendations for Member (Linked) Accounts
Tag:Amazon EC2 Hibernation, Amazon Kinesis Data Streams, Amazon Managed Cassandra, Amazon VPC Endpoint policy, API call, AWS, AWS Certificate Manager, AWS CloudFormation, AWS Cost Explorer, AWS Global Accelerator, AWS Resource Groups, AWS Site-to-Site VPN, AWS System Manager Run Command, AWS Systems Manager, AWS Transit Gateway Network Manager, Chef, Ec2, Edge location, IKE, MariaDB, Member Accounts, MySQL, RDS, Resource Group, Savings Plans, T2 Instance Types, TCP Termination, Transit Gateway