Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Arsitek AWS Fargate untuk Amazon ECS
AWS Fargateadalah teknologi yang dapat Anda gunakan dengan Amazon ECS untuk menjalankan [container](https://aws.amazon.com/containers/) tanpa harus mengelola server atau cluster instans Amazon EC2. Dengan AWS Fargate, Anda tidak perlu lagi menyediakan, mengonfigurasi, atau menskalakan klaster mesin virtual untuk menjalankan kontainer. Hal ini menghilangkan kebutuhan untuk memilih tipe server, memutuskan waktu untuk menskalakan klaster Anda, atau mengoptimalkan klaster kemasan.
Ketika Anda menjalankan tugas dan layanan Anda dengan Fargate, Anda mengemas aplikasi Anda dalam wadah, menentukan persyaratan CPU dan memori, menentukan kebijakan jaringan dan IAM, dan meluncurkan aplikasi. Setiap tugas Fargate memiliki batas isolasi sendiri dan tidak berbagi kernel yang mendasarinya, sumber daya CPU, sumber daya memori, atau elastic network interface dengan tugas lain. Anda mengonfigurasi definisi tugas untuk Fargate dengan menyetel parameter definisi `requiresCompatibilities` tugas ke. `FARGATE` Untuk informasi selengkapnya, lihat [Kapasitas](task_definition_parameters.md#requires_compatibilities).
Fargate menawarkan versi platform untuk Amazon Linux 2 (platform versi 1.3.0), sistem operasi Bottlerocket (platform versi 1.4.0), dan Microsoft Windows 2019 Server edisi Lengkap dan Inti. Kecuali ditentukan lain, informasi tersebut berlaku untuk semua platform Fargate.
Untuk informasi tentang Wilayah yang mendukung kontainer Linux di Fargate, lihat. [Wadah Linux di AWS Fargate](AWS_Fargate-Regions.md#linux-regions)
Untuk informasi tentang Wilayah yang mendukung kontainer Windows di Fargate, lihat. [Wadah Windows di AWS Fargate](AWS_Fargate-Regions.md#windows-regions)
## Panduan
Untuk informasi tentang cara memulai menggunakan konsol, lihat:
+ [Pelajari cara membuat tugas Amazon ECS Linux untuk Fargate](getting-started-fargate.md)
+ [Pelajari cara membuat tugas Amazon ECS Windows untuk Fargate](Windows_fargate-getting_started.md)
Untuk informasi tentang cara mulai menggunakan AWS CLI, lihat:
+ [Membuat tugas Amazon ECS Linux untuk Fargate dengan AWS CLI](ECS_AWSCLI_Fargate.md)
+ [Membuat tugas Amazon ECS Windows untuk Fargate dengan AWS CLI](ECS_AWSCLI_Fargate_windows.md)
## Penyedia kapasitas
Penyedia kapasitas berikut tersedia:
+ Fargate
+ Fargate Spot - Jalankan tugas Amazon ECS toleran interupsi dengan tarif diskon dibandingkan dengan harga. AWS Fargate Spot Fargate menjalankan tugas pada kapasitas komputasi cadangan. Ketika AWS membutuhkan kapasitas kembali, tugas Anda akan terganggu dengan peringatan dua menit. Untuk informasi selengkapnya, lihat [Cluster Amazon ECS untuk Fargate](fargate-capacity-providers.md).
## Definisi tugas
Tugas Fargate tidak mendukung semua parameter definisi tugas Amazon ECS yang tersedia. Beberapa parameter tidak didukung sama sekali, dan yang lain berperilaku berbeda untuk tugas Fargate. Untuk informasi selengkapnya, lihat [CPU dan memori tugas](fargate-tasks-services.md#fargate-tasks-size).
## Versi platform
AWS Versi platform Fargate digunakan untuk merujuk ke lingkungan runtime tertentu untuk infrastruktur tugas Fargate. Ini adalah kombinasi dari kernel dan versi runtime container. Anda memilih versi platform ketika Anda menjalankan tugas atau ketika Anda membuat layanan untuk mempertahankan sejumlah tugas yang identik.
Revisi baru versi platform dirilis saat lingkungan runtime berkembang, misalnya, jika ada pembaruan kernel atau sistem operasi, fitur baru, perbaikan bug, atau pembaruan keamanan. Versi platform Fargate diperbarui dengan membuat revisi versi platform baru. Setiap tugas berjalan pada satu revisi versi platform selama siklus hidupnya. Jika Anda ingin menggunakan revisi versi platform terbaru, maka Anda harus memulai tugas baru. Tugas baru yang berjalan di Fargate selalu berjalan pada revisi terbaru dari versi platform, memastikan bahwa tugas selalu dimulai pada infrastruktur yang aman dan ditambal.
Jika ditemukan masalah keamanan yang memengaruhi versi platform yang ada, AWS buat revisi baru yang ditambal dari versi platform dan menghentikan tugas yang berjalan pada revisi yang rentan. Dalam beberapa kasus, Anda mungkin diberi tahu bahwa tugas Anda di Fargate telah dijadwalkan untuk pensiun. Untuk informasi selengkapnya, lihat [Tugas pensiun dan pemeliharaan untuk AWS Fargate di Amazon ECS](task-maintenance.md).
Untuk mengetahui informasi selengkapnya, lihat [Versi platform Fargate untuk Amazon ECS](platform-fargate.md).
## Penyeimbangan beban layanan
Layanan Amazon ECS Anda secara opsional AWS Fargate dapat dikonfigurasi untuk menggunakan Elastic Load Balancing untuk mendistribusikan lalu lintas secara merata di seluruh tugas dalam layanan Anda.
