ECSVPCAmazon-Schnittstellenendpunkte ()AWS PrivateLink - Amazon Elastic Container Service
Überlegungen VPCEndpoints für Amazon erstellen ECSEine VPC Endpunktrichtlinie für Amazon erstellen ECS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ECSVPCAmazon-Schnittstellenendpunkte ()AWS PrivateLink

Sie können Ihren Sicherheitsstatus verbessern, VPC indem Sie Amazon ECS für die Verwendung eines VPC Schnittstellenendpunkts konfigurieren. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie über private IP-Adressen privat auf Amazon ECS APIs zugreifen können. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihnen VPC und Amazon ECS auf das Amazon-Netzwerk ein. Sie benötigen kein Internet-Gateway, kein NAT Gerät oder ein virtuelles privates Gateway.

Weitere Informationen zu AWS PrivateLink VPC Endpunkten finden Sie unter VPCEndpoints im VPCAmazon-Benutzerhandbuch.

Überlegungen

Überlegungen zu Endpunkten in Regionen wurden ab dem 23. Dezember 2023 eingeführt

Bevor Sie VPC Schnittstellenendpunkte für Amazon einrichtenECS, sollten Sie die folgenden Überlegungen beachten:

  • Sie müssen über die folgenden regionsspezifischen Endpunkte VPC verfügen:

    Anmerkung

    Wenn Sie nicht alle Endpunkte konfigurieren, wird Ihr Datenverkehr über die öffentlichen Endpunkte und nicht über Ihren Endpunkt geleitet. VPC

    • com.amazonaws.region.ecs-agent

    • com.amazonaws.region.ecs-telemetry

    • com.amazonaws.region.ecs

    Beispielsweise benötigt die Region Kanada West (Calgary) (ca-west-1) die folgenden Endpunkte: VPC

    • com.amazonaws.ca-west-1.ecs-agent

    • com.amazonaws.ca-west-1.ecs-telemetry

    • com.amazonaws.ca-west-1.ecs

  • Wenn Sie eine Vorlage verwenden, um AWS Ressourcen in der neuen Region zu erstellen, und die Vorlage aus einer Region kopiert wurde, die vor dem 23. Dezember 2023 eingeführt wurde, führen Sie je nach Region, aus der kopiert wurde, einen der folgenden Vorgänge aus.

    Die Region, aus der kopiert wurde, ist beispielsweise USA Ost (Nord-Virginia) (us-east-1). Die Copy-to-Region ist Canada West (Calgary) (ca-west-1).

    Konfiguration Aktion

    Die Region, aus der kopiert wurde, hat keine Endpunkte. VPC

    Erstellen Sie alle drei VPC Endpunkte für die neue Region (z. B.). com.amazonaws.ca-west-1.ecs-agent

    Die Region, aus der kopiert wurde, enthält regionsspezifische Endpunkte. VPC

    1. Erstellen Sie alle drei VPC Endpunkte für die neue Region (z. B.). com.amazonaws.ca-west-1.ecs-agent

    2. Löschen Sie alle drei VPC Endpunkte für die Region, aus der kopiert wurde (z. B.). com.amazonaws.us-east-1.ecs-agent

Überlegungen zu ECS VPC Amazon-Endpunkten für den Starttyp Fargate

Wenn es einen VPC Endpunkt für ecr.dkr und ecr.api in demselben gibt, auf VPC dem eine Fargate-Aufgabe bereitgestellt wird, verwendet sie den VPC Endpunkt. Wenn es keinen VPC Endpunkt gibt, wird die Fargate-Schnittstelle verwendet.

Bevor Sie VPC Schnittstellenendpunkte für Amazon einrichtenECS, sollten Sie die folgenden Überlegungen beachten:

  • Aufgaben, die den Starttyp Fargate verwenden, benötigen nicht die VPC Schnittstellenendpunkte für AmazonECS, aber Sie benötigen möglicherweise VPC Schnittstellenendpunkte für AmazonECR, Secrets Manager oder Amazon CloudWatch Logs, die in den folgenden Punkten beschrieben werden.

    • Damit Ihre Aufgaben private Images von Amazon abrufen könnenECR, müssen Sie die VPC Schnittstellenendpunkte für Amazon ECR erstellen. Weitere Informationen finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im Amazon Elastic Container Registry-Benutzerhandbuch.

