Allouer une interface réseau pour une tâche Amazon ECS - Amazon Elastic Container Service
Considérations relatives à LinuxConsidérations relatives à WindowsUtilisation d'un VPC en mode double pile

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Allouer une interface réseau pour une tâche Amazon ECS

Les fonctionnalités de mise en réseau des tâches fournies par le mode awsvpc réseau confèrent aux tâches Amazon ECS les mêmes propriétés réseau que EC2 les instances Amazon. L'utilisation du mode awsvpc réseau simplifie la mise en réseau des conteneurs, car vous avez un meilleur contrôle sur la façon dont vos applications communiquent entre elles et avec les autres services au sein de votre entreprise VPCs. Le mode awsvpc réseau renforce également la sécurité de vos conteneurs en vous permettant d'utiliser des groupes de sécurité et des outils de surveillance réseau à un niveau plus détaillé dans le cadre de vos tâches. Vous pouvez également utiliser d'autres fonctionnalités EC2 réseau d'Amazon, telles que les journaux de flux VPC pour surveiller le trafic en provenance et à destination de vos tâches. De plus, les conteneurs qui appartiennent à la même tâche peuvent communiquer via l'interface localhost.

La task elastic network interface (ENI) est une fonctionnalité entièrement gérée d'Amazon ECS. Amazon ECS crée l'ENI et l'attache à l' EC2 instance Amazon hôte avec le groupe de sécurité spécifié. La tâche envoie et reçoit du trafic réseau via l'ENI de la même manière que les EC2 instances Amazon le font avec leurs interfaces réseau principales. Une IPv4 adresse privée est attribuée par défaut à chaque tâche ENI. Si votre VPC est activé pour le mode double pile et que vous utilisez un sous-réseau avec un bloc IPv6 CIDR, la tâche ENI recevra également une adresse. IPv6 Chaque tâche ne peut avoir qu'une seule ENI.

Ils ENIs sont visibles dans la EC2 console Amazon de votre compte. Votre compte ne peut pas détacher ou modifier le ENIs. L'objectif est d'empêcher la suppression accidentelle de toute ENI associée à une tâche en cours d'exécution. Vous pouvez consulter les informations de pièce jointe ENI pour les tâches dans la console Amazon ECS ou lors du fonctionnement de l'DescribeTasksAPI. Lorsque la tâche s'arrête ou si le service est réduit, l'ENI de la tâche est détachée et supprimée.

Lorsque vous avez besoin d'une densité ENI accrue, utilisez les paramètres du awsvpcTrunking compte. Amazon ECS crée et attache également une interface réseau « tronc » pour votre instance de conteneur. Le réseau « de jonction » est entièrement géré par Amazon ECS. L'ENI « de jonction » est supprimée lorsque vous résiliez votre instance de conteneur ou lorsque vous annulez son enregistrement dans le cluster Amazon ECS. Pour plus d'informations sur le paramétrage du awsvpcTrunking compte, consultezPrérequis.

Vous le spécifiez awsvpc dans le networkMode paramètre de la définition de la tâche. Pour de plus amples informations, veuillez consulter Mode réseau.

Ensuite, lorsque vous exécutez une tâche ou créez un service, utilisez le networkConfiguration paramètre qui inclut un ou plusieurs sous-réseaux dans lesquels placer vos tâches et un ou plusieurs groupes de sécurité à associer à un ENI. Pour de plus amples informations, veuillez consulter Configuration réseau. Les tâches sont placées sur des EC2 instances Amazon compatibles situées dans les mêmes zones de disponibilité que ces sous-réseaux, et les groupes de sécurité spécifiés sont associés à l'ENI configuré pour la tâche.

Considérations relatives à Linux

Tenez compte des éléments suivants lorsque vous utilisez le système d'exploitation Linux.

  • Si vous utilisez une instance p5.48xlarge en awsvpc mode, vous ne pouvez pas exécuter plus d'une tâche sur l'instance.