Layanan Amazon ECS AWS Fargate mendukung jenis penyeimbang beban Application Load Balancer, Network Load Balancer, dan Gateway Load Balancer. Aplikasi Load Balancer digunakan untuk merutekan HTTP/HTTPS (atau lapisan 7) lalu lintas. Network Load Balancer digunakan untuk merutekan lalu lintas TCP atau UDP (atau layer 4). Untuk informasi selengkapnya, lihat [Menggunakan penyeimbangan beban untuk mendistribusikan lalu lintas layanan Amazon ECS](service-load-balancing.md).
Ketika Anda membuat grup target untuk layanan ini, Anda harus memilih `ip` sebagai tipe target, bukan `instance`. Ini karena tugas yang menggunakan mode `awsvpc` jaringan dikaitkan dengan elastic network interface, bukan instans Amazon EC2. Untuk informasi selengkapnya, lihat [Menggunakan penyeimbangan beban untuk mendistribusikan lalu lintas layanan Amazon ECS](service-load-balancing.md).
Menggunakan Network Load Balancer untuk merutekan lalu lintas UDP ke Amazon ECS pada AWS Fargate tugas hanya didukung saat menggunakan platform versi 1.4 atau yang lebih baru.
## Metrik penggunaan
Anda dapat menggunakan metrik CloudWatch penggunaan untuk memberikan visibilitas ke akun Anda penggunaan sumber daya. Gunakan metrik ini untuk memvisualisasikan penggunaan layanan Anda saat ini pada CloudWatch grafik dan dasbor.
AWS Fargate metrik penggunaan sesuai dengan kuota AWS layanan. Anda dapat mengonfigurasi alarm yang memberi tahu Anda saat penggunaan mendekati kuota layanan. Untuk informasi lebih lanjut tentang kuota AWS Fargate layanan, [titik akhir Amazon ECS dan kuota](https://docs.aws.amazon.com/general/latest/gr/ecs-service.html) di.. *Referensi Umum Amazon Web*
Untuk informasi selengkapnya tentang metrik AWS Fargate penggunaan, lihat [metrik AWS Fargate penggunaan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/monitoring-fargate-usage.html).
# Pertimbangan keamanan Amazon ECS kapan harus menggunakan Fargate
Kami menyarankan agar pelanggan yang mencari isolasi yang kuat untuk tugas mereka menggunakan Fargate. Fargate menjalankan setiap tugas dalam lingkungan virtualisasi perangkat keras. Ini memastikan bahwa beban kerja kontainer ini tidak berbagi antarmuka jaringan, penyimpanan sementara Fargate, CPU, atau memori dengan tugas lain. Untuk informasi selengkapnya, lihat [Gambaran Umum Keamanan AWS Fargate](https://d1.awsstatic.com/whitepapers/AWS_Fargate_Security_Overview_Whitepaper.pdf).
# Praktik terbaik keamanan Fargate di Amazon ECS
Kami menyarankan Anda mempertimbangkan praktik terbaik berikut saat Anda menggunakannya AWS Fargate. Untuk panduan tambahan, lihat [Ikhtisar keamanan AWS Fargate](https://d1.awsstatic.com/whitepapers/AWS_Fargate_Security_Overview_Whitepaper.pdf).
## Gunakan AWS KMS untuk mengenkripsi penyimpanan sementara untuk Fargate
Anda harus memiliki penyimpanan sementara Anda dienkripsi oleh salah satu AWS KMS atau kunci yang dikelola pelanggan Anda sendiri. Untuk tugas yang di-host di Fargate menggunakan versi platform `1.4.0` atau yang lebih baru, setiap tugas menerima 20 GiB penyimpanan sementara. Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan (CMK)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/fargate-storage-encryption.html). Anda dapat meningkatkan jumlah total penyimpanan sementara, hingga maksimum 200 GiB, dengan menentukan `ephemeralStorage` parameter dalam definisi tugas Anda. Untuk tugas-tugas seperti itu yang diluncurkan pada 28 Mei 2020 atau lebih baru, penyimpanan sementara dienkripsi dengan algoritma enkripsi AES-256 menggunakan kunci enkripsi yang dikelola oleh Fargate.
Untuk informasi selengkapnya, lihat [Opsi penyimpanan untuk tugas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_data_volumes.html).
**Contoh: Meluncurkan tugas di platform Fargate versi 1.4.0 dengan enkripsi penyimpanan singkat**
Perintah berikut akan meluncurkan tugas pada platform Fargate versi 1.4. Karena tugas ini diluncurkan sebagai bagian dari cluster, ia menggunakan 20 GiB penyimpanan sementara yang secara otomatis dienkripsi.
```
aws ecs run-task --cluster clustername \
--task-definition taskdefinition:version \
--count 1
--launch-type "FARGATE" \
--platform-version 1.4.0 \
--network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \
--region region
```
## Kemampuan SYS\$1PTRACE untuk penelusuran syscall kernel dengan Fargate
Konfigurasi default kemampuan Linux yang ditambahkan atau dihapus dari container Anda disediakan oleh Docker.
Tugas yang diluncurkan di Fargate hanya mendukung penambahan kemampuan `SYS_PTRACE` kernel.
Video berikut menunjukkan cara menggunakan fitur ini melalui proyek Sysdig [Falco](https://github.com/falcosecurity/falco).
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OYGKjmFeLqI)
Kode yang dibahas dalam video sebelumnya dapat ditemukan di GitHub [sini](https://github.com/paavan98pm/ecs-fargate-pv1.4-falco).
## Gunakan Amazon GuardDuty dengan Fargate Runtime Monitoring
Amazon GuardDuty adalah layanan deteksi ancaman yang membantu melindungi akun, wadah, beban kerja, dan data di AWS lingkungan Anda. Menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, GuardDuty terus memantau berbagai sumber log dan aktivitas runtime untuk mengidentifikasi dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda.
