# Red de tareas de Amazon ECS para instancias administradas de Amazon ECS
<a name="managed-instance-networking"></a>

El comportamiento de las redes de las tareas de Amazon ECS que se ponen en marcha en instancias administradas de Amazon ECS se determina mediante el *modo de red* especificado en la definición de tareas. Debe especificar un modo de red en la definición de la tarea. No podrá poner en marcha tareas en instancias administradas de Amazon ECS mediante una definición de tareas que no especifique un modo de red. Instancias administradas de Amazon ECS admite los modos de red siguientes, lo que garantiza la compatibilidad con versiones anteriores para la migración de cargas de trabajo desde Fargate o Amazon ECS a Amazon EC2:


| Modo de red | Descripción | 
| --- | --- | 
|  `awsvpc`  |  Cada tarea recibe su propia interfaz de red elástica (ENI) y dirección IPv4 privada. Proporciona las mismas propiedades de redes que las instancias de Amazon EC2 y es compatible con las tareas de Fargate tradicionales. Utiliza el sistema troncal ENI para una alta densidad de tareas.  | 
|  `host`  |  Las tareas comparten directamente el espacio de nombres de la red del anfitrión. La red de contenedores está vinculada a la instancia del host subyacente.  | 

## Uso de VPC en modo de solo IPv6
<a name="managed-instances-networking-ipv6-only"></a>

En una configuración de solo IPv6, las tareas de Amazon ECS se comunican exclusivamente a través de IPv6. Para configurar VPC y subredes para una configuración de solo IPv6, debe agregar un bloque de CIDR IPv6 a la VPC y crear subredes que incluyan solo un bloque de CIDR IPv6. Para obtener más información, consulte [Adición de la compatibilidad de IPv6 con su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html) y [Crear una subred](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) en la *Guía del usuario de Amazon VPC*. También debe actualizar las tablas de enrutamiento con destinos de IPv6 y configurar los grupos de seguridad con reglas de IPv6. Para obtener más información, consulte [Configurar tablas de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) y [Configuración de reglas de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) en la *Guía del usuario de Amazon VPC*.

Tenga en cuenta las siguientes consideraciones:
+ Puede actualizar un servicio de Amazon ECS solo para IPv4 o de doble pila a una configuración de solo IPv6. Para ello, actualice el servicio directamente para utilizar subredes de solo para IPv6 o cree un servicio paralelo solo para IPv6 y mediante las implementaciones azul-verde de Amazon ECS para transferir el tráfico al nuevo servicio. Para obtener más información acerca de las implementaciones azul-verde de Amazon ECS, consulte [Implementaciones “blue/green” de Amazon ECS](deployment-type-blue-green.md).
+ Un servicio de Amazon ECS de solo IPv6 debe utiliza equilibradores de carga de doble pila con grupos de destino de IPv6. Si va a migrar un servicio de Amazon ECS existente que esté detrás de un equilibrador de carga de aplicación o un equilibrador de carga de red, puede crear un nuevo equilibrador de carga de doble pila y transferir el tráfico del anterior, o bien actualizar el tipo de dirección IP del equilibrador de carga existente.

   Para obtener más información acerca de los equilibradores de carga de red, consulte [Create a Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html) y [Update the IP address types for your Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-ip-address-type.html) en la *Guía del usuario de Equilibrador de carga de red*. Para obtener más información acerca de los equilibradores de carga de aplicación, consulte [Create an Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) y [Update the IP address types for your Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-address-type.html) en la *Guía del usuario de Equilibrador de carga de aplicación*.
+ Para que las tareas de Amazon ECS en una configuración de solo IPv6 se comuniquen con puntos de conexión de solo IPv4, puede configurar DNS64 y NAT64 para traducir direcciones de red de IPv6 a IPv4. Para obtener más información, consulte [DNS64 y NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-nat64-dns64.html) en la *Guía del usuario de Amazon VPC*.
+ Las cargas de trabajo de Amazon ECS en una configuración de solo IPv6 deben utilizar puntos de conexión de URI de imagen de doble pila de Amazon ECR al extraer imágenes de Amazon ECR. Para obtener más información, consulte [Getting started with making requests over IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) en la *Guía del usuario de Amazon Elastic Container Registry*
**nota**  
Amazon ECR no admite puntos de conexión de VPC con interfaz de doble pila que puedan utilizar las tareas en una configuración de solo IPv6. Para obtener más información, consulte [Getting started with making requests over IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) en la *Guía del usuario de Amazon Elastic Container Registry*
+ Amazon ECS Exec no es compatible en una configuración de solo IPv6.

