Considérations relatives à Linux Considérations relatives à Windows Utilisation d'un VPC en mode double pile

Allouer une interface réseau pour une ECS tâche Amazon

Les fonctionnalités de mise en réseau des tâches fournies par le mode awsvpc réseau confèrent aux ECS tâches Amazon les mêmes propriétés réseau que EC2 les instances Amazon. L'utilisation du mode awsvpc réseau simplifie la mise en réseau des conteneurs, car vous avez un meilleur contrôle sur la façon dont vos applications communiquent entre elles et avec les autres services au sein de votre entrepriseVPCs. Le mode awsvpc réseau renforce également la sécurité de vos conteneurs en vous permettant d'utiliser des groupes de sécurité et des outils de surveillance réseau à un niveau plus détaillé dans le cadre de vos tâches. Vous pouvez également utiliser d'autres fonctionnalités EC2 réseau d'Amazon, telles que VPC Flow Logs, pour surveiller le trafic en provenance et à destination de vos tâches. De plus, les conteneurs qui appartiennent à la même tâche peuvent communiquer via l'interface localhost.

La tâche Elastic network interface (ENI) est une fonctionnalité entièrement gérée d'AmazonECS. Amazon ECS crée le ENI et l'attache à l'EC2instance Amazon hôte avec le groupe de sécurité spécifié. La tâche envoie et reçoit du trafic réseau de la ENI même manière que les EC2 instances Amazon le font avec leurs interfaces réseau principales. Une IPv4 adresse privée ENI est attribuée par défaut à chaque tâche. Si le mode double pile VPC est activé et que vous utilisez un sous-réseau avec un IPv6 CIDR bloc, la tâche ENI recevra également une IPv6 adresse. Chaque tâche ne peut en comporter qu'uneENI.

Ils ENIs sont visibles dans la EC2 console Amazon de votre compte. Votre compte ne peut pas détacher ou modifier leENIs. Cela permet d'éviter la suppression accidentelle d'une ENI tâche associée à une tâche en cours d'exécution. Vous pouvez consulter les informations relatives aux ENI pièces jointes pour les tâches dans la ECS console Amazon ou lors de l'DescribeTasksAPIopération. Lorsque la tâche s'arrête ou si le service est réduit, la tâche ENI est détachée et supprimée.

Lorsque vous avez besoin d'une ENI densité accrue, utilisez les paramètres du awsvpcTrunking compte. Amazon crée et attache ECS également une interface réseau « trunk » pour votre instance de conteneur. Le réseau principal est entièrement géré par AmazonECS. Le tronc ENI est supprimé lorsque vous résiliez ou désenregistrez votre instance de conteneur du cluster AmazonECS. Pour plus d'informations sur le paramétrage du awsvpcTrunking compte, consultezPrérequis.

Vous le spécifiez awsvpc dans le networkMode paramètre de la définition de la tâche. Pour de plus amples informations, veuillez consulter Mode réseau.

Ensuite, lorsque vous exécutez une tâche ou créez un service, utilisez le networkConfiguration paramètre qui inclut un ou plusieurs sous-réseaux dans lesquels placer vos tâches et un ou plusieurs groupes de sécurité à associer à unENI. Pour de plus amples informations, veuillez consulter Configuration réseau. Les tâches sont placées sur des EC2 instances Amazon compatibles situées dans les mêmes zones de disponibilité que ces sous-réseaux, et les groupes de sécurité spécifiés sont associés à ceux ENI qui sont provisionnés pour la tâche.

Considérations relatives à Linux

Tenez compte des éléments suivants lorsque vous utilisez le système d'exploitation Linux.