Runtime Monitoring in GuardDuty melindungi beban kerja yang berjalan di Fargate dengan terus memantau aktivitas AWS log dan jaringan untuk mengidentifikasi perilaku berbahaya atau tidak sah. Runtime Monitoring menggunakan agen GuardDuty keamanan ringan yang dikelola sepenuhnya yang menganalisis perilaku on-host, seperti akses file, eksekusi proses, dan koneksi jaringan. Ini mencakup masalah termasuk peningkatan hak istimewa, penggunaan kredensil yang terbuka, atau komunikasi dengan alamat IP berbahaya, domain, dan keberadaan malware di instans Amazon EC2 dan beban kerja kontainer Anda. Untuk informasi selengkapnya, lihat [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) di *Panduan GuardDuty Pengguna*.
# Pertimbangan keamanan Fargate untuk Amazon ECS
Setiap tugas memiliki kapasitas infrastruktur khusus karena Fargate menjalankan setiap beban kerja pada lingkungan virtual yang terisolasi. Beban kerja yang berjalan di Fargate tidak berbagi antarmuka jaringan, penyimpanan sementara, CPU, atau memori dengan tugas lain. Anda dapat menjalankan beberapa kontainer dalam tugas termasuk wadah aplikasi dan kontainer sespan, atau hanya sespan. *Sidecar* adalah wadah yang berjalan bersama wadah aplikasi dalam tugas Amazon ECS. Sementara wadah aplikasi menjalankan kode aplikasi inti, proses yang berjalan di sidecars dapat menambah aplikasi. Sidecars membantu Anda memisahkan fungsi aplikasi ke dalam wadah khusus, sehingga memudahkan Anda memperbarui bagian aplikasi Anda.
Wadah yang merupakan bagian dari sumber daya berbagi tugas yang sama untuk jenis peluncuran Fargate karena kontainer ini akan selalu berjalan di host yang sama dan berbagi sumber daya komputasi. Wadah ini juga berbagi penyimpanan singkat yang disediakan oleh Fargate. Kontainer Linux dalam ruang nama jaringan berbagi tugas, termasuk alamat IP dan port jaringan. Di dalam tugas, kontainer yang termasuk dalam tugas dapat saling berkomunikasi melalui localhost.
Lingkungan runtime di Fargate mencegah Anda menggunakan fitur pengontrol tertentu yang didukung pada instans EC2. Pertimbangkan hal berikut ketika Anda merancang beban kerja yang berjalan di Fargate:
+ Tidak ada wadah atau akses istimewa - Fitur seperti wadah istimewa atau akses saat ini tidak tersedia di Fargate. Ini akan memengaruhi kasus penggunaan seperti menjalankan Docker di Docker.
+ Akses terbatas ke kemampuan Linux - Lingkungan di mana kontainer berjalan di Fargate dikunci. Kemampuan Linux tambahan, seperti CAP\$1SYS\$1ADMIN dan CAP\$1NET\$1ADMIN, dibatasi untuk mencegah eskalasi hak istimewa. Fargate mendukung penambahan kemampuan [CAP\$1SYS\$1PTRACE](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#other_task_definition_params) Linux ke tugas-tugas untuk memungkinkan observabilitas dan alat keamanan yang digunakan dalam tugas untuk memantau aplikasi container.
+ Tidak ada akses ke host yang mendasarinya - Baik pelanggan maupun AWS operator tidak dapat terhubung ke host yang menjalankan beban kerja pelanggan. Anda dapat menggunakan ECS exec untuk menjalankan perintah atau mendapatkan shell ke wadah yang berjalan di Fargate. Anda dapat menggunakan ECS exec untuk membantu mengumpulkan informasi diagnostik untuk debugging. Fargate juga mencegah kontainer mengakses sumber daya host yang mendasarinya, seperti sistem file, perangkat, jaringan, dan runtime kontainer.
+ Jaringan - Anda dapat menggunakan grup keamanan dan jaringan ACLs untuk mengontrol lalu lintas masuk dan keluar. Tugas Fargate menerima alamat IP dari subnet yang dikonfigurasi di VPC Anda.
# Versi platform Fargate untuk Amazon ECS
AWS Versi platform Fargate digunakan untuk merujuk ke lingkungan runtime tertentu untuk infrastruktur tugas Fargate. Ini adalah kombinasi dari kernel dan versi runtime container. Anda memilih versi platform ketika Anda menjalankan tugas atau ketika Anda membuat layanan untuk mempertahankan sejumlah tugas yang identik.
Revisi baru versi platform dirilis saat lingkungan runtime berkembang, misalnya, jika ada pembaruan kernel atau sistem operasi, fitur baru, perbaikan bug, atau pembaruan keamanan. Versi platform Fargate diperbarui dengan membuat revisi versi platform baru. Setiap tugas berjalan pada satu revisi versi platform selama siklus hidupnya. Jika Anda ingin menggunakan revisi versi platform terbaru, maka Anda harus memulai tugas baru. Tugas baru yang berjalan di Fargate selalu berjalan pada revisi terbaru dari versi platform, memastikan bahwa tugas selalu dimulai pada infrastruktur yang aman dan ditambal.
Jika ditemukan masalah keamanan yang memengaruhi versi platform yang ada, AWS buat revisi baru yang ditambal dari versi platform dan menghentikan tugas yang berjalan pada revisi yang rentan. Dalam beberapa kasus, Anda mungkin diberi tahu bahwa tugas Anda di Fargate telah dijadwalkan untuk pensiun. Untuk informasi selengkapnya, lihat [Tugas pensiun dan pemeliharaan untuk AWS Fargate di Amazon ECS](task-maintenance.md).
Anda menentukan versi platform saat menjalankan tugas, atau menerapkan layanan.
