Cloud周報第100期：全球第三大代管服務商OVH雲端機房大火，受損機房伺服器預計要待22號才可重啟

重點新聞（2020/03/11～2021/03/17）

  雲端服務商OVH     雲端機房大火     資料毀損   

全球第三大代管服務商OVH雲端機房大火，受損機房伺服器預計要待22號才可重啟

歐洲最大規模雲端服務供應商OVH，旗下在法國史特拉斯堡的一座百坪大資料中心，在當地時間3月10日凌晨，發生大火。猛烈火勢在一夜間，不僅燒毀了起火點的單座5層樓高資料中心，還蔓延至鄰近的一座OVH資料中心，造成部分機房損毀，甚至還迫使另兩座資料中心須關閉伺服器。根據英國網路安全業者Netcraft的監測數據資料，這場大火造成該日早上，全球OVH IP位址有超過18%沒有回應，約有360萬個網站停擺。像是法國龐畢度中心、加密貨幣交易所Deribit、法國政府開放資料平臺等，都受到影響。

經過連日搶修，OVH在災後第6天，恢復了3座資料中心的電力，還有完成機房內外網路基礎設施的部署。然而，有部分受大火損壞的系統，已確認沒有備份，換句話說，有一些企業的資料將永久遺失。OVH預計要待22號才能重啟機房的伺服器，確認能穩定運作後，才會逐步恢復服務。詳細的起火原因仍尚待調查。（詳全文）

  Azure      服務中斷     金鑰錯誤   

Azure AD需使用的金鑰被意外移除，導致Teams、Office等服務中斷

微軟旗下Teams、Office及Dynamics等服務，在UTC時間3月15日晚間7點，發生服務中斷狀況，導致全球大規模用戶無法登入使用服務。微軟已公布了初步的調查結果，指出這些服務是因身分識別及存取管理服務Azure Active Directory（AD）故障，而造成用戶無法登入。在正常的安全措施上，自動化系統會定期移除不再使用的金鑰，但在過去幾周，微軟把一個應被移除的金鑰標註為「保留」，以用來支援一個複雜的跨雲端遷移，然而，該自動化系統卻忽略了該金鑰的保留狀態，逕自將它移除。所以，導致支援Azure AD使用OpenID或其它加密簽章標準協定的金鑰，在輪替時發生了錯誤。

在確認問題後，微軟在同一天晚上9點左右，把金鑰元資料還原至先前的狀態，只是應用程式也必須重新還原元資料，同時更新其快取，而每個應用程式復原的速度不一，有些還必須強制更新快取。因此，一直到隔日早上9點37分，才完成此一程序。整起事件歷經了14小時，才落幕。微軟表示，Azure AD後端安全部署系統已在進行加強防護的工程，分為多階段推展，對於移除金鑰的保護預計於今年中完成。在加強防護工程全面完成後，將可預防本周與去年9月發生的Azure AD意外。（詳全文）

  雲端狀態報告    多雲策略     公有雲   

2021年雲端現況大調查：92%的大型企業採用多雲策略，其中有8成採混合雲架構

軟體業者Flexera針對全球750名雲端決策者及使用者展開調查，近日公布2021年雲端狀態報告。該調查發現超過1千名員工的大型企業中，有高達92%企業採用多雲策略，其中有82%採用混合雲、1成採用不同的公有雲，而採單一公有雲的企業占7%，採單一私有雲占1%。公有雲採用率前三名依序是：77%的AWS、73%的Azure，以及47%的Google Cloud。

年度投資金額方面，在公有雲部分，31%企業規畫投資超過1,200萬美元，3成企業預計投資介於240萬到1,200萬美元之間，還有15%介於120萬到240萬元美元間。今年規畫投資1,200萬美元的企業數量，相較去年有16%，幾乎成長了兩倍。另外，在公有雲的使用情境上，有5成企業已在公有雲上執行工作負載，有46%已把資料存放在公有雲上。對於上雲所面臨的難題，有51%認為是理解應用的相依性，例如釐清每個服務的程式、硬體與網路裝置之間的關係，其次則是評估遷移本地應用程式的技術可行性，占了48%，還有44%認為很難評估本地部署與雲端的成本差異。（詳全文）

