【每周快報】0213-0219 AWS 服務更新
前言
本周 AWS 新聞主要著重在對於既有服務進行優化。文章會先帶大家了解 Amazon EBS 新增的 Multi-attach 功能還有限制,接著會針對 Amazon RDS for Oracle, Amazon DynamoDB 和 Amazon Neptune 做介紹。對於功能增強的部分,文中會討論到 Amazon EC2, Amazon MSK, CloudFormation, Amazon Redshift… 等十多項服務。
一、服務的新功能
Amazon EBS 新增 Multi-attach 功能
EBS 新增支援 attach 至多台 EC2 執行個體,已連接的執行個體能夠共享此 Volume 的讀寫權限,但仍然有些許限制及注意事項:
- 目前僅支援 io1
- 僅支援 Nitro-based EC2 Instances
- 至多連接 16 台
- 僅能連接同 AZ 中的 EC2
此外性能部分,假設使用者 io1 使用 50,000 PIOPS 並啟用了 Multi-attach ,然後連接到一台 m5.8xlarge 和一台 c5.12xlarge。
由於 m5.8xlarge 與 c5.12xlarge 機型支援的最大 IOPS 分別為 30,000 和 40,000,代表在個別讀寫的情況下能夠完全發揮該機型的最大讀寫效能,但倘若兩台執行個體同時對此 Volume 進行讀寫時,IOPS 上限則為此 Volume 的最大 IOPS (50,000)。
參考來源至:Amazon EBS Multi-Attach now available on Provisioned IOPS io1 volumes
Amazon RDS for Oracle 新增支援 Oracle OLAP
Oracle OLAP 功能為 Oracle Database 企業版中的多維分析引擎,提供更許多進階的 SQL 分析與多維數據的 BI 分析等功能。
Amazon DynamoDB 支援將備份還原至其他區域
使用者可以還原 DynamoDB 備份在其他的區域中,產生新的 Table ,可以幫助跨區域合規性的要求,為災難恢復及業務需求帶來更多的選擇。
參考來源至:You can now restore Amazon DynamoDB table backups as new tables in other AWS Regions
Amazon Neptune 新增功能
Amazon Neptune 現在強制使用 SSL 連線方式
Amazon Neptune 原先已支援 SSL 連線方式,但並不是預設的連線方式,因此在考量資安層面時,使用者必須自行設定。此次更新之後,當使用者在創建新的 Neptune database cluster 時,透過自動啟用 neptune_enforce_ssl
參數,將會預設只允許 SSL 的連線,以提升安全性。此功能為 AWS 建議使用,若有其他需求,使用者仍可以停用此功能。
Amazon Neptune 現在支援 Stopping 及 Starting 的功能
在測試與開發應用程式的過程中,資料庫並不需要長時間處於啟用的狀態。此次更新之後,使用者可中途暫停使用 Neptune 資料庫,待更新資料庫完成後,再度啟用,以幫助降低測試成本,可達到更加彈性的操作;或是停用後,將資料庫的狀態回溯到先前備份的時間點。但使用者需注意以下事項:
- 暫停期間仍會收取儲存的費用,但不需支付 database instance 運行的費用
- 資料庫最長可停用 7 天,超過時間將會自動啟用
參考來源至:Amazon Neptune Now Supports Stopping and Starting of Database Clusters
二、功能的增強或改動
Amazon EC2 改善 Auto Scaling 的設定
大多數的 EC2 使用者都會使用 Auto Scaling Group(ASG)來自動擴展執行個體,但每個使用場景中的 EC2 會因為工作負載不同而會有不同的 Scaling Policy,甚至是多個 Scaling Policy,以滿足不同的擴展需求。
設定好適合的 Scaling Policy 是一門藝術,往往經過多次的測試才能得知此適合此工作負載的過展機制,然而以往在修改 Scaling Policy 時並沒用停用(Disable)、啟用(Enable)等選項,使得在測試時常常需要刪除 Sacling Policy,然後又要重複建立相同的 Scaling Policy。
此次更新後,使用者能夠 針對單一的 Scaling Policy 選擇停用(Disable)與啟用(Enable),相比在不需要時暫時刪除,然後又要重新創建容易得多。
參考來源至:Amazon EC2 Auto Scaling Now Supports Enabling and Disabling Scaling Policies
Amazon MSK 提高每個 Cluster 的 Broker 上限至 30 個
此次更新之後,透過提高 Amazon MSK 每個 Cluster 的 Broker 數量,對於具有高流量或大量存儲需求的使用者,可以更容易依照需求,動態擴展或配置新的 Clster,以有效利用資源。
參考來源至:Amazon MSK increases the default broker limit per cluster to 30 brokers
最新版 Amazon ECS-optimized Linux 2 AMIs:新增預先安裝 AWS Systems Manager Agent