# Asignación de una interfaz de red para tareas en instancias administradas de Amazon ECS
<a name="managed-instances-awsvpc-mode"></a>

 Con el modo de red de `awsvpc` en instancias administradas de Amazon ECS se simplifican las redes de contenedores, porque proporciona mayor control sobre la comunicación de las aplicaciones entre sí y con los demás servicios de las VPC. El modo de red `awsvpc` también proporciona mayor seguridad para los contenedores, ya que permite utilizar grupos de seguridad y herramientas de supervisión de red de forma más pormenorizada dentro de las tareas.

De manera predeterminada, cada instancia de instancias administradas de Amazon ECS tiene una interfaz de red elástica (ENI) troncal conectada durante el lanzamiento como ENI principal cuando el tipo de instancia admite el enlace troncal. Para obtener más información acerca de los tipos de instancias que admiten el enlace troncal de ENI, consulte [Instancias admitidas para un aumento de las interfaces de red de contenedores de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/eni-trunking-supported-instance-types.html).

**nota**  
Si el tipo de instancia elegido no admite las ENI troncales, la instancia se lanzará con una ENI normal.

Cada tarea que se pone en marcha en la instancia recibe su propio ENI adjunto al ENI troncal, con una dirección IP privada principal. Si la VPC está configurada para el modo de pila doble y utiliza una subred con un bloque de CIDR IPv6, la ENI también recibe una dirección IPv6. Al utilizar una subred pública, es posible asignar, de manera opcional, una dirección IP pública a la ENI principal de Amazon ECS Managed Instance. Para ello, se habilita el direccionamiento público IPv4 para la subred. Para obtener más información, consulte [Modificación de los atributos de las direcciones IP de sus subredes](https://docs.aws.amazon.com//vpc/latest/userguide/subnet-public-ip.html) de la *Guía del usuario de Amazon VPC*. Una tarea solo puede tener una ENI asociada a ella por vez. 

 Los contenedores que pertenecen a la misma tarea también pueden comunicarse a través de la interfaz `localhost`. Para obtener más información acerca de las VPC y subredes, consulte [Funcionamiento de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) en la *Guía del usuario de Amazon VPC*.

Las operaciones siguientes utilizan la ENI principal adjunto a la instancia:
+ **Descargas de imágenes**: las imágenes de los contenedores se descargan de Amazon ECR a través de la ENI principal.
+ **Recuperación de secretos**: los secretos y otras credenciales de Secrets Manager se recuperan a través de la ENI principal.
+ **Cargas de registros:** los registros se cargan en CloudWatch a través de la ENI principal.
+ **Descargas de archivos de entorno**: los archivos de entorno se descargan a través de la ENI principal.

El tráfico de aplicaciones fluye a través de la ENI de tareas.

Dado que cada tarea obtiene su propia ENI, puede utilizar características de integración en red, como los registros de flujo de VPC, para monitorear el tráfico entrante y saliente de las tareas. Para obtener más información, consulte [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.

También puede aprovechar AWS PrivateLink. Puede configurar un punto de conexión de interfaz de VPC para poder acceder a las API de Amazon ECS a través de direcciones IP privadas. AWS PrivateLink restringe todo el tráfico de red entre su VPC y Amazon ECS a la red de Amazon. No necesita una gateway de Internet, un dispositivo NAT ni una gateway privada virtual. Para obtener más información, consulte [Puntos de enlace de la VPC de interfaz de Amazon ECS (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html).

El modo de red `awsvpc` también le permite utilizar Creación de reflejo de tráfico de Amazon VPC para la seguridad y la supervisión del tráfico de la red al utilizar tipos de instancias que no tienen ENI troncales conectados. Para obtener más información, consulte [What is Traffic Mirroring?](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) en la *Guía de Creación de reflejo de tráfico de Amazon VPC*.

