Überlegungen zu Linux Überlegungen zu Windows Verwendung von VPC im Dual-Stack-Modus

Weisen Sie einer ECS Amazon-Aufgabe eine Netzwerkschnittstelle zu

Die vom Netzwerkmodus bereitgestellten awsvpc Task-Netzwerkfunktionen verleihen ECS Amazon-Aufgaben dieselben Netzwerkeigenschaften wie EC2 Amazon-Instances. Die Verwendung des awsvpc Netzwerkmodus vereinfacht Container-Netzwerke, da Sie mehr Kontrolle darüber haben, wie Ihre Anwendungen miteinander und mit anderen Diensten innerhalb Ihres Netzwerks kommunizierenVPCs. Der awsvpc Netzwerkmodus bietet auch mehr Sicherheit für Ihre Container, da Sie innerhalb Ihrer Aufgaben Sicherheitsgruppen und Netzwerküberwachungstools auf einer detaillierteren Ebene verwenden können. Sie können auch andere EC2 Amazon-Netzwerkfunktionen wie VPC Flow Logs verwenden, um den Verkehr zu und von Ihren Aufgaben zu überwachen. Außerdem können Container, die zur selben Aufgabe gehören, über die Schnittstelle localhostkommunizieren.

Die Aufgabe elastic network interface (ENI) ist eine vollständig verwaltete Funktion von AmazonECS. Amazon ECS erstellt die ENI und fügt sie der EC2 Host-Amazon-Instance mit der angegebenen Sicherheitsgruppe hinzu. Die Aufgabe sendet und empfängt Netzwerkverkehr auf die ENI gleiche Weise wie EC2 Amazon-Instances mit ihren primären Netzwerkschnittstellen. Jeder Aufgabe ENI wird standardmäßig eine private IPv4 Adresse zugewiesen. Wenn Ihr für den Dual-Stack-Modus aktiviert VPC ist und Sie ein Subnetz mit einem IPv6 CIDR Block verwenden, erhält die Aufgabe ENI auch eine IPv6 Adresse. Jede Aufgabe kann nur eine haben. ENI

Diese ENIs sind in der EC2 Amazon-Konsole für Ihr Konto sichtbar. Ihr Konto kann das nicht trennen oder ändern. ENIs Dadurch soll verhindert werden, dass versehentlich eine Datei gelöscht wirdENI, die mit einer laufenden Aufgabe verknüpft ist. Sie können die ENI Anhangsinformationen für Aufgaben in der ECS Amazon-Konsole oder während des DescribeTasksAPIVorgangs anzeigen. Wenn die Aufgabe beendet oder der Service heruntergefahren wird, ENI wird die Aufgabe getrennt und gelöscht.

Wenn Sie eine höhere ENI Dichte benötigen, verwenden Sie die awsvpcTrunking Kontoeinstellungen. Amazon erstellt ECS auch eine „Trunk“ -Netzwerkschnittstelle für Ihre Container-Instance und fügt sie an. Das Trunk-Netzwerk wird vollständig von Amazon verwaltetECS. Der Trunk ENI wird gelöscht, wenn Sie Ihre Container-Instance entweder beenden oder vom ECS Amazon-Cluster abmelden. Weitere Informationen zu den awsvpcTrunking Kontoeinstellungen finden Sie unter. Voraussetzungen

Sie geben awsvpc dies im networkMode Parameter der Aufgabendefinition an. Weitere Informationen finden Sie unter Netzwerkmodus.

Wenn Sie dann eine Aufgabe ausführen oder einen Dienst erstellen, verwenden Sie den networkConfiguration Parameter, der ein oder mehrere Subnetze zum Platzieren Ihrer Aufgaben und eine oder mehrere Sicherheitsgruppen zum Anhängen an eine ENI enthält. Weitere Informationen finden Sie unter Netzwerkkonfiguration. Die Aufgaben werden auf kompatiblen EC2 Amazon-Instances in denselben Availability Zones wie diese Subnetze platziert, und die angegebenen Sicherheitsgruppen sind den ENI für die Aufgabe bereitgestellten zugewiesen.

