Clústeres de Amazon ECS para el tipo de lanzamiento externo - Amazon Elastic Container Service
Sistemas operativos y arquitecturas de sistemas compatiblesConsideraciones

Clústeres de Amazon ECS para el tipo de lanzamiento externo

Amazon ECS Anywhere admite el registro de una instancia externa, por ejemplo, un servidor ubicado en las instalaciones o una máquina virtual (VM), en el clúster de Amazon ECS. Las instancias externas se han optimizado para que puedan ejecutar aplicaciones que generen tráfico o datos del proceso salientes. Si la aplicación requiere tráfico entrante, la falta de compatibilidad con Elastic Load Balancing hace que la ejecución de estas cargas de trabajo sea menos eficiente. Amazon ECS ha agregado un nuevo tipo de lanzamiento EXTERNAL que se puede utilizar para crear servicios o ejecutar tareas en las instancias externas.

Sistemas operativos y arquitecturas de sistemas compatibles

A continuación, se muestra la lista de sistemas operativos y arquitecturas de sistema compatibles.

  • Amazon Linux 2

  • Amazon Linux 2023

  • CentOS 7

  • CentOS Stream 9

  • RHEL 7, RHEL 8: ni los repositorios de paquetes abiertos de Docker ni RHEL admiten la instalación de Docker de forma nativa en RHEL. Debe asegurarse de que Docker esté instalado antes de ejecutar el script de instalación que se describe en este documento.

  • Fedora 32, Fedora 33, Fedora 40

  • openSUSE Tumbleweed

  • Ubuntu 18, Ubuntu 20, Ubuntu 22, Ubuntu 24

  • Debian 10

    importante

    El soporte a largo plazo de Debian 9 (soporte LTS) finalizó el 30 de junio de 2022 y ya no es admitido por Amazon ECS Anywhere.

  • Debian 11

  • Debian 12

  • SUSE Enterprise Server 15

  • Se admiten las arquitecturas de CPU x86_64 y ARM64.

  • Se admiten las siguientes versiones de los sistemas operativos de Windows:

    • Windows Server 2022

    • Windows Server 2019

    • Windows Server 2016

    • Windows Server 20H2

Consideraciones

Antes de comenzar a utilizar instancias externas, tenga en cuenta lo siguiente.

  • Puede registrar una instancia externa en un clúster a la vez. Para obtener instrucciones sobre cómo registrar una instancia externa con un clúster diferente, consulte Anulación del registro de una instancia externa de Amazon ECS.

  • Sus instancias externas requieren un rol de IAM que les permita comunicarse con las API de AWS. Para obtener más información, consulte Rol de IAM de Amazon ECS Anywhere.

  • Las instancias externas no deben tener una cadena de credenciales de instancia preconfigurada definida localmente, ya que interferiría con el script de registro.

  • Para enviar registros de contenedor a CloudWatch Logs, asegúrese de crear y especificar un rol de IAM de ejecución de tareas en la definición de tareas.

  • Cuando una instancia externa se registra en un clúster, el atributo ecs.capability.external se asocia a la instancia. Este atributo identifica la instancia como una instancia externa. Puede agregar atributos personalizados a las instancias externas para utilizarlos como delimitación de ubicación de tareas. Para obtener más información, consulte Custom attributes (Atributos personalizados).

  • Puede agregar etiquetas de recursos a la instancia externa. Para obtener más información, consulte Instancias de contenedor externas.

  • ECS Exec se admite en instancias externas. Para obtener más información, consulte Supervisión de los contenedores de Amazon ECS con ECS Exec.

  • A continuación, se incluyen consideraciones adicionales específicas de las redes con las instancias externas. Para obtener más información, consulte Red .

    • No se admite el equilibrio de carga del servicio.

    • No se admite la detección de servicios.

    • Las tareas que se ejecutan en instancias externas deben utilizar los modos de red bridge, host, o none. No se admite el modo de red awsvpc.

    • Existen dominios de servicio de Amazon ECS en cada región de AWS. Se debe permitir que estos dominios de servicio envíen tráfico a las instancias externas.

    • El SSM Agent que se instaló en la instancia externa mantiene las credenciales de IAM que se rotan cada 30 minutos mediante una huella digital de hardware. Si la instancia externa pierde la conexión con AWS, SSM Agent actualiza automáticamente las credenciales después de que se restablece la conexión. Para obtener más información, consulte Validación de servidores ubicados en las instalaciones y máquinas virtuales mediante una huella digital de hardware en la Guía del usuario de AWS Systems Manager.

  • No se admite la API UpdateContainerAgent. Para obtener instrucciones sobre cómo actualizar SSM Agent o el agente de Amazon ECS en las instancias externas, consulte Actualización del agente de AWS Systems Manager y del agente de contenedor de Amazon ECS en una instancia externa.

  • No se admiten los proveedores de capacidad de Amazon ECS. Para crear un servicio o ejecutar una tarea independiente en las instancias externas, utilice el tipo de lanzamiento EXTERNAL.

  • No se admite SELinux.

  • No se admite la utilización de volúmenes de Amazon EFS ni la especificación de un EFSVolumeConfiguration.

  • No se admite la integración con App Mesh.

  • Si utiliza la consola para crear una definición de tareas de instancia externa, debe crear la definición de tareas con el editor JSON de la consola.

