【每周快報】0305-0311 AWS 服務更新
前言
對於容器服務使用者來說,這週最重大的新聞莫過於 AWS 推出了 Bottlerocket,這是一項專為 Container 打造的作業系統,目前已經支援 Amazon EKS 了,相信很快也會支援 Amazon ECS! 除此之外, Amazon EKS 也新增了更多支援,現在可以用信封式加密來保護較敏感的資料。另外, AWS 也針對資料庫服務做了些優化。像是 Amazon Redshift 在更新後可以支援 column-level 的訪問權限控管,更加符合安全性的需求,而 Amazon Aurora with PostgreSQL Compatibility 現在多了 Global Database 的功能,可以在災難發生時更快做到災難復原。本週新聞也會提及 Amplify Console、AWS Chatbot、SageMaker Ground Truth…等多項不同 domain 的服務改動。
一、全新推出
Bottlerocket – 為 Container 而生的作業系統
在雲端優勢下,搭配 Container 其不需要變更 Infrastructure 以及跨平台/環境部署的特性下,用 Container 打包 Application 已成為企業在部署、管理的首選方式。
作為運行 Container 的 Host 在環境配置、安全、管理或是資源調配等面向,雖然 AWS 自身有針對 Container 運行環境所推出來的 ECS-Optimized AMI,同時支援了 Amazon Linux 1 / 2、Windows Server 2016 / 2019 / 1909 等版本,仍在其額外套件上仍遇到瓶頸,像是套件會額外佔據 Host CPU、Memory ,甚至其 Initial 的時間會影響到 Auto Scaling 的響應速度等問題。
為了解決這些疑慮,AWS 發佈專為 Container 而生的作業系統 – Bottlerocker!
Bottlerocket 完全免費、開源在 bottlerocket-os/bottlerocket,包含運行 Container 所需元件,並整合現有 Container Orchestrators,支援 Docker Image 及 OCI(Open Container Initiative)格式 Image。
Bottlerocket 以使用 Image-based model 來部署所需套件,在必要時能快速且完整的回滾,同時降低系統衝突和故障的機率。在 API 設計上,使用者可以利用 API 來調整配置,而不需要像以往以 SSH 登入手動更改,並且這些配置還可以在更新時自動套用。Bottlerocket 的檔案系統為 Read-Only 唯讀,並在 boot time 以 dm-verity
檢查其完整性。
目前 Bottlerocket 已經 Public Preview 支援 Amazon EKS,相信近期也會支援 Amazon ECS!
圖片來源自:Bottlerocket
推出 AWS Certification Database – Specialty
此張證照目的是為了設計和維護最佳 AWS 資料庫解決方案,實現高性能、成本優化的專業知識認證,涵蓋了所有的資料庫概念,從設計,遷移,部署,訪問,維護,自動化,監視,安全和故障排除。
參考來源至:New AWS Certification validates expertise in AWS databases
二、服務改動
Amazon EKS 支援信封式加密保護敏感性資料
通常我們會把敏感性資料放在 Kubernetes Secrets,例如:密碼、OAuth Tokens 和 SSh Key,現在我們可以利用 AWS KMS 裡的 CMK 以信封式加密的方式來保護放在 Kubernetes Secrets 敏感性資料,我們會利用 AWS KMS 裡的 CMK 在 Kubernetes 裡產出一把 Data Key,再利用這把 Key 去加密 Kubernetes Secrets 裡的敏感性資料。
注意:在利用 AWS Console 去建 EKS 1.14 cluster,必須在
Network settings
下啟用 Secret Encryption,否則創建之後無法再度設定信封式加密。
參考來源至:Amazon EKS adds envelope encryption for secrets with AWS KMS
Amplify Console 新增 command line interface,可用於 CI/CD(持續交付及持續部署)
自動化 CI/CD 為 Amplify Console 的一項功能之一,原先使用者若想使用該功能,並不能直接透過 Amplify CLI 來對應用程式下 CI/CD 的指令,此次更新之後,使用者可以透過 Amplify CLI 直接初始化 Amplify 應用程式,並選擇手動部署或是自動化持續部署,讓使用者在部署的過程中,多了一種選擇。
- 若選擇「持續部署 (continuous deployment)」,需在 Amplify Console 設定程式碼來源,並授權 Amplify 取用程式碼。完成設定後,Amplify 會自動偵測程式碼中的任何變更,再將新版的程式碼部署於應用程式之中。
- 抑或是選擇「手動部署 (Manual Deployment)」,則可以等到程式碼改動完成後,直接利用 Amplify CLI 部署應用程式。
參考來源至:Amplify Console adds command line interface for configuring continuous deployment and hosting 圖片來源至:Host Your Apps with AWS Amplify Console from the AWS Amplify CLI
使用者現在可自行啟用 AWS Local Zones
