Amazon ECS und Schnittstellen-VPC-Endpunkte (AWS PrivateLink) - Amazon Elastic Container Service
Überlegungen Erstellen der VPC-Endpunkte für Amazon ECSErstellen einer VPC-Endpunktrichtlinie für Amazon ECS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon ECS und Schnittstellen-VPC-Endpunkte (AWS PrivateLink)

Sie können die Sicherheit Ihrer VPC erhöhen, indem Sie Amazon ECS so konfigurieren, dass ein Schnittstellen-VPC-Endpunkt verwendet wird. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie über private IP-Adressen privat auf Amazon ECS APIs zugreifen können. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon ECS auf das Amazon-Netzwerk ein. Sie benötigen kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway.

Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter VPC-Endpunkte im Amazon VPC-Benutzerhandbuch.

Überlegungen

Überlegungen zu Endpunkten in Regionen wurden ab dem 23. Dezember 2023 eingeführt

Seien Sie sich der folgenden Aspekte bewusst, bevor Sie VPC-Endpunkte für Amazon ECS einrichten:

  • Sie müssen über die folgenden regionsspezifischen VPC-Endpunkte verfügen:

    Anmerkung

    Wenn Sie nicht alle Endpunkte konfigurieren, wird Ihr Datenverkehr über die öffentlichen Endpunkte und nicht über Ihren VPC-Endpunkt geleitet.

    • com.amazonaws.region.ecs-agent

    • com.amazonaws.region.ecs-telemetry

    • com.amazonaws.region.ecs

    Beispielsweise benötigt die Region Kanada West (Calgary) (ca-west-1) die folgenden VPC-Endpunkte:

    • com.amazonaws.ca-west-1.ecs-agent

    • com.amazonaws.ca-west-1.ecs-telemetry

    • com.amazonaws.ca-west-1.ecs

  • Wenn Sie eine Vorlage verwenden, um AWS Ressourcen in der neuen Region zu erstellen, und die Vorlage aus einer Region kopiert wurde, die vor dem 23. Dezember 2023 eingeführt wurde, führen Sie je nach Region, aus der kopiert wurde, einen der folgenden Vorgänge aus.

    Die Region, aus der kopiert wurde, ist beispielsweise USA Ost (Nord-Virginia) (us-east-1). Die Copy-to-Region ist Kanada West (Calgary) (ca-west-1).

    Konfiguration Aktion

    Die Region, aus der kopiert wurde, hat keine VPC-Endpunkte.

    Erstellen Sie alle drei VPC-Endpoints für die neue Region (z. B.com.amazonaws.ca-west-1.ecs-agent).

    Die kopierte Region enthält regionsspezifische VPC-Endpunkte.

    1. Erstellen Sie alle drei VPC-Endpoints für die neue Region (z. B.com.amazonaws.ca-west-1.ecs-agent).

    2. Löschen Sie alle drei VPC-Endpoints für die Copy-From-Region (z. B.). com.amazonaws.us-east-1.ecs-agent

Überlegungen zu Amazon-ECS-VPC-Endpunkten für den Starttyp Fargate

Wenn es einen VPC-Endpunkt für ecr.dkr und ecr.api in derselben VPC gibt, in der eine Fargate-Aufgabe bereitgestellt wird, verwendet sie den VPC-Endpunkt. Wenn es keinen VPC-Endpunkt gibt, wird die Fargate-Schnittstelle verwendet.

Seien Sie sich der folgenden Aspekte bewusst, bevor Sie VPC-Endpunkte für Amazon ECS einrichten:

  • Aufgaben, die den Starttyp Fargate verwenden, benötigen nicht die Schnittstellen-VPC-Endpunkte für Amazon ECS. Möglicherweise benötigen Sie jedoch Schnittstellen-VPC-Endpunkte für Amazon ECR, Secrets Manager oder Amazon CloudWatch Logs, die in den folgenden Punkten beschrieben werden.

