TL;DR: Semana enxuta de início de ano, com direção nítida. A AWS abriu 2026 com instâncias EC2 G7e (GPU NVIDIA Blackwell), EC2 X8i para memória e a European Sovereign Cloud em GA. A OCI ganhou freios nativos de governança: IAM Deny policies e um console dedicado de segredos. E dois relógios de fim de vida passaram a contar: Oracle Linux 7 ARM no OKE e a transição do VMware na OCI para o BYOL da Broadcom.
Janeiro é mês de calendário fraco — a poeira do fim de ano ainda baixa e os anúncios chegam contados. Esta semana foi exatamente isso: pouco volume, mas com um fio condutor que vale a leitura. De um lado, a corrida de infraestrutura de IA não tirou férias e a AWS já empilhou a próxima geração de aceleradores. De outro, a OCI passou a oferecer os freios que faltavam para governança em escala. E, no rodapé que ninguém gosta de ler, dois relógios de fim de vida começaram a tiquetaquear para quem opera workloads legados na nuvem.
A leitura para quem administra infra no Brasil é direta: o começo do ano não é só sobre os lançamentos brilhantes. É também a janela certa para inventariar o que vai expirar — sistema operacional, licença, controlador — antes que a conta chegue no pior momento. Abaixo, os três destaques reais da semana.
A AWS abre 2026 empilhando GPU Blackwell — e soberania de dados no mesmo fôlego
O recado de início de ano da AWS foi sobre potência e sobre onde os dados moram. O destaque de hardware são as novas instâncias Amazon EC2 G7e, aceleradas pelas GPUs NVIDIA RTX PRO 6000 Blackwell Server Edition e voltadas a inferência de IA generativa e cargas gráficas pesadas. Os números justificam a atenção: até 2,3x mais performance de inferência que a geração G6e, o dobro de memória de GPU e 1,85x mais bandwidth de memória. Na prática, isso permite rodar modelos de até 70B de parâmetros em precisão FP8 numa única GPU, e a configuração topo (g7e.48xlarge) chega a 8 GPUs, 192 vCPUs e 768 GB de memória de GPU por nó — com NVIDIA GPUDirect P2P para comunicação direta entre GPUs via PCIe.
Há, porém, uma ressalva que importa para o Brasil: as G7e estrearam apenas em US East (N. Virginia e Ohio). A própria AWS sugere usar essas regiões para treinamento e inferência mesmo de fora, trocando latência geográfica por throughput bruto — e recomenda Spot Instances para batch, na lógica de FinOps. Completa o pacote de compute a família EC2 X8i, com Intel Xeon 6 customizados (até 3,9 GHz de turbo) e certificação SAP, mirando bancos in-memory e análise em tempo real onde o gargalo é o throughput de memória.
O outro eixo do anúncio não tem nada de GPU: a AWS European Sovereign Cloud chegou a General Availability. É uma infraestrutura independente e segregada para atender regulamentações rígidas de residência de dados na Europa — e o ângulo brasileiro é concreto: empresas com filiais ou operação europeia ganham um caminho de compliance sem improviso. Some a isso o Kiro CLI v1.24, que trouxe controles granulares de web fetch, com allowlists e blocklists de URLs para restringir o que agentes de IA podem acessar — um detalhe pequeno, mas que sinaliza onde está a próxima fronteira de SecOps: governar o que o agente alcança antes que ele exfiltre o que não devia.
A OCI ganhou os freios que faltavam: o que muda com IAM Deny e o console de segredos?
Permissão sem negação explícita é meio volante: você acelera, mas confia no atrito para parar. Nesta semana a OCI fechou essa lacuna ao colocar as IAM Deny policies em disponibilidade geral. Até aqui o OCI IAM operava quase só com allow policies sobre um modelo de default-deny — eficiente no começo, mas que vira um nó quando a tenancy cresce, com múltiplas regiões e times administrativos extensos. As deny policies invertem a lógica onde importa: uma negação explícita tem precedência sobre qualquer permissão, e a avaliação é deny-first — um Deny no topo da hierarquia anula qualquer Allow em compartimentos filhos.
