Juli 2022

Das berüch­tigte Som­mer­loch ist die­ses Jahr auch bei Ama­zon spür­bar und so geht ein ver­hält­nis­mä­ßig ruhi­ger Monat in der AWS-Welt zu Ende. Die­ser Blog­bei­trag stellt einen Aus­schnitt aus den Neue­run­gen und Ankün­di­gun­gen des Monats Juli dar, erhebt aber nicht den Anspruch auf Voll­stän­dig­keit. Das Haupt­au­gen­merk liegt hier­bei auf Ver­än­de­run­gen, bei denen wir von einem direk­ten Ein­fluss auf unsere Kun­den aus­ge­hen. In die­sem Bei­trag wer­den ins­be­son­dere Ände­run­gen und Ankün­di­gun­gen der Ser­vices Route 53, AWS EBS und den Secu­rity Groups vorgestellt. 

Reti­re­ments
Eine hono­rable Men­tion an das EC2-Clas­sic Network

Bereits im Som­mer des Jah­res 2006 hat Ama­zon die ers­ten EC2-Instan­zen ver­öf­fent­licht. Im Ver­gleich zu den Dimen­sio­nen, die die­ser Ser­vice heut­zu­tage ange­nom­men hat, waren die Anfänge des Ser­vices noch sehr ein­fach gehal­ten: Es gab ledig­lich eine Größe, wel­che auch nur in einer ein­zi­gen Region ver­füg­bar war. Die Instanz wurde dann mit einem fla­chen Netz­werk ver­bun­den, wel­ches öffent­li­che IP-Adres­sen mit dem Launch der jewei­li­gen Instanz ver­ge­ben hat. Die­ses Modell wird heut­zu­tage im AWS-Uni­ver­sum als das „EC2-Clas­sic net­work-model“ bezeich­net und wird nun all­mäh­lich in sei­nen ver­dien­ten Ruhe­stand übergehen. 

 Am 30. Okto­ber die­ses Jahrs wird der Ver­trieb von Instan­zen mit dem EC2-Clas­sic Net­work ein­ge­stellt und bis zum dar­auf­fol­gen­den August emp­fiehlt Ama­zon alle noch bestehen­den EC2-Clas­sic-Instan­zen auf moder­nere, VPC-basierte Sys­teme zu migrie­ren. Dies betrifft neben den EC2-Instan­zen selbst natür­lich auch alle Ser­vices, die eine EC2-Instanz ver­wen­den, wie bei­spiels­weise RDS, Data Pipe­lines oder ElastiCache. 

Diese Ände­rung bezieht sich ledig­lich auf Kun­den, die Ihren AWS Account vor dem 4. Dezem­ber 2013 ange­legt haben. Neuere AWS-Accounts sind bereits VPC-Basiert und dem­entspre­chend nicht von die­ser Ände­rung betrof­fen, sofern keine expli­zite Sup­port-Anfrage für den Erhalt einer sol­chen Instanz gestellt wurde. 

Inter­net Explo­rer 11

Als Rand­no­tiz sei an die­ser Stelle erwähnt, dass Ama­zon in die­sem Monat auch bekannt gege­ben hat, dass AWS zukünf­tig nicht mehr den Inter­net Explo­rer 11 unter­stüt­zen wird. Bereits seit dem 31. Juli 2021 garan­tiert Ama­zon nicht mehr, dass die Manage­ment Kon­sole von AWS, sowie web-basierte Ser­vices wie Ama­zon Chime oder Honey­code, voll­stän­dig funk­ti­ons­fä­hig sind bei der Ver­wen­dung von IE11. 

Nut­zer des Inter­net Explo­rer 11 kön­nen die­ses Ärger­nis natür­lich ein­fach umge­hen, indem sie auf einen moder­ne­ren, siche­re­ren und schnel­le­ren Brow­ser der neu­es­ten Gene­ra­tion zurückgreifen. 

IE-Meme
Abbil­dung 1 IE 11 being IE 11
Net­wor­king
Route 53

Der hoch­ska­lier­bare Domain Name Sys­tem (DNS) Web-Ser­vice Ama­zon Route 53 wurde im Monat Juli mit dem Appli­ca­tion Reco­very Con­trol­ler um ein wei­te­res Fea­ture ergänzt, wel­ches die hohe Ver­füg­bar­keit von in AWS gehos­te­ten Res­sour­cen wei­ter erhöht. Der Ser­vice erlaubt es, die Reco­very-Fähig­kei­ten von Appli­ka­tio­nen und Sys­te­men zu moni­to­ren und zu kon­trol­lie­ren.  Die Funk­ti­ons­weise des Ser­vices basiert auf zwei Säu­len: Rea­di­ness-Checks und Routing-Control. 

Rea­di­ness Checks ent­spre­chen einer regel­mä­ßi­gen Über­prü­fung der defi­nier­ten Kon­fi­gu­ra­tio­nen, Kapa­zi­tä­ten und Netz­werk-Poli­cies. Diese Checks sol­len garan­tie­ren, dass das Reco­very-Envi­ron­ment kor­rekt kon­fi­gu­riert ist, falls es denn ein­ge­setzt wer­den muss. Die Checks betref­fen die Auto Sca­ling Groups, die EC2-Instan­zen, die EBS-Volu­mes sowie Ama­zon RDS, Dyna­moDB Tabel­len und diverse wei­tere Services. 

