Überlegungen für den awsvpc-Modus Verwenden einer VPC im Dual-Stack-Modus

Weisen Sie eine Netzwerkschnittstelle für Aufgaben in Amazon ECS Managed Instances zu

Die Verwendung des Netzwerkmodus awsvpc in Amazon ECS Managed Instances vereinfacht das Container-Netzwerk und gibt Ihnen mehr Kontrolle darüber, wie Anwendungen miteinander und mit anderen Services in Ihren VPCs kommunizieren. Der Netzwerkmodus awsvpc bietet außerdem mehr Sicherheit für Ihre Container, da Sie Sicherheitsgruppen und Netzwerküberwachungstools auf einer feineren Ebene in Ihren Aufgaben verwenden können.

Standardmäßig verfügt jede Instance von Amazon ECS Managed Instances über eine Trunk-Elastic-Network-Schnittstelle (ENI), die beim Start als primäres ENI angehängt wird, wenn der Instance-Typ Trunking unterstützt. Weitere Informationen zu Instance-Typen, die ENI-Trunking unterstützen, finden Sie unter Unterstützte Instances für erweiterte Amazon-ECS-Container-Netzwerkschnittstellen.

Anmerkung

Wenn der gewählte Instance-Typ keine Trunk-ENIs unterstützt, wird die Instance mit einer regulären ENI gestartet.

Jede Aufgabe, die auf der Instance ausgeführt wird, erhält eine eigene ENI, die an die Trunk-ENI angehängt ist und über eine primäre private IP-Adresse verfügt. Wenn Ihre VPC für den Dual-Stack-Modus konfiguriert ist und Sie ein Subnetz mit einem IPv6-CIDR-Block verwenden, erhält die ENI auch eine IPv6-Adresse. Wenn Sie ein öffentliches Subnetz verwenden, können Sie optional der primären ENI von Amazon ECS Managed Instances eine öffentliche IP-Adresse zuweisen, indem Sie die öffentliche IPv4-Adressierung für das Subnetz aktivieren. Weitere Informationen finden Sie unter Ändern des öffentlichen IP-Adressierungsattributs für Ihr Subnetz im Amazon-VPC-Benutzerhandbuch. Einer Aufgabe kann immer nur eine ENI auf einmal zugeordnet sein.

Container, die zur selben Aufgabe gehören, können auch über die localhost-Schnittstelle kommunizieren. Weitere Informationen über VPCs und Subnetze finden Sie unter So funktioniert Amazon VPC im Amazon-VPC-Benutzerhandbuch.

Bei den folgenden Vorgängen wird die primäre ENI verwendet, die an die Instance angehängt ist:

Image-Downloads – Container-Images werden über die primäre ENI von Amazon ECR heruntergeladen.
Abrufen von Geheimnissen – Secrets-Manager-Geheimnisse und andere Anmeldeinformationen werden über die primäre ENI abgerufen.
Protokoll-Uploads — Protokolle werden CloudWatch über die primäre ENI hochgeladen.
Downloads von Umgebungsdateien – Umgebungsdateien werden über die primäre ENI heruntergeladen.

Der Anwendungsdatenverkehr fließt über die Aufgaben-ENI.

Da jede Aufgabe ihre eigene ENI erhält, können Sie Netzwerkfeatures wie VPC Flow Logs nutzen, sodass Sie den Verkehr zu und von Ihren Aufgaben überwachen können. Weitere Informationen finden Sie unter VPC-Flow-Protokolle im Benutzerhandbuch für Amazon VPC.

Sie können auch die Vorteile nutzen. AWS PrivateLink Sie können einen VPC-Schnittstellenendpunkt konfigurieren, sodass Sie über private IP-Adressen auf Amazon-ECS-APIs zugreifen können. AWS PrivateLink beschränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon ECS auf das Amazon-Netzwerk. Sie benötigen kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway. Weitere Informationen finden Sie unter VPC-Endpunkte der Amazon-ECS-Schnittstelle (AWS PrivateLink).