Amazon ECS-optimized Linux 2 AMIs 是在啟用 Amazon ECS Instance 時,建議使用的 AMI,其 AMI 包含運行 ECS 所需基本的套件,例如:與 Amazon ECS 溝通用的 Amazon ECS container agent、Docker daemon 以運行 Docker Container。
原先使用者若是想透過 Systems Manager 來管理 ECS Instance,需要手動安裝 SSM Agent。此次更新之後,使用 ECS-optimized Linux 2 AMIs 的使用者只要更新 AMI 至最新版,即可省去手動安裝的前置工作,便可使用 Systems Manager 來管理 ECS Instance。
參考來源至:Amazon ECS-optimized Linux 2 AMIs now come with pre-installed AWS Systems Manager Agent
AWS Systems Manager Patch Manager 功能增強
使用者能使用 Patch Manager 來自動維護 EC2 的 Patch 版本,但可能會發生一些狀況是使用者不想要太過於頻繁得做 Patch 或者希望可以以時間來訂定要 Patch 的版本。此次更新後,可以將截止日期指定為 Patch 的條件。
例如:將 2020 年 2 月 7 日指定為截止日期,則 Patch Manager 將不會使用發布日期為 2020 年 2 月 8 日或更晚發布的 Patch 版本。
參考來源至:AWS Systems Manager now enables auto-approval of patches by date
CloudFormation 新增支援更多部署設定
使用 CloudFormation 啟用 EC2 休眠模式
此次更新後可直接於 CloudFormation Template 中定義是否啟用 EC2 休眠模式。
可直接於 AWS::EC2::Instance 下的 Property 中定義 HibernationOptions
選項為 true
。
參考來源至:Now enable Amazon EC2 Hibernation for On-Demand and Reserved Instances through AWS CloudFormation
CloudFormation 現在支援 AWS AppConfig
此次更新之後,使用者可以透過 Cloudformation Template 直接部署 AWS AppConfig 資源,以幫助管理運行在 EC2 Instances、Container 上的應用程式,或是其他運算資源,例如:AWS Lambda、IoT Devices 等。
AWS Directory Service 透過 LDAP 協定來提升 Active Directory 和 AWS Application 之間的安全性
此次更新之後,使用者可以利用 Lightweight Directory Access Protocol (LDAP) 來加密組織內部的身份認證資料,當資料在 AWS Directory Service 與本身 Active Directory 溝通時,便能得到更好的安全性保障。此外,隨著 client-side secure LDAP (LDAPS) 的支援,也可以確保 AWS Directory Service 與 AD 連線是透過 Secure Sockets Layer/Transport Layer Security (SSL/TLS)。
參考來源至:How to improve LDAP security in AWS Directory Service with client-side LDAPS
Amazon EKS 發布 VPC CNI Version 1.6
此新版 VPC CNI 主要新增以下參數:
- MINIMUM_IP_TARGET:可幫助減少 EKS pod 的啟動時間,同時最小化分配給 nodes 的 IP address。
- AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS:允許將 CIDR 範圍排除在 Source Network Address Translation (SNAT)中,此參數加強了對 peered VPC 的支援。
若是要使用最新版的 VPC CNI,使用者可以利用以下 AWS CLI 指令,手動更新現有 EKS Cluster:
$ kubectl apply -f https://raw.githubusercontent.com/aws/amazon-vpc-cni-k8s/release-1.5/config/v1.5/aws-k8s-cni.yaml
Amazon Rekognition 現在可以在影片中偵測文字,且可利用 Region、Bounding Box 大小、信心水準分數等作為過濾結果的依據
此次更新之後,除了辨識圖片中的文字外,也可以辨識 影片中的文字了!辨識結果會依照影片的時間軸,顯示該文字的信心水準(detection confidence)、Bounding Box 等資料位於影片的哪一個時間點。此外,使用者可以利用 Region、Bounding Box 大小、信心水準分數來做過濾的動作,找出重要訊息。
