【每周快報】0205-0218 AWS 服務更新
前言
AWS 從去年底開始陸續在美國、韓國推出新的 Wavelength Zone,而這個月 AWS 也在日本大阪推出新的 Wavelength Zone 了,現在全球共有 12 個區域可用,造福許多線上遊戲、虛擬實境、直播及電信等業者。除了推出新的 Wavelength Zone,AWS 還針對許多服務新增了各項支援,包含 ALB 現在支援 Application Cookie Stickiness,AWS CloudHSM 支援 VPC Endpoint,Amazon EKS 新增支援第三方 OIDC 驗證…等。
上述服務外,AWS 也在二月針對 Amazon CloudFront 推出了新的計價方式 – Security Savings Bundle,可為使用者節省高達 30% 的費用!
焦點新聞
AWS 推出新的 Wavelength Zone – Osaka, Japan(日本大阪)
Wavelength Zone 可以讓同一個 Region 內的 AWS 服務透過電信商的 5G 網路來互相溝通,加速服務之間的回覆速度。同時,也可以大幅地降低 5G 設備連接到 AWS 託管的服務所需的延遲。
而 Wavelength Zone 可應用於許多需要超低延遲的案例中,像是已有大量用戶的線上遊戲、虛擬實境、直播等等的案例,皆可利用 Wavelength Zone 優化應用程式的表現。
現今,AWS 也與不只一家的電信業者合作,將服務內嵌在 5G 設備中,本次更是在日本大阪新增 Wavelength Zones,讓更多使用者受益。
【eCloudture Podcast】: AWS Wavelength 特輯
參考來源至:Announcing new AWS Wavelength Zone in Osaka, Japan
Amazon CloudFront 推出 Security Savings Bundle 計價方式
在去年 AWS 針對許多服務推出了 Saving Plan 的計價方式,這種計價方式主要會讓使用者對「用量」(例如:Lambda 可針對「請求次數」、「執行時間」等進行承諾),而 AWS 則會在此用量內提供相對應的優惠,因此對於確切知道服務使用量的使用者來說是個節省成本的好方法。
然而 Saving Plan 目前僅適用於 EC2、Fargate、Lambda 等運算資源,而此次更新後,CloudFront 新增了一個類似於 Saving Plan 的計價方式:Security Saving Bundle。
Security Saving Bundle 會讓使用者 承諾每個月支付 CloudFront 的費用,然後每個月定期支付承諾的金額(持續繳一年),而 AWS 則會在每年結算時自動給予 Credit(最高 30% 折扣)來抵銷 CloudFront 金額,透過這個方式節省 CloudFront 成本。
以下我們以最大折扣的情況下舉例(折扣程度會依照承諾的金額決定)。
舉例來說:假設 A 公司以往每個月 CloudFront 成本為 $600,如果想透過 Security Saving Bundle 來降低成本的話,則可以承諾每個月支付 $420(600 * 0.7)作為 CloudFront 費用(為期一年),而在一年後結算時,AWS 會給予價值 $600 的 Credit 並自動抵銷 CloudFront 費用,所以使用者實際上只花了 $420 來獲得 $600 的用量。
除了 CloudFront 的費用折扣外,另外還會給予 WAF Credit(WAF Credit 為承諾金額的 xx%,最高 10%),所以按照上述舉例來說就是 $42 的 WAF Credit,總結下來一年總共省下了 $2,664。
使用者現在可以直接於 CloudFront 主控台透過 Security Saving Bundle 來支付 CloudFront 費用,在購買時 CloudFront 也會很貼心的秀出過往的費用紀錄與建議的承諾金額讓使用者進行評估。
其他服務更新
AWS 推出新的 EC2 類型:M5n、M5dn、R5n 及 R5dn Bare Metal Instances
AWS 利用 AWS Nitro System 技術將實體機器轉換成 instance 形式供使用者使用,讓某些只能在實體機上面執行的應用程式,可以直接與 AWS 雲端平台上的其他服務整合,對於有這方面需求的使用者是非常方便的。
而那些工作像是 HPC/ML 在運算時需要高效能的網路傳輸速率,才能將 instance 的效能完全發揮出來。現在 AWS 推出 M5n、M5dn、R5n 和 R5dn 等基於 AWS Nitro System 網路優化的 instance,這些 instance 有最高 100 Gbps 的頻寬,適合網路需求高的工作負載。使用者甚至可以利用這個優勢加速 Amazon S3 的傳輸效率,進而減少應用程式存取資料的時間。
參考來源至:Introducing Amazon EC2 M5n, M5dn, R5n, and R5dn Bare Metal Instances
Application Load Balancer 支援 Application Cookie Stickiness
原先 Application Load Balancer 有支援以 duration-based 的 stickiness。ALB 會以使用者設定的時間長度來維持 client 和 server 之間的 Stickiness,若 Stickiness 並未處於失效的狀態,那麼 ALB 會將 request 傳送給相同的 target 來回覆 client 的請求。
