AWS Neuigkeiten Juli 2021

Das berüchtigte Sommerloch ist dieses Jahr auch bei Amazon spürbar und so geht ein verhältnismäßig ruhiger Monat in der AWS-Welt zu Ende. Dieser Blogbeitrag stellt einen Ausschnitt aus den Neuerungen und Ankündigungen des Monats Juli dar, erhebt aber nicht den Anspruch auf Vollständigkeit. Das Hauptaugenmerk liegt hierbei auf Veränderungen, bei denen wir von einem direkten Einfluss auf unsere Kunden ausgehen. In diesem Beitrag werden insbesondere Änderungen und Ankündigungen der Services Route 53, AWS EBS und den Security Groups vorgestellt.    

Retirements 

Eine honorable Mention an das EC2-Classic Network 

Bereits im Sommer des Jahres 2006 hat Amazon die ersten EC2-Instanzen veröffentlicht. Im Vergleich zu den Dimensionen, die dieser Service heutzutage angenommen hat, waren die Anfänge des Services noch sehr einfach gehalten: Es gab lediglich eine Größe, welche auch nur in einer einzigen Region verfügbar war. Die Instanz wurde dann mit einem flachen Netzwerk verbunden, welches öffentliche IP-Adressen mit dem Launch der jeweiligen Instanz vergeben hat. Dieses Modell wird heutzutage im AWS-Universum als das „EC2-Classic network-model“ bezeichnet und wird nun allmählich in seinen verdienten Ruhestand übergehen. 

 Am 30. Oktober dieses Jahrs wird der Vertrieb von Instanzen mit dem EC2-Classic Network eingestellt und bis zum darauffolgenden August empfiehlt Amazon alle noch bestehenden EC2-Classic-Instanzen auf modernere, VPC-basierte Systeme zu migrieren. Dies betrifft neben den EC2-Instanzen selbst natürlich auch alle Services, die eine EC2-Instanz verwenden, wie beispielsweise RDS, Data Pipelines oder ElastiCache.  

Diese Änderung bezieht sich lediglich auf Kunden, die Ihren AWS Account vor dem 4. Dezember 2013 angelegt haben. Neuere AWS-Accounts sind bereits VPC-Basiert und dementsprechend nicht von dieser Änderung betroffen, sofern keine explizite Support-Anfrage für den Erhalt einer solchen Instanz gestellt wurde. 

Internet Explorer 11 

Als Randnotiz sei an dieser Stelle erwähnt, dass Amazon in diesem Monat auch bekannt gegeben hat, dass AWS zukünftig nicht mehr den Internet Explorer 11 unterstützen wird. Bereits seit dem 31. Juli 2021 garantiert Amazon nicht mehr, dass die Management Konsole von AWS, sowie web-basierte Services wie Amazon Chime oder Honeycode, vollständig funktionsfähig sind bei der Verwendung von IE11. 

Nutzer des Internet Explorer 11 können dieses Ärgernis natürlich einfach umgehen, indem sie auf einen moderneren, sichereren und schnelleren Browser der neuesten Generation zurückgreifen.  

Networking 

Route 53 

Der hochskalierbare Domain Name System (DNS) Web-Service Amazon Route 53 wurde im Monat Juli mit dem Application Recovery Controller um ein weiteres Feature ergänzt, welches die hohe Verfügbarkeit von in AWS gehosteten Ressourcen weiter erhöht. Der Service erlaubt es, die Recovery-Fähigkeiten von Applikationen und Systemen zu monitoren und zu kontrollieren.  Die Funktionsweise des Services basiert auf zwei Säulen: Readiness-Checks und Routing-Control. 

Readiness Checks entsprechen einer regelmäßigen Überprüfung der definierten Konfigurationen, Kapazitäten und Netzwerk-Policies. Diese Checks sollen garantieren, dass das Recovery-Environment korrekt konfiguriert ist, falls es denn eingesetzt werden muss. Die Checks betreffen die Auto Scaling Groups, die EC2-Instanzen, die EBS-Volumes sowie Amazon RDS, DynamoDB Tabellen und diverse weitere Services.  