    • Damit Ihre Aufgaben private Images von Amazon ECR abrufen können, müssen Sie Schnittstellen-VPC-Endpunkte für Amazon ECR erstellen. Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon Elastic Container-Registry-Benutzerhandbuch.

      Wichtig

      Wenn Sie Amazon ECR für die Verwendung eines Schnittstellen-VPC-Endpunkts konfigurieren, können Sie eine Aufgabenausführungsrolle erstellen, die die Bedingungsschlüssel für die Einschränkung des Zugriffs auf eine bestimmte VPC oder einen bestimmten VPC-Endpunkt enthält. Weitere Informationen finden Sie unter Fargate-Aufgaben: Abrufen von Amazon ECR-Images über die Berechtigungen von Schnittstellen-Endpunkten.

    • Damit Ihre Aufgaben sensitive Daten von Secrets Manager abrufen können, müssen Sie die Schnittstellen-VPC-Endpunkte für Secrets Manager erstellen. Weitere Informationen finden Sie unter Verwenden von Secrets Manager mit VPC-Endpunkten im AWS Secrets Manager -Benutzerhandbuch.

    • Wenn Ihre VPC kein Internet-Gateway hat und Ihre Aufgaben den awslogs Protokolltreiber verwenden, um CloudWatch Protokollinformationen an Logs zu senden, müssen Sie einen VPC-Schnittstellen-Endpunkt für CloudWatch Logs erstellen. Weitere Informationen finden Sie unter Using CloudWatch Logs with Interface VPC Endpoints im Amazon CloudWatch Logs-Benutzerhandbuch.

  • VPC-Endpunkte unterstützen derzeit keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt innerhalb derselben Region erstellen, in der Sie Ihre API-Aufrufe an Amazon ECS ausgeben möchten. Nehmen wir zum Beispiel an, Sie möchten Aufgaben in USA Ost (Nord-Virginia) ausführen. Anschließend müssen Sie den Amazon-ECS-VPC-Endpunkt in USA Ost (Nord-Virginia) erstellen. Ein in einer anderen Region erstellter Amazon-ECS-VPC-Endpunkt kann keine Aufgaben in USA Ost (Nord-Virginia) ausführen.

  • VPC-Endpunkte unterstützen nur von Amazon bereitgestellten DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf TCP-Port 443 aus dem privaten Subnetz der VPC zulassen.

  • Die Service-Connect-Verwaltung des Envoy-Proxys verwendet den com.amazonaws.region.ecs-agent-VPC-Endpunkt. Wenn Sie die VPC-Endpunkte nicht verwenden, verwendet die Service-Connect-Verwaltung des Envoy-Proxys den ecs-sc-Endpunkt in dieser Region. Eine Liste der Amazon-ECS-Endpunkte in jeder Region finden Sie unter Amazon-ECS-Endpunkte und Kontingente.

Überlegungen zu Amazon ECS-VPC-Endpunkten für den Starttyp EC2

Seien Sie sich der folgenden Aspekte bewusst, bevor Sie VPC-Endpunkte für Amazon ECS einrichten:

  • Aufgaben, die den EC2 Starttyp verwenden, erfordern, dass die Container-Instances, auf denen sie gestartet werden, Version 1.25.1 oder höher des Amazon ECS-Container-Agenten ausführen. Weitere Informationen finden Sie unter Verwaltung von Amazon ECS Linux-Container-Instances.

  • Damit Ihre Aufgaben sensitive Daten von Secrets Manager abrufen können, müssen Sie die Schnittstellen-VPC-Endpunkte für Secrets Manager erstellen. Weitere Informationen finden Sie unter Verwenden von Secrets Manager mit VPC-Endpunkten im AWS Secrets Manager -Benutzerhandbuch.

  • Wenn Ihre VPC kein Internet-Gateway hat und Ihre Aufgaben den awslogs Protokolltreiber verwenden, um CloudWatch Protokollinformationen an Logs zu senden, müssen Sie einen VPC-Schnittstellen-Endpunkt für CloudWatch Logs erstellen. Weitere Informationen finden Sie unter Using CloudWatch Logs with Interface VPC Endpoints im Amazon CloudWatch Logs-Benutzerhandbuch.