Überlegungen zu Linux

Beachten Sie Folgendes, wenn Sie das Linux-Betriebssystem verwenden.

Wenn Sie eine p5.48xlarge-Instance im awsvpc Modus verwenden, können Sie nicht mehr als eine Aufgabe auf der Instance ausführen.
Für Aufgaben und Dienste, die den awsvpc Netzwerkmodus verwenden, ist die ECS serviceverknüpfte Rolle von Amazon erforderlich, um Amazon ECS die Berechtigungen zu erteilen, in Ihrem Namen Anrufe an andere AWS Dienste zu tätigen. Diese Rolle wird automatisch für Sie erstellt, wenn Sie einen Cluster erstellen oder wenn Sie einen Service in der AWS Management Console erstellen oder aktualisieren. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon ECS. Sie können die dienstbezogene Rolle auch mit dem folgenden AWS CLI Befehl erstellen:
```
aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com
```
Ihre Amazon EC2 Linux-Instance benötigt Version 1.15.0 oder höher des Container-Agents, um Aufgaben auszuführen, die den awsvpc Netzwerkmodus verwenden. Wenn Sie eine für Amazon ECS optimierte Version verwendenAMI, benötigt Ihre Instance auch mindestens 1.15.0-4 eine Version des ecs-init Pakets.
Amazon ECS füllt den Hostnamen der Aufgabe mit einem von Amazon bereitgestellten (internen) DNS Hostnamen auf, wenn enableDnsHostnames sowohl die enableDnsSupport Optionen als auch auf Ihrem aktiviert sind. VPC Wenn diese Optionen nicht aktiviert sind, wird der DNS Hostname der Aufgabe auf einen zufälligen Hostnamen gesetzt. Weitere Informationen zu den DNS Einstellungen für a VPC finden Sie unter DNSUsing with Your VPC im VPCAmazon-Benutzerhandbuch.
Jede ECS Amazon-Aufgabe, die den awsvpc Netzwerkmodus verwendet, erhält ihre eigene elastic network interface (ENI), die an die EC2 Amazon-Instance angehängt ist, die sie hostet. Es gibt ein Standardkontingent für die Anzahl der Netzwerkschnittstellen, die an eine Amazon EC2 Linux-Instance angehängt werden können. Dabei zählt die primäre Netzwerkschnittstelle als eine Einheit. Beispielsweise kann eine c5.large Instance standardmäßig nur über bis zu drei verfügenENIs, die an sie angehängt werden können. Die primäre Netzwerkschnittstelle für die Instance zählt dazu. Sie können der Instanz zwei weitere ENIs hinzufügen. Da für jede Aufgabe, die den awsvpc Netzwerkmodus verwendetENI, eine erforderlich ist, können Sie für diesen Instance-Typ in der Regel nur zwei solcher Aufgaben ausführen. Weitere Informationen zu den ENI Standardlimits für jeden Instance-Typ finden Sie unter IP-Adressen pro Netzwerkschnittstelle pro Instance-Typ im EC2Amazon-Benutzerhandbuch.
Amazon ECS unterstützt die Einführung von Amazon EC2 Linux-Instances, die unterstützte Instance-Typen mit erhöhter ENI Dichte verwenden. Wenn Sie sich für die awsvpcTrunking Kontoeinstellungen entscheiden und Amazon EC2 Linux-Instances, die diese Instance-Typen verwenden, in Ihrem Cluster registrieren, haben diese Instances ein höheres ENI Kontingent. Wenn Sie diese Instances mit diesem höheren Kontingent verwenden, können Sie jeder Amazon EC2 Linux-Instance mehr Aufgaben zuweisen. Um die erhöhte ENI Dichte mit der Trunking-Funktion nutzen zu können, muss Ihre EC2 Amazon-Instance Version 1.28.1 oder höher des Container-Agents verwenden. Wenn Sie eine für Amazon ECS optimierte Version verwendenAMI, benötigt Ihre Instance außerdem mindestens eine Version 1.28.1-2 des ecs-init Pakets. Weitere Informationen zum Aktivieren der awsvpcTrunking-Kontoeinstellung finden Sie unter Greifen Sie mit den Kontoeinstellungen auf ECS Amazon-Funktionen zu. Weitere Informationen zum ENI Trunking finden Sie unter. Zunehmende Netzwerkschnittstellen für Amazon ECS Linux-Container-Instances
