Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon ECS Service Connect mit gemeinsam genutzten AWS Cloud Map Namespaces
Amazon ECS Service Connect unterstützt die Verwendung gemeinsam genutzter AWS Cloud Map Namespaces für mehrere AWS-Konten innerhalb desselben. AWS-Region Mit dieser Funktion können Sie verteilte Anwendungen erstellen, in denen Dienste, die auf verschiedenen Geräten ausgeführt werden, sich gegenseitig erkennen und über Service Connect miteinander kommunizieren AWS-Konten können. Gemeinsam genutzte Namespaces werden mithilfe von AWS Resource Access Manager (AWS RAM) verwaltet, was eine sichere kontenübergreifende gemeinsame Nutzung von Ressourcen ermöglicht. *Weitere Informationen zu gemeinsam genutzten Namespaces finden Sie unter [Kontenübergreifende Namespaces Sharing im AWS Cloud Map Developer](https://docs.aws.amazon.com/cloud-map/latest/dg/sharing-namespaces.html) Guide.AWS Cloud Map *
**Wichtig**
Sie müssen die `AWSRAMPermissionCloudMapECSFullPermission`-verwaltete Berechtigung verwenden, um den Namespace gemeinsam zu nutzen, damit Service Connect ordnungsgemäß mit dem Namespace funktioniert.
Wenn Sie gemeinsam genutzte AWS Cloud Map Namespaces mit Service Connect verwenden, AWS-Konten können Dienste von mehreren am selben Dienstnamespace teilnehmen. Dies ist besonders nützlich für Organisationen mit mehreren Benutzern AWS-Konten , die die service-to-service Kommunikation über Kontogrenzen hinweg aufrechterhalten und gleichzeitig Sicherheit und Isolation wahren müssen.
**Anmerkung**
Um mit Diensten zu kommunizieren, die sich in verschiedenen Versionen befinden VPCs, müssen Sie die Inter-VPC-Konnektivität konfigurieren. Dies kann mithilfe einer VPC-Peering-Verbindung erreicht werden. Weitere Informationen finden Sie unter [Erstellen oder Löschen einer VPC-Peering-Verbindung](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html) im *VPC-Peering-Handbuch für Amazon Virtual Private Cloud*.
# Verwenden von gemeinsam genutzten AWS Cloud Map Namespaces mit Amazon ECS Service Connect
Das Einrichten von gemeinsam genutzten AWS Cloud Map Namespaces für Service Connect umfasst die folgenden Schritte: Namespace-Besitzer erstellt den Namespace, Besitzer teilt ihn über AWS Resource Access Manager (AWS RAM), Verbraucher akzeptiert die Ressourcenfreigabe und Consumer konfiguriert Service Connect für die Verwendung des gemeinsam genutzten Namespaces.
## Schritt 1: Erstellen Sie den Namespace AWS Cloud Map
Der Namespace-Besitzer erstellt einen AWS Cloud Map Namespace, der mit anderen Konten geteilt wird.
**Um einen Namespace für die gemeinsame Nutzung mit dem zu erstellen AWS-Managementkonsole**
1. Öffnen Sie die AWS Cloud Map Konsole unter. [https://console.aws.amazon.com/cloudmap/](https://console.aws.amazon.com/cloudmap/)
1. Wählen Sie **Create namespace (Namespace erstellen)** aus.
1. Geben Sie einen **Namespace-Namen** ein. Dieser Name wird von den Services aller teilnehmenden Konten verwendet.
1. Wählen Sie für **Namespace-Typ** den für Ihren Anwendungsfall geeigneten Typ aus:
+ **API-Aufrufe** – HTTP-Namespaces für die Serviceerkennung ohne DNS-Funktionalität.
+ **API-Aufrufe und DNS-Abfragen in VPCs** ‐ Private DNS-Namespaces zur Serviceerkennung mit privaten DNS-Abfragen in einer VPC.
