【每周快報】0319-0325 AWS 服務更新
前言
為了讓 AWS 使用者在管理多項服務上更為便利,這周 AWS 針對 Systems Manager 做了些改善,現在使用者可以將 Chef 方法的功能與 Systems Manager 提供的控制和安全優勢相結合,另外 AWS Systems Manager 也加強了 Resource Group 的功能,使用者能夠更輕鬆地監視資源的運行狀況。AWS 在大數據服務方面也有些更新,像是 Amazon Kinesis Data Streams 現在的傳輸量為以往的 20 倍,RDS MySQL 和 MariaDB 則新增了執行個體類型,現在 R5 執行個體擴增到以往的四倍。在資安方面,使用者現在可以透過 Amazon VPC Endpoint policy 控制對 EC2 訪問動作以提高安全性。上述服務外,文章內還會提到 AWS Global Accelerator、AWS CloudFormation、AWS Cost Explorer… 等服務。
一、服務的新功能
AWS Site-to-Site VPN 支援 IKE 連接到 Transit Gateway
AWS Site-to-Site VPN 可以為 AWS Transit Gateway 建立 IPSec 通道,現在支援 Internet Key Exchange(IKE)身份驗證的方式,用於與 AWS Transit Gateway 的 VPN 連接,首先需要從 AWS Certificate Manager 取得 CA ,然後從 CA 生成一組數字證書裝在 customer gateway,當在身份驗證時,你不需要指定 customer gateway IP,因此當你的 IP 位址改變,不需要重新去配置 VPN 設定,且這之中傳送的流量都會經由 AES128 或 AES256 加密,增強安全性。
參考來源至:AWS Site-to-Site VPN now supports certificate authentication for connections to AWS Transit Gateway
二、功能的增強或改動
AWS System Manager Run Command 新增支援 Chef 腳本
Chef 是一個能夠自動化組態設定的第三方程式,現在使用者可以將 Recipe (Chef 腳本的名稱) 存放於 S3 或 Github 上,並透過 System Manager 新的 Document:AWS-ApplyChefRecipes
快速的對 EC2 或本地 Linux 主機執行腳本。
參考來源至:Execute Chef recipes on Linux with AWS Systems Manager
RDS for MySQL & MariaDB 新增執行個體類型
以往 R5 執行個體僅支援到 16 TB 容量大小,若使用者想突破這個大小限制則需要透過其他方式達成,而此次更新後,R5 執行個體直接支援到 64 TB(gp2 & io1 皆有支援)。
參考來源至:RDS MySQL and MariaDB Increase Maximum Storage Size for R5 Instances
Amazon EC2 Hibernation 現在支援 T2 Instance Types
原先只有使用 C3、C4、C5、M3、M4、M5、R3、R4、R5 系列的使用者可以運用 Hibernation 的功能。此次更新之後,T2 系列的 EC2 也可以使用 Hibernation,加快重啟 Instance 所需要的時間。
參考來源至:Amazon EC2 Hibernation now Lets you Pause and Resume Your Workloads on T2 Instance Types
使用 Amazon VPC Endpoint policy 控制對 EC2 訪問動作
使用者可以透過 VPC Endpoint,走 Amazon 網路連線至支援的 AWS 服務,不需要透過 Internet Gateway、NAT 裝置、VPN 或是 DX 連線,所以使用者可以透過 EC2 Endpoint,來存取 VPC 內的 EC2 instances。此次更新後,可以將 VPC Endpoint policy 套用在 EC2 Endpoint,來規定可以進行什麼動作,如同設置 IAM policy 一樣。開始使用之前,要先決定以下事項:
- 可以執行動作的主體
- 可以執行的動作(設定在 Action)
- 可以執行操作的資源(設定在 Resource,可搭配使用 Condition 來設定符合條件的 EC2)
以下範例顯示了 VPC Endpoint policy,該 policy Deny 創建未加密的 Volume 或啟動具有未加密 Volume 的 Instance 的權限。該 Policy 範例還授予執行所有其他 Amazon EC2 操作的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateVolume"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
},
{
"Action": [
"ec2:RunInstances"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
}]
}
參考來源至:Use Amazon VPC Endpoint Policies for granular control of Amazon EC2 APIs
AWS Global Accelerator 透過在 Edge Location 啟用 TCP Termination 來加速應用程式與 AWS 端的互動
一般來說,當 client 端的使用者利用 Internet 與 AWS Region 中應用程式的 endpoint 建立 TCP 連線時,會使用 three-way handshake 的方式,因此成功建立連線需經過 3 次的訊息交換,若 client 端與 AWS 端的距離越遠,初始化連線所花費的時間也就越長。