  • Les tâches et les services qui utilisent le mode awsvpc réseau nécessitent le rôle lié au service Amazon ECS pour fournir à Amazon ECS les autorisations nécessaires pour passer des appels vers d'autres AWS services en votre nom. Ce rôle est généré automatiquement lorsque vous créez un cluster, ou si vous créez ou mettez à jour un service dans la AWS Management Console. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour Amazon ECS. Vous pouvez également créer le rôle lié à un service à l'aide de la commande suivante : AWS CLI 

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Votre instance Amazon EC2 Linux nécessite une version 1.15.0 ou une version ultérieure de l'agent de conteneur pour exécuter des tâches utilisant le mode awsvpc réseau. Si vous utilisez l'AMI Linux optimisée pour Amazon ECS, votre instance doit également au moins disposer de la version 1.15.0-4 du package ecs-init.

  • Amazon ECS remplit le nom d'hôte d'une tâche avec un nom d'hôte DNS (interne) fourni par Amazon lorsque les options enableDnsHostnames et enableDnsSupport sont toutes deux activées sur votre VPC. Si ces options ne sont pas activées, le nom d'hôte DNS de la tâche est un nom d'hôte aléatoire. Pour plus d'informations sur les paramètres DNS d'un VPC, veuillez consulter la rubrique Utilisation de DNS avec votre VPC dans le Guide de l'utilisateur Amazon VPC.

  • Chaque tâche Amazon ECS qui utilise le mode awsvpc réseau reçoit sa propre interface Elastic Network (ENI), qui est attachée à l' EC2 instance Amazon qui l'héberge. Il existe un quota par défaut pour le nombre d'interfaces réseau pouvant être associées à une instance Amazon EC2 Linux. L'interface réseau principale est considérée comme une seule pour ce quota. Par exemple, par défaut, une c5.large instance peut n'en avoir ENIs que trois qui peuvent être attachées. L'interface réseau principale de l'instance est considérée comme une interface réseau. Vous pouvez en attacher deux autres ENIs à l'instance. Dans la mesure où chaque tâche utilisant le mode réseau awsvpc nécessite une ENI, vous ne pouvez généralement exécuter que deux tâches sur ce type d'instance. Pour plus d'informations sur les limites ENI par défaut pour chaque type d'instance, consultez la section Adresses IP par interface réseau et par type d'instance dans le guide de EC2 l'utilisateur Amazon.

  • Amazon ECS prend en charge le lancement d'instances Amazon EC2 Linux qui utilisent des types d'instances pris en charge avec une densité ENI accrue. Lorsque vous activez les paramètres du awsvpcTrunking compte et que vous enregistrez des instances Amazon EC2 Linux qui utilisent ces types d'instances dans votre cluster, le quota ENI de ces instances est plus élevé. L'utilisation de ces instances avec ce quota plus élevé signifie que vous pouvez placer davantage de tâches sur chaque instance Amazon EC2 Linux. Pour utiliser la densité ENI accrue avec la fonctionnalité de jonction, votre EC2 instance Amazon doit utiliser la version 1.28.1 ou une version ultérieure de l'agent de conteneur. Si vous utilisez une AMI optimisée pour Amazon ECS, votre instance doit également au moins disposer de la version 1.28.1-2 du package ecs-init. Pour en savoir plus sur l'acceptation du paramètre de compte awsvpcTrunking, consultez Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte. Pour en savoir plus sur la jonction ENI, consultez Augmenter les interfaces réseau des instances de conteneur Linux Amazon ECS.

  • Lorsque vous hébergez des tâches qui utilisent le mode awsvpc réseau sur des instances Amazon EC2 Linux, aucune adresse IP publique ENIs n'est attribuée à votre tâche. Pour accéder à Internet, les tâches doivent être lancées dans un sous-réseau privé configuré pour utiliser une passerelle NAT. Pour plus d'informations, veuillez consulter NAT Gateways (Passerelles NAT) dans le Guide de l'utilisateur Amazon VPC. L'accès entrant au réseau doit se faire depuis un VPC avec l'adresse IP privée ou doit transiter par un équilibreur de charge au sein du VPC. Les tâches lancées dans les sous-réseaux publics n'ont pas accès à Internet.

