Options de mise en réseau des tâches Amazon ECS pour le type de lancement Fargate - Amazon Elastic Container Service
ConsidérationsUtilisation d'un VPC en mode double pile

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options de mise en réseau des tâches Amazon ECS pour le type de lancement Fargate

Par défaut, chaque tâche Amazon ECS sur Fargate reçoit une interface réseau Elastic (ENI) avec une adresse IP privée principale. Lorsque vous utilisez un sous-réseau public, vous pouvez éventuellement attribuer une adresse IP publique à l'ENI de la tâche. Si votre VPC est configuré pour le mode double pile et que vous utilisez un sous-réseau avec un bloc IPv6 CIDR, l'ENI de votre tâche reçoit également une adresse. IPv6 Une tâche ne peut avoir qu'une seule ENI associée à la fois. Les conteneurs qui appartiennent à la même tâche peuvent également communiquer via l'interface localhost. Pour plus d'informations sur les sous-réseaux VPCs et les sous-réseaux, consultez Comment fonctionne Amazon VPC dans le guide de l'utilisateur Amazon VPC.

Pour qu'une tâche sur Fargate puisse extraire une image de conteneur, la tâche doit avoir un routage vers Internet. L'exemple suivant décrit également comment vous pouvez vérifier le routage vers Internet pour votre tâche.

  • Lorsque vous utilisez un sous-réseau public, vous pouvez attribuer une adresse IP publique à l'ENI de la tâche.

  • Lorsque vous utilisez un sous-réseau privé, une passerelle NAT peut être attachée au sous-réseau.

  • Lorsque vous utilisez des images de conteneur hébergées dans Amazon ECR, vous pouvez configurer Amazon ECR pour utiliser un point de terminaison VPC d'interface et l'extraction de l'image se fait via l'adresse privée de la tâche. IPv4 Pour plus d'informations, consultez Points de terminaison d’un VPC d'interface Amazon ECR (AWS PrivateLink) dans le Guide de l'utilisateur Amazon Elastic Container Registry.

Dans la mesure où chaque tâche obtient sa propre ENI, vous pouvez utiliser des fonctionnalités de mise en réseau telles que les journaux de flux VPC, que vous pouvez utiliser pour surveiller le trafic vers et depuis vos tâches. Pour plus d’informations, consultez la rubrique Journaux de flux VPC dans le Guide de l’utilisateur Amazon VPC.

Vous pouvez également en profiter AWS PrivateLink. Vous pouvez configurer un point de terminaison d'interface VPC afin de pouvoir accéder à Amazon ECS APIs via des adresses IP privées. AWS PrivateLink restreint tout le trafic réseau entre votre VPC et Amazon ECS vers le réseau Amazon. Vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle privée virtuelle. Pour plus d'informations, consultez la section Points de terminaison VPC de l'interface Amazon ECS ().AWS PrivateLink

Pour des exemples d'utilisation de la NetworkConfiguration ressource avec AWS CloudFormation, voirCréation de ressources Amazon ECS à l'aide de piles distinctes.

Les ENIs qui sont créés sont entièrement gérés par AWS Fargate. De plus, une politique IAM associée est utilisée pour accorder des autorisations pour Fargate. Pour les tâches utilisant la version 1.4.0 de la plateforme Fargate ou une version ultérieure, la tâche reçoit une seule ENI (appelée ENI de tâche) et tout le trafic réseau passe par cette ENI au sein de votre VPC. Ce trafic est enregistré dans les journaux de flux de votre VPC. Pour les tâches qui utilisent la version 1.3.0 de la plateforme Fargate et les versions antérieures, en plus de l'ENI de la tâche, la tâche reçoit également une ENI distincte détenue par Fargate, qui est utilisée pour certains trafics réseau qui ne sont pas visibles dans les journaux de flux VPC. Le tableau suivant décrit le comportement du trafic réseau et la stratégie IAM requise pour chaque version de plateforme.

Action Flux de trafic avec les versions 1.3.0 et antérieures de la plateforme Linux Flux de trafic avec la version 1.4.0 de la plateforme Linux Flux de trafic avec la version 1.0.0 de la plateforme Windows Autorisation IAM
Récupération des informations d'identification de connexion Amazon ECR ENI Fargate ENI de tâche ENI de tâche Rôle IAM d'exécution de tâche
Extraction d'image ENI de tâche ENI de tâche ENI de tâche Rôle IAM d'exécution de tâche
Envoi de journaux via un pilote de journal ENI de tâche ENI de tâche ENI de tâche Rôle IAM d'exécution de tâche
Envoi de journaux FireLens pour Amazon ECS ENI de tâche ENI de tâche ENI de tâche Rôle IAM de tâche
Récupération de secrets à partir de Secrets Manager ou de Systems Manager ENI Fargate ENI de tâche ENI de tâche Rôle IAM d'exécution de tâche
Trafic du système de fichiers Amazon EFS Non disponible ENI de tâche ENI de tâche Rôle IAM de tâche
Trafic d'application ENI de tâche ENI de tâche ENI de tâche Rôle IAM de tâche

Considérations

Tenez compte des éléments suivants lorsque vous utilisez le réseau de tâches.

