【每周快報】0827-0902 AWS 服務更新
前言
位於美國加州的新的 Local Zone 在這周正式啟動了,現在使用者可以享受到更低延遲的服務。另外,AWS 也有個好消息要跟大家分享,AWS IoT Events 的費用大幅度調降,新的價格也於九月正式生效, IoT 使用者現在可享低於 50% 的優惠價!
新服務區域以及價格變動外,AWS 也在既有服務做了不少優化。像是 CloudFront 新增了 Real-time log、Amazon Textract 支援 AWS PrivateLink、AWS X-Ray 新增支援使用 Tag 控制使用者存取權限…等。文中還會提及 AWS IoT Core、Amazon Route 53、Bottlerocket…等許多服務的更新。
焦點新聞
位於 LA 的新 Local Zone 正式啟用
在 2019 年的 AWS re:Invent 中,AWS 推出了新的基礎設施 – Local Zone,作為 AZ 的延伸,讓當地的使用者可以享受更低延遲性的體驗,Local Zone 的設計目的是讓對延遲較敏感的應用程式所需的核心服務能夠更接近終端使用者,例如:Amazon EC2、Amazon EBS、 Amazon VPC 等等。
此次更新後,於加利福尼亞州洛杉磯(LA)推出第二個 Local Zone,其代號為 us-west-2-lax-1b
,一樣可以在 Oregon region 透過 VPC Console 選擇啟用:
Bottlerocket for EKS 正式 GA
在今年 3 月中時,AWS 推出 Bottlerocket,一款專為 Container 而生的作業系統,當時僅支援 EKS,且處於 Preview 階段。而現在 Bottlerocket for EKS 正式發佈,並新增支援 ECS,但 Bottlerocket for ECS 還是 Preview 的階段。此次更新後,讓更多 EKS 使用者可以正式利用 Bottlerocket 運行在 Production 環境。
相較於在 Bottlerocket 出現之前,雖然 AWS 自身有針對 Container 運行環境所推出來的 ECS-Optimized AMI,同時支援了 Amazon Linux 1 / 2、Windows Server 2016 / 2019 / 1909 等版本,但在其額外套件上仍遇到瓶頸,像是套件會額外佔據 Host CPU、Memory,甚至其 Initial 的時間會影響到 Auto Scaling 的響應速度等問題。
Bottlerocket 以使用 Image-based model 來部署所需套件,在必要時能快速且完整的回滾,同時降低系統衝突和故障的機率。在 API 設計上,使用者可以利用 API 來調整配置,而不需要像以往以 SSH 登入手動更改,並且這些配置還可以在更新時自動套用。Bottlerocket 的檔案系統為 Read-Only 唯讀,並在 boot time 以 dm-verity
檢查其完整性。
Bottlerocket 完全免費、開源在 bottlerocket-os/bottlerocket,包含運行 Container 所需元件,並整合現有 Container Orchestrators,支援 Docker Image 及 OCI(Open Container Initiative)格式 Image。
參考來源至:Announcing the General Availability of Bottlerocket, a new open source Linux-based operating system purpose-built to run containershttps://www.ecloudture.com/wp-admin/admin.php?page=wpcf7
CloudFront 新增 Real-time log
CloudFront 是 AWS 中的 CDN 服務,以往使用者會將 CloudFront 的 log 推送至 S3 中存放,但 log 的推送並非即時的,可能會需要等個 3~5 分鐘,基本上對於大部分使用者來說可能沒什麼問題,但對於某部分需要即時蒐集 log 資料的使用者來說是一大困難。
此次更新後,可以啟用 real-time log,來即時蒐集 log 資料,使用者可以針對:
- 設定採樣率(sampling rate)進行 logging > 使用者想要接收 real-time log 的百分比。
- 特定字段(field)進行 logging
- 特定路徑(path)進行 logging
透過此功能,使用者還能與 Kinesis Data Streams 整合,立即蒐集、處理這些 log;也能透過 Kinesis Firehose 將 log 送至 HTTP endpoint、S3、RedShift、Elasticsearch Service、Datadog 等服務當中進行應用。
AWS IoT Events 大幅降低費用
AWS IoT Events 是一項全託管服務,可讓使用者輕鬆偵測和回應來自 IoT 感應器和應用程式的事件,利用 IoT Events,可以針對大量 IoT sensor 進行偵測事件並彙整資料,這項服務使用簡單的「if-then-else」陳述式來定義每個事件的邏輯,選擇事件發生時要觸發的提醒或自訂動作。
此次更新後, AWS IoT Events 最低使用級別的價格將降低至少達 86% ,並額外新增計費區間,針對每月推送一億個以上訊息評估的使用者提供了更高的折扣:
