Netzwerkoptionen für Amazon ECS Task für den Starttyp Fargate - Amazon Elastic Container Service
ÜberlegungenVerwendung von VPC im Dual-Stack-Modus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerkoptionen für Amazon ECS Task für den Starttyp Fargate

Standardmäßig wird jeder ECS Amazon-Aufgabe auf Fargate eine elastic network interface (ENI) mit einer primären privaten IP-Adresse bereitgestellt. Wenn Sie ein öffentliches Subnetz verwenden, können Sie den Aufgaben optional eine öffentliche IP-Adresse zuweisen. ENI Wenn Ihr für den Dual-Stack-Modus konfiguriert VPC ist und Sie ein Subnetz mit einem IPv6 CIDR Block verwenden, erhält Ihre Aufgabe ENI auch eine Adresse. IPv6 Einer Aufgabe kann jeweils ENI nur eine zugeordnet sein. Container, die zur selben Aufgabe gehören, können auch über die localhost-Schnittstelle kommunizieren. Weitere Informationen zu VPCs und Subnetzen finden Sie unter So VPC funktioniert Amazon im VPCAmazon-Benutzerhandbuch.

Damit eine Aufgabe auf Fargate ein Container-Image abrufen kann, muss die Aufgabe eine Route zum Internet haben. Nachfolgend finden Sie Informationen darüber, wie Sie sicherstellen können, dass Ihre Aufgabe über einen Pfad zum Internet verfügt.

  • Wenn Sie ein öffentliches Subnetz verwenden, können Sie der Aufgabe eine öffentliche IP-Adresse zuweisen. ENI

  • Wenn Sie ein privates Subnetz verwenden, kann an das Subnetz ein NAT Gateway angeschlossen sein.

  • Wenn Sie Container-Images verwenden, die in Amazon gehostet werdenECR, können Sie Amazon ECR so konfigurieren, dass ein VPC Schnittstellenendpunkt verwendet wird und der Image-Pull über die private IPv4 Adresse der Aufgabe erfolgt. Weitere Informationen finden Sie unter Amazon ECR interface VPC endpoints (AWS PrivateLink) im Amazon Elastic Container Registry-Benutzerhandbuch.

Da jede Aufgabe ihre eigene hatENI, können Sie Netzwerkfunktionen wie VPC Flow Logs verwenden, mit denen Sie den Verkehr zu und von Ihren Aufgaben überwachen können. Weitere Informationen finden Sie unter VPCFlow Logs im VPCAmazon-Benutzerhandbuch.

Sie können auch die Vorteile nutzen AWS PrivateLink. Sie können einen VPC Schnittstellenendpunkt so konfigurieren, dass Sie ECS APIs über private IP-Adressen auf Amazon zugreifen können. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihnen VPC und Amazon ECS auf das Amazon-Netzwerk ein. Sie benötigen kein Internet-Gateway, kein NAT Gerät oder ein virtuelles privates Gateway. Weitere Informationen finden Sie unter Amazon ECS interface VPC endpoints (AWS PrivateLink).

Beispiele für die Verwendung der NetworkConfiguration Ressource mit finden Sie AWS CloudFormation unterECSAmazon-Ressourcen mithilfe separater Stacks erstellen.

Die ENIs erstellten Dateien werden vollständig von verwaltet AWS Fargate. Darüber hinaus gibt es eine zugehörige IAM Richtlinie, mit der Genehmigungen für Fargate erteilt werden. Für Aufgaben, die die Fargate-Plattformversion 1.4.0 oder höher verwenden, erhält die Aufgabe eine einzige ENI (als Aufgabe bezeichnetENI) und der gesamte Netzwerkverkehr fließt durch diese ENI innerhalb IhresVPC. Dieser Verkehr wird in Ihren VPC Flow-Logs aufgezeichnet. Für Aufgaben, die die Fargate-Plattformversion 1.3.0 und frühere Versionen verwenden, erhält die Aufgabe ENI zusätzlich zu der Aufgabe auch ein separates Fargate-ObjektENI, das für einen Teil des Netzwerkverkehrs verwendet wird, der in den VPC Flow-Logs nicht sichtbar ist. In der folgenden Tabelle werden das Verhalten des Netzwerkverkehrs und die erforderlichen IAM Richtlinien für jede Plattformversion beschrieben.