Pertimbangkan hal berikut saat menentukan versi platform:
+ Anda dapat menentukan nomor versi tertentu, misalnya`1.4.0`, atau`LATEST`.
Versi platform Linux **terbaru** adalah`1.4.0`.
Versi platform Windows **TERBARU** adalah`1.0.0`.
+ Jika Anda ingin memperbarui versi platform untuk suatu layanan, buat penerapan. Misalnya, asumsikan bahwa Anda memiliki layanan yang menjalankan tugas pada versi platform Linux`1.3.0`. Untuk mengubah layanan untuk menjalankan tugas pada versi platform Linux`1.4.0`, Anda memperbarui layanan Anda dan menentukan versi platform baru. Tugas Anda dipindahkan dengan versi platform terbaru dan revisi versi platform terbaru. Untuk informasi lebih lanjut tentang deployment, lihat [Layanan-layanan Amazon ECS](ecs_services.md).
+ Jika layanan Anda ditingkatkan tanpa memperbarui versi platform, tugas tersebut menerima versi platform yang ditentukan pada penerapan layanan saat ini. Misalnya, asumsikan bahwa Anda memiliki layanan yang menjalankan tugas pada versi platform Linux`1.3.0`. Jika Anda meningkatkan jumlah layanan yang diinginkan, penjadwal layanan memulai tugas baru menggunakan revisi versi platform terbaru dari versi platform. `1.3.0`
+ Tugas baru selalu berjalan pada revisi terbaru dari versi platform. Ini memastikan tugas selalu pada infrastruktur yang aman dan ditambal.
+ Nomor versi platform untuk wadah Linux dan wadah Windows di Fargate bersifat independen. Misalnya, perilaku, fitur, dan perangkat lunak yang digunakan dalam versi platform `1.0.0` untuk wadah Windows di Fargate tidak sebanding dengan versi platform `1.0.0` untuk wadah Linux di Fargate.
+ Berikut ini berlaku untuk versi platform Fargate Windows.
Gambar kontainer Microsoft Windows Server harus dibuat dari versi Windows Server tertentu. Anda harus memilih versi Windows Server yang sama `platformFamily` ketika Anda menjalankan tugas atau membuat layanan yang cocok dengan gambar wadah Windows Server. Selain itu, Anda dapat memberikan pencocokan `operatingSystemFamily` dalam definisi tugas untuk mencegah tugas dijalankan pada versi Windows yang salah. Untuk informasi selengkapnya, lihat [Mencocokkan versi host kontainer dengan versi gambar kontainer](https://learn.microsoft.com/en-us/virtualization/windowscontainers/deploy-containers/version-compatibility#matching-container-host-version-with-container-image-versions) di situs web Microsoft Learn.
# Migrasi ke platform Linux versi 1.4.0 di Amazon ECS
Pertimbangkan hal berikut saat memigrasikan Amazon ECS Anda pada tugas Fargate dari versi platform`1.0.0`, `1.1.0``1.2.0`, atau `1.3.0` ke versi platform. `1.4.0` Ini adalah praktik terbaik untuk mengonfirmasi tugas Anda berfungsi dengan baik pada versi platform `1.4.0` sebelum Anda memigrasikan tugas.
+ Perilaku lalu lintas jaringan ke dan dari tugas telah diperbarui. Dimulai dengan platform versi 1.4.0, semua Amazon ECS pada tugas Fargate menerima satu elastic network interface (disebut sebagai tugas ENI) dan semua arus lalu lintas jaringan melalui ENI tersebut dalam VPC Anda. Lalu lintas dapat dilihat oleh Anda melalui log aliran VPC Anda. Untuk mengetahui informasi selengkapnya, lihat [Opsi jaringan tugas Amazon ECS untuk Fargate](fargate-task-networking.md).
+ Jika Anda menggunakan titik akhir VPC antarmuka, pertimbangkan hal berikut.
+ Untuk gambar kontainer yang dihosting dengan Amazon ECR, Anda memerlukan titik akhir berikut. Untuk informasi selengkapnya, lihat [Antarmuka Amazon ECR VPC endpoint AWS PrivateLink()](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) di Panduan Pengguna *Amazon Elastic Container Registry*.
+ **com.amazonaws. *region*.ecr.dkr Titik akhir Amazon ECR VPC**
+ **com.amazonaws. *region*.ecr.api** Titik akhir Amazon ECR VPC
+ Titik akhir gerbang Amazon S3
+ Ketika definisi tugas Anda mereferensikan rahasia Secrets Manager untuk mengambil data sensitif untuk container Anda, Anda harus membuat titik akhir VPC antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat [Menggunakan Secrets Manager dengan VPC Endpoint](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) dalam *Panduan Pengguna AWS Secrets Manager *.
+ Ketika definisi tugas Anda mereferensikan parameter Systems Manager Parameter Store untuk mengambil data sensitif untuk container Anda, Anda harus membuat titik akhir VPC antarmuka untuk Systems Manager. *Untuk informasi selengkapnya, lihat [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html) di Panduan Pengguna.AWS Systems Manager *
+ Grup keamanan untuk Elastic Network Interface (ENI) yang terkait dengan tugas Anda memerlukan aturan grup keamanan untuk mengizinkan lalu lintas antara tugas dan titik akhir VPC.
# Log perubahan versi platform Fargate Linux
Berikut ini adalah versi platform Linux yang tersedia. Untuk informasi tentang penghentian versi platform, lihat. [AWS Pengakhiran versi platform Fargate Linux](platform-versions-retired.md)
## 1.4.0
Berikut ini adalah changelog untuk versi platform. `1.4.0`
+ Mulai 5 November 2020, setiap tugas Amazon ECS baru yang diluncurkan di Fargate menggunakan `1.4.0` versi platform akan dapat menggunakan fitur-fitur berikut:
+ Saat menggunakan Secrets Manager untuk menyimpan data sensitif, Anda dapat menyuntikkan kunci JSON tertentu atau versi rahasia tertentu sebagai variabel lingkungan atau dalam konfigurasi log. Untuk informasi selengkapnya, lihat [Meneruskan data sensitif ke wadah Amazon ECS](specifying-sensitive-data.md).