+ **API-Aufrufe und öffentliche DNS-Abfragen** – Öffentliche DNS-Namespaces für die Serviceerkennung mit öffentlichen DNS-Abfragen.
1. Wählen Sie **Create namespace (Namespace erstellen)** aus.
## Schritt 2: Teilen Sie den Namespace mit AWS RAM
Der Namespace-Besitzer verwendet AWS RAM , um den Namespace mit anderen zu teilen. AWS-Konten
**Um einen Namespace über die Konsole gemeinsam zu nutzen AWS RAM**
1. Öffnen Sie die AWS RAM Konsole unter. [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/)
1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.
1. Geben Sie für **Name** einen beschreibenden Namen für die Ressourcenfreigabe ein.
1. Gehen Sie im Abschnitt **Ressourcen** wie folgt vor:
1. Wählen Sie für **Ressourcentyp** die Option **Cloud Map Namespaces** aus.
1. Wählen Sie den Namespace aus, den Sie im vorherigen Schritt erstellt haben.
1. Geben Sie im Abschnitt **Verwaltete Berechtigungen** die Option **AWSRAMPermissionCloudMapECSFullPermission** an.
**Wichtig**
Sie müssen die `AWSRAMPermissionCloudMapECSFullPermission`-verwaltete Berechtigung verwenden, um den Namespace gemeinsam zu nutzen, damit Service Connect ordnungsgemäß mit dem Namespace funktioniert.
1. Geben Sie im Abschnitt **Prinzipale** die AWS-Konten an, mit denen Sie den Namespace teilen möchten. Sie können ein Konto IDs oder eine Organisationseinheit eingeben IDs.
1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.
## Schritt 3: Die Ressourcenfreigabe akzeptieren
Namespace-Verbraucherkonten müssen die Einladung zur Ressourcenfreigabe annehmen, um den gemeinsam genutzten Namespace verwenden zu können.
**Um eine Einladung zur gemeinsamen Nutzung von Ressourcen über die AWS RAM Konsole anzunehmen**
1. Öffnen Sie im Kundenkonto die AWS RAM Konsole unter [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. Wählen Sie im Navigationsbereich **Für mich freigegeben** und dann **Ressourcenfreigaben**.
1. Wählen Sie die Einladung zur Ressourcenfreigabe aus und dann **Ressourcenfreigabe akzeptieren**.
1. Notieren Sie sich nach dem Akzeptieren den gemeinsamen Namespace-ARN aus den Ressourcendetails. Sie verwenden diesen ARN bei der Konfiguration von Service-Connect-Services.
## Schritt 4: Konfigurieren Sie einen Amazon-ECS-Service mit dem gemeinsamen Namespace
Nachdem der Namespace-Verbraucher den gemeinsam genutzten Namespace akzeptiert hat, kann er Amazon-ECS-Services so konfigurieren, dass sie den gemeinsam genutzten Namespace verwenden. Die Konfiguration ähnelt der Verwendung eines regulären Namespaces, Sie müssen jedoch den Namespace-ARN anstelle des Namens angeben. Ein detailliertes Verfahren zur Service-Erstellung finden Sie unter [Erstellung einer Amazon-ECS-Bereitstellung mit fortlaufender Aktualisierung](create-service-console-v2.md).
**Um einen Dienst mit einem gemeinsamen Namespace zu erstellen, verwenden Sie AWS-Managementkonsole**
1. Öffnen Sie die Konsole auf [https://console.aws.amazon.com/ecs/Version 2.](https://console.aws.amazon.com/ecs/v2)
1. Wählen Sie auf der **Cluster**-Seite den Cluster aus, in dem Sie den Service erstellen möchten.
1. Wählen Sie unter **Services** die Option **Erstellen** aus.
1. Nachdem Sie je nach Arbeitslast weitere Details eingegeben haben, wählen Sie im Abschnitt **Service Connect** die Option **Service Connect verwenden** aus.