Aktion Datenverkehrsfluss mit Linux-Plattformversion 1.3.0 und älter Datenverkehrsfluss mit Linux-Plattformversion 1.4.0 Datenverkehrsfluss mit Windows-Plattformversion 1.0.0 IAM-Berechtigung
ECRAmazon-Anmeldeinformationen werden abgerufen Fargate gehört ENI Aufgabe ENI Aufgabe ENI IAM-Rolle für die Aufgabenausführung
Image abrufen Aufgabe ENI Aufgabe ENI Aufgabe ENI IAM-Rolle für die Aufgabenausführung
Senden von Protokollen über einen Protokolltreiber Aufgabe ENI Aufgabe ENI Aufgabe ENI IAM-Rolle für die Aufgabenausführung
Logs FireLens für Amazon durchsenden ECS Aufgabe ENI Aufgabe ENI Aufgabe ENI IAM-Rolle für Aufgabe
Abrufen von Geheimnissen aus Secrets Manager oder Systems Manager Fargate gehört ENI Aufgabe ENI Aufgabe ENI IAM-Rolle für die Aufgabenausführung
EFSAmazon-Dateisystemverkehr Nicht verfügbar Aufgabe ENI Aufgabe ENI IAM-Rolle für Aufgabe
Datenverkehr der Anwendung Aufgabe ENI Aufgabe ENI Aufgabe ENI IAM-Rolle für Aufgabe

Überlegungen

Beachten Sie Folgendes, wenn Sie Aufgabenvernetzung verwenden.

  • Die Rolle, die ECS mit dem ECS Amazon-Dienst verknüpft ist, ist erforderlich, um Amazon die Erlaubnis zu erteilen, in Ihrem Namen Anrufe an andere AWS Dienste zu tätigen. Diese Rolle wird für Sie erstellt, wenn Sie einen Cluster erstellen oder wenn Sie einen Service in der AWS Management Console erstellen oder aktualisieren. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon ECS. Sie können die serviceverknüpfte Rolle auch mit dem folgenden AWS CLI Befehl erstellen.

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS füllt den Hostnamen der Aufgabe mit einem von Amazon bereitgestellten DNS Hostnamen auf, wenn enableDnsHostnames sowohl die enableDnsSupport Optionen als auch auf Ihrem aktiviert sind. VPC Wenn diese Optionen nicht aktiviert sind, wird der DNS Hostname der Aufgabe auf einen zufälligen Hostnamen gesetzt. Weitere Informationen zu den DNS Einstellungen für a VPC finden Sie unter DNSUsing with Your VPC im VPCAmazon-Benutzerhandbuch.

  • Sie können für awsVpcConfiguration nur bis zu 16 Subnetze und 5 Sicherheitsgruppen angeben. Weitere Informationen finden Sie AwsVpcConfigurationin der Amazon Elastic Container Service API Reference.

  • Sie können die von Fargate erstellten und angehängten Dateien nicht manuell trennen oder ändern. ENIs Dadurch soll verhindert werden, dass versehentlich eine Datei gelöscht wirdENI, die mit einer laufenden Aufgabe verknüpft ist. Um das ENIs für eine Aufgabe freizugeben, beenden Sie die Aufgabe.

  • Wenn ein VPC Subnetz aktualisiert wird, um den von ihm verwendeten DHCP Optionssatz zu ändern, können Sie diese Änderungen nicht auch auf bestehende Aufgaben anwenden, die den VPC verwenden. Starten Sie neue Aufgaben, die die neue Einstellung erhalten, damit die Migration reibungslos funktioniert. Testen Sie die neue Änderung und stoppen Sie dann die alten Aufgaben, wenn kein Rollback erforderlich ist.