+ Tentukan variabel lingkungan dalam jumlah besar menggunakan parameter ketentuan kontainer `environmentFiles`. Untuk informasi selengkapnya, lihat [Meneruskan variabel lingkungan individual ke wadah Amazon ECS](taskdef-envfiles.md).
+ Tugas yang dijalankan di VPC dan subnet diaktifkan untuk IPv6 akan diberikan IPv4 alamat pribadi dan alamat. IPv6 Untuk informasi selengkapnya, lihat [opsi jaringan tugas Amazon ECS untuk Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/fargate-task-networking.html).
+ Titik akhir tugas metadata versi 4 menyediakan metadata tambahan tentang tugas dan kontainer termasuk tipe peluncuran tugas, Amazon Resource Name (ARN) kontainer, serta driver log dan opsi log driver yang digunakan. Saat melakukan kueri terhadap titik akhir `/stats` Anda juga menerima statistik tingkat jaringan untuk kontainer Anda. Untuk informasi selengkapnya, lihat [Titik akhir metadata tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-metadata-endpoint-v4-fargate.html) versi 4.
+ Mulai 30 Juli 2020, setiap tugas Amazon ECS baru yang diluncurkan di Fargate menggunakan `1.4.0` versi platform akan dapat merutekan lalu lintas UDP menggunakan Network Load Balancer ke Amazon ECS mereka pada tugas Fargate. Untuk informasi selengkapnya, lihat [Menggunakan penyeimbangan beban untuk mendistribusikan lalu lintas layanan Amazon ECS](service-load-balancing.md).
+ Mulai 28 Mei 2020, setiap tugas Amazon ECS baru yang diluncurkan di Fargate menggunakan `1.4.0` versi platform akan memiliki penyimpanan fana yang dienkripsi dengan algoritme enkripsi AES-256 menggunakan kunci enkripsi yang dimiliki. AWS Untuk informasi selengkapnya, lihat [Penyimpanan sementara tugas Fargate untuk Amazon ECS](fargate-task-storage.md) dan [Opsi penyimpanan untuk tugas Amazon ECS](using_data_volumes.md).
+ Menambahkan dukungan untuk menggunakan volume sistem file Amazon EFS untuk penyimpanan tugas persisten. Untuk informasi selengkapnya, lihat [Gunakan volume Amazon EFS dengan Amazon ECS](efs-volumes.md).
+ Penyimpanan tugas sementara telah ditingkatkan menjadi minimal 20 GB untuk setiap tugas. Untuk informasi selengkapnya, lihat [Penyimpanan sementara tugas Fargate untuk Amazon ECS](fargate-task-storage.md).
+ Perilaku lalu lintas jaringan ke dan dari tugas telah diperbarui. Dimulai dengan platform versi 1.4.0, semua tugas Fargate menerima satu elastic network interface (disebut sebagai tugas ENI) dan semua lalu lintas jaringan mengalir melalui ENI tersebut dalam VPC Anda dan akan terlihat oleh Anda melalui log aliran VPC Anda. Untuk informasi selengkapnya tentang jaringan untuk jenis peluncuran Amazon EC2, lihat [opsi jaringan tugas Amazon ECS untuk EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html). Untuk informasi lebih lanjut tentang jaringan untuk Fargate, lihat. [Opsi jaringan tugas Amazon ECS untuk Fargate](fargate-task-networking.md)
+ Tugas ENIs menambahkan dukungan untuk bingkai jumbo. Antarmuka jaringan dikonfigurasi dengan unit transmisi maksimum (MTU), yang merupakan ukuran muatan terbesar yang muat dalam satu frame. Semakin besar MTU, semakin banyak muatan aplikasi yang termuat dalam satu frame, yang mengurangi overhead per frame dan meningkatkan efisiensi. Dengan mendukung jumbo frame akan dapat mengurangi overhead ketika jalur jaringan antara tugas dengan tujuan Anda mendukung jumbo frame, seperti semua lalu lintas yang tetap berada dalam VPC Anda.
+ CloudWatch Wawasan Kontainer akan menyertakan metrik kinerja jaringan untuk tugas Fargate. Untuk informasi selengkapnya, lihat [Pantau kontainer Amazon ECS menggunakan Container Insights dengan kemampuan observasi yang ditingkatkan](cloudwatch-container-insights.md).
+ Menambahkan dukungan untuk titik akhir metadata tugas versi 4 yang memberikan informasi tambahan untuk tugas Fargate Anda, termasuk statistik jaringan untuk tugas dan Zona Ketersediaan mana tugas sedang berjalan. Untuk informasi selengkapnya, lihat [Titik akhir metadata tugas Amazon ECS versi 4](task-metadata-endpoint-v4.md) dan [Titik akhir metadata tugas Amazon ECS versi 4 untuk tugas di Fargate](task-metadata-endpoint-v4-fargate.md).
+ Menambahkan dukungan untuk parameter Linux `SYS_PTRACE` dalam ketentuan kontainer. Untuk informasi selengkapnya, lihat [Parameter Linux](task_definition_parameters.md#container_definition_linuxparameters).
+ Agen kontainer Fargate menggantikan penggunaan agen kontainer Amazon ECS untuk semua tugas Fargate. Biasanya, perubahan ini tidak berpengaruh pada bagaimana tugas Anda berjalan.