Si vous utilisez une instance p5.48xlarge en awsvpc mode, vous ne pouvez pas exécuter plus d'une tâche sur l'instance.
Les tâches et les services qui utilisent le mode awsvpc réseau nécessitent le rôle ECS lié à un service Amazon pour fournir à Amazon ECS les autorisations nécessaires pour passer des appels vers d'autres AWS services en votre nom. Ce rôle est généré automatiquement lorsque vous créez un cluster, ou si vous créez ou mettez à jour un service dans la AWS Management Console. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Amazon ECS. Vous pouvez également créer le rôle lié à un service à l'aide de la commande suivante : AWS CLI
```
aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com
```
Votre instance Amazon EC2 Linux nécessite une version 1.15.0 ou une version ultérieure de l'agent de conteneur pour exécuter des tâches utilisant le mode awsvpc réseau. Si vous utilisez un package ECS optimisé pour AmazonAMI, votre instance a également besoin d'au moins 1.15.0-4 une version du ecs-init package.
Amazon ECS remplit le nom d'hôte de la tâche avec un DNS nom d'hôte (interne) fourni par Amazon lorsque les enableDnsSupport options enableDnsHostnames et sont activées sur votre. VPC Si ces options ne sont pas activées, le DNS nom d'hôte de la tâche est défini sur un nom d'hôte aléatoire. Pour plus d'informations sur les DNS paramètres d'unVPC, consultez Using DNS with Your VPC dans le guide de VPC l'utilisateur Amazon.
Chaque ECS tâche Amazon qui utilise le mode awsvpc réseau reçoit sa propre interface réseau élastique (ENI), qui est attachée à l'EC2instance Amazon qui l'héberge. Il existe un quota par défaut pour le nombre d'interfaces réseau pouvant être associées à une instance Amazon EC2 Linux. L'interface réseau principale est considérée comme une seule pour ce quota. Par exemple, par défaut, une c5.large instance peut n'en avoir ENIs que trois qui peuvent être attachées. L'interface réseau principale de l'instance est considérée comme une interface réseau. Vous pouvez en attacher deux autres ENIs à l'instance. Étant donné que chaque tâche utilisant le mode awsvpc réseau nécessite unENI, vous ne pouvez généralement exécuter que deux tâches de ce type sur ce type d'instance. Pour plus d'informations sur les ENI limites par défaut pour chaque type d'instance, consultez la section Adresses IP par interface réseau et par type d'instance dans le guide de EC2 l'utilisateur Amazon.
Amazon ECS prend en charge le lancement d'instances Amazon EC2 Linux qui utilisent des types d'instances pris en charge avec une ENI densité accrue. Lorsque vous activez les paramètres du awsvpcTrunking compte et que vous enregistrez des instances Amazon EC2 Linux qui utilisent ces types d'instances dans votre cluster, le ENI quota de ces instances est plus élevé. L'utilisation de ces instances avec ce quota plus élevé signifie que vous pouvez placer davantage de tâches sur chaque instance Amazon EC2 Linux. Pour utiliser la ENI densité accrue associée à la fonctionnalité de jonction, votre EC2 instance Amazon doit utiliser la version 1.28.1 ou une version ultérieure de l'agent de conteneur. Si vous utilisez un package ECS optimisé pour AmazonAMI, votre instance nécessite également au moins une version 1.28.1-2 du ecs-init package. Pour en savoir plus sur l'acceptation du paramètre de compte awsvpcTrunking, consultez Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte. Pour plus d'informations sur le ENI trunking, consultezAugmenter les interfaces réseau des instances de conteneur Amazon ECS Linux.