Die zweite Säule, die soge­nann­ten Rou­ting Con­trols, sol­len dabei unter­stüt­zen, dass der Traf­fic zwi­schen den Platt­for­men wäh­rend des Reco­very-Vor­gangs aus­ba­lan­ciert wird, sodass End­nut­zer wei­ter auf die Appli­ka­tion zugrei­fen kön­nen. Dies ent­spricht auch den bis­he­ri­gen Health-Check Fail­overs, die mit Route 53 auto­ma­ti­siert wer­den kön­nen, aller­dings sind Rou­ting Con­trols tat­säch­lich eine Ver­bes­se­rung jener. 

Rou­ting Con­trol bie­tet die Mög­lich­keit, die gesamte Appli­ka­tion auto­ma­tisch auf eine stand-by Replica umzu­schal­ten, wenn eine bestimmte Metrik, wie bei­spiels­weise eine erhöhte Latenz, erfüllt ist. Neben dem auto­ma­ti­schen Umschal­ten bie­tet die neue Rou­ting Con­trol auch die Mög­lich­keit, manu­ell auf die stand-by Replica zu wech­seln und so zum Bei­spiel War­tungs­ar­bei­ten an der Appli­ka­tion durch­zu­füh­ren. Ein drit­ter Vor­teil gegen­über den bis­he­ri­gen Health-Check Fail­overs ist die Sicher­heit, dass nicht auf eine unvor­be­rei­tete oder nicht voll-funk­ti­ons­fä­hige Replica umge­schal­tet wird, da durch die neuen Rea­di­ness Checks diese ja regel­mä­ßig auf Funk­ti­ons­tüch­tig­keit über­prüft werden. 

Das neue Fea­ture ist ein glo­ba­ler Ser­vice und somit über­all ver­füg­bar. Die Kos­ten, die für die Nut­zung ent­ste­hen, sind on-demand, d.h. es ent­ste­hen Kos­ten für jeden durch­ge­führ­ten Rea­di­ness Check sowie eine stun­den­ba­sierte Abrech­nung für die Cluster. 

Sto­rage
AWS EBS

Der Ela­s­tic Block Sto­rage von Ama­zon hat im Juli einen neuen Spei­cher­ty­pen erhal­ten. Bereits wäh­rend der re:invent 2020 wur­den die io2 Block Express Volu­mes ange­kün­digt, aber erst jetzt sind sie im Stauts „Gene­rally Available“ ange­kom­men und somit für alle Nut­zer – Zumin­dest in Kom­bi­na­tion mit einer R5b-Instanz – verfügbar. 

Die io2 Block Express Volu­mes zeich­nen sich durch sehr hohe Schreib– und Lese­ra­ten aus und eig­nen sich somit opti­mal, um als Spei­cher­me­dium einer Daten­bank zu fun­gie­ren. Außer­dem ist eine Latenz von unter einer Mil­li­se­kunde bei der Kom­mu­ni­ka­tion mit AWS Nitro basier­ten Instan­zen mög­lich. Einige Eigen­hei­ten sind bei der Nut­zung der Volu­mes aller­dings trotz­dem zu beachten:

  • Die Größe und die vor­ge­ge­be­nen IOPS kön­nen nicht mehr ver­än­dert werden 
  • Es kön­nen keine R5b Instan­zen mit einer unver­schlüs­sel­ten oder nur teil­weise ver­schlüs­sel­ten AMI mit einer ver­schlüs­sel­ten io2 Block Express erstellt wer­den, die grö­ßer ist als 16 TiB oder mehr als 64000 IOPS ver­fügt. Sollte man eine sol­che Größe benö­ti­gen, muss zunächst die AMI voll­stän­dig ver­schlüs­selt werden 
  • Io2 Block Express Volu­mes unter­stüt­zen zumin­dest zum der­zei­ti­gen Stand keine Snapshots 

Wie Ein­gangs ange­merkt, sind die io2 Block Express Volu­mes nun für alle Nut­zer von AWS mit Stand­ort Frank­furt ver­füg­bar, aller­dings nur in Kom­bi­na­tion mit einer R5b-Instanz. Hin­sicht­lich der Kos­ten gel­ten die­sel­ben Preise, wie bei den bis­her ver­füg­ba­ren io2-Instan­zen und auch in Nut­zungs­be­rich­ten wer­den diese nicht unter­schie­den. Aus die­sem Grund emp­fiehlt es sich, Tags zu ver­wen­den, um eine ein­deu­tige Zuord­nung zu gewähr­leis­ten. Unter die­sem Absatz ist auch noch ein­mal eine Tabelle ver­linkt, die die ver­füg­ba­ren SSDs mit­ein­an­der vergleicht.