  • Amazon ECS reconnaît uniquement ENIs ce qu'il attache à vos instances Amazon EC2 Linux. Si vous vous connectez manuellement ENIs à vos instances, Amazon ECS peut tenter d'ajouter une tâche à une instance qui ne dispose pas de suffisamment d'adaptateurs réseau. Cela peut entraîner l'expiration de la tâche et le passage à un état de déprovisionnement, puis à un état d'arrêt. Nous vous recommandons de ne pas vous connecter manuellement ENIs à vos instances.

  • Les instances Amazon EC2 Linux doivent être enregistrées de manière ecs.capability.task-eni à pouvoir être prises en compte pour le placement de tâches en mode awsvpc réseau. Les instances exécutant la version 1.15.0-4 ou une version ultérieure d'ecs-init sont automatiquement enregistrées avec cet attribut.

  • Les ENIs fichiers créés et attachés à vos instances Amazon EC2 Linux ne peuvent pas être détachés manuellement ni modifiés par votre compte. L'objectif est d'empêcher la suppression accidentelle de toute ENI associée à une tâche en cours d'exécution. Pour libérer le ENIs pour une tâche, arrêtez la tâche.

  • Il existe une limite de 16 sous-réseaux et 5 groupes de sécurité pouvant être spécifiés dans awsVpcConfiguration lors de l'exécution d'une tâche ou de la création d'un service qui utilise le mode réseau awsvpc. Pour plus d'informations, consultez le AwsVpcConfigurationmanuel Amazon Elastic Container Service API Reference.

  • Lorsqu'une tâche est démarrée avec le mode réseau awsvpc, l'agent de conteneur Amazon ECS crée un conteneur pause supplémentaire pour chaque tâche avant de démarrer les conteneurs dans la définition de tâche. Il configure ensuite l'espace de noms réseau du pause conteneur en exécutant les plugins amazon-ecs-cni-plugins CNI. L'agent démarre ensuite le reste des conteneurs dans la tâche afin qu'ils partagent la pile réseau du conteneur pause. Cela signifie que tous les conteneurs d'une tâche peuvent être adressés par les adresses IP de l'ENI et qu'ils peuvent communiquer entre eux via l'interface localhost.

  • Les services avec des tâches qui utilisent le mode réseau awsvpc prennent uniquement en charge Application Load Balancer et Network Load Balancer. Lorsque vous créez des groupes cibles pour ces services, vous devez choisir ip comme type de cible. N'utilisez pas  instance. Cela est dû au fait que les tâches qui utilisent le mode awsvpc réseau sont associées à une ENI, et non à une instance Amazon EC2 Linux. Pour de plus amples informations, veuillez consulter Utiliser l'équilibrage de charge pour distribuer le trafic du service Amazon ECS.

  • Si votre VPC est mis à jour pour modifier le jeu d'options DHCP qu'il utilise, vous ne pouvez pas appliquer ces modifications aux tâches existantes. Commencez de nouvelles tâches en leur appliquant ces modifications, vérifiez qu'elles fonctionnent correctement, puis arrêtez les tâches existantes afin de modifier ces configurations réseau en toute sécurité.

Considérations relatives à Windows

Voici quelques points à prendre en compte lorsque vous utilisez le système d'exploitation Windows :

  • Les instances de conteneur utilisant l'AMI Windows Server 2016 optimisée pour Amazon ECS ne peuvent pas héberger des tâches qui utilisent le mode réseau awsvpc. Si vous avez un cluster contenant Windows Server 2016 optimisé pour Amazon ECS AMIs et Windows AMIs prenant en charge le mode awsvpc réseau, les tâches utilisant le mode awsvpc réseau ne sont pas lancées sur les instances de Windows 2016 Server. Elles sont plutôt lancées sur des instances qui prennent en charge le mode réseau awsvpc.

