Options de mise en réseau des ECS tâches Amazon pour le type de lancement Fargate - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options de mise en réseau des ECS tâches Amazon pour le type de lancement Fargate

Par défaut, chaque ECS tâche Amazon sur Fargate est dotée d'une interface Elastic Network ENI () avec une adresse IP privée principale. Lorsque vous utilisez un sous-réseau public, vous pouvez éventuellement attribuer une adresse IP publique à la ENI tâche. Si vous êtes VPC configuré pour le mode double pile et que vous utilisez un sous-réseau avec un IPv6 CIDR bloc, votre tâche reçoit ENI également une IPv6 adresse. Une tâche ne peut être associée ENI qu'à une seule tâche à la fois. Les conteneurs qui appartiennent à la même tâche peuvent également communiquer via l'interface localhost. Pour plus d'informations sur les sous-réseaux VPCs et les sous-réseaux, consultez la section VPCset les sous-réseaux dans le guide de VPCl'utilisateur Amazon.

Pour qu'une tâche sur Fargate puisse extraire une image de conteneur, la tâche doit avoir un routage vers Internet. L'exemple suivant décrit également comment vous pouvez vérifier le routage vers Internet pour votre tâche.

  • Lorsque vous utilisez un sous-réseau public, vous pouvez attribuer une adresse IP publique à la tâcheENI.

  • Lorsque vous utilisez un sous-réseau privé, une NAT passerelle peut être attachée au sous-réseau.

  • Lorsque vous utilisez des images de conteneur hébergées sur AmazonECR, vous pouvez configurer Amazon ECR pour qu'il utilise un point de VPC terminaison d'interface et que l'image soit extraite via l'IPv4adresse privée de la tâche. Pour plus d'informations, consultez Amazon ECR interface VPC endpoints (AWS PrivateLink) dans le guide de l'utilisateur d'Amazon Elastic Container Registry.

Comme chaque tâche a sa propre tâcheENI, vous pouvez utiliser des fonctionnalités réseau telles que les journaux de VPC flux, que vous pouvez utiliser pour surveiller le trafic à destination et en provenance de vos tâches. Pour plus d'informations, consultez VPCFlow Logs dans le guide de VPC l'utilisateur Amazon.

Vous pouvez également en profiter AWS PrivateLink. Vous pouvez configurer un point de terminaison d'VPCinterface afin de pouvoir accéder à Amazon ECS APIs via des adresses IP privées. AWS PrivateLink restreint tout le trafic réseau entre vous VPC et Amazon ECS vers le réseau Amazon. Vous n'avez pas besoin d'une passerelle Internet, d'un NAT appareil ou d'une passerelle privée virtuelle. Pour plus d'informations, consultez AWS PrivateLinkle guide des ECS meilleures pratiques d'Amazon.

Pour des exemples d'utilisation de la NetworkConfiguration ressource avec AWS CloudFormation, voirCréation de ECS ressources Amazon à l'aide de piles distinctes.

Les ENIs qui sont créés sont entièrement gérés par AWS Fargate. De plus, une IAM politique associée est utilisée pour accorder des autorisations à Fargate. Pour les tâches utilisant la version de la plateforme Fargate ou une 1.4.0 version ultérieure, la tâche reçoit une ENI seule tâche (appelée ENI tâche) et tout le trafic réseau passe par ENI cette dernière au sein de votre. VPC Ce trafic est enregistré dans vos journaux de VPC flux. Pour les tâches qui utilisent la 1.3.0 version de la plateforme Fargate et les versions antérieures, en plus de la ENI tâche, la tâche reçoit également un Fargate distinct, qui est utilisé pour une partie du trafic réseau qui n'est pas visible dans les journaux de flux. ENI VPC Le tableau suivant décrit le comportement du trafic réseau et la IAM politique requise pour chaque version de plate-forme.

Action Flux de trafic avec les versions 1.3.0 et antérieures de la plateforme Linux Flux de trafic avec la version 1.4.0 de la plateforme Linux Flux de trafic avec la version 1.0.0 de la plateforme Windows IAMautorisation
Récupération des identifiants de ECR connexion Amazon Détenu par Fargate ENI Tâche ENI Tâche ENI Rôle d'exécution de tâche IAM
Extraction d'image Tâche ENI Tâche ENI Tâche ENI Rôle d'exécution de tâche IAM
Envoi de journaux via un pilote de journal Tâche ENI Tâche ENI Tâche ENI Rôle d'exécution de tâche IAM
Envoi de journaux FireLens pour Amazon ECS Tâche ENI Tâche ENI Tâche ENI Rôle IAM de tâche
Récupération de secrets à partir de Secrets Manager ou de Systems Manager Détenu par Fargate ENI Tâche ENI Tâche ENI Rôle d'exécution de tâche IAM
Trafic EFS du système de fichiers Amazon Non disponible Tâche ENI Tâche ENI Rôle IAM de tâche
Trafic d'application Tâche ENI Tâche ENI Tâche ENI Rôle IAM de tâche

Considérations

Tenez compte des éléments suivants lorsque vous utilisez le réseau de tâches.