- 以 US East (N. Virginia) 區域為例,最低使用區間的價格由 $110.0 / 100 萬 個訊息評估,降低至 $15.0 / 100 萬 個訊息評估)。
新的的價格將在 2020/09/01 生效,適用於 AWS IoT Events 支援的區域,請參閱 AWS IoT Events 的頁面獲取更多資訊。
參考來源至:AWS announces a 86%+ price reduction for AWS IoT Events
其他服務更新
Amazon Route 53 Resolver 支援 VPC DNS Query Log
Route 53 Resolver 是用來回應來自 AWS 資源對公共記錄的 DNS 查詢,可以透過它知道 AWS 資源的網域名稱,此次更新後,可以透過 Route 53 Resolver 知道回應過的 DNS 查詢的內容,像是 VPC ID、發出查詢的 IP、DNS 類型(例如 A 或是 AAAA)⋯等詳細資訊,無論是透過 Route 53 Resolver 或是 Internet Resolver 轉送所回應的查詢,都可以在 Resolver Query Log 看到這些資訊,以滿足安全性或合規性要求,使用者可能需要具有監視,搜索和存檔來自於 Amazon VPC 內部的 DNS 查詢記錄的功能。
參考來源至:Amazon Route 53 Resolver Now Supports VPC DNS Query Logging
AWS IoT Core 新增支援自訂身份驗證
IoT Core 是 AWS 的物聯網平台,使用者能夠將裝置連接至 AWS 進行儲存、分析,並且能夠透過單一主控台管理多個硬體裝置與憑證,以往 IoT 裝置與 AWS 之間的身份驗證主要由 X.509 憑證進行,並且無法讓使用者透過其他 AWS 以外的機制來進行身份驗證。
此次更新後,使用者可自訂身份驗證機制(Custom Authentication),主要透過 Lambda 將 Client 端登入資料傳送至自家的身份驗證系統中,解決了「需要使用 IoT Core 本身不支援的身份驗證機制」卻無法達成的問題。
例如:使用者本身在地端就擁有許多硬體裝置,並擁有自己一套身份驗證機制(可能是自己帶 Token 進行驗證或者使用 MQTT User name 和 Password 進行驗證),當這位使用者要搬遷上 IoT Core 時,就會遇到身份驗證機制需要全部重設的問題,但若透過 Custom Authentication 便能不必再替這些硬體裝置重新設定身份驗證的機制,省去不少麻煩。
AWS X-Ray 支援使用 Tag 控制使用者存取權限
此次更新後,使用者可以利用 X-Ray 資源上的 Tag 來控制使用者針對 X-Ray 資源的權限。例如:假設有一個 X-Ray Group 上了「Production env」的 Tag,以代表該應用程式是一個正式的生產環境,通常不希望有過多的變動,以免影響終端使用者的體驗;基於上述的需求,使用者可以透過 IAM Policy 控制只有特定人士具有更新、刪除該 X-Ray Group 的權限。
使用者可以在 IAM Policy 中,加上 Condition 的描述,限制特定 IAM User 只能對特定 Tag 的資源做指定的動作,像是創建 / 修改 / 刪除 X-Ray Group 或是 Sampling Rule。
參考來源至:AWS X-Ray now supports controlling access to X-Ray resources using tags
Amazon Textract 支援 AWS PrivateLink
Amazon Textract 是一項可自動從掃描的文檔中提取文字和數據,還能識別欄位內容以及表格中存放的資訊。以往 Amazon Textract 轉換文字完成後,如果要與其他 AWS 服務溝通,需要 Public IP,讓流量經由 Internet 傳輸。此次更新後,使用者可以藉由 AWS PrivateLink 以利用 AWS 內網來達到服務溝通的需求,讓資料傳輸更加安全、穩定。
參考來源至:Announcing AWS PrivateLink support for Amazon Textract
Amazon EC2/Spot Fleet 支援在運行過程中修改 instance types 及配置的比重
先前使用者可利用 EC2/Spot Fleet 配置 EC2/Spot Instance 的群集,並設置多個 instance types 及比重來設定當 AWS 在開啟 Instance 時,應使用哪一種 instance types,同時保持該 instance types 在群集中的比例。
此次更新後,使用者如果在創建 EC2/Spot Fleet 後,想要修改其 instance types 及比重,不需要再像以前刪除現有的 EC2/Spot Fleet,重新開啟;而是可以通過創立新的 launch template configuration,覆蓋前一版本,EC2/Spot Fleet 變會自動 rolling,更新 EC2/Spot Fleet 裡的 Instances。
參考來源至:Amazon EC2/Spot Fleet now support modifying instance types and weights on the run