Gene­ral Pur­pose SSDsPro­vi­sio­ned IOPS SSDs
Bezeich­nunggp2gp3io2io2 Block Express
Bestän­dig­keit99.8–99.9%99.8–99.9%99.999%99.999%
Use-CaseAll­ge­meine ApplikationenAll­ge­meine ApplikationenI/O inten­sive Appli­ka­tio­nen und DatenbankenI/O inten­sive Appli­ka­tio­nen und Datenbanken
Größe1 GiB – 16 TiB1 GiB – 16 TiB4 GiB – 16 TiB4 GiB – 64 TiB
Max. IOPS160001600064000256000
Max. Through­put250 MiB/s1000 MiB/s1000 MiB/s4000 MiB/s
Secu­rity
AWS Fire­wall Manager

AWS Fire­wall Mana­ger ist ein Ser­vice zur Sicher­heits­ver­wal­tung. Mit ihm kön­nen Kun­den Fire­wall­re­geln für Kon­ten und Res­sour­cen inner­halb ihrer Orga­ni­sa­tion zen­tral kon­fi­gu­rie­ren und ver­wal­ten, das heißt es kön­nen Regeln für Ser­vices wie AWS WAF, AWS Shield Advan­ced, VPC Secu­rity Groups und Ama­zon Route 53 defi­niert wer­den, wel­che dann auto­ma­tisch inner­halb der Orga­ni­sa­tion ange­wandt wer­den. Seit Juli erhal­ten Kun­den nun auch War­nun­gen über Rou­ten, die nicht der Kon­fi­gu­ra­tion entsprechen. 

Wie oben beschrie­ben stellt Fire­wall Mana­ger in jedem VPC eine Netz­werk­fire­wall bereit, wel­che den Daten­ver­kehr regu­liert. Mit der neuen Ver­sion von AWS Fire­wall Mana­ger kön­nen Kun­den nun auch VPC Rou­ten über­wa­chen und den über Inter­net Gate­way aus­ge­hen­den Daten­ver­kehr unter­su­chen. Die War­nun­gen, die hier­bei aus­ge­ge­ben wer­den, infor­mie­ren Nut­zer des Ser­vices über nicht kon­forme Rou­ten­kon­fi­gu­ra­tio­nen wie bei­spiels­weise Rou­ten, die die Unter­su­chung durch die Fire­wall umge­hen oder zu einem ungleich­mä­ßi­gen Daten­ver­kehr führen. 

Secu­rity Groups

Einer der Haupt­gründe für eine Migra­tion in die Cloud, ist das ver­ein­fachte Manage­ment von Res­sour­cen wie Ser­vern, Spei­cher und auch Nut­zern. Viele der Neue­run­gen, die im Rah­men die­ser Bei­träge von uns vor­ge­stellt wer­den, sind ent­we­der große Neu­an­kün­di­gun­gen oder kleine, aber feine Ände­run­gen bestehen­der Ser­vices, die die Nut­zer­er­fah­rung erheb­lich ver­bes­sern. Ein Bei­spiel für eine sol­che Ände­rung sind die neuen VPC Secu­rity Group Rule IDs. 

Eine Secu­rity Group in einem VPC funk­tio­niert wie eine Fire­wall für einen Ser­vice wie bei­spiels­weise Ama­zon EC2 oder Ama­zon RDS, d.h. eine Secu­rity Group ist dafür ver­ant­wort­lich, dass nur von bestimm­ten Netz­wer­ken aus auf die Daten­bank oder Appli­ka­tion eines Nut­zers zuge­grif­fen wer­den darf und auch nur an bestimmte Netz­werke Daten trans­fe­riert werden. 

Ver­wen­det man die CLI von AWS oder kom­mu­ni­ziert über eine der APIs, so muss­ten bis­her eine Viel­zahl von Ele­men­ten ange­ge­ben wer­den, um eine Secu­rity Rule zu iden­ti­fi­zie­ren. Dies hatte zur Folge, dass CLI-Com­mands und ein­zelne Code-Pas­sa­gen unüber­sicht­lich und lang gewor­den sind. Dies gehört aber nun mit den neuen Secu­rity Group Rule IDs der Ver­gan­gen­heit an. 

Die Secu­rity Group Rule IDs sind ein­deu­tige Bezeich­nung, die einer Regel einer Secu­rity Group zuge­wie­sen wird. In die­sem Zusam­men­hang ver­öf­fent­licht Ama­zon zusätz­lich zwei neue APIs: Modi­fy­Se­cu­ri­ty­Grou­pRu­les und Descri­be­Secu­ri­ty­Grou­pRu­les, mit wel­chen zukünf­tig pro­gram­ma­tisch APIs abge­fragt und ver­än­dert wer­den können. 

Wie Ein­gangs erwähnt ist dies eine der vie­len klei­nen Ände­run­gen von Ama­zon. Nichts­des­to­we­ni­ger ver­ein­facht sie die Nut­zung von AWS und ins­be­son­dere der CLI. Die neuen IDs sind ab sofort für alle VPC Secu­rity Grup­pen in allen kom­mer­zi­el­len AWS Regio­nen ver­füg­bar und erzeu­gen keine zusätz­li­chen Kosten.