  • VPC-Endpunkte unterstützen derzeit keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt innerhalb derselben Region erstellen, in der Sie Ihre API-Aufrufe an Amazon ECS ausgeben möchten. Nehmen wir zum Beispiel an, Sie möchten Aufgaben in USA Ost (Nord-Virginia) ausführen. Anschließend müssen Sie den Amazon-ECS-VPC-Endpunkt in USA Ost (Nord-Virginia) erstellen. Ein Amazon ECS-VPC-Endpunkt, der in einer anderen Region erstellt wurde, kann keine Aufgaben in USA Ost (Nord-Virginia) ausführen.

  • VPC-Endpunkte unterstützen nur von Amazon bereitgestellten DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf TCP-Port 443 aus dem privaten Subnetz der VPC zulassen.

Erstellen der VPC-Endpunkte für Amazon ECS

Um den VPC-Endpunkt für den Amazon ECS-Service zu erstellen, verwenden Sie das Verfahren Access an AWS service using an interface VPC-Endpoint im Amazon VPC-Benutzerhandbuch, um die folgenden Endpunkte zu erstellen. Wenn in Ihrer VPC Container-Instances vorhanden sind, sollten Sie die Endpunkte in der Reihenfolge erstellen, in der sie aufgelistet werden. Wenn Sie vorhaben, Ihre Container-Instances nach Ihrem VPC-Endpunkt zu erstellen, dann spielt die Reihenfolge keine Rolle.

Anmerkung

Wenn Sie nicht alle Endpunkte konfigurieren, wird Ihr Datenverkehr über die öffentlichen Endpunkte und nicht über Ihren VPC-Endpunkt geleitet.

Wenn Sie Endpoints erstellen, erstellt Amazon ECS auch einen privaten DNS-Namen für den Endpunkt. Zum Beispiel für ecs-Agent und ecs-a.region.amazonaws.com ecs-t.region.amazonaws.com für ecs-Telemetrie.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

Anmerkung

regionsteht für die Regionskennung für eine AWS Region, die von Amazon ECS unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio).

Der ecs-agent Endpunkt verwendet die ecs:poll API, und der ecs-telemetry Endpunkt verwendet die ecs:poll ecs:StartTelemetrySession AND-API.

Wenn Sie bereits Aufgaben haben, die den EC2 Starttyp verwenden, muss nach dem Erstellen der VPC-Endpoints jede Container-Instance die neue Konfiguration übernehmen. Damit dies möglich ist, müssen Sie entweder jede Container-Instance neu starten oder den Amazon-ECS-Container-Agenten für jede Container-Instance neu starten. Um den Container-Agenten neu zu starten, führen Sie die folgenden Schritte aus.

Neustarten des Amazon-ECS-Container-Agenten

  1. Melden Sie sich bei Ihrer Container-Instance über SSH an.

  2. Halten Sie den Container-Agent an.

    sudo docker stop ecs-agent

  3. Starten Sie den Container-Agenten.

    sudo docker start ecs-agent

Nachdem Sie die VPC-Endpunkte erstellt haben und der Amazon-ECS-Container-Agent für jede Container-Instance neu gestartet wurde, wird die neue Konfiguration von allen neu gestarteten Aufgaben übernommen.

Erstellen einer VPC-Endpunktrichtlinie für Amazon ECS

Sie können eine Endpunktrichtlinie an Ihren VPC-Endpunkt anhängen, der den Zugriff auf Amazon ECS steuert. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Beispiel: VPC-Endpunktrichtlinie für Amazon-ECS-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon ECS. Wenn diese Richtlinie an einen Endpunkt angefügt wird, gewährt sie Zugriff auf die Berechtigung zum Erstellen und Auflisten von Clustern. Die Aktionen CreateCluster und ListClusters akzeptieren keine Ressourcen, daher wird die Ressourcendefinition auf * für alle Ressourcen festgelegt. 

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}