## Consideraciones para el modo `awsvpc`
<a name="managed-instances-awsvpc-considerations"></a>
+ Las tareas requieren el rol vinculado al servicio de Amazon ECS para la administración de ENI. Este rol se crea automáticamente al crear un clúster o servicio.
+ Amazon ECS administra las ENI de tareas, por lo que no se pueden separar ni modificar manualmente.
+ No se admite la asignación de una dirección IP pública a la ENI de la tarea mediante `assignPublicIp` al poner en marcha una tarea independiente (`RunTask`) o al crear o actualizar un servicio (`CreateService`/`UpdateService`).
+ Al configurar las redes de `awsvpc` por tarea, debe utilizar la misma VPC que especificó como parte de la plantilla de lanzamiento del proveedor de capacidad de instancias administradas de Amazon ECS. Puede utilizar subredes y grupos de seguridad distintos de los especificados en la plantilla de lanzamiento.
+ Para las tareas en modo de red `awsvpc`, utilice el tipo de destino `ip` al configurar los grupos de destino del equilibrador de carga. Amazon ECS administra automáticamente el registro de grupos de destinos para los modos de red compatibles.

## Utilización de una VPC en modo de pila doble
<a name="managed-instance-networking-vpc-dual-stack"></a>

Cuando se utiliza una VPC en modo de pila doble, las tareas se pueden comunicar mediante IPv4, IPv6 o ambos. Las direcciones IPv4 e IPv6 son independientes entre sí. Por lo tanto, debe configurar el enrutamiento y la seguridad en su VPC por separado para IPv4 e IPv6. Para obtener más información acerca de cómo configurar la VPC para el modo de pila doble, consulte [Migración a IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) en la *Guía del usuario de Amazon VPC*.

Si configuró la VPC con una puerta de enlace de Internet o una puerta de enlace de Internet de solo salida, puede utilizar la VPC en modo de pila doble. De este modo, las tareas a las que se les asigna una dirección IPv6 pueden acceder a Internet a través de una puerta de enlace de Internet o una puerta de enlace de Internet de solo salida. Las puertas de enlace NAT son opcionales. Para obtener más información, consulte [Gateways de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) y [Gateways de Internet de solo salida](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html) en la *Guía del usuario de Amazon VPC*.

Se asigna una dirección IPv6 a las tareas de Amazon ECS si se cumplen las siguientes condiciones:
+ La instancia de instancias administradas de Amazon ECS que aloja la tarea utiliza la versión `1.45.0` del agente de contenedor o una posterior. Para obtener información sobre cómo comprobar la versión del agente que está utilizando la instancia y actualizarla si es necesario, consulte [Actualización del agente de contenedor de Amazon ECS](ecs-agent-update.md).
+ La configuración de cuenta `dualStackIPv6` está habilitada. Para obtener más información, consulte [Acceso a las características de Amazon ECS con la configuración de la cuenta](ecs-account-settings.md).
+ Su tarea está utilizando el modo de red `awsvpc`.
+ La VPC y la subred están configuradas para IPv6. La configuración incluye las interfaces de red creadas en la subred especificada. Para obtener más información sobre cómo configurar la VPC para el modo de pila doble, consulte [Migración a IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) y [Modificación del atributo de direcciones IPv6 de su subred](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-ipv6) en la *Guía del usuario de Amazon VPC*.

# Modo de red host
<a name="managed-instances-host-modes"></a>

En el modo `host`, las tareas comparten directamente el espacio de nombres de la red del anfitrión. La configuración de red del contenedor está vinculada a la instancia de host de instancias administradas de Amazon ECS subyacente que especifique mediante el parámetro `networkConfiguration` al crear un proveedor de capacidad de instancias administradas de Amazon ECS. ``

El uso de este modo de red presenta importantes inconvenientes. No puede ejecutar más de una instancia de una tarea en cada host. Esto se debe a que solo la primera tarea puede vincularse al puerto requerido en la instancia de Amazon EC2. Tampoco hay forma de volver a asignar un puerto de contenedor cuando se utiliza el modo de red `host`. Por ejemplo, si una aplicación necesita escuchar un número de puerto concreto, no puede volver a asignar el número de puerto directamente. En su lugar, debe administrar cualquier conflicto de puertos cambiando la configuración de la aplicación.

El uso del modo de red `host` también tiene consecuencias en la seguridad. Este modo permite que los contenedores se hagan pasar por el host y que los contenedores se conecten a los servicios de red de bucle invertido privados del host.

Utilice el modo host solo cuando necesite acceso directo a la red host o cuando migre aplicaciones que requieran acceso a la red a nivel de host.