O valor operacional está na delegação segura. Um administrador root pode entregar a gestão de um compartimento a outro time e, ao mesmo tempo, cravar barreiras imutáveis: Deny group ProjectAdmins to manage network-family in compartment GovProject, por exemplo, sem precisar pulverizar cláusulas where excludentes em cada política de permissão — fonte clássica de erro humano. Dá até para impedir que administradores locais criem suas próprias regras de negação, e restringir operações sensíveis por região ou origem de rede. Detalhe que evita dor de cabeça: as deny policies não se aplicam ao grupo de administradores padrão da tenancy, justamente para não causar lockout acidental.
No mesmo eixo de governança, a OCI também reorganizou a gestão de segredos: o Secret Management ganhou um console dedicado sob Identity & Security, deixando de ficar diluído dentro do Key Management. A mudança é de experiência — menos cliques para chegar ao inventário, visão imediata de status, cross-region replication e auto-rotation — e o ponto que tranquiliza o time de plataforma é explícito: nenhuma alteração em APIs, SDKs ou CLI. Toda a automação de CI/CD segue intacta, com as permissões ainda atreladas ao Vault. Os dois anúncios apontam para a mesma direção: zero-trust e privilégio mínimo deixando de ser slide de arquitetura para virar botão nativo no console.
Dois relógios de fim de vida começaram a contar: Oracle Linux 7 ARM e o VMware da Broadcom
O destaque menos glamouroso da semana é o que mais cobra planejamento agora. O primeiro relógio é o do Oracle Linux 7 em ARM (aarch64), cujo suporte terminou em 1º de janeiro de 2025 e não tem suporte estendido — ou seja, nada de patch de segurança. A consequência prática chegou ao OKE: o serviço deixará de construir imagens e de permitir a criação de novos worker nodes OL7 ARM. Clusters e nós existentes continuam rodando, mas sob risco elevado, acumulando vulnerabilidades não corrigidas. A mudança não toca o control plane nem a arquitetura x86 — é específica dos worker nodes ARM. O caminho recomendado é a migração para OL8 ARM, e a ressalva técnica é importante: upgrade in-place de OL7 para OL8 não é suportado. A estratégia indicada é blue/green — subir um novo node pool OL8 replicando shapes, labels e taints, manter o OL7 como fallback até validar os SLOs e fazer o drain respeitando os PodDisruptionBudgets.
O segundo relógio é de licenciamento, não de SO, mas a mecânica é a mesma: ignorar agora custa caro depois. A Oracle detalhou a transição do Oracle Cloud VMware Solution (OCVS) para o modelo BYOL (Bring Your Own License), resposta direta à reestruturação do licenciamento da Broadcom. SDDCs atuais continuam operando, mas o cronograma é firme: a partir de 22 de março de 2026 novos ambientes exigem BYOL, e a partir de 21 de maio de 2026 o BYOL vira o padrão único — mandatório inclusive para adição de hosts. Upgrades para o VCF 9 ou superior só ocorrerão com toda a capacidade do SDDC já em BYOL.
Para quem opera no Brasil, os dois casos compartilham a mesma lição de início de ano: o trabalho mais valioso de janeiro não é testar a GPU nova, é fazer o inventário do que vai expirar. Imagens de SO fixadas em pipelines de CI/CD, OCIDs presos em grupos de autoscaling, compromissos de host VMware com data de vencimento — tudo isso é dívida silenciosa que só aparece quando já virou incidente ou fatura inesperada. A janela de planejamento existe agora; ela não se repete.