August 2021

Nach einem ver­hal­te­nem Monat Juli fol­gen zum Ende des Som­mers im August einige span­nende Ände­run­gen sei­tens AWS. Die­ser Blog­bei­trag stellt einen Aus­schnitt aus den Neue­run­gen und Ankün­di­gun­gen des Monats August dar, erhebt aber nicht den Anspruch auf Voll­stän­dig­keit. Das Haupt­au­gen­merk liegt hier­bei auf Ver­än­de­run­gen, bei denen wir von einem direk­ten Ein­fluss auf unsere Kun­den aus­ge­hen. In die­sem Bei­trag wer­den ins­be­son­dere Ände­run­gen und Ankün­di­gun­gen der Ser­vices Ama­zon Sage­Ma­ker, AWS Lambda und Cloud­Guru vorgestellt.

Machine Lear­ning
Ama­zon Sage­Ma­ker Pipelines

Ama­zon Sage­Ma­ker Pipe­lines ist ein spe­zi­ell ent­wi­ckel­ter Ser­vice zur CI/CD für Machine Lear­ning Work­flows, in wel­chem es seit August auch mög­lich ist, soge­nannte Lambd­a­S­teps zu inte­grie­ren, die eine Lambda-Funk­tion als Schritt in der ML-Pipe­line aus­füh­ren. Dies erlaubt es, beliebe Auf­ga­ben und Auf­träge inner­halb des Machine-Lear­ning Work­flows zu inte­grie­ren und so bei­spiels­weise Daten­sätze auf­zu­tei­len oder benut­zer­de­fi­nierte Benach­rich­ti­gun­gen zu ver­sen­den. Zur Bereit­stel­lung einer Lambda-Funk­tion kann ent­we­der über die Kon­sole eine Funk­tion in einer belie­bi­gen Spra­che geschrie­ben wer­den oder als .zip-Datei der Code inklu­sive der kom­pi­lier­ten Pro­gramme und Abhän­gig­kei­ten bereit­ge­stellt wer­den und Sage­Ma­ker Pipe­lines erstellt auto­ma­tisch eine neu Lambda-Funk­tion, die als Teil des Lambd­a­S­teps aus­ge­führt wird.

Asyn­chrone Infe­renz von Ama­zon SageMaker

Um Infe­ren­zen mit gro­ßer Nutz­last oder lan­gen Ver­ar­bei­tungs­zei­ten zukünf­tig bes­ser ver­ar­bei­ten zu kön­nen, hat Ama­zon im August eine dritte Infe­renz­op­tion, näm­li­che die asyn­chrone Infe­renz, ver­öf­fent­licht. Mit die­ser wer­den ein­ge­hende Anfra­gen in einer War­te­schlange gestellt und dann nach­ein­an­der ver­ar­bei­tet. Workloads, die von die­ser neuen Option pro­fi­tie­ren, sind bei­spiels­weise Vor­her­sa­gen von hoch­auf­lö­sen­den Gra­fi­ken und Bil­dern und Workloads, die Ant­wor­ten inner­halb von Minu­ten nach Erhalt der Anfrage bereit­stel­len müssen.

Die Asyn­chrone Infe­renz von Ama­zon Sage­Ma­ker ist in allen kom­mer­zi­el­len AWS Regio­nen ver­füg­bar, in denen auch Sage­Ma­ker selbst ver­füg­bar ist, außer in Mai­land, Kap­stadt und Osaka.

Ama­zon Code­Guru Profiler

Das auf Machine-Lear­ning basie­rende Ent­wick­ler-Tool Ama­zon Code­Guru Pro­fi­ler dient Ent­wick­lern dazu, das Lauf­zeit­ver­hal­ten von Anwen­dun­gen zu ver­ste­hen, inef­fi­zi­ente Code­pas­sa­gen zu erken­nen und so die all­ge­meine Leis­tung zu ver­bes­sern und Kos­ten zu senken.

Ein wich­ti­ger Bestand­teil des Pro­fi­lers sind die Visua­li­sie­run­gen mit wel­chen Inef­fi­zi­en­zen gra­fisch auf­ge­zeigt und Ver­glei­che zwi­schen ver­schie­de­nen Appli­ka­tio­nen ver­deut­licht wer­den kön­nen. Genau diese Visua­li­sie­run­gen haben im August eine wei­tere Ver­gleichs­op­tion hin­zu­ge­won­nen, wel­che das Anzei­gen der Unter­schiede zwi­schen ver­schie­de­nen Zeit­ab­schnit­ten der­sel­ben Pro­fil­gruppe ermög­licht und so die Dia­gnose von Pro­ble­men einer Anwen­dung inner­halb eines spe­zi­fi­schen Zeit­be­reichs vereinfacht.

Neben den neuen Visua­li­sie­rungs­mög­lich­kei­ten ist auch die Unter­stüt­zung für Python neu hin­zu­ge­kom­men zum Funk­ti­ons­um­fang des Ser­vices. Bis­her wur­den nur Emp­feh­lun­gen für Java-basierte Appli­ka­tio­nen erstellt, aber seit neu­es­tem wer­den auch Python Appli­ka­tio­nen, die auf Ver­sion 3.6 bis 3.9 basie­ren und auf einer EC2, einem Con­tai­ner oder AWS Lambda lau­fen, unterstützt.