Lorsque vous hébergez des tâches qui utilisent le mode awsvpc réseau sur des instances Amazon EC2 Linux, aucune adresse IP publique ENIs n'est attribuée à votre tâche. Pour accéder à Internet, les tâches doivent être lancées dans un sous-réseau privé configuré pour utiliser une NAT passerelle. Pour plus d'informations, consultez les NATpasserelles dans le guide de l'VPCutilisateur Amazon. L'accès au réseau entrant doit se faire depuis une VPC adresse IP privée ou être acheminé via un équilibreur de charge depuis le. VPC Les tâches lancées dans les sous-réseaux publics n'ont pas accès à Internet.
Amazon ECS reconnaît uniquement ENIs ce qu'il attache à vos instances Amazon EC2 Linux. Si vous vous êtes connecté manuellement ENIs à vos instances, Amazon ECS peut tenter d'ajouter une tâche à une instance qui ne dispose pas d'un nombre suffisant d'adaptateurs réseau. Cela peut entraîner l'expiration de la tâche et le passage à un état de déprovisionnement, puis à un état d'arrêt. Nous vous recommandons de ne pas vous connecter manuellement ENIs à vos instances.
Les instances Amazon EC2 Linux doivent être enregistrées de manière ecs.capability.task-eni à pouvoir être prises en compte pour le placement de tâches en mode awsvpc réseau. Les instances exécutant la version 1.15.0-4 ou une version ultérieure d'ecs-init sont automatiquement enregistrées avec cet attribut.
Les ENIs fichiers créés et attachés à vos instances Amazon EC2 Linux ne peuvent pas être détachés manuellement ni modifiés par votre compte. Cela permet d'éviter la suppression accidentelle d'un ENI fichier associé à une tâche en cours d'exécution. Pour libérer le ENIs pour une tâche, arrêtez la tâche.
Il existe une limite de 16 sous-réseaux et 5 groupes de sécurité pouvant être spécifiés dans awsVpcConfiguration lors de l'exécution d'une tâche ou de la création d'un service qui utilise le mode réseau awsvpc. Pour plus d'informations, consultez le AwsVpcConfigurationmanuel Amazon Elastic Container Service API Reference.
Lorsqu'une tâche est démarrée en mode awsvpc réseau, l'agent de ECS conteneur Amazon crée un pause conteneur supplémentaire pour chaque tâche avant de démarrer les conteneurs dans la définition de la tâche. Il configure ensuite l'espace de noms réseau du pause conteneur en exécutant les amazon-ecs-cni-plugins CNIplugins. L'agent démarre ensuite le reste des conteneurs dans la tâche afin qu'ils partagent la pile réseau du conteneur pause. Cela signifie que tous les conteneurs d'une tâche sont adressables par les adresses IP du ENI et qu'ils peuvent communiquer entre eux via l'localhostinterface.
Les services avec des tâches qui utilisent le mode réseau awsvpc prennent uniquement en charge Application Load Balancer et Network Load Balancer. Lorsque vous créez des groupes cibles pour ces services, vous devez choisir ip comme type de cible. N'utilisez pas instance. Cela est dû au fait que les tâches qui utilisent le mode awsvpc réseau sont associées à une ENI instance Amazon Linux et non à une instance Amazon EC2 Linux. Pour de plus amples informations, veuillez consulter Utiliser l'équilibrage de charge pour répartir le trafic des ECS services Amazon.
Si votre compte VPC est mis à jour pour modifier le jeu DHCP d'options qu'il utilise, vous ne pouvez pas appliquer ces modifications aux tâches existantes. Commencez de nouvelles tâches en leur appliquant ces modifications, vérifiez qu'elles fonctionnent correctement, puis arrêtez les tâches existantes afin de modifier ces configurations réseau en toute sécurité.