AWS Local Zones 是一種更加接近大量人口、產業和 IT 中心等新型的 AWS 基礎設施,對 latency 較為敏感的應用程式,則可將資源部署在 AWS Local Zones 中,以便更貼近終端使用者或加速資料傳輸。此次更新之後,使用者可直接在 EC2 console 中的 Settings 啟用該服務。
參考來源至:AWS adds the ability for customers to enable AWS Local Zones themselves
AWS Chatbot 新增支援 AWS CloudFormation
此次更新之後,使用者可以透過編寫 CloudFormation Template 來建立與 AWS Chatbot 相關的資源,例如:Slack channel、IAM roles、SNS topics…等,可幫助提升效率及降低手動部署可能發生的錯誤。
參考來源至:Provision AWS Chatbot configurations with AWS CloudFormation
Amazon Redshift 支援 column-level 的訪問權限控管
此次更新之後,使用者不僅能夠針對 Redshift 中的各個 Table 做存取權限控管,現在可以做到更細部的控制。使用者可針對 Table 中的 column 設定權限,以更加符合安全性及合規性的需求。
參考來源至:Announcing column-level access control for Amazon Redshift
Amazon Redshift 支援暫停 cluster 與恢復 cluster 功能
Amazon Redshift 此次推出的功能讓使用者在不需要使用 cluster 進行運算時將 cluster 暫停,因此使用者僅需支付 cluster 儲存的費用。此功能可在 Amazon Redshift 主控台控制或利用 Redshift API 控制 cluster 的暫停與恢復,而使用者可以透過此功能對 Redshift 的 cluster 進行自動暫停與恢復的排程,最終節省在使用這項服務的成本並增加靈活度。
AWS WAF 針對 AWS Managed Rules 增加匿名 IP 列表
此次更新之後,你可以利用匿名 IP 列表,識別並阻止來自 VPN、Tor nodes、Proxies 或是 data centers 的請求,這個新的 AWS Managed Rules 除了可以阻止試圖隱藏身份或是想逃避位置限制的使用者,也可以阻止匿名網路背後的惡意流量。
Amazon Data Lifecycle Manager(DLM)更新備份限制
以往備份時間的間距只能設定在 2、3、4、6、8、12 或 24 小時,此次更新之後,可以透過修改生命週期或創建新的 Policy,啟用 1 小時自動備份,不僅可以頻繁地進行備份,也能滿足較短的 RPO 和 RTO。
參考來源至:Amazon Data Lifecycle Manager (DLM) Adds Support For 1 hour Backup Interval
SageMaker Ground Truth 新增支援多標籤辨識
此次更新後使用者可以針對圖片或文字提供多個標籤選項,讓 SageMaker Ground Truth 選擇圖片或文字中適合的標籤。
以往的標籤形式類似於二分法的標籤類型,但無法完全符合使用者的需求。
SageMaker Ground Truth 新增支援 CloudWatch Event
以往使用者在啟動 Label job 後,需要等待一段時間才會完成,導致使用者必須常常切到主控台查看 Label job 的狀態,以及手動操作後續的動作。
此次更新後可以針對 Stoped
、Completed
、Failed
等標籤階段觸發 CloudWatch Event 迅速的觸發後續動作,以減少使用者的工作負擔。
Amazon Aurora with PostgreSQL Compatibility 現在支援 Global Database 功能
針對使用者遍佈全球的應用程式,例如:交友軟體、社群軟體等等。
此次更新之後,使用者可以利用 Global Database 功能,將 Aurora 資料庫複製至多 5 個到不同的 Region 中,進而可降低全球型應用程式的 Latency,此外,當災難發生時,也可以做到更快速的災難復原。
參考來源至:Amazon Aurora with PostgreSQL Compatibility supports Amazon Aurora Global Database
Tag:Amazon Aurora with PostgreSQL Compatibility, Amazon Data Lifecycle Manager, Amazon ECS, Amazon EKS, Amazon Linux 1 / 2, Amazon Redshift, Amplify CLI, Amplify Console, AWS, AWS Certification Database - Specialty, AWS Chatbot, AWS CloudFormation, AWS Console, AWS KMS, AWS Local Zones, AWS Managed Rules, AWS WAF, Bottlerocket, CI/CD, CloudWatch Event, Cluster, column-level, command line interface, Container, Container Orchestrators, Data Key, DLM, ECS-Optimized AMI, Global Database, Kubernetes Secrets, Latency, OAuth Tokens, OCI, Open Container Initiative, SageMaker Ground Truth, SSh Key