此功能幫助使用者在目標客群所在的 Region,尋找關鍵字在整個影片中出現的所有時間點,並與黑名單比對,可用於屏蔽不適當的文字內容,或是以其他文字替換之;同時也可以用其他語言文字代替,達到翻譯 / 字幕的目的。最後,也可以幫助行銷人員研究文字在影片中出現的位置及大小,作為分析行銷效果的依據。
AWS Firewall Manager 現在支援 AWS CloudFormation
使用者可以利用 CloudFormation stack templates 去管理 Firewall Manager 所有的 Policy 以及資源,例如:我們可以使用 CloudFormation stack templates 去自訂 WAF、Shield Advanced 還有 Security Group 的 Policy,我們也可以在這些 Policy 上面加上 Tag,除此之外,我們也可以利用 CloudFormation stack templates 去建 SNS Topics 和通知作為 Firewall Manager notification channels,不需要再自己手動完成,在操作上提供更大的便利性。
AWS Console Mobile Application for iOS 新增支援更多服務
此次更新之後,使用 AWS Console Mobile Application – iOS 版的使用者,可以直接在手機上使用 Amazon API Gateway、AWS CloudTrail、AWS Identity and Access Management、AWS Lambda,以及 Amazon Simple Queue Service。同時,也可使用 Amazon CloudWatch logs 的功能。
參考來源至:AWS Console Mobile Application adds support for new services on iOS
AWS CodeCommit 新增 Pull Request 的相關通知
現在可以收到關於核准、拒絕或是撤銷了哪些 Pull Request 的通知,使用者可以針對 Pull Request 去設定核准條件,可以從 CodeCommit Console 中的 Pull Request 中選擇 Approvals,然後在選擇 Create approval rule,去設定你的條件。
假設你今天想設定在 Merge 之前需要兩個人核准 Pull Request,就像下面這樣:
在 Rule name 中寫下規則的名稱,在 Number of approvals needed 寫下你需要的數量,你也可以在 Approval rule members 選項中去指定 IAM User、Assumed role 或是你也可以指定 IAM User 和 Role 的 ARN。
參考來源至:You can now receive notifications about pull request approvals in AWS CodeCommit
Amazon Redshift 新增支援 Microsoft Azure Active Directory 驗證登入
過往使用者在存取 Amazon Redshift 時需要 JDBC 或 ODBC 驅動程式建立資料庫使用者登入資料,而現在 Amazon Redshift 新增支援 Microsoft Azure Active Directory 身份驗證,對於已使用 Microsoft Azure Active Directory 作為身份的企業,Amazon Redshift 允許使用者以 Microsoft Azure Active Directory 進行身份驗證。
使用此功能需確定 Amazon Redshift JDBC 驅動程序必須為1.2.37.1061 版本或更高版本,而Amazon Redshift ODBC 驅動程序必須為1.4.10.1000或更高版本。
參考來源至:Announcing Microsoft Azure Active Directory support for Amazon Redshift
Tag:Active Directory, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon ECS-optimized Linux 2 AMIs, Amazon EKS, Amazon MSK, Amazon Neptune, Amazon RDS, Amazon Redshift, Amazon Rekognition, Approvals, Auto Scaling, AWS, AWS AppConfig, AWS Application, AWS CodeCommit, AWS Console Mobile Application for iOS, AWS Directory Service, AWS Firewall Manager, AWS Systems Manager Agent, AWS Systems Manager Patch Manager, Bounding box, Broker, CloudFormation, Cluster, Create approval rule, detection confidence, LDAP, Microsoft Azure Active Directory, Multi-attach, Oracle, Pull Request, Scaling Policy, SSL, Starting, Stopping, VPC CNI Version 1.6