+ Waktu aktif kontainer kini menggunakan Containerd bukan Docker. Kemungkinan besar, perubahan ini tidak berpengaruh pada bagaimana tugas Anda berjalan. Anda akan melihat bahwa beberapa pesan kesalahan yang berasal dari runtime container berubah dari menyebutkan Docker menjadi kesalahan yang lebih umum. Untuk informasi selengkapnya, lihat [Amazon ECS menghentikan pesan kesalahan tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/stopped-task-error-codes.html).
+ Berdasarkan Amazon Linux 2.
# AWS Pengakhiran versi platform Fargate Linux
**penting**
Kami mengakhiri dukungan untuk PV 1.3.0 di Fargate pada 30 Juni 2026. Mulai 15 Juni 2026, kami akan menjadikan platform versi 1.3.0 sebagai Pensiun. Pada saat itu, Anda tidak akan dapat meluncurkan tugas baru atau membuat layanan baru yang dikonfigurasi dengan platform versi 1.3.0, tetapi tugas Anda yang ada akan terus berjalan. Pada 30 Juni 2026, kami akan menghentikan semua tugas berjalan yang tersisa yang dikonfigurasi dengan platform versi 1.3.0.
Untuk informasi tentang cara bermigrasi ke platform versi 1.4, lihat[Migrasi ke platform Linux versi 1.4.0 di Amazon ECS](platform-version-migration.md).
Tabel berikut mencantumkan versi platform Linux yang AWS Fargate telah usang atau telah dijadwalkan untuk penghentian. Versi platform ini tetap tersedia hingga tanggal penghentian yang dipublikasikan.
*Tanggal pembaruan paksa* disediakan untuk setiap versi platform yang dijadwalkan untuk penghentian. Pada tanggal pembaruan paksa, layanan apa pun yang menggunakan versi `LATEST` platform yang diarahkan ke versi platform yang dijadwalkan untuk penghentian akan diperbarui menggunakan opsi force new deployment. Ketika layanan diperbarui menggunakan opsi force new deployment, semua tugas yang berjalan pada versi platform yang dijadwalkan untuk penghentian akan dihentikan dan tugas baru diluncurkan menggunakan versi platform yang ditunjuk `LATEST` tag pada saat itu. Tugas atau layanan mandiri dengan set versi platform eksplisit tidak terpengaruh oleh tanggal pembaruan paksa.
Untuk informasi tentang cara bermigrasi ke versi platform terbaru, lihat[Migrasi ke platform Linux versi 1.4.0 di Amazon ECS](platform-version-migration.md).
Setelah versi platform mencapai *tanggal penghentian*, versi platform tidak akan lagi tersedia untuk tugas atau layanan baru. Setiap tugas atau layanan mandiri yang secara eksplisit menggunakan versi platform yang tidak digunakan lagi akan terus menggunakan versi platform tersebut hingga tugas dihentikan. Setelah tanggal penghentian, versi platform yang tidak digunakan lagi tidak akan lagi menerima pembaruan keamanan atau perbaikan bug apa pun.
| Versi Platform | Tanggal pembaruan paksa | Tanggal pengusangan |
| --- | --- | --- |
| 1.0.0 | 26 Oktober 2020 | 14 Desember 2020 |
| 1.1.0 | 26 Oktober 2020 | 14 Desember 2020 |
| 1.2.0 | 26 Oktober 2020 | 14 Desember 2020 |
| 1.3.0 | | Juni 15, 2026 |
Untuk informasi tentang versi platform saat ini, lihat [Versi platform Fargate untuk Amazon ECS](platform-fargate.md).
## Log perubahan versi Fargate Linux yang tidak digunakan lagi
### 1.3.0
Berikut ini adalah changelog untuk versi platform. `1.3.0`
+ Mulai 30 September 2019, setiap tugas Fargate baru yang diluncurkan mendukung driver log`awsfirelens`. FireLens Konfigurasikan Amazon ECS untuk menggunakan parameter definisi tugas untuk merutekan log ke AWS layanan atau tujuan Jaringan AWS Mitra (APN) untuk penyimpanan log dan analitik. Untuk informasi selengkapnya, lihat [Kirim log Amazon ECS ke AWS layanan atau AWS Partner](using_firelens.md).
+ Menambahkan daur ulang tugas untuk tugas Fargate, yang merupakan proses menyegarkan tugas yang merupakan bagian dari layanan Amazon ECS. Untuk informasi lebih lanjut, [Tugas pensiun dan pemeliharaan untuk AWS Fargate di Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-maintenance.html).
+ Dimulai pada 27 Maret 2019, tugas Fargate baru apa pun yang diluncurkan dapat menggunakan parameter definisi tugas tambahan yang Anda gunakan untuk menentukan konfigurasi proxy, dependensi untuk startup dan shutdown kontainer serta nilai batas waktu mulai dan berhenti per kontainer. Lihat informasi selengkapnya di [Konfigurasi proxy](task_definition_parameters.md#proxyConfiguration), [Dependensi kontainer](task_definition_parameters.md#container_definition_dependson), dan [Waktu habis kontainer](task_definition_parameters.md#container_definition_timeout).
+ Mulai tanggal 2 April 2019, tugas Fargate baru apa pun yang diluncurkan mendukung penyuntikan data sensitif ke dalam wadah Anda dengan menyimpan data sensitif Anda baik dalam AWS Secrets Manager rahasia atau AWS Systems Manager parameter Parameter Store dan kemudian merujuknya dalam definisi container Anda. Untuk informasi selengkapnya, lihat [Meneruskan data sensitif ke wadah Amazon ECS](specifying-sensitive-data.md).
+ Mulai 1 Mei 2019, tugas Fargate baru apa pun yang diluncurkan mendukung referensi data sensitif dalam konfigurasi log wadah menggunakan parameter definisi `secretOptions` wadah. Untuk informasi selengkapnya, lihat [Meneruskan data sensitif ke wadah Amazon ECS](specifying-sensitive-data.md).