Apro­pos Lambda-Funk­tio­nen: Auch im Zusam­men­spiel zwi­schen dem Code­Guru Pro­fi­ler und AWS Lambda gibt es eine Ände­rung, denn der Pro­fi­ler kann nun auto­ma­tisch über die Lambda Kon­sole ein­ge­rich­tet wer­den. Bis­her musste bei der Pro­fi­ler­stel­lung mit Code­Guru für AWS Lambda ein mehr­stu­fi­ger manu­el­ler Pro­zess durch­lau­fen wer­den, wel­che von der Erstel­lung einer Pro­fil­ing­gruppe über die Ver­gabe von Berech­ti­gun­gen bis hin zum Set­zen von Umge­bungs­va­ria­blen reichte. All diese Schritte führt der Code­Guru Pro­fi­ler nun auto­ma­tisch aus und erleich­tert so die Bereit­stel­lung des Services.

AWS Lambda

Neben den oben bereits ange­spro­che­nen Ände­run­gen rund um AWS Lambda, wurde der beliebte ser­ver­less-com­pute Ser­vice selbst auch ange­passt. Eine der Ankün­di­gun­gen, die ver­öf­fent­licht wur­den, ist, dass AWS Lambda nun auch die Python Ver­sion 3.9 sowohl als ver­wal­tete Lauf­zeit als auch als Con­tai­ner-Basis-Image unter­stützt. Dies erlaubt es Kun­den Lambda-Funk­tio­nen in Python 3.9 zu ver­fas­sen und somit von den neuen String- und Dic­tion­ary-Funk­tio­nen, der Binär­schnitt­stelle für CPy­thon und den all­ge­mei­nen Per­for­mance-Updates der neu­es­ten Python-Ver­sion zu pro­fi­tie­ren. Damit auch ältere Lambda-Funk­tio­nen frü­he­rer Python-Ver­sio­nen von den Aktua­li­sie­run­gen pro­fi­tie­ren kön­nen, muss der Code mit Python 3.9 kom­pa­ti­bel sein. Sollte dies der Fall sein, so muss nur die Funk­ti­ons­lauf­zeit in den Ein­stel­lun­gen der Lambda-Funk­tion auf Python 3.9 geän­dert werden.

Ama­zon Memo­ryDB for Redis

Inter­ak­tive Appli­ka­tio­nen müs­sen Anfra­gen schnell bear­bei­ten und beant­wor­ten kön­nen. Dies wird ins­be­son­dere dann deut­lich, wenn man eine Archi­tek­tur betrach­tet, die auf Micro­ser­vices basiert, also auf ver­hält­nis­mä­ßig klei­nen, unab­hän­gi­gen Ser­vices, die alle mit­ein­an­der ver­netzt sind.

Um eine schnelle Kom­mu­ni­ka­tion zwi­schen den Sys­te­men zu ermög­li­chen, ist eine per­for­mante Daten­bank not­wen­dig, wel­che im Opti­mal­fall über einen in-memory Cache ver­fügt, um so die Latenz bei Lese­zu­grif­fen mög­lichst gering zu hal­ten. Für die­sen Cache grei­fen viele Ent­wick­ler auf den open-source in-memory Data-Struc­ture-Store Redis zurück.

Auch Nut­zer der AWS konn­ten bis­her schon davon pro­fi­tie­ren, indem sie bei­spiels­weise Ela­s­ti­Cache for Redis ver­wen­det haben, einem fully-mana­ged in-memory Caching-Ser­vice, der als Fas­sade von Ama­zon Aurora oder Ama­zon Dyna­moDB ein­ge­setzt wer­den kann. Um diese Archi­tek­tur zu erzie­len, muss­ten Ent­wick­ler aber selbst Code inner­halb einer Appli­ka­tion schrei­ben, um den Cache des Sys­tems in Syn­chro­ni­sa­tion zur Daten­bank zu halten.

Um dies zu umge­hen, hat AWS nun Ama­zon Memo­ryDB for Redis vor­ge­stellt. Dies ist eine mit Redis kom­pa­ti­ble In-Memory Data­base, wel­che die oben beschrie­bene Archi­tek­tur ablö­sen soll. Bei der Ver­wen­dung von Memo­ryDB wer­den alle Daten in-memory gespei­chert und sind ohne prak­tisch ohne Latenz verfügbar.

Bis­her ist Ama­zon Memo­ryDB in Europa ledig­lich in Irland ver­füg­bar, aller­dings sol­len wei­tere Stand­orte in naher Zukunft hinzukommen.

Moni­to­ring
Ama­zon CloudWatch

Auch für einen der wich­tigs­ten Ser­vices in der AWS gab es einige Ankün­di­gun­gen und Neue­run­gen im ver­gan­ge­nen Monat. Zum einen wurde ange­kün­digt, dass Cloud­Watch Logs zukünf­tig Cloud­Watch-Nut­zungs­me­tri­ken unter­stützt, sodass die Cloud­Watch-Logs-API-Nut­zung über­wacht wer­den kann. Dies erlaubt es bei­spiels­weise Alarme zu erstel­len, die eine Benach­rich­ti­gung ver­sen­den, wenn ein Ser­vice­kon­tin­gent erreicht wird.