Wenn Sie Aufgaben hosten, die den awsvpc Netzwerkmodus auf Amazon EC2 Linux-Instances verwenden, erhält Ihre Aufgabe ENIs keine öffentlichen IP-Adressen. Um auf das Internet zugreifen zu können, müssen Aufgaben in einem privaten Subnetz gestartet werden, das für die Verwendung eines NAT Gateways konfiguriert ist. Weitere Informationen finden Sie unter NATGateways im VPCAmazon-Benutzerhandbuch. Eingehender Netzwerkzugriff muss von einem aus erfolgen, der VPC die private IP-Adresse verwendet, oder er muss über einen Load Balancer von innerhalb des geleitet werden. VPC Aufgaben, die in öffentlichen Subnetzen gestartet werden, haben keinen Zugriff auf das Internet.
Amazon ECS erkennt nur die DateienENIs, die es an Ihre Amazon EC2 Linux-Instances anhängt. Wenn Sie Ihre Instances manuell ENIs angehängt haben, versucht Amazon ECS möglicherweise, einer Instance, die nicht über genügend Netzwerkadapter verfügt, eine Aufgabe hinzuzufügen. Das kann zu einem Timout bei der Aufgabe führen, sodass diese in den Status der Aufhebung der Bereitstellung übergeht und dann gestoppt wird. Wir empfehlen, dass Sie eine Verbindung ENIs zu Ihren Instances nicht manuell herstellen.
Amazon EC2 Linux-Instances müssen mit der ecs.capability.task-eni Fähigkeit registriert sein, um für die Vergabe von Aufgaben im awsvpc Netzwerkmodus in Betracht gezogen zu werden. Instances, die Version 1.15.0-4 oder höher von ecs-init ausführen, werden automatisch mit diesem Attribut registriert.
Die ENIs erstellten und an Ihre Amazon EC2 Linux-Instances angehängten Instances können nicht manuell getrennt oder von Ihrem Konto geändert werden. Dadurch soll verhindert werden, dass versehentlich eine Datei gelöscht wirdENI, die mit einer laufenden Aufgabe verknüpft ist. Um das ENIs für eine Aufgabe freizugeben, beenden Sie die Aufgabe.
Es gilt eine Beschränkung von 16 Subnetzen und 5 Sicherheitsgruppen, die in awsVpcConfiguration angegeben werden können, wenn eine Aufgabe ausgeführt oder ein Service erstellt wird, der den awsvpc-Netzwerkmodus verwendet. Weitere Informationen finden Sie AwsVpcConfigurationin der Amazon Elastic Container Service API Reference.
Wenn eine Aufgabe im awsvpc Netzwerkmodus gestartet wird, erstellt der ECS Amazon-Container-Agent für jede Aufgabe einen zusätzlichen pause Container, bevor er die Container in der Aufgabendefinition startet. Anschließend konfiguriert er den Netzwerk-Namespace des pause Containers, indem er die Plugins ausführt. amazon-ecs-cni-plugins CNI Dann startet der Agent die restlichen Container in der Aufgabe, sodass sie den Netzwerk-Stack des pause-Containers gemeinsam verwenden. Das bedeutet, dass alle Container in einer Aufgabe über die IP-Adressen von adressierbar sind und über die ENI Schnittstelle miteinander kommunizieren können. localhost
Services mit Aufgaben, die denawsvpc-Netzwerkmodus verwenden, unterstützen nur Application Load Balancer und Network Load Balancer. Wenn Sie eine beliebige Zielgruppe für diese Services erstellen, müssen Sie zudem ip als Zieltyp auswählen. Verwenden Sie nicht instance. Dies liegt daran, dass Aufgaben, die den awsvpc Netzwerkmodus verwenden, mit einer Amazon Linux-Instance verknüpft sindENI, nicht mit einer Amazon EC2 Linux-Instance. Weitere Informationen finden Sie unter Verwenden Sie Load Balancing, um den ECS Amazon-Servicetraffic zu verteilen.
Wenn Ihr VPC System aktualisiert wird, um den verwendeten DHCP Optionssatz zu ändern, können Sie diese Änderungen nicht auf bestehende Aufgaben anwenden. Starten Sie neue Aufgaben, für die diese Änderungen übernommen wurden. Überprüfen Sie, ob sie ordnungsgemäß funktionieren, und beenden Sie dann die vorhandenen Aufgaben, um diese Netzwerkkonfigurationen sicher zu ändern.