  • Votre instance Amazon EC2 Windows nécessite une version 1.57.1 ou une version ultérieure de l'agent de conteneur pour utiliser CloudWatch les métriques pour les conteneurs Windows qui utilisent le mode awsvpc réseau.

  • Les tâches et les services qui utilisent le mode awsvpc réseau nécessitent le rôle lié au service Amazon ECS pour fournir à Amazon ECS les autorisations nécessaires pour passer des appels vers d'autres AWS services en votre nom. Ce rôle est généré automatiquement lorsque vous créez un cluster, ou si vous créez ou mettez à jour un service dans AWS Management Console. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour Amazon ECS. Vous pouvez également créer le rôle lié à un service à l'aide de la commande suivante AWS CLI .

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Votre instance Amazon EC2 Windows nécessite une version 1.54.0 ou une version ultérieure de l'agent de conteneur pour exécuter des tâches utilisant le mode awsvpc réseau. Lorsque vous amorcez l'instance, vous devez configurer les options requises pour le mode réseau awsvpc. Pour de plus amples informations, veuillez consulter Démarrage des instances de conteneur Windows Amazon ECS pour transmettre des données.

  • Amazon ECS remplit le nom d'hôte d'une tâche avec un nom d'hôte DNS (interne) fourni par Amazon lorsque les options enableDnsHostnames et enableDnsSupport sont toutes deux activées sur votre VPC. Si ces options ne sont pas activées, le nom d'hôte DNS de la tâche est un nom d'hôte aléatoire. Pour plus d'informations sur les paramètres DNS d'un VPC, veuillez consulter la rubrique Utilisation de DNS avec votre VPC dans le Guide de l'utilisateur Amazon VPC.

  • Chaque tâche Amazon ECS qui utilise le mode awsvpc réseau reçoit sa propre interface Elastic Network (ENI), qui est attachée à l'instance Amazon EC2 Windows qui l'héberge. Il existe un quota par défaut pour le nombre d'interfaces réseau pouvant être associées à une instance Amazon EC2 Windows. L'interface réseau principale est considérée comme une seule pour ce quota. Par exemple, par défaut, une c5.large instance peut n'avoir que trois pièces ENIs associées. L'interface réseau principale de l'instance compte parmi celles-ci. Vous pouvez en attacher deux autres ENIs à l'instance. Dans la mesure où chaque tâche utilisant le mode réseau awsvpc nécessite une ENI, vous ne pouvez généralement exécuter que deux tâches sur ce type d'instance. Pour plus d'informations sur les limites ENI par défaut pour chaque type d'instance, consultez la section Adresses IP par interface réseau et par type d'instance dans le guide de EC2 l'utilisateur Amazon.

  • Lorsque vous hébergez des tâches qui utilisent le mode awsvpc réseau sur des instances Amazon EC2 Windows, aucune adresse IP publique ENIs n'est attribuée à votre tâche. Pour accéder à Internet, lancez les tâches dans un sous-réseau privé configuré pour utiliser une passerelle NAT. Pour plus d'informations, veuillez consulter NAT Gateways (Passerelles NAT) dans le Guide de l'utilisateur Amazon VPC. L'accès entrant au réseau doit se faire depuis le VPC avec l'adresse IP privée ou doit transiter par un équilibreur de charge au sein du VPC. Les tâches lancées dans les sous-réseaux publics n'ont pas accès à Internet.

  • Amazon ECS reconnaît uniquement ENIs ce qu'il a attaché à votre instance Amazon EC2 Windows. Si vous vous connectez manuellement ENIs à vos instances, Amazon ECS peut tenter d'ajouter une tâche à une instance qui ne dispose pas de suffisamment d'adaptateurs réseau. Cela peut entraîner l'expiration de la tâche et le passage à un état de déprovisionnement, puis à un état d'arrêt. Nous vous recommandons de ne pas vous connecter manuellement ENIs à vos instances.

