亚马逊AWS官方博客

Category: Compute

宣布推出 Firecracker 开源技术:适用于无服务器计算的安全、快速的 microVM

Firecracker 是一种采用基于 Linux 内核的虚拟机 (KVM) 技术的开源虚拟机监控程序(VMM)。Firecracker 允许您创建微型虚拟机,即 microVM。Firecracker 坚持精简主义的设计原则,它仅包含运行安全、轻量的虚拟机所需的组件。在设计过程的各个环节,我们依据安全性、速度和效率要求来优化 Firecracker。例如,我们仅启动相对较新的 Linux 内核,并且仅启动使用特定配置选项集编译的内核(内核编译配置选项超过 1000 种)。此外,我们不支持任何类型的图形卡或加速器,不支持硬件透传,不支持(大多数)老旧设备。

Read More

Kubernetes Ingress 与 AWS ALB Ingress 控制器的配合使用

Kubernetes Ingress 是一种 API 对象,借助它可以管理对集群中运行的 Kubernetes 服务的外部(或)内部 HTTP[s] 访问。Amazon Elastic Load Balancing Application Load Balancer (ALB) 是一个非常受欢迎的 AWS 服务,它可在应用程序层(第 7 层)跨一个区域的多个目标(例如 Amazon EC2 实例)调整传入流量的负载平衡。ALB 支持多种功能,包括基于主机或路径的路由、TLS(传输层安全性)终止、WebSocket、HTTP/2、AWS WAF(Web 应用程序防火墙)集成、综合访问日志以及运行状况检查等。

Read More

使用 AWS Lambda 支持的宏扩展 AWS CloudFormation

今天,我非常高兴为大家介绍 AWS CloudFormation 的一个强大新功能,它叫做 Macros。CloudFormation Macros 允许开发人员调用 AWS Lambda 支持的转换函数,从而扩展 CloudFormation 模板的原生句法。它采用与支持流行的无服务器应用程序模型功能所用的相同技术,但转换函数 (transform) 在您自己的账户中运行,使用您自己的 lambda 函数,并且是完全可自定义的。如果您还不熟悉 AWS,请记住 CloudFormation 是一个对基础设施即代码(YAML 或 JSON)的建模和定义绝对关键的工具。它也是所有 AWS 产品的核心组件之一,我们的许多服务都依赖它而存在。

宏的使用有两个主要步骤。首先,我们需要定义宏。当然,为此我们需要使用 CloudFormation 模板。然后,为了在我们的模板中使用宏,我们需要将它添加为整个模板的转换函数,或者直接调用它。在本博文中,宏和转换函数这两个术语基本可以互换。已经准备好了解其工作原理了?

Read More

AWS Lambda 为支持的事件源添加 Amazon Simple Queue Service

现在,我们可以使用 Amazon Simple Queue Service (SQS) 触发 AWS Lambda 函数!这是一项重要更新,其中包括我个人从 4 年多以前就开始期待的一些关键功能。我知道,我们的客户会很高兴能试用这些新功能,因此不妨跳过以下历程回顾,直接跳到后面的演练部分。

SQS 是 AWS 在 2004 年发布的第一项服务,距今已有 14 年。如果从其他角度来看,2004 年,最大的商用硬盘只有 60GB 左右、PHP 5 正式发布、Facebook 刚刚成立、电视剧《老友记》已完结、GMail 全新推出,而我还在上高中。回顾过去,我可以看到,造就当今 AWS 的部分原则在 SQS 开发早期就已显现:完全托管、可通过网络访问、按需付费且无需做出最低用量承诺。现在,SQS 是我们最受欢迎的服务之一。成千上万的大批量客户都将 SQS 用作许多应用程序的基本构建块之一。

Read More

企业应用上云的新花样:利用 Amazon API Gateway 和 AWS Lambda 实现 SAP 应用微服务化

企业应用(如 ERP、CRM、OA 和 HR 等)是企业信息系统的核心资产,支撑企业的生产、经营与管理。随着移动互联网的蓬勃发展,这些企业应用迫切需要向移动设备提供便捷、高效的访问,实现丰富的用户体验。例如,销售人员通过手机 App 管理客户信息、拜访记录和订单等;差旅途中的管理人员在平板电脑上浏览财务报表或审批公文等。此外,集团型的企业客户日益注重 IT 服务能力的输出与共享,以促进各业务板块及生态圈的协同发展。例如,构建统一的身份认证平台为所有的第三方应用提供认证与授权服务。

Read More
aws-cloudformation

建立 VPC 并基于参数动态创建子网的 CloudFormation 模板

本文介绍一个可以建立包含多个(可自定义)子网(包含子网路由)的 VPC 脚本。通过这个脚本创建 VPC 时,不需要指定每个子网的 CIDR, 只需要输入子网支持的 IP 地址个数,子网的路由类型(内部子网,通过 NAT 访问 Internet 或者通过 Internet Gateway 访问 Internet),在VPC内对S3和DynamoDB的访问,该脚本会自动创建 VPC EndPoint 并配置合适的路由。配合文中提到的其他脚本,可以快速创建 Landing Zone(AWS 基本运行环境,包含 VPC, Subnet, 堡垒机,CloudTrail, AWS Config, Log 复制等)

Read More
Amazon Lambda

AWS IoT 物联网系列 | 第一篇:利用 Lambda 实现 IoT 设备证书的即时注册 (Just-In-Time Registration)

为了保证通信的安全性,IoT 设备与 AWS IoT Core 的 MQTT 通信使用基于证书的 TLS 1.2双向认证体系。所谓的双向认证,即意味着 IoT 设备端需安装 IoT 设备证书,并且,签发该证书所使用的 CA 证书需要被 IoT Core 授信,从而完成 IoT Core 对 IoT 设备端的认证。并且,IoT 设备也会验证 IoT Core 的身份。

Read More

怎样利用 AWS Config 监控和响应 Amazon Simple Storage Service (S3) 允许公开读写访问权限

AWS Config 支持持续监控 AWS 资源,简化评估、审核以及记录资源配置和变化的过程。为此,AWS Config 使用一系列规则来定义 AWS 资源所需的配置状态。AWS Config 提供多种 AWS 托管规则来解决各种安全问题,例如,检查您是否已将 Amazon Elastic Block Store (Amazon EBS) 卷加密,是否已正确标记资源,以及是否为根账户启用了 Multi-Factor Authentication (MFA)。您还可以使用 AWS Lambda 函数创建自定义规则,以编写整理您的合规性需求。

在本文中,我们将向您展示如何使用 AWS Config 监控 Amazon Simple Storage Service (S3) 存储桶 ACL 和策略,确定是否存在允许公开读写访问权限的违规行为。

Read More