O que levar desta semana
Foi uma semana curta, mas as três frentes contam a mesma história em compassos diferentes. Infraestrutura de IA: a AWS já colocou a próxima geração de GPU (Blackwell, nas G7e) na mesa, e a conta de inferência só cresce — quem for testar, comece pela região certa e pela disciplina de Spot/FinOps, não pela empolgação. Governança: a OCI transformou zero-trust em botão nativo, com IAM Deny para guardrails imutáveis e um console de segredos que não quebra nada da automação existente — vale revisar agora as políticas de delegação e a rotação de segredos. Ciclo de vida: dois relógios de fim de vida (Oracle Linux 7 ARM no OKE e o BYOL do VMware via Broadcom) começaram a contar, e o início de ano é exatamente a janela para inventariar e planejar a migração antes que o prazo aperte. O recado de janeiro é sóbrio: o que brilha merece atenção, mas é o que expira que cobra ação.
Perguntas Frequentes
As instâncias EC2 G7e já estão disponíveis no Brasil?
Não. No anúncio desta semana, a AWS disponibilizou as G7e — aceleradas por GPUs NVIDIA RTX PRO 6000 Blackwell Server Edition — apenas nas regiões US East (N. Virginia) e US East (Ohio). Para o mercado brasileiro, a recomendação da própria AWS é avaliar o uso dessas regiões internacionais para inferência e treinamento, compensando a latência geográfica com o ganho de throughput bruto da arquitetura Blackwell, e usar Spot Instances para cargas em batch.
O que são as IAM Deny policies da OCI e por que isso importa?
São declarações de negação explícita que a OCI tornou disponíveis em GA nesta semana. Até então o IAM operava só com políticas de permissão sobre um default-deny; agora um administrador root pode definir guardrails imutáveis que têm precedência sobre qualquer Allow em compartimentos filhos. Na prática, dá para delegar a gestão de um compartimento a um time e ainda assim proibir explicitamente que ele gerencie, por exemplo, a network-family — sem cláusulas where complexas e propensas a erro.
Meus worker nodes Oracle Linux 7 ARM vão parar de funcionar?
Não imediatamente. O suporte ao OL7 em ARM (aarch64) terminou em 1º de janeiro de 2025 e não há suporte estendido, então não saem mais patches de segurança. O OKE deixará de construir imagens e criar novos nós OL7 ARM, mas clusters e nós existentes continuam rodando — só que sem correções de segurança. O caminho recomendado é migrar para OL8 ARM via blue/green (novo node pool, drain respeitando PodDisruptionBudgets), já que upgrade in-place de OL7 para OL8 não é suportado.
O que muda no licenciamento VMware na Oracle Cloud com a transição para BYOL?
A Broadcom reestruturou o licenciamento e a Oracle alinhou o OCVS a um modelo exclusivo de Bring Your Own License. SDDCs atuais continuam operando, mas o cronograma aperta: a partir de 22 de março de 2026 novos ambientes exigem BYOL, e a partir de 21 de maio de 2026 o BYOL passa a ser o padrão único, inclusive para adição de hosts. Upgrades para o VCF 9 ou superior exigirão que toda a capacidade do SDDC já esteja em BYOL.
O console dedicado de Secret Management da OCI quebra minha automação?
Não. A mudança desta semana é de experiência: os segredos ganharam um console próprio sob Identity & Security, separados do Key Management, com visão imediata de status, cross-region replication e auto-rotation. A Oracle confirma que não há alterações em APIs, SDKs ou fluxos de CLI — scripts, ferramentas programáticas e pipelines de CI/CD seguem funcionando sem refatoração. As permissões continuam atreladas ao Vault.
Fontes:
- AWS Weekly Roundup: Kiro CLI, AWS European Sovereign Cloud, instâncias EC2 X8i e mais — AWS News Blog
- AWS anuncia as instâncias Amazon EC2 G7e aceleradas por GPUs NVIDIA RTX PRO 6000 Blackwell — AWS News Blog
- OCI IAM Deny Policies: negação explícita no IAM — Oracle Cloud Infrastructure Blog
- OCI introduz console dedicado para Secret Management — Oracle Cloud Infrastructure Blog
- Fim do suporte ao Oracle Linux 7 (ARM): ações para usuários de OKE — Oracle Cloud Infrastructure Blog
- OCVS e a transição para o modelo BYOL da Broadcom — Oracle Cloud Infrastructure Blog
