Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Mise en réseau des tâches Amazon ECS pour les instances gérées Amazon ECS
Le comportement de mise en réseau des tâches Amazon ECS exécutées sur des instances gérées Amazon ECS est déterminé par le *mode réseau* spécifié dans la définition de tâche. Vous devez spécifier un mode réseau dans la définition de tâche. Vous ne pourrez exécuter aucune tâche sur les instances gérées Amazon ECS en utilisant une définition de tâche qui ne spécifie pas de mode réseau. Les instances gérées Amazon ECS prennent en charge les modes réseau suivants, garantissant ainsi la rétrocompatibilité pour la migration de charges de travail depuis Fargate ou Amazon ECS vers Amazon EC2 :
| Mode réseau | Description |
| --- | --- |
| `awsvpc` | Chaque tâche reçoit sa propre interface réseau Elastic (ENI) et son adresse IPv4 privée. Ce mode offre les mêmes propriétés réseau que les instances Amazon EC2 et est compatible avec les tâches Fargate traditionnelles. Utilise la jonction ENI pour une densité de tâches élevée. |
| `host` | Les tâches partagent directement l’espace de noms réseau de l’hôte. Le réseau de conteneurs est lié à l’instance hôte sous-jacente. |
## Utilisation d'un VPC en mode -only IPv6
Dans une configuration IPv6 uniquement, vos tâches Amazon ECS communiquent exclusivement via IPv6. Pour configurer VPCs des sous-réseaux pour une configuration IPv6 uniquement, vous devez ajouter un bloc d'adresse IPv6 CIDR au VPC et créer des sous-réseaux qui incluent uniquement un bloc d'adresse CIDR. IPv6 Pour plus d'informations, consultez [Ajouter un IPv6 support pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html) et [Créer un sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) dans le guide de l'utilisateur Amazon *VPC*. Vous devez également mettre à jour les tables de routage avec IPv6 les cibles et configurer les groupes de sécurité avec des IPv6 règles. Pour plus d’informations, consultez les sections [Configuration des tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) et [Configuration des règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) dans le *Guide de l’utilisateur Amazon VPC*.
Les considérations suivantes s'appliquent :
+ Vous pouvez mettre à jour un service Amazon ECS IPv4 uniquement ou à double pile vers IPv6 une configuration uniquement en mettant à jour le service directement pour IPv6 utiliser des sous-réseaux uniquement ou en créant un service parallèle IPv6 uniquement et en utilisant les déploiements bleu-vert d'Amazon ECS pour transférer le trafic vers le nouveau service. Pour plus d’informations sur les déploiements bleu-vert Amazon ECS, consultez la section [blue/green Déploiements Amazon ECS](deployment-type-blue-green.md).
+ Un service Amazon ECS IPv6 réservé uniquement doit utiliser des équilibreurs de charge à double pile avec des groupes cibles. IPv6 Si vous procédez à la migration d’un service Amazon ECS existant qui repose sur un Application Load Balancer ou un Network Load Balancer, vous pouvez créer un équilibreur de charge à double pile et lui transférer le trafic depuis l’ancien équilibreur de charge, ou mettre à jour le type d’adresse IP de l’équilibreur de charge existant.
Pour plus d’informations sur les Network Load Balancer, consultez les sections [Création d’un Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html) et [Mise à jour des types d’adresses IP pour votre Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-ip-address-type.html) dans le *Guide de l’utilisateur des Network Load Balancer*. Pour plus d’informations sur les Application Load Balancer, consultez les sections [Création d’un Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) et [Mise à jour des types d’adresses IP pour votre Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-address-type.html) dans le *Guide de l’utilisateur des Application Load Balancer*.
+ Pour les tâches Amazon ECS dans une configuration IPv6 uniquement destinées à communiquer avec des points de IPv4 terminaison uniquement, vous pouvez configurer DNS64 et effectuer la traduction NAT64 d'adresses réseau de vers. IPv6 IPv4 Pour plus d'informations, consultez [DNS64 et](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-nat64-dns64.html) consultez NAT64 le guide de l'*utilisateur Amazon VPC*.
+ Les charges de travail Amazon ECS dans une configuration IPv6 réservée doivent utiliser les points de terminaison d'URI d'image à double pile Amazon ECR lors de l'extraction d'images depuis Amazon ECR. Pour plus d'informations, consultez [Getting started with making requests over IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) dans le *guide de l'utilisateur d'Amazon Elastic Container Registry*.