+ Mulai 1 Mei 2019, setiap tugas Fargate baru yang diluncurkan mendukung driver `splunk` log selain driver `awslogs` log. Untuk informasi selengkapnya, lihat [Penyimpanan dan pencatatan log](task_definition_parameters.md#container_definition_storage).
+ Mulai 9 Juli 2019, setiap tugas Fargate baru yang diluncurkan mendukung CloudWatch Wawasan Kontainer. Untuk informasi selengkapnya, lihat [Pantau kontainer Amazon ECS menggunakan Container Insights dengan kemampuan observasi yang ditingkatkan](cloudwatch-container-insights.md).
+ Mulai 3 Desember 2019, penyedia kapasitas Fargate Spot didukung. Untuk informasi selengkapnya, lihat [Cluster Amazon ECS untuk Fargate](fargate-capacity-providers.md).
+ Berdasarkan Amazon Linux 2.
### 1.2.0
Berikut ini adalah changelog untuk versi platform. `1.2.0`
**catatan**
Versi platform `1.2.0` tidak lagi tersedia. Untuk informasi tentang penghentian versi platform, lihat. [AWS Pengakhiran versi platform Fargate Linux](#platform-versions-retired)
+ Menambahkan dukungan untuk otentikasi registri pribadi menggunakan AWS Secrets Manager. Untuk informasi selengkapnya, lihat [Menggunakan gambar AWS non-kontainer di Amazon ECS](private-auth.md).
### 1.1.0
Berikut ini adalah changelog untuk versi platform. `1.1.0`
**catatan**
Versi platform `1.1.0` tidak lagi tersedia. Untuk informasi tentang penghentian versi platform, lihat. [AWS Pengakhiran versi platform Fargate Linux](#platform-versions-retired)
+ Menambahkan dukungan untuk titik akhir metadata tugas Amazon ECS. Untuk informasi selengkapnya, lihat [Metadata tugas Amazon ECS tersedia untuk tugas di Fargate](fargate-metadata.md).
+ Menambahkan dukungan untuk pemeriksaan kondisi Docker dalam ketentuan kontainer. Untuk informasi selengkapnya, lihat [Pemeriksaan kondisi](task_definition_parameters.md#container_definition_healthcheck).
+ Menambahkan dukungan untuk penemuan layanan Amazon ECS. Untuk informasi selengkapnya, lihat [Gunakan penemuan layanan untuk menghubungkan layanan Amazon ECS dengan nama DNS](service-discovery.md).
### 1.0.0
Berikut ini adalah changelog untuk versi platform. `1.0.0`
**catatan**
Versi platform `1.0.0` tidak lagi tersedia. Untuk informasi tentang penghentian versi platform, lihat. [AWS Pengakhiran versi platform Fargate Linux](#platform-versions-retired)
+ Berdasarkan Amazon Linux 2017.09.
+ Pelepasan awal.
# Log perubahan versi platform Windows Fargate
Berikut ini adalah versi platform yang tersedia untuk wadah Windows.
## 1.0.0
Berikut ini adalah changelog untuk versi platform. `1.0.0`
+ Rilis awal untuk dukungan pada sistem operasi Microsoft Windows Server berikut:
+ Windows Server 2019 Full
+ Windows Server 2019 Core
+ Windows Server 2022 Lengkap
+ Windows Server 2022 Inti
# Wadah Windows tentang pertimbangan Fargate untuk Amazon ECS
Berikut ini adalah perbedaan dan pertimbangan untuk mengetahui kapan Anda menjalankan wadah Windows di AWS Fargate.
Jika Anda perlu menjalankan tugas di wadah Linux dan Windows, maka Anda perlu membuat definisi tugas terpisah untuk setiap sistem operasi.
AWS menangani manajemen lisensi sistem operasi, sehingga Anda tidak memerlukan lisensi Microsoft Windows Server tambahan.
Kontainer Windows di AWS Fargate mendukung sistem operasi berikut:
+ Windows Server 2019 Full
+ Windows Server 2019 Core
+ Windows Server 2022 Lengkap
+ Windows Server 2022 Inti
Kontainer Windows di AWS Fargate mendukung driver awslogs. Untuk informasi selengkapnya, lihat [Kirim log Amazon ECS ke CloudWatch](using_awslogs.md).
Fitur-fitur berikut tidak didukung pada wadah Windows di Fargate:
+ Amazon FSx
+ ENI trunking
+ g MSAs untuk Windows Container
+ Layanan App Mesh dan integrasi proxy untuk tugas
+ Integrasi router log Firelens untuk tugas
+ Volume EFS
+ EBS volume
+ Parameter definisi tugas berikut:
+ `maxSwap`
+ `swappiness`
+ `environmentFiles`
+ Penyedia kapasitas Fargate Spot
+ Volume gambar
`volume`Opsi Dockerfile diabaikan. Sebagai gantinya, gunakan bind mount dalam definisi tugas Anda. Untuk informasi selengkapnya, lihat [Gunakan bind mount dengan Amazon ECS](bind-mounts.md).
+ Parameter CPU dan memori tingkat tugas diabaikan untuk wadah Windows. Kami merekomendasikan penentuan sumber daya tingkat kontainer untuk Windows kontainer.
+ memori untuk tugas
+ MermoryReservasi pada kontainer
+ Mulai ulang kebijakan tentang container
+ Anda tidak dapat memperbarui PlatformFamily suatu layanan.
