Bewährte Methoden für ECS die Verbindung von Amazon mit AWS Diensten von Ihrem VPC - Amazon Elastic Container Service
NATGatewayAWS PrivateLink

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für ECS die Verbindung von Amazon mit AWS Diensten von Ihrem VPC

Damit Amazon ECS ordnungsgemäß funktioniert, muss der ECS Amazon-Container-Agent, der auf jedem Host ausgeführt wird, mit der ECS Amazon-Steuerebene kommunizieren. Wenn Sie Ihre Container-Images in Amazon speichernECR, müssen die EC2 Amazon-Hosts mit dem ECR Amazon-Serviceendpunkt und mit Amazon S3 kommunizieren, wo die Bildebenen gespeichert sind. Wenn Sie andere AWS Dienste für Ihre containerisierte Anwendung verwenden, z. B. persistente Daten, die in DynamoDB gespeichert sind, überprüfen Sie, ob diese Dienste auch über die erforderliche Netzwerkunterstützung verfügen.

NATGateway

Die Verwendung eines NAT Gateways ist der einfachste Weg, um sicherzustellen, dass Ihre ECS Amazon-Aufgaben auf andere AWS Dienste zugreifen können. Weitere Informationen zu diesem Ansatz finden Sie unterPrivates Subnetz und Gateway NAT.

Diagramm, das die Architektur eines Netzwerks zeigt, das ein NAT Gateway verwendet.

Im Folgenden sind die Nachteile dieses Ansatzes aufgeführt:

  • Sie können nicht einschränken, mit welchen Zielen das NAT Gateway kommunizieren kann. Sie können auch nicht einschränken, mit welchen Zielen Ihre Back-End-Stufe kommunizieren kann, ohne die gesamte ausgehende Kommunikation von Ihrem zu unterbrechen. VPC

  • NATGateways berechnen für jedes GB an Daten, das übertragen wird. Wenn Sie das NAT Gateway für einen der folgenden Vorgänge verwenden, wird Ihnen jedes GB Bandbreite in Rechnung gestellt:

    • Große Dateien von Amazon S3 herunterladen

    • Durchführen einer großen Anzahl von Datenbankabfragen an DynamoDB

    • Bilder von Amazon abrufen ECR

    Darüber hinaus unterstützen NAT Gateways eine Bandbreite von 5 Gbit/s und skalieren automatisch auf bis zu 45 Gbit/s. Wenn Sie über ein einzelnes NAT Gateway routen, können Anwendungen, die Verbindungen mit sehr hoher Bandbreite benötigen, auf Netzwerkeinschränkungen stoßen. Um das Problem zu umgehen, können Sie Ihre Arbeitslast auf mehrere Subnetze aufteilen und jedem Subnetz ein eigenes Gateway zuweisen. NAT

AWS PrivateLink bietet private Konnektivität zwischen VPCs AWS Diensten und Ihren lokalen Netzwerken, ohne dass Ihr Datenverkehr dem öffentlichen Internet ausgesetzt wird.

Ein VPC Endpunkt ermöglicht private Verbindungen zwischen Ihren VPC und unterstützten AWS Diensten und VPC Endpunktdiensten. Der Verkehr zwischen Ihrem VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht. Ein VPC Endpunkt benötigt kein Internet-Gateway, kein virtuelles privates Gateway, kein NAT Gerät, keine VPN Verbindung oder AWS Direct Connect Verbindung. EC2Amazon-Instances in Ihrem System benötigen VPC keine öffentlichen IP-Adressen, um mit Ressourcen im Service zu kommunizieren.

Das folgende Diagramm zeigt, wie die Kommunikation mit AWS Diensten funktioniert, wenn Sie VPC Endgeräte anstelle eines Internet-Gateways verwenden. AWS PrivateLink stellt innerhalb des Subnetzes elastische Netzwerkschnittstellen (ENIs) bereit, und VPC Routing-Regeln werden verwendet, um jegliche Kommunikation an den Service-Hostnamen über denENI, direkt an den Zieldienst zu senden. AWS Dieser Datenverkehr muss nicht mehr über das NAT Gateway oder das Internet-Gateway erfolgen.

Diagramm, das die Architektur eines Netzwerks zeigt mit AWS PrivateLink

Im Folgenden sind einige der häufigsten VPC Endpunkte aufgeführt, die mit dem ECS Amazon-Service verwendet werden.

Viele andere AWS Dienste unterstützen VPC Endgeräte. Wenn Sie einen AWS Dienst intensiv nutzen, sollten Sie in der spezifischen Dokumentation für diesen Dienst nachschlagen und nachschlagen, wie Sie einen VPC Endpunkt für diesen Datenverkehr erstellen.