  GCP平臺    支援方案     SRE   

Google鎖定關鍵任務環境推出新顧問支援服務，可輔導企業雲端環境導入Google SRE維運模式

Google雲端近日推出全新客服支援服務，稱為關鍵任務支援服務（Mission Critical Services，簡稱MCS），提供對環境要求最嚴苛的企業更高標準的支援，盡可能提高重要業務環境的穩定性。新支援服務是購買高級支援（Premium Support）服務方案的企業，可以額外加購的一個加值服務選項。Google表示，該服務的特別之處在於，建立在與他們自身支援GCP平臺一樣方法論的基礎上，也就是過去20年來，自家SRE團隊針對維運工作開發的一系列核心概念和方法。此外，不同於市場上許多由雲端供應商全權負責關鍵任務支援的服務，MCS為一種諮詢型產品。Google也會旁協助企業將環境調整適用SRE維運模式的環境。

更進一步，Google在企業部署MCS時，會從旁協助企業分步進行評估、補救和入門的過程，一步步將企業GCP環境的架構、控制、可觀察性和衡量標準，採用與Google實際工作環境服務一樣的運作標準。在最短時間內取得影響降低回應，並持續改良環境來預防無誤中斷情形。（詳全文）

  AWS     儲存服務     低成本等級   

AWS檔案儲存服務EFS新增低成本儲存等級，費用比標準等級少47%

AWS檔案儲存服務Amazon EFS增加了較低成本儲存等級One Zone，提供企業儲存存取頻率低，且不需要最高可用性和持久性的資料，比起Standard儲存等級，使用One Zone儲存等級，可降低47%的儲存成本。跟Standard儲存等級的11個9耐用性相比， One Zone儲存等級只有3個9的可用性SLA，但仍具有與Standard儲存等級相同的彈性、可擴展性和生命周期管理功能。AWS表示，One Zone儲存等級適合用於開發、建置和測試工作負載環境，或是分析模擬、媒體轉碼等應用程式。

One Zone儲存等級的所有文件系統，都會配置自動備份政策，使用AWS Backup來提供額外的資料保護措施，而且使用EFS控制臺創建的文件系統，預設生命周期管理政策，可以自動地移動不常用的檔案到One Zone-IA儲存等級中，藉由生命周期管理，不常存取的資料儲存成本將會降低高達92％。AWS推出兩個One Zone儲存等級的價格，以北維吉尼亞地區為例，One Zone價格每月每GB為0.16美元，而針對更不頻繁存取檔案所設計的One Zone-Infrequent Access，每月每GB為0.0133美元。目前One Zone儲存等級已在北維吉尼亞州、愛爾蘭、米蘭，還有亞太的東京、香港、新加坡等AWS地區上線。（詳全文）

  Azure     硬體故障     機器學習    

微軟揭露Azure硬體故障預測專案Narya，部署一年降低了26%VM中斷事件

微軟近日揭露預測和緩解Azure硬體故障狀況的專案Narya。2020年起，微軟著手在雲端營運中導入AI技術，在Azure中，部署端到端預測和故障緩解專案Narya，便是策略的一環。取自《魔戒》精靈三戒之一的火之戒之名Narya，該專案被賦予預測和緩解Azure主機故障的任務，能預測Azure可能發生故障的節點，並自動採取緩解措施解決潛在故障風險，還能透過資料收集，改進預測和緩解模型。Narya現在已經成為Azure智慧基礎設施的關鍵部分。

微軟提到，Narya已經透過通用機器學習和預測服務系統Resource Central平臺，部署到全球的Azure運算叢集中，已被用於生產環境一年多，降低26％的VM中斷事件，使Azure整體工作負載更加穩定。Narya在採取緩解措施時，會考慮多種緩解的可能辦法，而不是僅針對有風險的預測，提供單一緩和措施。Narya還會使用A/B測試框架和增強學習框架來找出最佳應對措施。微軟仍在持續改進Narya，除了要讓Narya能夠處理更多種類的硬體故障之外，也希望能整合更多的緩解措施，回應廣泛的故障預測事件。（詳全文）