Considérations relatives à Windows

Voici quelques points à prendre en compte lorsque vous utilisez le système d'exploitation Windows :

Les instances de conteneur utilisant Windows Server 2016 ECS optimisé pour Amazon ne AMI peuvent pas héberger de tâches utilisant le mode awsvpc réseau. Si vous avez un cluster contenant Windows Server 2016 ECS optimisé pour Amazon AMIs et Windows AMIs prenant en charge le mode awsvpc réseau, les tâches utilisant le mode awsvpc réseau ne sont pas lancées sur les instances de Windows 2016 Server. Elles sont plutôt lancées sur des instances qui prennent en charge le mode réseau awsvpc.
Votre instance Amazon EC2 Windows nécessite une version 1.57.1 ou une version ultérieure de l'agent de conteneur pour utiliser CloudWatch les métriques pour les conteneurs Windows qui utilisent le mode awsvpc réseau.
Les tâches et les services qui utilisent le mode awsvpc réseau nécessitent le rôle ECS lié à un service Amazon pour fournir à Amazon ECS les autorisations nécessaires pour passer des appels vers d'autres AWS services en votre nom. Ce rôle est généré automatiquement lorsque vous créez un cluster, ou si vous créez ou mettez à jour un service dans AWS Management Console. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Amazon ECS. Vous pouvez également créer le rôle lié à un service à l'aide de la commande suivante AWS CLI .
```
aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com
```
Votre instance Amazon EC2 Windows nécessite une version 1.54.0 ou une version ultérieure de l'agent de conteneur pour exécuter des tâches utilisant le mode awsvpc réseau. Lorsque vous amorcez l'instance, vous devez configurer les options requises pour le mode réseau awsvpc. Pour de plus amples informations, veuillez consulter Démarrage des instances de conteneur Amazon ECS Windows pour transmettre des données.
Amazon ECS remplit le nom d'hôte de la tâche avec un DNS nom d'hôte (interne) fourni par Amazon lorsque les enableDnsSupport options enableDnsHostnames et sont activées sur votre. VPC Si ces options ne sont pas activées, le DNS nom d'hôte de la tâche est un nom d'hôte aléatoire. Pour plus d'informations sur les DNS paramètres d'unVPC, consultez Using DNS with Your VPC dans le guide de VPC l'utilisateur Amazon.
Chaque ECS tâche Amazon qui utilise le mode awsvpc réseau reçoit sa propre interface réseau élastique (ENI), qui est attachée à l'instance Amazon EC2 Windows qui l'héberge. Il existe un quota par défaut pour le nombre d'interfaces réseau pouvant être associées à une instance Amazon EC2 Windows. L'interface réseau principale est considérée comme une seule pour ce quota. Par exemple, par défaut, une c5.large instance peut n'avoir que trois pièces ENIs associées. L'interface réseau principale de l'instance compte parmi celles-ci. Vous pouvez en attacher deux autres ENIs à l'instance. Comme chaque tâche utilisant le mode awsvpc réseau nécessite unENI, vous ne pouvez généralement exécuter que deux tâches de ce type sur ce type d'instance. Pour plus d'informations sur les ENI limites par défaut pour chaque type d'instance, consultez la section Adresses IP par interface réseau et par type d'instance dans le guide de EC2 l'utilisateur Amazon.
Lorsque vous hébergez des tâches utilisant le mode awsvpc réseau sur des instances Amazon EC2 Windows, aucune adresse IP publique ENIs n'est attribuée à votre tâche. Pour accéder à Internet, lancez des tâches dans un sous-réseau privé configuré pour utiliser une NAT passerelle. Pour plus d'informations, consultez les NATpasserelles dans le guide de l'VPCutilisateur Amazon. L'accès au réseau entrant doit provenir de l'VPCadresse IP privée ou être acheminé via un équilibreur de charge depuis le. VPC Les tâches lancées dans les sous-réseaux publics n'ont pas accès à Internet.
Amazon ECS reconnaît uniquement ENIs ce qu'il a attaché à votre instance Amazon EC2 Windows. Si vous vous êtes connecté manuellement ENIs à vos instances, Amazon ECS peut tenter d'ajouter une tâche à une instance qui ne dispose pas d'un nombre suffisant d'adaptateurs réseau. Cela peut entraîner l'expiration de la tâche et le passage à un état de déprovisionnement, puis à un état d'arrêt. Nous vous recommandons de ne pas vous connecter manuellement ENIs à vos instances.
Les instances Amazon EC2 Windows doivent être enregistrées de manière ecs.capability.task-eni à pouvoir être prises en compte pour le placement de tâches en mode awsvpc réseau.
Vous ne pouvez pas modifier ou détacher manuellement ENIs ceux qui sont créés et attachés à vos instances Amazon EC2 Windows. Cela vous évitera de supprimer accidentellement un ENI fichier associé à une tâche en cours d'exécution. Pour libérer le ENIs pour une tâche, arrêtez la tâche.
Vous pouvez uniquement spécifier jusqu'à 16 sous-réseaux et 5 groupes de sécurité dans awsVpcConfiguration, lorsque vous exécutez une tâche ou créez un service qui utilise le mode réseau awsvpc. Pour plus d'informations, consultez le AwsVpcConfigurationmanuel Amazon Elastic Container Service API Reference.
Lorsqu'une tâche est démarrée en mode awsvpc réseau, l'agent de ECS conteneur Amazon crée un pause conteneur supplémentaire pour chaque tâche avant de démarrer les conteneurs dans la définition de la tâche. Il configure ensuite l'espace de noms réseau du pause conteneur en exécutant les amazon-ecs-cni-plugins CNIplugins. L'agent démarre ensuite le reste des conteneurs dans la tâche afin qu'ils partagent la pile réseau du conteneur pause. Cela signifie que tous les conteneurs d'une tâche sont adressables par les adresses IP du ENI et qu'ils peuvent communiquer entre eux via l'localhostinterface.
Les services avec des tâches qui utilisent le mode réseau awsvpc prennent uniquement en charge Application Load Balancer et Network Load Balancer. Lorsque vous créez des groupes cibles pour ces services, vous devez choisir le type de cible ip, et non instance. Cela est dû au fait que les tâches qui utilisent le mode awsvpc réseau sont associées à une ENI instance Amazon Windows et non à une instance Amazon EC2 Windows. Pour de plus amples informations, veuillez consulter Utiliser l'équilibrage de charge pour répartir le trafic des ECS services Amazon.
Si votre compte VPC est mis à jour pour modifier le jeu DHCP d'options qu'il utilise, vous ne pouvez pas appliquer ces modifications aux tâches existantes. Commencez de nouvelles tâches en leur appliquant ces modifications, vérifiez qu'elles fonctionnent correctement, puis arrêtez les tâches existantes afin de modifier ces configurations réseau en toute sécurité.
Les éléments suivants ne sont pas pris en charge lorsque vous utilisez le mode awsvpc réseau dans une configuration EC2 Windows :
- Configuration à double pile
- IPv6
- ENItronquage

