亚马逊云科技：底层创新带来的客户创新 原创

每年re:Invent都会发布非常多的新服务，今年也不例外。在众多的更新中我们主要聊一聊大家比较关心的基础设施和安全上的一些最新变化。

可以看到亚马逊云科技正在快速推进三条自研芯片的研发，亚马逊云科技大中华区产品部总经理陈晓建表示，自研芯片帮助我们更快地为各种工作负载提供专用的计算实例，让客户以更低的成本获得更多的资源，助力客户加快创新步伐。

亚马逊云科技大中华区产品部总经理陈晓建

基础设施的三面

2006年，南非开普敦一个10人开发团队发布了亚马逊云科技第一款EC2实例。到今天，亚马逊云科技已经有600+种实例选择，几乎适用于所有工作负载，支持多种操作系统，计算平台，包括Intel、AMD、Nvidia、ARM、FPGA、ASIC、高主频、大内存、各种存储介质、高性能网络，还有裸金属服务器。

亚马逊云科技认为构成云底层的基石，要从三个方面进行创新，第一，极致性能的自研芯片；第二，极速构建的云原生的应用；第三，面向极限未来的HPC的服务。

极致性能的自研芯片

Annapurna(安纳布尔纳峰)是喜马拉雅山脉中海拔8091米的极高峰，也是亚马逊云科技自研芯片团队的名字，Annapurna labs 在过去10年的持续创新，帮助亚马逊云科技形成了三条自研芯片的产品线：四代虚拟化定制芯片Nitro；三代基于ARM架构的通用处理器芯片Graviton；两款用于机器学习的训练和推理的芯片；

Nitro的最大创新点是将架构演进与技术复杂性进行了解耦，类似于云原生架构的思想，服务原子化，封装功能到模块内部，接口标准化，从而大大降低了系统的复杂性，并且提升了系统的可扩展性。陈晓建指出，Nitro拥有高效的虚拟化引擎、网络和存储能力、硬件级别的安全机制三大特点。新发布的Nitro V5 的晶体管数量大约是上一代Nitro芯片的两倍，每秒的数据包能力提高了60%，延迟减少30%，每瓦特性能提升40%。

今年新推出了Graviton3E处理器，相比Graviton3实例，在HPL（线性代数的测量工具）上性能提升35%，在 GROMACS（分子运动）上性能提升 12%，在金融期权定价的工作负载上性能提升 30%。

新一代Nitro V5和Graviton 3E的结合就是 Amazon EC2 C7gn实例，适用于网络密集型工作负载，如网络虚拟化设备（包括防火墙、虚拟路由器和负载均衡器等）和数据加密业务等。

亚马逊云科技自研芯片中的第三条产品线，机器学习芯片包括：用于训练的Trainium和用于推理的Inferentia。

训练芯片实例Amazon EC2 Trn1基于自研的Trainium芯片，专为云中的高性能模型训练而构建。推理实例Amazon EC2 Inf2基于最新款的 Inferentia2 机器学习加速推理芯片，是唯一专门为大型Transformer模型分布式推理建立的实例。

极速构建的云原生的应用

亚马逊云科技16年持续引领云原生应用构建，推出大量服务。陈晓建说，云原生应用的构建是一段旅程，包括构建、治理和迭代3个阶段9个节点，亚马逊云科技为支持这三个阶段九个步骤提供了大量的服务和功能，这些服务和功能一直在不断的快速迭代创新。

新发布的Amazon Lambda SnapStart for Java Functions，大幅降低Java函数的冷启动延迟，并且没有额外成本。同时亚马逊云科技今年还发布了端到端开箱即用的DevOps企业级平台Amazon CodeCatalyst。

面向极限未来的HPC的服务

亚马逊云科技已经连续7年获得HPCWire评选的最佳HPC云平台称号。陈晓建看到客户对HPC的需求表现在三个层面：需要最HPC的计算实例，需要配套的网络、存储等服务的支持，需要各种任务管理的能力；针对这些需求，亚马逊云科技推出三款高性能计算实例应对三类不同负载。