Überlegungen zu Windows

Beachten Sie Folgendes, wenn Sie das Windows-Betriebssystem verwenden:

Container-Instances, die den ECS für Amazon optimierten Windows Server 2016 verwenden, AMI können keine Aufgaben hosten, die den awsvpc Netzwerkmodus verwenden. Wenn Sie über einen Cluster verfügen, der ECS für Amazon optimiertes Windows Server 2016 AMIs und Windows enthält, AMIs das den awsvpc Netzwerkmodus unterstützt, werden Aufgaben, die den awsvpc Netzwerkmodus verwenden, nicht auf den Windows 2016 Server-Instances gestartet. Vielmehr werden sie auf Instances gestartet, die den awsvpc-Netzwerkmodus unterstützen.
Ihre Amazon EC2 Windows-Instance benötigt Version 1.57.1 oder höher des Container-Agenten, um CloudWatch Metriken für Windows-Container zu verwenden, die den awsvpc Netzwerkmodus verwenden.
Für Aufgaben und Dienste, die den awsvpc Netzwerkmodus verwenden, ist die ECS serviceverknüpfte Rolle von Amazon erforderlich, um Amazon ECS die Berechtigungen zu erteilen, in Ihrem Namen Anrufe an andere AWS Dienste zu tätigen. Diese Rolle wird automatisch für Sie erstellt, wenn Sie einen Cluster erstellen oder wenn Sie einen Service in AWS Management Console erstellen oder aktualisieren. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon ECS. Sie können die dienstbezogene Rolle auch mit dem folgenden AWS CLI Befehl erstellen.
```
aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com
```
Ihre Amazon EC2 Windows-Instance benötigt Version 1.54.0 oder höher des Container-Agenten, um Aufgaben auszuführen, die den awsvpc Netzwerkmodus verwenden. Wenn Sie auf der Instance ein Bootstrap ausführen, müssen Sie die Optionen konfigurieren, die für den awsvpc-Netzwerkmodus erforderlich sind. Weitere Informationen finden Sie unter Bootstrapping von Amazon ECS Windows-Container-Instances zur Datenübergabe.
Amazon ECS füllt den Hostnamen der Aufgabe mit einem von Amazon bereitgestellten (internen) DNS Hostnamen auf, wenn enableDnsHostnames sowohl die enableDnsSupport Optionen als auch auf Ihrem aktiviert sind. VPC Wenn diese Optionen nicht aktiviert sind, ist der DNS Hostname der Aufgabe ein zufälliger Hostname. Weitere Informationen zu den DNS Einstellungen für a VPC finden Sie unter DNSUsing with Your VPC im VPCAmazon-Benutzerhandbuch.
Jede ECS Amazon-Aufgabe, die den awsvpc Netzwerkmodus verwendet, erhält ihre eigene elastic network interface (ENI), die mit der Amazon EC2 Windows-Instance verbunden ist, die sie hostet. Es gibt ein Standardkontingent für die Anzahl der Netzwerkschnittstellen, die an eine Amazon EC2 Windows-Instance angehängt werden können. Dabei zählt die primäre Netzwerkschnittstelle als eine Einheit. Beispielsweise können einer c5.large Instance standardmäßig nur bis zu drei ENIs zugeordnet sein. Die primäre Netzwerkschnittstelle für die Instance zählt dazu. Sie können der Instanz zwei weitere ENIs hinzufügen. Da für jede Aufgabe, die den awsvpc Netzwerkmodus verwendetENI, eine erforderlich ist, können Sie in der Regel nur zwei solcher Aufgaben auf diesem Instanztyp ausführen. Weitere Informationen zu den ENI Standardlimits für jeden Instance-Typ finden Sie unter IP-Adressen pro Netzwerkschnittstelle pro Instance-Typ im EC2Amazon-Benutzerhandbuch.