**Note**
Amazon ECR ne prend pas en charge les points de terminaison VPC à interface double pile que les tâches d'une configuration réservée peuvent utiliser. IPv6 Pour plus d'informations, consultez [Getting started with making requests over IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) dans le *guide de l'utilisateur d'Amazon Elastic Container Registry*.
+ Amazon ECS Exec n'est pas pris en charge dans une IPv6 configuration uniquement.
# Allocation d’une interface réseau pour les tâches sur les instances gérées Amazon ECS
L'utilisation du mode `awsvpc` réseau dans les instances gérées Amazon ECS simplifie la mise en réseau des conteneurs, car vous avez un meilleur contrôle sur la façon dont vos applications communiquent entre elles et avec les autres services au sein de votre entreprise VPCs. Le mode réseau `awsvpc` fournit également une sécurité accrue pour vos conteneurs en vous permettant d’utiliser des groupes de sécurité et des outils de surveillance réseau à un niveau plus détaillé dans les tâches ECS.
Par défaut, chaque instance d’instances gérées Amazon ECS possède une interface réseau Elastic (ENI) de jonction attachée lors du lancement en tant qu’ENI principale lorsque le type d’instance prend en charge la jonction. Pour plus d’informations sur les types d’instances qui prennent en charge la jonction ENI, consultez la section [Instances prises en charge pour augmenter le nombre d’interfaces réseau de conteneurs Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/eni-trunking-supported-instance-types.html).
**Note**
Lorsque le type d'instance choisi ne prend pas en charge le trunk ENIs, l'instance sera lancée avec un ENI normal.
Chaque tâche exécutée sur l’instance reçoit sa propre ENI attachée à l’ENI de jonction, avec une adresse IP privée principale. Si votre VPC est configuré pour le mode double pile et que vous utilisez un sous-réseau avec un bloc IPv6 CIDR, l'ENI reçoit également une adresse. IPv6 Lorsque vous utilisez un sous-réseau public, vous pouvez éventuellement attribuer une adresse IP publique à l'ENI principal de l'instance gérée Amazon ECS en activant l'adressage IPv4 public pour le sous-réseau. Pour plus d’informations, consultez la section [Modification des attributs d’adressage IP de votre sous-réseau](https://docs.aws.amazon.com//vpc/latest/userguide/subnet-public-ip.html) dans le *Guide de l’utilisateur Amazon VPC*. Une tâche ne peut avoir qu'une seule ENI associée à la fois.
Les conteneurs qui appartiennent à la même tâche peuvent également communiquer via l'interface `localhost`. Pour plus d'informations sur les sous-réseaux VPCs et les sous-réseaux, consultez [Comment fonctionne Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) dans le guide de l'utilisateur *Amazon VPC*
Les opérations suivantes utilisent l’ENI principale attachée à l’instance :
+ **Téléchargements d’images** : les images des conteneurs sont téléchargées depuis Amazon ECR via l’ENI principale.
+ **Récupération des secrets** : les secrets et autres informations d’identification de Secrets Manager sont récupérés via l’ENI principale.
+ **Téléchargements** de journaux - Les journaux sont téléchargés CloudWatch via l'ENI principal.
+ **Téléchargements de fichiers d’environnement** : les fichiers d’environnement sont téléchargés via l’ENI principale.
Le trafic de l’application passe par l’ENI de tâche.
Dans la mesure où chaque tâche obtient sa propre ENI, vous pouvez utiliser des fonctionnalités de mise en réseau telles que les journaux de flux VPC, que vous pouvez utiliser pour surveiller le trafic vers et depuis vos tâches. Pour plus d’informations, consultez [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dans le *Guide de l’utilisateur Amazon VPC*.
Vous pouvez également en profiter AWS PrivateLink. Vous pouvez configurer un point de terminaison d'interface VPC afin de pouvoir accéder à Amazon ECS APIs via des adresses IP privées. AWS PrivateLink restreint tout le trafic réseau entre votre VPC et Amazon ECS vers le réseau Amazon. Vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle privée virtuelle. Pour plus d’informations, consultez la section [Points de terminaison de VPC d’interface Amazon ECS (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html).
Le mode `awsvpc` réseau vous permet également de tirer parti d'Amazon VPC Traffic Mirroring à des fins de sécurité et de surveillance du trafic réseau lorsque vous utilisez des types d'instances auxquels aucune liaison de jonction n'est attachée. ENIs Pour plus d’informations, consultez la section [Qu’est-ce que la mise en miroir du trafic ?](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) dans le *Guide de mise en miroir du trafic Amazon VPC*.
## Considérations relatives au mode `awsvpc`
+ Les tâches nécessitent le rôle lié au service Amazon ECS pour la gestion ENI. Ce rôle est automatiquement créé lorsque vous créez un cluster ou un service.