  AWS     儲存服務     物件存取   

AWS S3推出迄今已儲存1百兆個物件，尖峰時每秒有數千萬次呼叫

AWS首席技術傳教士Jeff Barr在雲端儲存服務S3，推出屆滿15周年之際，揭露該服務的階段性發展成果。S3服務從2016年3月15日開始上線，鎖定開發人員作為目標用戶，提供他們寫程式來經API存取物件。15年後，S3服務已儲存100兆個物件，尖峰值可達每秒數千萬次呼叫。Jeff Barr表示，以現今78億人口計算，相當於每人可分得近1.3萬個物件，或者說，宇宙中2萬億個星系，每一個星系獲得50個物件。

過去15年，S3服務陸續推出了多項服務，涵蓋儲存、儲存管理、安全、資料搬移等類別，包含冷資料儲存S3 Glacier Deep Archive及Glacier、儲存不經常存取資料的S3 One Zone-Infrequent Access等。利用多個儲存陣列、機櫃以及多達77個可用性區域，AWS S3號稱服務耐受性最高達到11個9。Jeff Barr表示，他們將繼續檢視、改進S3實踐的每個部分，已提高性能、可靠性和規模。前不久，AWS剛將S3 PUT請求延遲再降低0.01%，可避免用戶請求超時、重試的情況，並提供AWS開發人員洞悉見解，來進一步減少延遲。AWS預告將宣布新的S3雲端儲存、資料搬移，以及「零作業」（Job Zero）資安框架。（詳全文）

  Google雲端     醫療護理S3     同意書管理   

Google推出醫療保健同意書管理API，可大規模管理病患醫療資料使用同意內容

Google雲端正式推出醫療保健同意書管理API，讓企業可大規模管理健康資料使用同意書，滿足醫療護理和研究計畫等新興任務的需求。新API可簡化醫療業開發人員的負擔，提供患者可以快速地追蹤、修改和撤銷資料使用同意，並滿足現有和新興隱私與同意框架要求，支援數位健康資料透明化。

企業可以根據需求和自家的隱私規範，建立唯一且獨立的醫療保健同意書管理API執行實例。當研究人員的應用程式向用戶提供隱私選項時，該應用程式可使用醫療保健同意書管理API，建立和修改相對應的同意紀錄，以反映用戶的選擇。而當應用程式將資料寫入資料庫時，應用程式會告知醫療保健同意書管理API執行實例，該資料的相關隱私特徵。再者，研究人員或是應用程式要確定是否可因特定目的存取資料時，會發送查詢至醫療保健同意書管理API，便可快速確認該存取耀球，是否符合患者資料使用同意書內容。（詳全文）

  微軟    儲存服務安全性     惡意軟體偵測   

微軟強化儲存服務Azure Storage安全性，安全防護服務現可防惡意軟體上傳、釣魚活動

微軟強化儲存服務Azure Storage的安全性，在Azure Defender for Storage安全防護服務中，加入多項新功能。Azure Defender for Storage改進了威脅偵測功能，現在會利用進階雜湊信譽分析，偵測上傳到Azure儲存中的惡意軟體，避免勒索病毒和間諜軟體進入儲存帳戶中。偵測潛在惡意軟體後，系統會自動出發安全警示通知用戶。除了惡意軟體之外，Azure Defender for Storage還會在可執行檔案和服務套件異常上傳時，發出警示，防止這些檔案被用來破壞系統。此外，Azure Defender for Storage也能透過威脅情報系統評估分析多種訊號，檢測託管在Azure儲存上的網路釣魚內容，打擊網路釣魚攻擊，並向用戶發出警示。 （詳全文）

圖片來源／法國消防局SDIS、Flexera、AWS、微軟

  更多Cloud動態  

1. 微軟針對HPC推出新VM，使用最新推出的AMD EPYC 7003系列處理器（詳全文）

2. 甲骨文發布上季財報，Fusion Cloud ERP收入成長3成（詳全文）

資料來源：iThome整理，2021年3月