Wenn Sie Aufgaben hosten, die den awsvpc Netzwerkmodus auf Amazon EC2 Windows-Instances verwenden, erhält Ihre Aufgabe ENIs keine öffentlichen IP-Adressen. Um auf das Internet zuzugreifen, starten Sie Aufgaben in einem privaten Subnetz, das für die Verwendung eines NAT Gateways konfiguriert ist. Weitere Informationen finden Sie unter NATGateways im VPCAmazon-Benutzerhandbuch. Eingehender Netzwerkzugriff muss von einem Standort aus erfolgenVPC, der die private IP-Adresse verwendet, oder er muss über einen Load Balancer von innerhalb des geleitet werden. VPC Aufgaben, die in öffentlichen Subnetzen gestartet werden, haben keinen Zugriff auf das Internet.
Amazon ECS erkennt nur ENIs das, was es an Ihre Amazon EC2 Windows-Instance angehängt hat. Wenn Sie Ihre Instances manuell ENIs angehängt haben, versucht Amazon ECS möglicherweise, einer Instance, die nicht über genügend Netzwerkadapter verfügt, eine Aufgabe hinzuzufügen. Das kann zu einem Timout bei der Aufgabe führen, sodass diese in den Status der Aufhebung der Bereitstellung übergeht und dann gestoppt wird. Wir empfehlen, dass Sie eine Verbindung ENIs zu Ihren Instances nicht manuell herstellen.
Amazon EC2 Windows-Instances müssen mit der ecs.capability.task-eni Fähigkeit registriert sein, für die Vergabe von Aufgaben im awsvpc Netzwerkmodus in Betracht gezogen zu werden.
Sie können die erstellten und an Ihre Amazon EC2 Windows-Instances angehängten Dateien nicht manuell ändern oder trennenENIs. Dadurch soll verhindert werden, dass Sie versehentlich eine löschenENI, die mit einer laufenden Aufgabe verknüpft ist. Um das ENIs für eine Aufgabe freizugeben, beenden Sie die Aufgabe.
Sie können nur bis zu 16 Subnetze und 5 Sicherheitsgruppen in awsVpcConfiguration angeben, wenn Sie Aufgaben ausführen oder Services erstellen, die den awsvpc-Netzwerkmodus verwenden. Weitere Informationen finden Sie AwsVpcConfigurationin der Amazon Elastic Container Service API Reference.
Wenn eine Aufgabe im awsvpc Netzwerkmodus gestartet wird, erstellt der ECS Amazon-Container-Agent für jede Aufgabe einen zusätzlichen pause Container, bevor er die Container in der Aufgabendefinition startet. Anschließend konfiguriert er den Netzwerk-Namespace des pause Containers, indem er die Plugins ausführt. amazon-ecs-cni-plugins CNI Dann startet der Agent die restlichen Container in der Aufgabe, sodass sie den Netzwerk-Stack des pause-Containers gemeinsam verwenden. Das bedeutet, dass alle Container in einer Aufgabe über die IP-Adressen von adressierbar sind und über die ENI Schnittstelle miteinander kommunizieren können. localhost
Services mit Aufgaben, die denawsvpc-Netzwerkmodus verwenden, unterstützen nur Application Load Balancer und Network Load Balancer. Wenn Sie eine beliebige Zielgruppe für diese Services erstellen, müssen Sie ip als Zieltyp auswählen, und nicht instance. Dies liegt daran, dass Aufgaben, die den awsvpc Netzwerkmodus verwenden, mit einer Amazon Windows-Instance verknüpft sindENI, nicht mit einer Amazon EC2 Windows-Instance. Weitere Informationen finden Sie unter Verwenden Sie Load Balancing, um den ECS Amazon-Servicetraffic zu verteilen.
Wenn Ihr VPC System aktualisiert wird, um die verwendeten DHCP Optionen zu ändern, können Sie diese Änderungen nicht auf bestehende Aufgaben anwenden. Starten Sie neue Aufgaben, für die diese Änderungen übernommen wurden. Überprüfen Sie, ob sie ordnungsgemäß funktionieren, und beenden Sie dann die vorhandenen Aufgaben, um diese Netzwerkkonfigurationen sicher zu ändern.
Folgendes wird nicht unterstützt, wenn Sie den awsvpc Netzwerkmodus in einer EC2 Windows-Konfiguration verwenden:
- Dual-Stack-Konfiguration
- IPv6
- ENIBündelung