  • Les instances Amazon EC2 Windows doivent être enregistrées de manière ecs.capability.task-eni à pouvoir être prises en compte pour le placement de tâches en mode awsvpc réseau.

  • Vous ne pouvez pas modifier ou détacher manuellement ENIs ceux qui sont créés et attachés à vos instances Amazon EC2 Windows. Cela vous évite de supprimer accidentellement une ENI associée à une tâche en cours d'exécution. Pour libérer le ENIs pour une tâche, arrêtez la tâche.

  • Vous pouvez uniquement spécifier jusqu'à 16 sous-réseaux et 5 groupes de sécurité dans awsVpcConfiguration, lorsque vous exécutez une tâche ou créez un service qui utilise le mode réseau awsvpc. Pour plus d'informations, consultez le AwsVpcConfigurationmanuel Amazon Elastic Container Service API Reference.

  • Lorsqu'une tâche est démarrée avec le mode réseau awsvpc, l'agent de conteneur Amazon ECS crée un conteneur pause supplémentaire pour chaque tâche avant de démarrer les conteneurs dans la définition de tâche. Il configure ensuite l'espace de noms réseau du pause conteneur en exécutant les plugins amazon-ecs-cni-plugins CNI. L'agent démarre ensuite le reste des conteneurs dans la tâche afin qu'ils partagent la pile réseau du conteneur pause. Cela signifie que tous les conteneurs d'une tâche peuvent être adressés par les adresses IP de l'ENI et qu'ils peuvent communiquer entre eux via l'interface localhost.

  • Les services avec des tâches qui utilisent le mode réseau awsvpc prennent uniquement en charge Application Load Balancer et Network Load Balancer. Lorsque vous créez des groupes cibles pour ces services, vous devez choisir le type de cible ip, et non instance. Cela est dû au fait que les tâches qui utilisent le mode awsvpc réseau sont associées à une ENI, et non à une instance Amazon EC2 Windows. Pour de plus amples informations, veuillez consulter Utiliser l'équilibrage de charge pour distribuer le trafic du service Amazon ECS.

  • Si votre VPC est mis à jour pour modifier le jeu d'options DHCP qu'il utilise, vous ne pouvez pas appliquer ces modifications aux tâches existantes. Commencez de nouvelles tâches en leur appliquant ces modifications, vérifiez qu'elles fonctionnent correctement, puis arrêtez les tâches existantes afin de modifier ces configurations réseau en toute sécurité.

  • Les éléments suivants ne sont pas pris en charge lorsque vous utilisez le mode awsvpc réseau dans une configuration EC2 Windows :

    • Configuration à double pile

    • IPv6

    • Jonction ENI

Utilisation d'un VPC en mode double pile

Lorsque vous utilisez un VPC en mode double pile, vos tâches peuvent communiquer par ou IPv6 par IPv4 les deux. IPv4 et IPv6 les adresses sont indépendantes les unes des autres. Par conséquent, vous devez configurer le routage et la sécurité dans votre VPC séparément pour IPv4 et. IPv6 Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, consultez la section Migration vers le guide de l'utilisateur IPv6 Amazon VPC.

Si vous avez configuré votre VPC avec une passerelle Internet ou une passerelle Internet sortante uniquement, vous pouvez utiliser votre VPC en mode double pile. Ainsi, les tâches auxquelles une IPv6 adresse est attribuée peuvent accéder à Internet via une passerelle Internet ou une passerelle Internet de sortie uniquement. Les passerelles NAT sont facultatives. Pour plus d'informations, veuillez consulter les rubriques Passerelles Internet et Passerelle Internet en sortie uniquement dans le Guide de l'utilisateur Amazon VPC.

Une IPv6 adresse est attribuée aux tâches Amazon ECS si les conditions suivantes sont remplies :