      Wichtig

      Wenn Sie Amazon für ECR die Verwendung eines VPC Schnittstellenendpunkts konfigurieren, können Sie eine Aufgabenausführungsrolle erstellen, die Bedingungsschlüssel enthält, um den Zugriff auf einen bestimmten VPC Endpunkt VPC einzuschränken. Weitere Informationen finden Sie unter Fargate-Aufgaben: Abrufen von ECR Amazon-Bildern über die Berechtigungen von Benutzeroberflächenendpunkten.

    • Damit Ihre Aufgaben vertrauliche Daten aus Secrets Manager abrufen können, müssen Sie die VPC Schnittstellenendpunkte für Secrets Manager erstellen. Weitere Informationen finden Sie unter Verwenden von Secrets Manager mit VPC Endpunkten im AWS Secrets Manager Benutzerhandbuch.

    • Wenn Sie VPC kein Internet-Gateway haben und Ihre Aufgaben den awslogs Protokolltreiber verwenden, um CloudWatch Protokollinformationen an Logs zu senden, müssen Sie einen VPC Schnittstellenendpunkt für CloudWatch Logs erstellen. Weitere Informationen finden Sie unter Using CloudWatch Logs with Interface VPC Endpoints im Amazon CloudWatch Logs-Benutzerhandbuch.

  • VPCEndgeräte unterstützen derzeit keine regionsübergreifenden Anfragen. Stellen Sie sicher, dass Sie Ihren Endpunkt in derselben Region einrichten, in der Sie Ihre API Anrufe an Amazon tätigen möchtenECS. Nehmen wir zum Beispiel an, Sie möchten Aufgaben in USA Ost (Nord-Virginia) ausführen. Anschließend müssen Sie den ECS VPC Amazon-Endpunkt in USA Ost (Nord-Virginia) erstellen. Ein ECS VPC Amazon-Endpunkt, der in einer anderen Region erstellt wurde, kann keine Aufgaben in USA Ost (Nord-Virginia) ausführen.

  • VPCEndgeräte unterstützen nur Amazon, die DNS über Amazon Route 53 bereitgestellt werden. Wenn Sie Ihre eigene verwenden möchtenDNS, können Sie die bedingte Weiterleitung verwenden. DNS Weitere Informationen finden Sie unter DHCPOptionssätze im VPCAmazon-Benutzerhandbuch.

  • Die dem VPC Endpunkt zugeordnete Sicherheitsgruppe muss eingehende Verbindungen über TCP Port 443 aus dem privaten Subnetz von zulassen. VPC

  • Die Service Connect-Verwaltung des Envoy-Proxys verwendet den com.amazonaws.region.ecs-agent VPC Endpunkt. Wenn Sie die VPC Endpunkte nicht verwenden, verwendet die Service Connect-Verwaltung des Envoy-Proxys den ecs-sc Endpunkt in dieser Region. Eine Liste der ECS Amazon-Endpunkte in jeder Region finden Sie unter ECSAmazon-Endpunkte und Kontingente.

Überlegungen zu ECS VPC Amazon-Endpunkten für den EC2 Starttyp

Bevor Sie VPC Schnittstellenendpunkte für Amazon einrichtenECS, sollten Sie die folgenden Überlegungen beachten:

  • Aufgaben, die den EC2 Starttyp verwenden, erfordern, dass die Container-Instances, auf denen sie gestartet werden, Version 1.25.1 oder höher des ECS Amazon-Container-Agenten ausführen. Weitere Informationen finden Sie unter Verwaltung von Amazon ECS Linux-Container-Instances.

  • Damit Ihre Aufgaben vertrauliche Daten aus Secrets Manager abrufen können, müssen Sie die VPC Schnittstellenendpunkte für Secrets Manager erstellen. Weitere Informationen finden Sie unter Verwenden von Secrets Manager mit VPC Endpunkten im AWS Secrets Manager Benutzerhandbuch.