1. Geben Sie für **Namespace** den vollständigen ARN des gemeinsam genutzten Namespace ein.
Das ARN-Format ist: `arn:aws:servicediscovery:region:account-id:namespace/namespace-id`
1. Konfigurieren Sie die übrigen Service Connect-Einstellungen nach Bedarf für Ihren Service-Typ (Client oder Client-Server).
1. Schließen Sie den Service-Erstellungsprozess ab.
Sie können Dienste auch mithilfe AWS SDKs von AWS CLI oder konfigurieren, indem Sie den gemeinsamen Namespace-ARN im `namespace` Parameter von angeben. `serviceConnectConfiguration`
```
aws ecs create-service \
--cluster my-cluster \
--service-name my-service \
--task-definition my-task-def \
--service-connect-configuration '{
"enabled": true,
"namespace": "arn:aws:servicediscovery:us-west-2:123456789012:namespace/ns-abcdef1234567890",
"services": [{
"portName": "web",
"discoveryName": "my-service",
"clientAliases": [{
"port": 80,
"dnsName": "my-service"
}]
}]
}'
```
## Überlegungen
Beachten Sie Folgendes, wenn Sie gemeinsam genutzte AWS Cloud Map Namespaces mit Service Connect verwenden:
+ AWS RAM muss an dem Ort verfügbar sein, AWS-Region an dem Sie den gemeinsam genutzten Namespace verwenden möchten.
+ Der gemeinsam genutzte Namespace muss sich in demselben befinden AWS-Region wie Ihre Amazon ECS-Services und -Cluster.
+ Sie müssen den Namespace-ARN und nicht die ID verwenden, wenn Sie Service Connect mit einem gemeinsam genutzten Namespace konfigurieren.
+ Alle Namespace-Typen werden unterstützt: HTTP-, Private DNS- und Öffentliche DNS-Namespaces.
+ Wenn der Zugriff auf einen gemeinsam genutzten Namespace gesperrt wird, schlagen Amazon-ECS-Vorgänge fehl, die eine Interaktion mit dem Namespace erfordern (wie `CreateService`, `UpdateService` und `ListServicesByNamespace`). Weitere Informationen zur Fehlerbehebung bei gemeinsam genutzten Namespaces finden Sie unter [Fehlerbehebung bei Amazon ECS Service Connect mit gemeinsam genutzten AWS Cloud Map Namespaces](service-connect-shared-namespaces-troubleshooting.md).
+ Informationen zur Serviceerkennung mithilfe von DNS-Abfragen in einem gemeinsam genutzten privaten DNS-Namespace:
+ Der Namespace-Besitzer muss `create-vpc-association-authorization` mit der ID der privaten gehosteten Zone, die dem Namespace zugeordnet ist, und der VPC des Verbrauchers aufrufen.
```
aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678
```
+ Der Namespace-Besitzer muss `associate-vpc-with-hosted-zone` mit der ID der privaten gehosteten Zone aufrufen.
```
aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678
```
+ Nur der Namespace-Besitzer kann die Ressourcenfreigabe verwalten.
+ Namespace-Benutzer können Services innerhalb des gemeinsam genutzten Namespaces erstellen und verwalten, den Namespace selbst jedoch nicht ändern.
+ Erkennungsnamen müssen innerhalb des gemeinsam genutzten Namespaces eindeutig sein, unabhängig davon, welches Konto den Service erstellt.
+ Dienste im gemeinsam genutzten Namespace können Dienste von anderen AWS Konten, die Zugriff auf den Namespace haben, erkennen und eine Verbindung zu ihnen herstellen.
+ Wenn TLS für Service Connect aktiviert und ein gemeinsam genutzter Namespace verwendet wird, ist die AWS Private CA Zertifizierungsstelle (CA) auf den Namespace beschränkt. Wenn der Zugriff auf den gemeinsam genutzten Namespace gesperrt wird, wird der Zugriff auf die CA gestoppt.