Die zweite Säule, die sogenannten Routing Controls, sollen dabei unterstützen, dass der Traffic zwischen den Plattformen während des Recovery-Vorgangs ausbalanciert wird, sodass Endnutzer weiter auf die Applikation zugreifen können. Dies entspricht auch den bisherigen Health-Check Failovers, die mit Route 53 automatisiert werden können, allerdings sind Routing Controls tatsächlich eine Verbesserung jener.  

Routing Control bietet die Möglichkeit, die gesamte Applikation automatisch auf eine stand-by Replica umzuschalten, wenn eine bestimmte Metrik, wie beispielsweise eine erhöhte Latenz, erfüllt ist. Neben dem automatischen Umschalten bietet die neue Routing Control auch die Möglichkeit, manuell auf die stand-by Replica zu wechseln und so zum Beispiel Wartungsarbeiten an der Applikation durchzuführen. Ein dritter Vorteil gegenüber den bisherigen Health-Check Failovers ist die Sicherheit, dass nicht auf eine unvorbereitete oder nicht voll-funktionsfähige Replica umgeschaltet wird, da durch die neuen Readiness Checks diese ja regelmäßig auf Funktionstüchtigkeit überprüft werden.  

Das neue Feature ist ein globaler Service und somit überall verfügbar. Die Kosten, die für die Nutzung entstehen, sind on-demand, d.h. es entstehen Kosten für jeden durchgeführten Readiness Check sowie eine stundenbasierte Abrechnung für die Cluster.  

 

Storage 

AWS EBS 

Der Elastic Block Storage von Amazon hat im Juli einen neuen Speichertypen erhalten. Bereits während der re:invent 2020 wurden die io2 Block Express Volumes angekündigt, aber erst jetzt sind sie im Stauts „Generally Available“ angekommen und somit für alle Nutzer – Zumindest in Kombination mit einer R5b-Instanz – verfügbar. 

Die io2 Block Express Volumes zeichnen sich durch sehr hohe Schreib- und Leseraten aus und eignen sich somit optimal, um als Speichermedium einer Datenbank zu fungieren. Außerdem ist eine Latenz von unter einer Millisekunde bei der Kommunikation mit AWS Nitro basierten Instanzen möglich. Einige Eigenheiten sind bei der Nutzung der Volumes allerdings trotzdem zu beachten:  

  • Die Größe und die vorgegebenen IOPS können nicht mehr verändert werden 
  • Es können keine R5b Instanzen mit einer unverschlüsselten oder nur teilweise verschlüsselten AMI mit einer verschlüsselten io2 Block Express erstellt werden, die größer ist als 16 TiB oder mehr als 64000 IOPS verfügt. Sollte man eine solche Größe benötigen, muss zunächst die AMI vollständig verschlüsselt werden 
  • Io2 Block Express Volumes unterstützen zumindest zum derzeitigen Stand keine Snapshots 

Wie Eingangs angemerkt, sind die io2 Block Express Volumes nun für alle Nutzer von AWS mit Standort Frankfurt verfügbar, allerdings nur in Kombination mit einer R5b-Instanz. Hinsichtlich der Kosten gelten dieselben Preise, wie bei den bisher verfügbaren io2-Instanzen und auch in Nutzungsberichten werden diese nicht unterschieden. Aus diesem Grund empfiehlt es sich, Tags zu verwenden, um eine eindeutige Zuordnung zu gewährleisten. Unter diesem Absatz ist auch noch einmal eine Tabelle verlinkt, die die verfügbaren SSDs miteinander vergleicht. 