+ ENIs Les tâches sont gérées par Amazon ECS et ne peuvent pas être détachées ou modifiées manuellement.
+ L’attribution d’une adresse IP publique à l’ENI de tâche à l’aide de `assignPublicIp` lors de l’exécution d’une tâche autonome (`RunTask`) ou de la création ou de la mise à jour d’un service (`CreateService`/`UpdateService`) n’est pas prise en charge.
+ Lorsque vous configurez le réseau `awsvpc` au niveau des tâches, vous devez utiliser le même VPC que celui que vous avez spécifié dans le modèle de lancement du fournisseur de capacité d’instances gérées Amazon ECS. Vous pouvez utiliser des sous-réseaux et des groupes de sécurité différents de ceux spécifiés dans le modèle de lancement.
+ Pour les tâches en mode réseau `awsvpc`, utilisez le type de cible `ip` lors de la configuration des groupes cibles de l’équilibreur de charge. Amazon ECS gère automatiquement l’enregistrement des groupes cibles pour les modes réseau pris en charge.
## Utilisation d'un VPC en mode double pile
Lorsque vous utilisez un VPC en mode double pile, vos tâches peuvent communiquer par ou IPv6 par IPv4 les deux. IPv4 et IPv6 les adresses sont indépendantes les unes des autres. Vous devez donc configurer le routage et la sécurité dans votre VPC séparément pour IPv4 et. IPv6 Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, consultez la section [Migration vers le guide de l'utilisateur IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) Amazon *VPC*.
Si vous avez configuré votre VPC avec une passerelle Internet ou une passerelle Internet sortante uniquement, vous pouvez utiliser votre VPC en mode double pile. Ainsi, les tâches auxquelles une IPv6 adresse est attribuée peuvent accéder à Internet via une passerelle Internet ou une passerelle Internet de sortie uniquement. Les passerelles NAT sont facultatives. Pour plus d'informations, veuillez consulter les rubriques [Passerelles Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) et [Passerelle Internet en sortie uniquement](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html) dans le *Guide de l'utilisateur Amazon VPC*.
Une IPv6 adresse est attribuée aux tâches Amazon ECS si les conditions suivantes sont remplies :
+ L’instance gérée Amazon ECS qui héberge la tâche utilise la version `1.45.0` ou une version ultérieure de l’agent de conteneur. Pour plus d'informations sur la vérification de la version de l'agent utilisée par votre instance et la mise à jour si nécessaire, veuillez consulter [Mise à jour de l'agent de conteneur Amazon ECS](ecs-agent-update.md).
+ Le paramètre de compte `dualStackIPv6` est activé. Pour de plus amples informations, veuillez consulter [Accès aux fonctionnalités d’Amazon ECS avec les paramètres du compte](ecs-account-settings.md).
+ Votre tâche utilise le mode réseau `awsvpc`.
+ Votre VPC et votre sous-réseau sont configurés pour. IPv6 La configuration inclut les interfaces réseau créées dans le sous-réseau spécifié. Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, consultez la section [Migration vers IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) et [modification de l'attribut d' IPv6 adressage de votre sous-réseau dans le guide de l'utilisateur](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-ipv6) *Amazon* VPC.
# Mode réseau hôte
En mode `host`, les tâches partagent directement l’espace de noms réseau de l’hôte. La configuration réseau du conteneur est liée à l’instance hôte des instances gérées Amazon ECS sous-jacente que vous spécifiez à l’aide du paramètre `networkConfiguration` lorsque vous créez un fournisseur de capacité d’instances gérées Amazon ECS.``
L'utilisation de ce mode réseau présente des inconvénients importants. Vous ne pouvez exécuter qu'une seule instanciation d'une tâche sur chaque hôte. Cela est dû au fait que seule la première tâche peut se lier au port requis sur l'instance Amazon EC2. Il est également impossible de remapper un port de conteneur lorsqu'il utilise le mode réseau `host`. Par exemple, si une application doit écouter un numéro de port spécifique, vous ne pouvez pas remapper le numéro de port directement. Vous devez plutôt gérer les conflits de ports en modifiant la configuration de l'application.
L'utilisation du mode réseau `host` a également des implications en termes de sécurité. Ce mode permet aux conteneurs de se faire passer pour l'hôte et de se connecter à des services réseau privés en boucle sur l'hôte.
N’utilisez le mode hôte que lorsque vous avez besoin d’un accès direct au réseau hôte ou lors de la migration d’applications nécessitant un accès réseau au niveau de l’hôte.