+ Bei der Arbeit mit einem gemeinsam genutzten Namespace haben Namespace-Besitzer und -Verbraucher standardmäßig keinen Zugriff auf kontoübergreifende CloudWatch Amazon-Metriken. Target-Metriken werden nur für Konten veröffentlicht, die Kundenservices besitzen. Ein Konto, dem Kundendienste gehören, hat keinen Zugriff auf Messwerte, die von einem Konto empfangen wurden, das Client-Server-Dienste besitzt, und umgekehrt. Um kontoübergreifenden Zugriff auf Messwerte zu ermöglichen, richten Sie die kontenübergreifende Beobachtbarkeit ein. CloudWatch *Weitere Informationen zur Konfiguration der kontoübergreifenden Observability finden Sie unter [CloudWatch Accountübergreifende Observability](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) im Amazon-Benutzerhandbuch. CloudWatch * Weitere Informationen zu den CloudWatch Metriken für Service Connect finden Sie unter[Amazon CloudWatch ECS-Metriken](available-metrics.md).
# Fehlerbehebung bei Amazon ECS Service Connect mit gemeinsam genutzten AWS Cloud Map Namespaces
Verwenden Sie die folgenden Informationen, um Probleme mit gemeinsam genutzten AWS Cloud Map Namespaces und Service Connect zu beheben. Weitere Informationen zum Auffinden von Fehlermeldungen finden Sie unter [Amazon-ECS-Fehlerbehebung](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/troubleshooting.html).
Fehlermeldungen im Zusammenhang mit Berechtigungsproblemen werden angezeigt, wenn Berechtigungen fehlen oder der Zugriff auf den Namespace gesperrt wurde.
**Wichtig**
Sie müssen die `AWSRAMPermissionCloudMapECSFullPermission`-verwaltete Berechtigung verwenden, um den Namespace gemeinsam zu nutzen, damit Service Connect ordnungsgemäß mit dem Namespace funktioniert.
Die Fehlermeldung wird in einem der folgenden Formate angezeigt:
Beim Aufrufen der Operation < OperationName > ist ein Fehler aufgetreten (ClientException): Der Benutzer: arn:aws:iam: :user/ ist nicht berechtigt,: < > für die Ressource: < > auszuführen, da keine ressourcenbasierte Richtlinie die Aktion < > ActionName zulässt ResourceArn ActionName
Die folgenden Szenarien können zu einer Fehlermeldung in diesem Format führen:
**Fehler bei der Cluster-Erstellung oder -aktualisierung**
Diese Probleme treten auf, wenn Amazon ECS-Operationen aufgrund `UpdateCluster` fehlender AWS Cloud Map Berechtigungen fehlschlagen `CreateCluster` oder fehlschlagen. Für die Operationen sind Berechtigungen für die folgenden AWS Cloud Map Aktionen erforderlich:
+ `servicediscovery:GetNamespace`
Stellen Sie sicher, dass die Einladung zur Ressourcenfreigabe im Verbraucherkonto akzeptiert wurde und dass der richtige Namespace-ARN in der Service-Connect-Konfiguration verwendet wird.
**Fehler bei der Service-Erstellung oder -Aktualisierung**
Diese Probleme treten auf, wenn Amazon ECS-Operationen aufgrund `UpdateService` fehlender AWS Cloud Map Berechtigungen fehlschlagen `CreateService` oder fehlschlagen. Für die Operationen sind Berechtigungen für die folgenden AWS Cloud Map Aktionen erforderlich:
+ `servicediscovery:CreateService`
+ `servicediscovery:GetNamespace`
+ `servicediscovery:GetOperation` (zum Erstellen eines neuen AWS Cloud Map -Service)
+ `servicediscovery:GetService` (wenn ein AWS Cloud Map -Service bereits existiert)
Stellen Sie sicher, dass die Einladung zur Ressourcenfreigabe im Verbraucherkonto akzeptiert wurde und dass der richtige Namespace-ARN in der Service-Connect-Konfiguration verwendet wird.