Verwendung von VPC im Dual-Stack-Modus

Wenn Sie einen VPC im Dual-Stack-Modus verwenden, können Ihre Aufgaben über IPv4 oder oder beides IPv6 kommunizieren. IPv4und IPv6 Adressen sind unabhängig voneinander. Daher müssen Sie Routing und Sicherheit in Ihrem VPC separat für IPv4 und konfigurierenIPv6. Weitere Informationen zur Konfiguration Ihres VPC Dual-Stack-Modus finden Sie unter Migration zu IPv6 im VPCAmazon-Benutzerhandbuch.

Wenn Sie Ihr Gerät VPC mit einem Internet-Gateway oder einem Internet-Gateway nur für ausgehende Verbindungen konfiguriert haben, können Sie Ihr Gerät im Dual-Stack-Modus verwenden. VPC Auf diese Weise können Aufgaben, denen eine IPv6 Adresse zugewiesen wurde, über ein Internet-Gateway oder ein Internet-Gateway nur für ausgehenden Datenverkehr auf das Internet zugreifen. NATGateways sind optional. Weitere Informationen finden Sie unter Internet-Gateways und Internet-Gateways nur für ausgehenden Ausgang im Amazon-Benutzerhandbuch. VPC

ECSAmazon-Aufgaben wird eine IPv6 Adresse zugewiesen, wenn die folgenden Bedingungen erfüllt sind:

Die Amazon EC2 Linux-Instance, die die Aufgabe hostet, verwendet Version 1.45.0 oder höher des Container-Agents. Informationen zum Überprüfen der Agent-Version, die Ihre Instance verwendet, und bei Bedarf aktualisieren, finden Sie unter Den ECS Amazon-Container-Agenten aktualisieren.
Die Kontoeinstellung dualStackIPv6 ist aktiviert. Weitere Informationen finden Sie unter Greifen Sie mit den Kontoeinstellungen auf ECS Amazon-Funktionen zu.
Ihre Aufgabe verwendet den Netzwerkmodus awsvpc.
Ihr VPC und das Subnetz sind für IPv6 konfiguriert. Die Konfiguration enthält die Netzwerkschnittstellen, die im angegebenen Subnetz erstellt werden. Weitere Informationen zur Konfiguration Ihres VPC Dual-Stack-Modus finden Sie unter Migration zu IPv6 und Ändern des IPv6 Adressierungsattributs für Ihr Subnetz im VPCAmazon-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aufgabenvernetzung für den EC2 Starttyp

Host-Netzwerkmodus