當 client 第一次傳送 request 的時候,ALB 會依據預設的演算法,挑選要將 request 傳送給哪一個 target;接著 target response 給 client 時,ALB 會產生一個 AWSALB
的加密 cookie 一併回覆給 client,而 cookie 包含 ALB 用來記錄 target 相關的資訊。當下一次 client 傳送 request 時,需包含先前的 AWSALB
cookie,ALB 解密之後,就會知道前一次 request 是交由哪個 target 處理,傳送第二次 request 給同一個 target。
此次更新後,ALB 支援 application-based 的 stickiness,讓使用者可以更有彈性的設定 application cookie 的內容。當使用者選擇 Application Cookie Stickiness 時,使用者可以建立 application 自己的 cookie,會和後續 ALB 用來記錄 target 相關資訊的 AWSALBAPP
加密 cookie 分開。如此一來,使用者可以保有自身想記錄在 cookie 裡的資訊,又可以維持 ALB 的 Stickiness,一舉兩得。
參考來源至:Application Load Balancer now supports Application Cookie Stickiness
AWS CloudHSM 支援 VPC Endpoint
有許多法規為了達到資料保護、交易訊息正確性之目的,紛紛要求企業使用硬體加密模組(Hardware Security Module, HSM) 保管金鑰,而 AWS 也提供 CloudHSM 服務達到同樣目的,AWS CloudHSM 是 FIPS 140-2 第 3 級驗證的硬體安全模組 (HSM),使用者可以在 AWS 雲端生成及管理使用加密金鑰。此次更新之後,使用者不需要 Internet Gateway 及 NAT 裝置,即能透過 AWS Private IP 與 CloudHSM 溝通。
AWS WAF 支援 JSON parsing
AWS WAF 過去支援多種 Rule 策略,像是針對 Header、HTTP Method、Query String、All(Single) query parameter、URI path、Body 等依據進行篩選與阻擋。
此次更新後,WAF 新增支援 parse Body 中的 JSON,使用者可以透過 JSON Pointer 語法進行篩選,雖然這個功能並不需要額外付費,但使用者需特別注意使用 JSON parse 時所消耗 WCU 之花費。
AWS Fargate 提高預設服務限制數量至 1000 個資源
此次更新後,使用者可以在單一個 Fargate On-Demand 或是 Farhate Spot 啟用高達 1000 個 ECS Tasks 或是 EKS Pods,可幫助使用者更加有效利用 Container 的資源,同時有助於需要大量部署 Container 的 workload 更流暢。
參考來源至:AWS Fargate increases default resource count service quotas to 1000
AWS Glue Studio 支援直接讀取 S3 中未被彙整的資料,並推斷所需要的 scheme
AWS Glue 現在可以不需要先定義 AWS Glue Data Catalog,直接讀取存儲在 Amazon S3 中的資料,此功能讓使用者可以快速在 AWS Glue Studio 中進行 ELT 工作,AWS Glue 即時推斷資料的 scheme,讓使用者可以在 AWS Glue Studio 中的圖形化介面輕鬆定義其資料轉換流程。
參考來源至:AWS Glue Studio now supports reading uncatalogued data from Amazon S3 and inferring its schema
Amazon EKS 新增支援第三方 OIDC 驗證
Amazon EKS 原先就有支援透過 IAM User 或 IAM Role 進行 OIDC 驗證,讓使用者可以不用再多做很多事情就可以存取 EKS Cluster,替使用者省去了不少麻煩。
然而對於某些企業來說,某些開發團隊並沒有 AWS 帳號的存取權限(但卻要管理 EKS Cluster),而且對於開發人員眾多的團隊來說,替每個開發人員創建 IAM User 或 IAM Role 也不見得是個聰明的解決方案。
此次更新後,EKS 開始支援使用第三方 OIDC 進行 EKS Cluster 的驗證,使用者可以在 EKS Cluster 的主控台或透過 CLI 的方式進行設定。
參考來源至:Amazon EKS clusters now support user authentication with OIDC compatible identity providers
Tag:ALB, Amazon CloudFront, Amazon EKS, Amazon S3, Application Cookie Stickiness, Application Load Balancer, application-based, AWS, AWS CloudHSM, AWS Fargate, AWS Glue Data Catalog, AWS Glue Studio, AWS Nitro System, AWS WAF, Credit, Ec2, HPC/ML, JSON parsing, OIDC, Osaka, scheme, Security Savings Bundle, stickiness, VPC endpoint, WAF Credit, Wavelength Zone