  • Aufgaben, die in Subnetzen mit IPv6 CIDR Blöcken gestartet werden, erhalten nur dann eine IPv6 Adresse, wenn die Fargate-Plattformversion 1.4.0 oder höher für Linux oder 1.0.0 Windows verwendet wird.

  • Für Aufgaben, die die Plattformversion 1.4.0 oder höher für Linux oder 1.0.0 Windows verwenden, ENIs unterstützt die Aufgabe Jumbo Frames. Netzwerkschnittstellen sind mit einer maximalen Übertragungseinheit (MTU) konfiguriert, die der Größe der größten Nutzlast entspricht, die in einen einzelnen Frame passt. Je größer derMTU, desto mehr Anwendungsnutzlast kann in einen einzigen Frame passen, wodurch der Overhead pro Frame reduziert und die Effizienz erhöht wird. Die Unterstützung von Jumbo-Frames reduziert den Overhead, wenn der Netzwerkpfad zwischen Ihrer Aufgabe und dem Ziel Jumbo-Frames unterstützt.

  • Services mit Aufgaben, die den Fargate-Starttyp verwenden, unterstützen nur Application Load Balancer oder Network Load Balancer. Classic Load Balancer werden nicht unterstützt. Wenn Sie eine beliebige Zielgruppe für diese Services erstellen, müssen Sie ip als Zieltyp auswählen und nicht instance. Weitere Informationen finden Sie unter Verwenden Sie Load Balancing, um den ECS Amazon-Servicetraffic zu verteilen.

Verwendung von VPC im Dual-Stack-Modus

Wenn Sie einen VPC im Dual-Stack-Modus verwenden, können Ihre Aufgaben über IPv4 oder oder beides IPv6 kommunizieren. IPv4und IPv6 Adressen sind unabhängig voneinander und Sie müssen Routing und Sicherheit VPC separat für IPv4 und IPv6 konfigurieren. Weitere Informationen zur Konfiguration Ihres VPC Dual-Stack-Modus finden Sie unter Migration zu IPv6 im VPCAmazon-Benutzerhandbuch.

Wenn die folgenden Bedingungen erfüllt sind, wird ECS Amazon-Aufgaben auf Fargate eine IPv6 Adresse zugewiesen:

  • Ihre ECS dualStackIPv6 Amazon-Kontoeinstellungen sind für den IAM Principal aktiviert (enabled), der Ihre Aufgaben in der Region startet, in der Sie Ihre Aufgaben starten. Diese Einstellung kann nur mit dem API oder geändert werden AWS CLI. Sie haben die Möglichkeit, diese Einstellung für einen bestimmten IAM Hauptkunden in Ihrem Konto oder für Ihr gesamtes Konto zu aktivieren, indem Sie die Standardeinstellung für Ihr Konto festlegen. Weitere Informationen finden Sie unter Greifen Sie mit den Kontoeinstellungen auf ECS Amazon-Funktionen zu.

  • Ihr VPC und das Subnetz sind aktiviert fürIPv6. Weitere Informationen zur Konfiguration Ihres VPC Dual-Stack-Modus finden Sie unter Migration zu IPv6 im VPCAmazon-Benutzerhandbuch.

  • Ihr Subnetz ist für die automatische Zuweisung IPv6 von Adressen aktiviert. Weitere Informationen zur Konfiguration Ihres Subnetzes finden Sie unter Ändern des IPv6 Adressierungsattributs für Ihr Subnetz im VPCAmazon-Benutzerhandbuch.

  • Die Aufgabe oder der Service verwendet die Fargate-Plattformversion 1.4.0 oder höher für Linux.

Wenn Sie Ihr Gerät VPC mit einem Internet-Gateway oder einem Internet-Gateway nur für ausgehende Verbindungen konfigurieren, können ECS Amazon-Aufgaben auf Fargate, denen eine IPv6 Adresse zugewiesen ist, auf das Internet zugreifen. NATGateways werden nicht benötigt. Weitere Informationen finden Sie unter Internet-Gateways und Internet-Gateways nur für ausgehenden Ausgang im Amazon-Benutzerhandbuch. VPC