Eine zweite Ankün­di­gung, die Ama­zon Cloud­Watch betrifft, ist, dass zukünf­tig kon­to­über­grei­fende Alarme erstellt wer­den kön­nen. Kon­to­über­grei­fende Alarme bie­ten die Mög­lich­keit, Warn­mel­dun­gen auf der Grund­lage von Metri­ken aus ver­schie­de­nen AWS-Kon­ten zu erstel­len und diese in einem kon­to­über­grei­fen­den Dash­board zu visua­li­sie­ren, um so ope­ra­tive Trans­pa­renz in einem zen­tra­len Über­wa­chungs­konto einzurichten.

Ein Anwen­dungs­fall könnte ein zen­tra­les AWS-Konto sein, wel­ches dazu genutzt wird, meh­rere AWS-Kon­ten, auf denen Pro­duk­ti­ons­an­wen­dun­gen instal­liert sind, zu über­wa­chen. Über diese Kon­ten hin­weg könnte ein Alarm defi­niert wer­den, der bei­spiels­weise die maxi­male CPU-Aus­las­tung aller EC2-Instan­zen über­wacht und eine Benach­rich­ti­gung ver­schi­cken, wenn ein gewis­ser Schwel­len­wert über­schrit­ten wird. Durch die Zen­tra­li­sie­rung des Moni­to­rings kön­nen die Appli­ka­tio­nen ein­fa­cher über­wacht wer­den und Kau­sa­li­tä­ten leich­ter erkannt werden.

Kon­to­über­grei­fende Alarme sind in allen AWS Regio­nen ver­füg­bar und es fal­len ledig­lich die Stan­dard­preise für Cloud­Watch-Alarme an.


Sep­tem­ber 2021

Durch die Sto­rage-Days zu Beginn des Monats steht der Sep­tem­ber nahezu gänz­lich im Zei­chen der ver­schie­de­nen Spei­cher-Ser­vices der AWS. Die­ser Blog­bei­trag stellt einen Aus­schnitt aus den Neue­run­gen und Ankün­di­gun­gen des Monats  Sep­tem­ber  dar, erhebt aber nicht den Anspruch auf Voll­stän­dig­keit. Das Haupt­au­gen­merk liegt hier­bei auf Ver­än­de­run­gen, bei denen wir von einem direk­ten Ein­fluss auf unsere Kun­den aus­ge­hen. In die­sem Bei­trag wer­den ins­be­son­dere Ände­run­gen und Ankün­di­gun­gen der Ser­vices Ama­zon S3, AWS EFS und Ama­zon MSK vorgestellt. 

Sto­rage 

Wie in der Ein­lei­tung bereits ange­merkt, fand im Sep­tem­ber der inzwi­schen dritte jähr­li­che AWS Sto­rage Day statt. Der Sto­rage Day ist – wie die re:invent auch – ein Event, an dem eine Viel­zahl von Neue­run­gen und Ankün­di­gun­gen bekannt gege­ben wer­den. Im Gegen­satz zu der re:invent liegt bei den Sto­rage Days der Fokus aller­dings aus­schließ­lich auf den Spei­cher-Ser­vices der AWS Cloud. 

Ama­zon S3 

Für den Objekt­da­ten­spei­cher S3 wur­den zwei inter­es­sante Ver­bes­se­run­gen ange­kün­digt. Die erste Ver­bes­se­rung bezieht sich auf das Intel­li­gent Tier­ing von AWS und den damit ver­bun­de­nen Kos­ten­ein­spa­run­gen. Die Zweite ist die Ankün­di­gung von soge­nann­ten Multi-Region Access Points, die die Per­for­mance von Anwen­dun­gen ver­bes­sern soll, die über meh­rere Regio­nen hin­weg ver­füg­bar sind. 

Das Ama­zon S3 Intel­li­gent-Tier­ing ist im Jahre 2018 von Ama­zon ein­ge­führt wor­den, um Daten basie­rend auf ihren Zugriffs­sche­mata dyna­misch zwi­schen ver­schie­de­nen Sto­rage-Tiers zu bewe­gen. Zur Ver­wen­dung des Intel­li­gent Tier­ings muss­ten die Daten nur zwei Vor­aus­set­zun­gen erfül­len: Zum einen müs­sen die Dateien grö­ßer als 128KB sein und zum ande­ren min­des­tens 30 Tage gespei­chert wer­den. Für die zukünf­tige Ver­wen­dung des Ser­vices gestal­tet sich dies nun etwas anders: Wäh­ren der Sto­rage Days hat AWS ver­kün­det, dass zukünf­tig keine Über­wa­chungs- und Auto­ma­ti­sie­rungs­ge­büh­ren für Objekte anfal­len, die klei­ner als 128KB sind und auch die Min­dest­spei­cher­dauer von 30 Tagen ent­fällt. Dies erlaubt es nun auch Daten in das Intel­li­gent Tier­ing ein­zu­ord­nen, deren Zugriffs­mus­ter und Größe (noch) nicht bekannt sind, was der Ver­wen­dung in einem auf S3 auf­bau­en­den Data Lake entgegenkommt. 

Die Ände­run­gen betref­fen nicht nur neu-erstellte, son­dern auch bereits vor­han­dene Objekte und sind in allen AWS Regio­nen verfügbar. 