Im awsvpc Netzwerkmodus können Sie auch Amazon VPC Traffic Mirroring für die Sicherheit und Überwachung des Netzwerkverkehrs nutzen, wenn Sie Instance-Typen verwenden, an die keine Trunk-ENIs angeschlossen sind. Weitere Informationen finden Sie unter Was ist Traffic Mirroring? im Benutzerhandbuch für Amazon VPC Traﬃc Mirroring.

Überlegungen für den `awsvpc`-Modus

Aufgaben erfordern die service-verknüpfte Amazon-ECS-Rolle für das ENI-Management. Diese Rolle wird automatisch erstellt, wenn Sie einen Cluster oder einen Service erstellen.
Aufgaben-ENIs werden von Amazon ECS verwaltet und können nicht manuell getrennt oder geändert werden.
Das Zuweisen einer öffentlichen IP-Adresse zur Aufgaben-ENI mithilfe von assignPublicIp beim Ausführen einer eigenständigen Aufgabe (RunTask) oder beim Erstellen oder Aktualisieren eines Services (CreateService/UpdateService), wird nicht unterstützt.
Wenn Sie awsvpc-Netzwerke auf Aufgabenebene konfigurieren, müssen Sie dieselbe VPC verwenden, die Sie als Teil der Startvorlage des Kapazitätsanbieters von Amazon ECS Managed Instances angegeben haben. Sie können andere Subnetze und Sicherheitsgruppen als die in der Startvorlage angegebenen verwenden.
Verwenden Sie für Aufgaben im awsvpc-Netzwerkmodus den Zieltyp ip, wenn Sie die Load-Balancer-Zielgruppen konfigurieren. Amazon ECS verwaltet automatisch die Zielgruppenregistrierung für unterstützte Netzwerkmodi.

Verwenden einer VPC im Dual-Stack-Modus

Wenn Sie eine VPC im Dual-Stack-Modus verwenden, können Ihre Aufgaben über IPv4, über IPv6 oder über beide kommunizieren. IPv4- und IPv6-Adressen sind voneinander unabhängig. Daher müssen Sie das Routing und die Sicherheit in Ihrer VPC für IPv4 und IPv6 getrennt konfigurieren. Weitere Informationen zum Konfigurieren der VPC für den Dual-Stack-Modus finden Sie unter Migrieren zu IPv6 im Amazon-VPC-Benutzerhandbuch.

Wenn Sie Ihre Virtual Private Cloud (VPC) mit einem Internet-Gateway oder einem reinen Outbound-Internet-Gateway konfiguriert haben, können Sie Ihre VPC im Dual-Stack-Modus verwenden. So können Aufgaben, denen eine IPv6-Adresse zugewiesen ist, über ein Internet-Gateway oder ein reines Internet-Gateway auf das Internet zugreifen. NAT-Gateways sind optional. Weitere Informationen finden Sie unter Internet-Gateways und Egress-onlyInternet-Gateways im Amazon VPC-Benutzerhandbuch.

Amazon-ECS-Aufgaben werden eine IPv6-Adresse zugewiesen, wenn die folgenden Bedingungen erfüllt sind:

Die Instance von Amazon ECS Managed Instances, die die Aufgabe hostet, verwendet Version 1.45.0 oder höher des Container-Agenten. Informationen zum Überprüfen der Agent-Version, die Ihre Instance verwendet, und bei Bedarf aktualisieren, finden Sie unter Überprüfen des Amazon-ECS-Container-Agenten.
Die Kontoeinstellung dualStackIPv6 ist aktiviert. Weitere Informationen finden Sie unter Zugriff auf Amazon-ECS-Features über die Kontoeinstellungen.
Ihre Aufgabe verwendet den Netzwerkmodus awsvpc.
Ihre VPC und Ihr Subnetz sind für IPv6 konfiguriert. Die Konfiguration enthält die Netzwerkschnittstellen, die im angegebenen Subnetz erstellt werden. Weitere Informationen zum Konfigurieren der VPC für den Dual-Stack-Modus finden Sie unter Migrieren zu IPv6 und Ändern des IPv6-Adressierungsattributs Ihres Subnetzes im Amazon-VPC-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aufgabenvernetzung für Amazon ECS Managed Instances

Host-Netzwerkmodus