此次更新之後,當 client 端使用者同樣要建立 TCP 連線時,Global Accelerator 會先在 client 端與 Edge Location(一個距離 client 端使用者較近的實體位置)設置 TCP 連線,而 Edge Location 到 AWS Region 中應用程式的 endpoint 則是透過 AWS 內網來建立第二次的 TCP 連線,以此方式來加快使用者得到 response 的時間。
參考來源至:AWS Global Accelerator launches TCP Termination at the Edge
現在可透過 AWS CloudFormation 部署及建立 AWS Transit Gateway Network Manager、Amazon Managed Cassandra、AWS Resource Groups
現在使用者可以透過撰寫 AWS CloudFormation Template 來部署或建立以下 AWS 資源:
- AWS Transit Gateway Network Manager:創建及設立相關的設定,例如:創立 Global Networks、註冊相關 Transit Gateway 到 Global Networks 中,並設置經由該 Transit Gateway 管理的連線方式。
- Amazon Managed Cassandra:設定 keyspaces 及 tables 相關資訊。
- AWS Resource Groups:Resource Groups 可以用 Tags 來區分資源,或是以 CloudFormation Stacks 為基準來替其中的資源分組。現在使用者可以同時創建 Resource Groups,也可以組織需要被管理在該群組內的資源,讓管理者更容易完成設置 Resource Groups 的前置作業。
參考來源至:AWS Transit Gateway Network Manager now includes support for AWS CloudFormation
Amazon Kinesis Data Streams 現在可以在一次的 API call 中支援高達 10,000 MB/s 的 throughput
此次更新之後,使用者在使用 UpdateShardCount API 時,可以針對每一個 stream 存取最多 10,000 shards 的 throughput。每個 shards 提供 1 MB/s ingress 及 2 MB/s egress throughput,隨著 shards 的上限提高,可傳輸的量變成以往的 20 倍。
參考來源至:Amazon Kinesis Data Streams now supports scaling up to 10,000 MB/s throughput with a single API call
AWS Systems Manager 增強 Resource Group 功能
現在可以從 AWS Systems Manager Console 中點選 Resource Group ,即可監視資源的運行狀況,追蹤資源配置更改、操作問題以及審核帳戶活動,像是:
- Amazon CloudWatch 指標和警報
- AWS Config 詳細資訊
- AWS CloudTrail log
- Systems Manager OpsItems
參考來源至:AWS Systems Manager announces enhanced AWS Resource Groups view
AWS Cost Explorer 現在為 Member (Linked) Accounts 提供 Savings Plans 推薦
在過去,AWS Cost Explorer 僅提供 Savings Plans 推薦給具有 Master (Payer) Accounts 身份的使用者,而為 Member (Linked) Accounts 則無法查看建議。AWS Cost Explorer 此次推出的更新,讓 Member Accounts 可以根據選擇的時段內的使用情況推薦 Savings Plan。下圖為 Master Accounts 可以查看 AWS Cost Explorer 依照所有 Member Accounts 的使用狀況所提出的 Savings Plans 建議。
除了所有 Member Accounts,AWS Cost Explorer 也提供 Master Accounts 可以查看特定 Member Account 的 Savings Plans。
參考來源至:AWS Cost Explorer now offers Savings Plans Recommendations for Member (Linked) Accounts
圖片來源至:Launch: Savings Plans Recommendations for Member (Linked) Accounts
Tag:Amazon EC2 Hibernation, Amazon Kinesis Data Streams, Amazon Managed Cassandra, Amazon VPC Endpoint policy, API call, AWS, AWS Certificate Manager, AWS CloudFormation, AWS Cost Explorer, AWS Global Accelerator, AWS Resource Groups, AWS Site-to-Site VPN, AWS System Manager Run Command, AWS Systems Manager, AWS Transit Gateway Network Manager, Chef, Ec2, Edge location, IKE, MariaDB, Member Accounts, MySQL, RDS, Resource Group, Savings Plans, T2 Instance Types, TCP Termination, Transit Gateway