  General Purpose SSDs  Provisioned IOPS SSDs 
Bezeichnung  gp2  gp3  io2  io2 Block Express 
Beständigkeit  99,8-99,9%  99,8-99,9%  99,999%  99,999% 
Use-Case  Allgemeine Applikationen;  Eignen sich als Ausgangspunkt, wenn das Nutzungsprofil der Applikation noch nicht bekannt ist  Eignet sich für I/O-Intensive Applikationen und Datenbanken  Eignet sich für I/O-Intensive, Busines Critical Applikationen und Datenbanken  
Größe  1 GiB – 16 TiB 
 
4 GiB-16 TiB  4 GiB-64 TiB 
Max. IOPS  16000  64000  256000 
Max. Throughput  250 MiB/s  1000 MiB/s  1000 MiB/s  4000 MiB/s 

 

Security 

AWS Firewall Manager 

AWS Firewall Manager ist ein Service zur Sicherheitsverwaltung. Mit ihm können Kunden Firewallregeln für Konten und Ressourcen innerhalb ihrer Organisation zentral konfigurieren und verwalten, das heißt es können Regeln für Services wie AWS WAF, AWS Shield Advanced, VPC Security Groups und Amazon Route 53 definiert werden, welche dann automatisch innerhalb der Organisation angewandt werden. Seit Juli erhalten Kunden nun auch Warnungen über Routen, die nicht der Konfiguration entsprechen.  

Wie oben beschrieben stellt Firewall Manager in jedem VPC eine Netzwerkfirewall bereit, welche den Datenverkehr reguliert. Mit der neuen Version von AWS Firewall Manager können Kunden nun auch VPC Routen überwachen und den über Internet Gateway ausgehenden Datenverkehr untersuchen. Die Warnungen, die hierbei ausgegeben werden, informieren Nutzer des Services über nicht konforme Routenkonfigurationen wie beispielsweise Routen, die die Untersuchung durch die Firewall umgehen oder zu einem ungleichmäßigen Datenverkehr führen.  

Security Groups 

Einer der Hauptgründe für eine Migration in die Cloud, ist das vereinfachte Management von Ressourcen wie Servern, Speicher und auch Nutzern. Viele der Neuerungen, die im Rahmen dieser Beiträge von uns vorgestellt werden, sind entweder große Neuankündigungen oder kleine, aber feine Änderungen bestehender Services, die die Nutzererfahrung erheblich verbessern. Ein Beispiel für eine solche Änderung sind die neuen VPC Security Group Rule IDs.  

Eine Security Group in einem VPC funktioniert wie eine Firewall für einen Service wie beispielsweise Amazon EC2 oder Amazon RDS, d.h. eine Security Group ist dafür verantwortlich, dass nur von bestimmten Netzwerken aus auf die Datenbank oder Applikation eines Nutzers zugegriffen werden darf und auch nur an bestimmte Netzwerke Daten transferiert werden.  

Verwendet man die CLI von AWS oder kommuniziert über eine der APIs, so mussten bisher eine Vielzahl von Elementen angegeben werden, um eine Security Rule zu identifizieren. Dies hatte zur Folge, dass CLI-Commands und einzelne Code-Passagen unübersichtlich und lang geworden sind. Dies gehört aber nun mit den neuen Security Group Rule IDs der Vergangenheit an. 

Die Security Group Rule IDs sind eindeutige Bezeichnung, die einer Regel einer Security Group zugewiesen wird. In diesem Zusammenhang veröffentlicht Amazon zusätzlich zwei neue APIs: ModifySecurityGroupRules und DescribeSecurityGroupRules, mit welchen zukünftig programmatisch APIs abgefragt und verändert werden können. 

Wie Eingangs erwähnt ist dies eine der vielen kleinen Änderungen von Amazon. Nichtsdestoweniger vereinfacht sie die Nutzung von AWS und insbesondere der CLI. Die neuen IDs sind ab sofort für alle VPC Security Gruppen in allen kommerziellen AWS Regionen verfügbar und erzeugen keine zusätzlichen Kosten, 

Für weitere regelmäßige Updates zum Thema AWS Cloud, folgen Sie unserer Präsenz aufXing und Instagramoder direkt unserem Blog.