**`ListServicesByNamespace`-Vorgang schlägt fehl**
Dieses Problem tritt auf, wenn der `ListServicesByNamespace`-Vorgang von Amazon ECS fehlschlägt. Der Vorgang erfordert Berechtigungen für die folgenden AWS Cloud Map -Aktionen:
+ `servicediscovery:GetNamespace`
So beheben Sie dieses Problem
+ Stellen Sie sicher, dass das Verbraucherkonto über die `servicediscovery:GetNamespace`-Berechtigung verfügt.
+ Verwenden Sie beim Aufrufen der API den Namespace-ARN, nicht den Namen.
+ Stellen Sie sicher, dass die Ressourcenfreigabe aktiv ist und die Einladung akzeptiert wurde.
Benutzer: ist nicht berechtigt,: < ActionName > auf der Ressource: < ResourceArn > mit einer ausdrücklichen Ablehnung in einer identitätsbasierten Richtlinie auszuführen.
Die folgenden Szenarien können zu einer Fehlermeldung in diesem Format führen:
**Das Löschen des Services schlägt fehl und bleibt im `DRAINING`-Status hängen**
Dieses Problem tritt auf, wenn `DeleteService`-Vorgänge von Amazon ECS aufgrund fehlender `servicediscovery:DeleteService`-Berechtigungen fehlschlagen, wenn der Zugriff auf den Namespace gesperrt wird. Der Service scheint zunächst erfolgreich gelöscht zu werden, bleibt aber im `DRAINING`-Status hängen. Die Fehlermeldung wird als Amazon-ECS-Service-Ereignis angezeigt.
Um dieses Problem zu lösen, muss der Namespace-Besitzer den Namespace mit dem Verbraucherkonto teilen, damit das Löschen des Services abgeschlossen werden kann.
**Aufgaben im Service können nicht ausgeführt werden**
Dieses Problem tritt auf, wenn Aufgaben aufgrund fehlender Berechtigungen nicht gestartet werden können. Die Fehlermeldung wird als Aufgabe-Beendet-Fehler angezeigt. Weitere Informationen finden Sie unter [Aufgabe-Beendet-Fehler in Amazon ECS beheben](resolve-stopped-errors.md).
Die folgenden AWS Cloud Map Aktionen sind für die Ausführung einer Aufgabe erforderlich:
+ `servicediscovery:GetOperation`
+ `servicediscovery:RegisterInstance`
Stellen Sie sicher, dass das Verbraucherkonto über die erforderlichen Berechtigungen verfügt und dass auf den gemeinsam genutzten Namespace zugegriffen werden kann.
**Aufgaben können nicht ordnungsgemäß angehalten werden oder bleiben im `DEACTIVATING`- oder `DEPROVISIONING`-Status hängen**
Dieses Problem tritt auf, wenn sich Aufgaben während des Herunterfahrens aufgrund fehlender Berechtigungen nicht vom AWS Cloud Map Dienst abmelden können. Der Fehler wird als `statusReason` im Aufgabenanhang angezeigt, der über die `DescribeTasks`-API abgerufen werden kann. Weitere Informationen finden Sie [DescribeTasks](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html)in der *Amazon Elastic Container Service API-Referenz*.
Die folgenden AWS Cloud Map Aktionen sind erforderlich, um eine Aufgabe zu beenden:
+ `servicediscovery:DeregisterInstance`
+ `servicediscovery:GetOperation`
Wenn der Zugriff auf den gemeinsam genutzten Namespace gesperrt wird, können Aufgaben im `DEACTIVATING`- oder `DEPROVISIONING`-Status verbleiben, bis der Namespace-Zugriff wiederhergestellt ist. Bitten Sie den Namespace-Besitzer, den Zugriff auf den Namespace wiederherzustellen.