Utilisation d'un VPC en mode double pile

Lorsque vous utilisez un VPC mode double pile, vos tâches peuvent communiquer par IPv4 ou IPv6 par les deux. IPv4et IPv6 les adresses sont indépendantes les unes des autres. Par conséquent, vous devez configurer le routage et la sécurité VPC séparément pour IPv4 etIPv6. Pour plus d'informations sur la configuration de votre appareil VPC pour le mode Dual-Stack, consultez la section Migration vers IPv6 dans le guide de VPCl'utilisateur Amazon.

Si vous l'avez configuré VPC avec une passerelle Internet ou une passerelle Internet uniquement sortante, vous pouvez l'utiliser VPC en mode double pile. Ainsi, les tâches auxquelles une IPv6 adresse est attribuée peuvent accéder à Internet via une passerelle Internet ou une passerelle Internet de sortie uniquement. NATles passerelles sont facultatives. Pour plus d'informations, consultez les sections Passerelles Internet et Passerelles Internet de sortie uniquement dans le Guide de l'utilisateur Amazon. VPC

Une IPv6 adresse est attribuée aux ECS tâches Amazon si les conditions suivantes sont remplies :

L'instance Amazon EC2 Linux qui héberge la tâche utilise la version 1.45.0 ou une version ultérieure de l'agent de conteneur. Pour plus d'informations sur la vérification de la version de l'agent utilisée par votre instance et la mise à jour si nécessaire, veuillez consulter Mettre à jour l'agent de ECS conteneur Amazon.
Le paramètre de compte dualStackIPv6 est activé. Pour de plus amples informations, veuillez consulter Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte.
Votre tâche utilise le mode réseau awsvpc.
Votre sous-réseau VPC et votre sous-réseau sont configurés pourIPv6. La configuration inclut les interfaces réseau créées dans le sous-réseau spécifié. Pour plus d'informations sur la configuration de votre sous-réseau VPC pour le mode double pile, consultez la section Migration vers IPv6 et modification de l'attribut d'IPv6adressage de votre sous-réseau dans le guide de l'utilisateur Amazon VPC.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mise en réseau des tâches pour le type de EC2 lancement

Mode réseau hôte