  • Le rôle ECS lié à un service Amazon est requis pour fournir à Amazon ECS les autorisations nécessaires pour passer des appels vers d'autres AWS services en votre nom. Ce rôle est généré lorsque vous créez un cluster, ou si vous créez ou mettez à jour un service dans la AWS Management Console. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Amazon ECS. Vous pouvez également créer le rôle lié à un service à l'aide de la commande suivante AWS CLI .

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com
  • Amazon ECS remplit le nom d'hôte de la tâche avec un DNS nom d'hôte fourni par Amazon lorsque les enableDnsSupport options enableDnsHostnames et sont activées sur votre. VPC Si ces options ne sont pas activées, le DNS nom d'hôte de la tâche est défini sur un nom d'hôte aléatoire. Pour plus d'informations sur les DNS paramètres d'unVPC, consultez Using DNS with Your VPC dans le guide de VPC l'utilisateur Amazon.

  • Vous pouvez uniquement spécifier jusqu'à 16 sous-réseaux et 5 groupes de sécurité pour awsVpcConfiguration. Pour plus d'informations, consultez le AwsVpcConfigurationmanuel Amazon Elastic Container Service API Reference.

  • Vous ne pouvez pas détacher ou modifier manuellement ceux ENIs créés et attachés par Fargate. Cela permet d'éviter la suppression accidentelle d'un ENI fichier associé à une tâche en cours d'exécution. Pour libérer le ENIs pour une tâche, arrêtez la tâche.

  • Si un VPC sous-réseau est mis à jour pour modifier le jeu DHCP d'options qu'il utilise, vous ne pouvez pas également appliquer ces modifications aux tâches existantes qui utilisent leVPC. Démarrez de nouvelles tâches, qui recevront le nouveau paramètre pour migrer en douceur tout en testant la nouvelle modification, puis arrêtez les anciennes, si aucune restauration n'est requise.

  • Les tâches lancées dans des sous-réseaux avec des IPv6 CIDR blocs reçoivent une IPv6 adresse uniquement lors de l'utilisation de la 1.4.0 version ou ultérieure de la plateforme Fargate pour Linux ou Windows. 1.0.0

  • Pour les tâches qui utilisent une version de plate-forme 1.4.0 ou ultérieure pour Linux ou 1.0.0 Windows, la tâche ENIs prend en charge les cadres jumbo. Les interfaces réseau sont configurées avec une unité de transmission maximale (MTU), qui correspond à la taille de la plus grande charge utile contenue dans une seule trame. Plus la charge utile d'une application est importanteMTU, plus la charge utile d'une seule image peut être élevée, ce qui réduit le surcoût par image et augmente l'efficacité. La prise en charge des trames jumbo limite la surcharge lorsque le chemin réseau entre votre tâche et la destination prend en charge les trames jumbo.

  • Les services comportant des tâches qui utilisent le type de lancement Fargate prennent uniquement en charge les équilibreurs de charge Application Load Balancer et Network Load Balancer. L'équilibreur de charge Classic Load Balancer n'est pas pris en charge. Lorsque vous créez des groupes cibles pour ces services, vous devez choisir le type de cible ip, et non instance. Pour de plus amples informations, veuillez consulter Utiliser l'équilibrage de charge pour répartir le trafic des ECS services Amazon.

Utilisation d'un VPC en mode double pile

Lorsque vous utilisez un VPC mode double pile, vos tâches peuvent communiquer entre elles IPv4 ou IPv6 les deux. IPv4et les IPv6 adresses sont indépendantes les unes des autres et vous devez configurer le routage et la sécurité VPC séparément pour IPv4 etIPv6. Pour plus d'informations sur la configuration de votre appareil VPC pour le mode double pile, consultez la section Migration vers IPv6 dans le guide de VPCl'utilisateur Amazon.

Si les conditions suivantes sont remplies, une adresse est ECS attribuée aux tâches Amazon sur Fargate : IPv6

  • Les paramètres de votre ECS dualStackIPv6 compte Amazon sont activés (enabled) pour le lancement IAM principal de vos tâches dans la région dans laquelle vous les lancez. Ce paramètre ne peut être modifié qu'à l'aide de la API touche ou AWS CLI. Vous avez la possibilité d'activer ce paramètre pour un IAM principal spécifique de votre compte ou pour l'ensemble de votre compte en définissant les paramètres par défaut de votre compte. Pour de plus amples informations, veuillez consulter Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte.

  • Votre sous-réseau VPC et sont activés pourIPv6. Pour plus d'informations sur la configuration de votre appareil VPC pour le mode Dual-Stack, consultez la section Migration vers IPv6 dans le guide de VPCl'utilisateur Amazon.

  • Votre sous-réseau est activé pour l'attribution automatique d'adressesIPv6. Pour plus d'informations sur la configuration de votre sous-réseau, consultez Modifier l'attribut d'IPv6adressage de votre sous-réseau dans le guide de VPCl'utilisateur Amazon.

  • La tâche ou le service utilise la version de plateforme 1.4.0 Fargate ou une version ultérieure pour Linux.

Si vous configurez votre VPC compte avec une passerelle Internet ou une passerelle Internet uniquement sortante, les tâches Amazon ECS sur Fargate auxquelles une adresse a été attribuée peuvent accéder à Internet. IPv6 NATles passerelles ne sont pas nécessaires. Pour plus d'informations, consultez les sections Passerelles Internet et Passerelles Internet de sortie uniquement dans le Guide de l'utilisateur Amazon. VPC