Die zweite Bekannt­gabe für AWS S3 wäh­rend der Sto­rage Days ist die Ankün­di­gung soge­nann­ter Multi-Region Access Points, die die Per­for­mance von Anwen­dun­gen ver­bes­sern soll, die über meh­rere Regio­nen hin­weg ver­füg­bar sind. Bereits zuvor war es mög­lich, End­nut­zern Appli­ka­tio­nen mit­tels Funk­tio­nen wie den Glo­bal Tables von Dyna­moDB, dem Glo­bal Data­Store von Ela­s­ti­Cache oder der Cross-Region-Repli­ca­tion von Ama­zon S3 zur Ver­fü­gung zu stel­len. Bis­wei­len brachte dies aller­dings den Nach­teil mit sich, dass Code-Pas­sa­gen an die ein­zel­nen Regio­nen ange­passt wer­den muss­ten und häu­fig genau beob­ach­tet wer­den musste, wel­che Res­sour­cen wann zum Tra­gen kamen. Als Bei­spiel kann man eine Appli­ka­tion betrach­ten, die auf drei S3-Buckets mit Cross-Region-Repli­ca­tion in drei ver­schie­dene AWS Regio­nen basiert. Die Appli­ka­tion muss nun zu jedem Zeit­punkt wis­sen, wie viele Kopien der Buckets exis­tie­ren, wo diese lie­gen, wel­che davon der geo­gra­fisch am nächs­ten Gele­gene ist und was im Falle eines Fall­backs pas­siert. Im Falle von ledig­lich drei Regio­nen ist dies noch mehr oder weni­ger über­schau­bar. Steigt aller­dings die Anzahl an Regio­nen, so steigt auch die Kom­ple­xi­tät der Appli­ka­tion und ihres Quell­codes ungemein. 

Aus die­ser Moti­va­tion her­aus sind die neuen Multi-Region Access Points ent­stan­den, wel­che auf den AWS Glo­bal Acce­le­ra­tor auf­set­zen und Abfra­gen von S3 über das AWS Glo­bal Net­work lei­ten. Durch die Ver­wen­dung des Glo­bal Acce­le­ra­tors von AWS kann die Ver­füg­bar­keit einer Region kon­stant über­wacht wer­den und im Falle eines Aus­falls kön­nen Anfra­gen bin­nen Sekun­den in eine andere Region aus­ge­la­gert werden. 

Die neuen Multi-Region Access Points kön­nen in der Kon­sole, über die CLI oder die SDK ein­ge­rich­tet wer­den und sind bis­wei­len in 17 Regio­nen ver­füg­bar – Frank­furt, Irland, Lon­don, Paris und Stock­holm ein­ge­schlos­sen. Zusätz­lich zu den nor­ma­len Kos­ten für die Nut­zung von S3 ent­ste­hen Kos­ten für das Rou­ting der Daten in Höhe von 0,0033$ pro GB sowie wei­tere Trans­fer­kos­ten, wenn die Daten das öffent­li­che Inter­net passieren. 

Ama­zon EFS 

Ähn­lich wie AWS S3 bie­tet auch EFS ver­schie­dene Sto­rage Tiers an, um Daten kos­ten­ef­fi­zi­ent zu spei­chern und bie­tet, eben­falls wie S3, die Mög­lich­keit, Daten mit­tels Life­cy­cle Manage­ment nach einer bestimm­ten Zeit der nicht-Nut­zung in ein käl­te­res Tier zu ver­schie­ben. Die­ses Vor­ge­hen birgt aller­dings eine Krux: Durch die Ver­schie­bung der Daten in eine käl­tere Sto­rage Tier ent­ste­hen gerin­gere Kos­ten für das Spei­chern der Daten, aller­dings höhere Kos­ten für die Abfrage eben jener. Sollte sich also das Abfra­ge­ver­hal­ten der Nut­zer ändern und die Daten wer­den nun häu­fi­ger abge­fragt, so kön­nen uner­wünscht Kos­ten ent­ste­hen. Aus die­ser Über­le­gung her­aus ist bereits das AWS S3 Intel­li­gent Tier­ing ent­stan­den und nun wurde wäh­rend der Sto­rage Days auch das EFS-Pen­dant vor­ge­stellt. Wie oben beschrie­ben, kön­nen Daten auto­ma­tisch in ein käl­te­res Sto­rage-Tier ver­scho­ben wer­den. Sollte sich aller­dings nun das Abfra­ge­ver­hal­ten ändern, so kön­nen mit­tels EFS Intel­li­gent Tier­ing die Daten wie­der in ein wär­me­res Tier zurück­ge­scho­ben wer­den und die Kos­ten bei der Nut­zung von Ama­zon EFS opti­miert werden. 

EFS Intel­li­gent Tier­ing ist ab Sep­tem­ber 2021 in allen Regio­nen ver­füg­bar, in denen auch Ama­zon EFS ver­füg­bar ist. 

Com­pute 
Ama­zon EKS Anywhere

Bereits wäh­ren der re:invent des ver­gan­ge­nen Jah­res wurde sowohl ECS Any­where als auch EKS any­where ange­kün­digt. Seit Sep­tem­ber 2021 ist nun EKS Any­where frei ver­füg­bar und bie­tet eine Option, wenn man Kuber­netes gestützt von AWS EKS in sei­nem eige­nen on-premises Data Cen­ter nut­zen möchte. Am Ende des Absat­zes befin­det sich eine Tabelle, die eine Über­sicht über die Unter­schiede der ver­schie­de­nen Ange­bote beinhaltet. 