  • Wenn Sie VPC kein Internet-Gateway haben und Ihre Aufgaben den awslogs Protokolltreiber verwenden, um CloudWatch Protokollinformationen an Logs zu senden, müssen Sie einen VPC Schnittstellenendpunkt für CloudWatch Logs erstellen. Weitere Informationen finden Sie unter Using CloudWatch Logs with Interface VPC Endpoints im Amazon CloudWatch Logs-Benutzerhandbuch.

  • VPCEndgeräte unterstützen derzeit keine regionsübergreifenden Anfragen. Stellen Sie sicher, dass Sie Ihren Endpunkt in derselben Region einrichten, in der Sie Ihre API Anrufe an Amazon tätigen möchtenECS. Nehmen wir zum Beispiel an, Sie möchten Aufgaben in USA Ost (Nord-Virginia) ausführen. Anschließend müssen Sie den ECS VPC Amazon-Endpunkt in USA Ost (Nord-Virginia) erstellen. Ein ECS VPC Amazon-Endpunkt, der in einer anderen Region erstellt wurde, kann keine Aufgaben in USA Ost (Nord-Virginia) ausführen.

  • VPCEndgeräte unterstützen nur Amazon, die DNS über Amazon Route 53 bereitgestellt werden. Wenn Sie Ihre eigene verwenden möchtenDNS, können Sie die bedingte Weiterleitung verwenden. DNS Weitere Informationen finden Sie unter DHCPOptionssätze im VPCAmazon-Benutzerhandbuch.

  • Die dem VPC Endpunkt zugeordnete Sicherheitsgruppe muss eingehende Verbindungen über TCP Port 443 aus dem privaten Subnetz von zulassen. VPC

VPCEndpoints für Amazon erstellen ECS

Um den VPC Endpunkt für den ECS Amazon-Service zu erstellen, verwenden Sie das Verfahren Creating an Interface Endpoint im VPCAmazon-Benutzerhandbuch, um die folgenden Endpunkte zu erstellen. Wenn Sie bereits Container-Instances in Ihrem habenVPC, sollten Sie die Endpoints in der Reihenfolge erstellen, in der sie aufgeführt sind. Wenn Sie planen, Ihre Container-Instances erst zu erstellen, nachdem Ihr VPC Endpunkt erstellt wurde, spielt die Reihenfolge keine Rolle.

Anmerkung

Wenn Sie nicht alle Endpunkte konfigurieren, wird Ihr Datenverkehr über die öffentlichen Endpunkte und nicht über Ihren VPC Endpunkt geleitet.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

Anmerkung

region steht für die Regionskennung für eine AWS Region, die von Amazon unterstützt wirdECS, z. B. us-east-2 für die Region USA Ost (Ohio).

Der ecs-agent Endpunkt verwendet den ecs:pollAPI, und der ecs-telemetry Endpunkt verwendet ecs:poll und ecs:StartTelemetrySessionAPI.

Wenn Sie bereits Aufgaben haben, die den EC2 Starttyp verwenden, muss nach dem Erstellen der VPC Endpoints jede Container-Instance die neue Konfiguration übernehmen. Dazu müssen Sie entweder jede Container-Instance neu starten oder den Amazon-Container-Agenten auf jeder ECS Container-Instance neu starten. Um den Container-Agenten neu zu starten, führen Sie die folgenden Schritte aus.

Um den ECS Amazon-Container-Agenten neu zu starten

  1. Melden Sie sich bei Ihrer Container-Instance an überSSH.

  2. Halten Sie den Container-Agent an.

    sudo docker stop ecs-agent

  3. Starten Sie den Container-Agenten.

    sudo docker start ecs-agent

Nachdem Sie die VPC Endpoints erstellt und den ECS Amazon-Container-Agenten auf jeder Container-Instance neu gestartet haben, übernehmen alle neu gestarteten Aufgaben die neue Konfiguration.

Eine VPC Endpunktrichtlinie für Amazon erstellen ECS

Sie können Ihrem VPC Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon steuertECS. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.

Beispiel: VPC Endpunktrichtlinie für ECS Amazon-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für AmazonECS. Wenn diese Richtlinie an einen Endpunkt angefügt wird, gewährt sie Zugriff auf die Berechtigung zum Erstellen und Auflisten von Clustern. Die Aktionen CreateCluster und ListClusters akzeptieren keine Ressourcen, daher wird die Ressourcendefinition auf * für alle Ressourcen festgelegt. 

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}