  • Cuando ejecuta ECS Anywhere en Windows, debe utilizar su propia licencia de Windows en la infraestructura en las instalaciones.

  • Cuando utilice una AMI no optimizada para Amazon ECS, ejecute los siguientes comandos en la instancia de contenedor externa para configurar reglas que utilicen los roles de IAM en las tareas. Para obtener más información, consulte Configuración adicional de las instancias externas.

    $ sysctl -w net.ipv4.conf.all.route_localnet=1
$ iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679
$ iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679

Red

Las instancias externas de Amazon ECS se han optimizado para que puedan ejecutar aplicaciones que generen tráfico o datos del proceso salientes. Si la aplicación requiere tráfico entrante, como un servicio web, la falta de compatibilidad con Elastic Load Balancing hace que la ejecución de estas cargas de trabajo sea menos eficiente porque no se admite la ubicación de estas cargas de trabajo detrás de un balanceador de carga.

A continuación, se incluyen consideraciones adicionales específicas de las redes con las instancias externas.

  • No se admite el equilibrio de carga del servicio.

  • No se admite la detección de servicios.

  • Las tareas de Linux que se ejecutan en instancias externas deben utilizar los modos de red bridge, host, o none. No se admite el modo de red awsvpc.

    Para obtener más información acerca de cada modo de red, consulte Elección de un modo de red en la Guía de prácticas recomendadas de Amazon ECS.

  • Las tareas de Windows que se ejecutan en instancias externas deben utilizar el modo de red default.

  • Existen dominios de servicio de Amazon ECS en cada región y se les debe permitir enviar tráfico a las instancias externas.

  • El SSM Agent que se instaló en la instancia externa mantiene las credenciales de IAM que se rotan cada 30 minutos mediante una huella digital de hardware. Si la instancia externa pierde la conexión con AWS, SSM Agent actualiza automáticamente las credenciales después de que se restablece la conexión. Para obtener más información, consulte Validación de servidores ubicados en las instalaciones y máquinas virtuales mediante una huella digital de hardware en la Guía del usuario de AWS Systems Manager.

Los siguientes dominios se utilizan para la comunicación entre el servicio de Amazon ECS y el agente de Amazon ECS instalado en la instancia externa. Asegúrese de que se permita el tráfico y de que la resolución DNS funcione. En cada punto de enlace, la región representa el identificador de región de una región de AWS compatible con Amazon ECS, como us-east-2 para la región EE. UU. Este (Ohio). Deben permitirse los puntos de enlace de todas las regiones que utilice. Para los puntos de enlace ecs-a y ecs-t, debe incluir un asterisco (por ejemplo, ecs-a-*).

  • ecs-a-*.region.amazonaws.com: este punto de enlace se utiliza cuando se administran tareas.

  • ecs-t-*.region.amazonaws.com: este punto de enlace se utiliza para administrar las métricas de tareas y de contenedor.

  • ecs.region.amazonaws.com: es el punto de enlace de servicio para Amazon ECS.

  • ssm.region.amazonaws.com : se trata del punto de conexión para AWS Systems Manager.

  • ec2messages.region.amazonaws.com: este es el punto de conexión AWS Systems Manager utiliza para comunicarse entre el agente de Systems Manager y el servicio de Systems Manager en la nube.

  • ssmmessages.region.amazonaws.com: este punto de conexión necesario para crear y eliminar los canales de sesión con el servicio Session Manager en la nube.

  • Si las tareas requieren comunicación con cualquier otro servicio de AWS, asegúrese de que esos puntos de enlace de servicio se permitan. Las aplicaciones de ejemplo incluyen la utilización de Amazon ECR para extraer imágenes de contenedor o de CloudWatch para CloudWatch Logs. Para obtener más información, consulte Puntos de enlace de servicio en la Referencia general de AWS.

Amazon FSx for Windows File Server con ECS Anywhere

Para utilizar Amazon FSx for Windows File Server con las instancias externas de Amazon ECS debe establecer una conexión entre el centro de datos en las instalaciones y la Nube de AWS. Para obtener más información acerca de las opciones para conectar su red a VPC, consulte Opciones de conectividad de Amazon Virtual Private Cloud.

gMSA con ECS Anywhere

Se admiten los siguientes casos de uso para ECS Anywhere.

  • El Active Directory se encuentra en la Nube de AWS: para esta configuración, cree una conexión de entre la red en las instalaciones y la Nube de AWS mediante una conexión de AWS Direct Connect. Para obtener información acerca de cómo crear la conexión, consulteOpciones de conectividad de Amazon Virtual Private Cloud. Cree un Active Directory en la Nube de AWS. Para obtener información acerca de cómo empezar a usar AWS Directory Service, consulte Configuración de AWS Directory Service en la Guía de administración de AWS Directory Service. A continuación, puede unir las instancias externas al dominio mediante la conexión de AWS Direct Connect. Para obtener información acerca de cómo trabajar con gMSA con Amazon ECS, consulte Obtenga información sobre cómo utilizar gMSA para contenedores de EC2 para Windows en Amazon ECS..

  • El Active Directory se encuentra en el centro de datos en las instalaciones. - Para esta configuración, debe unir las instancias externas a Active Directory en las instalaciones. A continuación, se utilizan las credenciales disponibles localmente cuando ejecuta las tareas de Amazon ECS.