Fea­tureAma­zon EKSEKS on OutpostEKS Any­whereEKS Dis­tro
Hard­wareMana­ged by AWSMana­ged by AWSMana­ged by customerMana­ged by customer
Deploy­ment typesAma­zon EC2, AWS Far­gate (Ser­ver­less)EC2 on OutpostsCus­to­mer InfrastructureCus­to­mer Infrastructure
Con­trol plane managementAWS-Mana­gedAWS-Mana­gedSelf-Ser­viceSelf-Ser­vice
Con­trol plane locationAWS CloudAWS CloudIm eige­nen Data CenterIm eige­nen Data Center
Clus­ter updatesMana­ged in-place update pro­cess for con­trol plane and data planeMana­ged in-place update pro­cess for con­trol plane and data planeCLI (Flux unter­stützt rol­ling Updates für data plane, manu­elle updates für con­trol plane)CLI (Flux unter­stützt rol­ling Updates für data plane, manu­elle updates für con­trol plane)
Net­wor­king and SecurityCNI + third-party CNI PluginsCNI + third-party CNI PluginsCilium CNIThird-party CNI plugins
Con­sole supportAma­zon EKS consoleAma­zon EKS consoleEKS Con­sole (EKS ConnectorSelf-ser­vice
Sup­portAWS Sup­portAWS Sup­portEKS Any­where sup­port subscriptionSelf-ser­vice
Machine Lear­ning 
Ama­zon Quick­Sight Q 

Geschäfts­da­ten auf nütz­li­che Infor­ma­tio­nen zu unter­su­chen, kann eine kom­plexe und zugleich sehr wert­volle Auf­gabe sein. Mit Quick­Sight stellt Ama­zon ein stark ska­lier­ba­res BI-Tool zur Ver­fü­gung, wel­ches über die Jahre kon­stant erwei­tert und ver­bes­sert wurde. Die aktu­ellste Ver­bes­se­rung ist das soge­nannte Quick­Sight Q, wel­ches bereits im Dezem­ber prä­sen­tiert wurde, nun aber frei ver­füg­bar ist. 

Quick­Sight Q ist ein Natu­ral-Lan­guage-Query-Tool, wel­ches für die Enter­prise Edi­tion von Ama­zon Quick­Sight ver­füg­bar ist. Trai­niert wurde das zugrun­de­lie­gende Modell mit dem Wort­schatz und Fra­ge­stel­lun­gen ver­schie­de­ner Domä­nen – wie bei­spiels­weise Sales, Mar­ke­ting oder Human Resour­ces -, sodass Quick­Sight Q in der Lage ist, Fra­gen aus die­sen Bran­chen basie­rend auf den Daten­quel­len, die von Quick­Sight unter­stützt wer­den, zu beantworten. 

Quick­Sight Q ist seit Sep­tem­ber für alle Kun­den mit Stand­ort Frank­furt, Irland, Ohio, Ore­gon, North Vir­gi­nia und Lon­don ver­füg­bar, aller­dings wird zum Release zunächst nur die eng­li­sche Spra­che unterstützt. 

Strea­ming
Ama­zon MSK

Kafka Con­nect ist eine Open-Source Kom­po­nente von Apa­che Kafka, die die Ver­bin­dung zu exter­nen Sys­te­men wie Daten­ban­ken, Key-Value-Stores und File­sys­te­men erlaubt. Die benö­tigte Infrastruktur, um ein Kafka Con­nect Clus­ter zu betrei­ben, musste bis­wei­len selbst gema­na­ged und ska­liert wer­den. Dies soll zukünf­tig mit Ama­zon MSK Con­nect umgan­gen wer­den kön­nen. Ama­zon MSK Con­nect stellt nicht nur die benö­tig­ten Res­sour­cen zur Ver­fü­gung und ver­wal­tet diese, son­dern betreibt auch ein kon­ti­nu­ier­li­ches Moni­to­ring des Sys­tems und ska­liert die Kon­nek­to­ren auto­ma­tisch, um auf Last­spit­zen zu reagieren. 

Wei­ter­hin ist MSK Con­nect voll­stän­dig kom­pa­ti­bel mit Kafka Con­nect, sodass bereits bestehen­den Kon­nek­to­ren ohne Code-Ände­run­gen migriert wer­den kön­nen. Neben Apa­che Kafka selbst unter­stützt MSK Con­nect auch Ama­zon MSK, also das fully-mana­ged Pen­dant zu Kafka von Ama­zon, sowie wei­tere 3rd-Party Clus­ters als Quell- und Zielort. 

In Europa ist MSK Con­nect in Frank­furt, Irland, Lon­don, Paris und Stock­holm ver­füg­bar. Preis­lich ori­en­tiert sich der Ser­vice am pay-as-you-go Kon­zept. Genau Preis­kon­stel­la­tio­nen kön­nen den Pri­cing-Tabel­len zu Ama­zon MSK ent­nom­men werden.

Für wei­tere regel­mä­ßige Updates zum Thema AWS Cloud, fol­gen Sie unse­rer Prä­senz auf Xing und Insta­gram oder direkt unse­rem Blog.