Hpc6a实例应对计算密集型负载，新发布的Hpc7g实例应对计算和网络密集型负载，其配备了最新的Graviton3E处理器，与当前一代C6gn实例相比浮点性能提高了2倍，与当前一代Hpc6a实例相比性能提高了20%。同时新发布的Hpc6id实例应对数据和内存密集型负载。

树立企业安全目标

安全一直是亚马逊云科技的Job Zero，亚马逊云科技也一直在云自身的安全和云中的安全上持续创新。

客户选择亚马逊云科技有一个非常重要的原因，就是在亚马逊云科技上应用程序和数据安全要明显优于自己在本地基础设施或其他云。陈晓建表示，亚马逊云科技帮助客户处理海量的请求，同时追踪和监测千万亿量级的事件（15个0），需要从中找出可能的威胁事件并解决它，并快速让全球所有的客户受到同等级别的保护。

亚马逊云科技树立了安全的四大目标，帮助企业提高整体安全态势：第一，帮助用户快速提升安全水平；第二，降低安全的成本；第三，减少安全事件的处理时间；第四，提高企业安全的效率。

帮助用户快速提升安全水平

亚马逊云科技有着安全合规责任共担模型，亚马逊云科技负责云平台的安全，从硬件到软件，从外到内。客户负责负责他们在云中所运行的内容的安全。

如何去保证这些安全？一个案例是Nitro卡，Nitro安全芯片能够尽可能地减小攻击面从而实现最安全的云平台，因为虚拟化和安全功能被转移到了专用的硬件和软件上。另外，Nitro有一个Enclaves的特殊硬件环境，Nitro Enclaves 创建隔离的计算环境来进一步保护和安全地处理高度敏感的数据。Nitro还有一个TPM的芯片，是专用的安全芯片，可以让用户更好地依赖于TPM的一些应用程序和操作系统。

降低安全的成本

亚马逊云科技把安全当成水和空气，新发布的Amazon Verified Permissions，通过将授权与业务逻辑分离，加速应用程序开发，通过权限集中和策略生命周期管理，节省时间和资源，使用自动化分析来确认权限是否按预期执行，从而大规模简化合规性审计工作，通过动态、实时授权决策构建支持零信任架构的应用程序。

减少安全事件的处理时间

通过创新减少用户在安全上的整个各种困扰，为此也推出了业界第一个为安全所专门定制的数据湖Amazon Security Lake，用户可以通过汇聚，分析和响应来自亚马逊云服务，用户自身应用和安全合作伙伴的所有安全数据。

同时Amazon GuardDuty RDS Protection 现已推出预览版，Amazon GuardDuty 是一项威胁检测服务，它内在的机器学习能力可以智能的持续监控您的亚马逊云科技账户和工作负载的恶意活动，并提供详细的安全侦察结果以实现可见性和补救，例如S3的异常数据访问、Amazon EBS中是否存在恶意文件等。其和Amazon RDS、Amazon Athena是集成的，可以直接访问数据库的事件，而不需要去修改数据库，同时也不会影响数据库的性能。

提高企业安全的效率

Amazon KMS已经是业界使用非常广泛的密钥管理系统，很多客户依赖于Amazon KMS来进行数据的加密和解密，但也可能会有客户觉得Amazon KMS是一个非常好的工具，但密钥管理系统实在太重要了，客户觉得还是用自己的更好。

针对这些诉求，Amazon KMS推出了External Key Store (XKS)，它允许用户使用自己控制的外部密钥管理系统，通过那些加密密钥来保护自己的数据。此项功能可与100多项亚马逊云服务相集成，用户免去了繁琐的集成开发工作。

同时新发布的Amazon Macie推出自动化数据发现。Amazon Macie可以自动、智能地对Amazon S3 桶中的对象进行采样和分析，从而检查其中的敏感数据，例如个人身份信息、财务数据和其他凭证。

亚马逊云科技也将持续在安全上投入，通过更好的配置、更好的工具、更智能的分析、以及更好的监控与警告机制帮助用户在云中提高安全态势。