云数据库 AWS Aurora解析:用户可自主管理秘钥
Amazon在AWS re:Invent云计算大会上,AWS发布了分布式关系数据库Aurora的预览版、以及对应的AWS配置和密钥管理。但一些重要细节并未公开。
新闻报道中引人瞩目的是对分布式关系数据库Aurora的介绍,但据称在今年年内仅提供私人预览版。亚马逊大力宣扬Aurora的性能,宣称与关系数据库服务所提供的其他任何产品相比,Aurora的性能是其他产品的5倍。
另外,数据库能向三个可用区进行六路副本,而初始价格只有每小时0.29美元。使用者同样不必考虑新服务的存储手动扩展或者IOPS成为瓶颈,因为当需求增加时,它能自动的增加存储卷。
Aurora服务具有自我修复的功能,所以如果六路副本对应的节点中最多可允许两个节点数据丢失,并不影响交换速度。故障恢复几乎是瞬时完成的,而通过缓存与日志、存储等的解耦,无需预热就能从一次故障中恢复。最后,Aurora服务无需额外的许可授权,使用者可以在MySQL数据库执行迁入或迁出,MySQL与Aurora并非紧密耦合的。
Aurora的缺陷
但是,AWS的Aurora产品经理Anurag Gupta,在Aurora预览版的分会交流中提到了Aurora的缺陷。
举例来说,对于亚马逊新密钥管理服务(Key Management Service),用户能够控制密钥,但本次预览版却并不支持该服务,尽管预计在2015年初该特性会上线。分会的观众有询问Aurora是否同样支持PostgreSQL 数据库,而Gupta的回答是暂不支持。同样,该产品中不包含卷的写时复制(Copy on write)。Gupta还提到,目前同样不支持多主节点部署与跨区副本等。
同样,目前从r3.large开始支持Aurora,最大支持至r3.8xlarge,对中小型业务及创业公司更倾向使用的小型实例,并不支持。
FARO 技术部门研发人员,Julian Weisser说,“我们更想看到的是Aurora对小实例的支持”。该公司为一家3D激光测量与成像公司,本部在德国的Stuttgart。Weisser说,他虽然会关注Aurora服务,却不会使用它。
他说,“等公司发展起来,我们绝对会考虑使用它”
AWS配置有哪些变化
IT人员很关心AWS配置这项服务,该服务扩展了之前由AWS CloudTrail提供的审计功能,在API接口调用之外添加了资源管理。
AWS 配置能够生成JSON格式的审计数据流,从而开发人员可以编写程序来检测配置的改变。
KH Computing公司位于Colo的Highlands Ranch,该公司一名独立云计算顾问Kristen Henry说,“我们公司一些职员认为亚马逊的服务会影响数据和操作的可见性,他们习惯了数据中心的程序化可见性。而AWS配置将会帮助他们更快的上手”。
当前预览版阶段,弹性计算云(Elastic Compute Cloud)、弹性块存储(Elastic Block Store)、虚拟私有云(Virtual Private Cloud)以及云迹(Cloud Trail)均支持AWS配置。本周AWS产品经理Prashant Prahlad在一个站立交流会上说,AWS配置还不能支持其他AWS产品,尽管下一步要做的就是将AWS配置集成到弹性负载均衡器(Elastic Load Balancer)、关系型数据库服务(Relational Database Service)与自动扩展组(Auto-Scaling Groups)等产品中。AWS配置同样只能在US东部地区使用,全球范围内的支持处于计划中。
Prahlad说:“我们以自己的方式发布了内核,并围绕该内核创建服务”。
AWS目前仍是一项全损服务;无法对资源的某一子集进行监控。如果用户想对一些特定的改变做出警告,他们要么需要自己编写程序,要么寻求AWS配置的合作伙伴,如Red Hat公司或者2nd Watch,来提供该功能。
会议中未提及的另一个限制是无法将AWS配置信息导入云格式(Cloud Formation)以生成部署模板。AWS配置的价格将定为每一个记录的配置项$0.003,而简单存储服务(Simple Storage Service)与简单通知服务(Simple Notification Service)也将收费,因为这些服务是AWS配置的基础。而在产品预览中,将不会对这些服务进行收费。
用户自主管理秘钥
人们一直翘首以待的一个新特性现在已经成为了可能,那就是AWS密钥管理服务。该服务允许用户提供自己的加密密钥,从而给予用户更多的控制权。AWS密钥管理服务也提供密钥轮换等功能。
对加密密钥更大的控制一直是AWS用户强烈期望的。AWS曾经宣布S3可以使用使用者控制型加密密钥,但到目前为止,EBS密钥仍由亚马逊控制。
“我很高兴能够自主管理密钥。” Henry说,“这些事情是不可避免的,但这个新特性的确是首次提供”。
但是,一些分析师仍然对这项服务怀有偏见。
波士顿451研究所的分析师Carl Brooks说,“本质上AWS并未给客户提供一种方法让他们完全相信AWS的基础设施,所以他们不得不建立这么一个密钥管理系统,所以用户未必能真正相信AWS”。
Brooks还说,其他的提供商的解决方案是向客户提供进入其数据中心的机会,用于核查安全性,而不是创造出这类服务。
该密钥管理服务很快就能上线使用。客户每生成一个密钥每月就要花费$1。如果客户选择使密钥每年自动改变,那么每个新的轮转密钥每个月都将花费$1。AWS每个月提供至多20000次免费密钥请求——如果超过则每10000个请求将花费$0.03。
2015年的新产品
AWS还推介了另一个产品的预览版,即服务目录(Service Catalog)。该产品能够使IT开发人员通过一个自助服务入口定制个性化服务目录。
客户可以通过API创建服务入口,或者也可以通过服务目录(Service Catalog)管理控制台来创建。服务目录(Service Catalog)将在2015年早期上市,但是价格还未确定。
最后,亚马逊提供了三个新工具来帮助开发人员在AWS云平台上部署代码:目前可用的服务是CodeDeploy,另外两项服务处于预览状态,大概在2015年早期可以使用,即CodePipeline 与CodeCommit。
CodeDeploy,是基于AWS内部的代码部署框架Apollo开发的,能够在EC2上提供代码回滚更新、部署的健康跟踪和集中式监控、以及代码部署控制等功能。该服务也将免费提供给客户,不过EC2是需要收费的。