  • Le rôle lié au service Amazon ECS est requis pour fournir à Amazon ECS les autorisations nécessaires pour passer des appels vers d'autres AWS services en votre nom. Ce rôle est généré lorsque vous créez un cluster, ou si vous créez ou mettez à jour un service dans la AWS Management Console. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour Amazon ECS. Vous pouvez également créer le rôle lié à un service à l'aide de la commande suivante AWS CLI .

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS remplit le nom d'hôte de la tâche avec un nom d'hôte DNS fourni par Amazon lorsque les options enableDnsHostnames et enableDnsSupport sont activées sur votre VPC. Si ces options ne sont pas activées, le nom d'hôte DNS de la tâche est un nom d'hôte aléatoire. Pour plus d'informations sur les paramètres DNS d'un VPC, veuillez consulter la rubrique Utilisation de DNS avec votre VPC dans le Guide de l'utilisateur Amazon VPC.

  • Vous pouvez uniquement spécifier jusqu'à 16 sous-réseaux et 5 groupes de sécurité pour awsVpcConfiguration. Pour plus d'informations, consultez le AwsVpcConfigurationmanuel Amazon Elastic Container Service API Reference.

  • Vous ne pouvez pas détacher ou modifier manuellement ceux ENIs créés et attachés par Fargate. L'objectif est d'empêcher la suppression accidentelle de toute ENI associée à une tâche en cours d'exécution. Pour libérer le ENIs pour une tâche, arrêtez la tâche.

  • Si un sous-réseau VPC est mis à jour pour modifier l'ensemble d'options DHCP qu'il utilise, vous ne pouvez pas également appliquer ces modifications aux tâches existantes qui utilisent le VPC. Démarrez de nouvelles tâches, qui recevront le nouveau paramètre pour migrer en douceur tout en testant la nouvelle modification, puis arrêtez les anciennes, si aucune restauration n'est requise.

  • Les tâches lancées dans des sous-réseaux avec des blocs IPv6 CIDR ne reçoivent une IPv6 adresse que si vous utilisez la version de la plateforme Fargate 1.4.0 ou ultérieure pour Linux ou Windows. 1.0.0

  • Pour les tâches qui utilisent une version de plate-forme 1.4.0 ou ultérieure pour Linux ou 1.0.0 Windows, la tâche ENIs prend en charge les cadres jumbo. Les interfaces réseau sont configurées avec une unité de transmission maximale (MTU), qui correspond à la taille de la charge utile la plus élevée possible dans une seule trame. Plus la MTU est importante, plus la charge utile de l'application peut s'intégrer dans une seule trame. Cela réduit les frais généraux par trame et augmente l'efficacité. La prise en charge des trames jumbo limite la surcharge lorsque le chemin réseau entre votre tâche et la destination prend en charge les trames jumbo.

  • Les services comportant des tâches qui utilisent le type de lancement Fargate prennent uniquement en charge les équilibreurs de charge Application Load Balancer et Network Load Balancer. L'équilibreur de charge Classic Load Balancer n'est pas pris en charge. Lorsque vous créez des groupes cibles pour ces services, vous devez choisir le type de cible ip, et non instance. Pour de plus amples informations, veuillez consulter Utiliser l'équilibrage de charge pour distribuer le trafic du service Amazon ECS.

Utilisation d'un VPC en mode double pile

Lorsque vous utilisez un VPC en mode double pile, vos tâches peuvent communiquer entre elles IPv4 ou IPv6 par les deux. IPv4 et les IPv6 adresses sont indépendantes les unes des autres et vous devez configurer le routage et la sécurité dans votre VPC séparément pour IPv4 et. IPv6 Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, consultez la section Migration vers le guide de l'utilisateur IPv6 Amazon VPC.

Si les conditions suivantes sont remplies, une adresse est attribuée aux tâches Amazon ECS sur Fargate : IPv6

  • Les paramètres de votre dualStackIPv6 compte Amazon ECS sont activés (enabled) pour que le principal IAM lance vos tâches dans la région dans laquelle vous les lancez. Ce paramètre ne peut être modifié qu'à l'aide de l'API ou AWS CLI. Vous avez la possibilité d'activer ce paramètre pour un principal IAM spécifique sur votre compte ou pour l'ensemble de votre compte en définissant les paramètres par défaut de votre compte. Pour de plus amples informations, veuillez consulter Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte.

  • Votre VPC et votre sous-réseau sont activés pour. IPv6 Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, consultez la section Migration vers le guide de l'utilisateur IPv6 Amazon VPC.

  • Votre sous-réseau est activé pour l'attribution automatique d'adresses IPv6 . Pour plus d'informations sur la configuration de votre sous-réseau, consultez Modifier l'attribut d' IPv6 adressage de votre sous-réseau dans le guide de l'utilisateur Amazon VPC.

  • La tâche ou le service utilise la version de plateforme 1.4.0 Fargate ou une version ultérieure pour Linux.

Si vous configurez votre VPC avec une passerelle Internet ou une passerelle Internet sortante uniquement, les tâches Amazon ECS sur Fargate auxquelles une adresse a été attribuée peuvent accéder à Internet. IPv6 Les passerelles NAT ne sont pas nécessaires. Pour plus d'informations, veuillez consulter les rubriques Passerelles Internet et Passerelle Internet en sortie uniquement dans le Guide de l'utilisateur Amazon VPC.