# Wadah Linux pada perilaku tarik gambar kontainer Fargate untuk Amazon ECS
Setiap tugas Fargate berjalan pada penggunaan tunggal sendiri, instance penyewa tunggal. Saat Anda menjalankan kontainer Linux di Fargate, gambar kontainer atau lapisan gambar kontainer tidak di-cache pada instance. Oleh karena itu, untuk setiap gambar kontainer yang ditentukan dalam tugas, seluruh gambar kontainer perlu ditarik dari registri gambar kontainer untuk setiap tugas Fargate. Waktu yang dibutuhkan untuk menarik gambar berkorelasi langsung dengan waktu yang dibutuhkan untuk memulai tugas Fargate.
Pertimbangkan hal berikut untuk mengoptimalkan waktu tarik gambar.
**Kedekatan gambar kontainer**
Untuk mengurangi waktu yang diperlukan untuk mengunduh gambar kontainer, cari data sedekat mungkin dengan komputasi. Menarik gambar kontainer melalui internet atau melintasi Wilayah AWS dapat memengaruhi waktu pengunduhan. Kami menyarankan Anda menyimpan gambar kontainer di Wilayah yang sama tempat tugas akan berjalan. Jika Anda menyimpan gambar kontainer di Amazon ECR, gunakan titik akhir antarmuka VPC untuk mengurangi waktu tarik gambar lebih lanjut. Untuk informasi selengkapnya, lihat [Titik akhir VPC antarmuka Amazon ECR AWS PrivateLink() di Panduan](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) Pengguna *Amazon* ECR.
**Pengurangan ukuran gambar kontainer**
Ukuran gambar kontainer secara langsung memengaruhi waktu pengunduhan. Mengurangi ukuran gambar kontainer atau jumlah lapisan gambar kontainer, dapat mengurangi waktu yang dibutuhkan gambar untuk diunduh. Gambar dasar yang ringan (seperti gambar kontainer Amazon Linux 2023 minimal) dapat secara signifikan lebih kecil daripada yang didasarkan pada gambar dasar sistem operasi tradisional. Untuk informasi selengkapnya tentang gambar minimal, lihat [Gambar kontainer AL2023 minimal](https://docs.aws.amazon.com/linux/al2023/ug/minimal-container.html) di *Panduan Pengguna Amazon Linux 2023*.
**Algoritma kompresi alternatif**
Lapisan gambar kontainer sering dikompresi saat didorong ke registri gambar kontainer. Mengompresi lapisan gambar kontainer mengurangi jumlah data yang harus ditransfer ke seluruh jaringan dan disimpan dalam registri gambar kontainer. Setelah layer image container diunduh ke instance oleh runtime container, layer tersebut didekompresi. Algoritma kompresi yang digunakan dan jumlah v yang CPUs tersedia untuk runtime memengaruhi waktu yang diperlukan untuk mendekompresi gambar kontainer. Di Fargate, Anda dapat meningkatkan ukuran tugas atau memanfaatkan algoritma kompresi zstd yang lebih berkinerja untuk mengurangi waktu yang dibutuhkan untuk dekompresi. Untuk informasi lebih lanjut, lihat [zstd](https://github.com/facebook/zstd) di. GitHub Untuk informasi tentang cara mengimplementasikan gambar untuk Fargate, lihat [Mengurangi Waktu AWS Fargate Startup dengan Gambar Kontainer Terkompresi zstd](https://aws.amazon.com/blogs/containers/reducing-aws-fargate-startup-times-with-zstd-compressed-container-images/).
**Lazy Loading gambar kontainer**
Untuk gambar kontainer besar (> 250mb), mungkin optimal untuk malas memuat gambar kontainer daripada mengunduh semua gambar kontainer. Di Fargate, Anda dapat menggunakan Seekable OCI (SOCI) untuk malas memuat gambar kontainer dari registri gambar kontainer. Untuk informasi selengkapnya, lihat [soci-snapshotter](https://github.com/awslabs/soci-snapshotter) on GitHub dan [Lazy loading container images menggunakan Seekable](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/fargate-tasks-services.html#fargate-tasks-soci-images) OCI (SOCI).
# Wadah Windows pada perilaku tarik gambar kontainer Fargate untuk Amazon ECS
Fargate Windows cache bulan terakhir, dan bulan sebelumnya, gambar dasar servercore yang disediakan oleh Microsoft. Gambar-gambar ini cocok dengan patch KB/Build nomor yang diperbarui setiap Patch Tuesday. Misalnya, pada 9 April 2024, Microsoft merilis KB5036896 (17763.5696) untuk Windows Server 2019. Bulan sebelumnya KB pada 12 Maret 2024 adalah KB5035849 (17763.5576). Jadi untuk platform `WINDOWS_SERVER_2019_CORE` dan `WINDOWS_SERVER_2019_FULL` gambar kontainer berikut di-cache::
+ `mcr.microsoft.com/windows/servercore:ltsc2019`
+ ` mcr.microsoft.com/windows/servercore:10.0.17763.5696`
+ `mcr.microsoft.com/windows/servercore:10.0.17763.5576`
Selain itu, pada 9 April 2024, Microsoft merilis KB5036909 (20348.2402) untuk Windows Server 2022. Bulan sebelumnya KB pada 12 Maret 2024 adalah KB5035857 (20348.2340). Jadi untuk platform `WINDOWS_SERVER_2022_CORE` dan `WINDOWS_SERVER_2022_FULL` gambar kontainer berikut di-cache:
+ `mcr.microsoft.com/windows/servercore:ltsc2022`
+ `mcr.microsoft.com/windows/servercore:10.0.20348.2402`
+ `mcr.microsoft.com/windows/servercore:10.0.20348.2340`
# Penyimpanan sementara tugas Fargate untuk Amazon ECS
Saat disediakan, setiap tugas Amazon ECS yang dihosting di container Linux AWS Fargate menerima penyimpanan singkat berikut untuk pemasangan bind. Ini dapat dipasang dan dibagikan di antara kontainer yang menggunakan `volumes``mountPoints`,, dan `volumesFrom` parameter dalam definisi tugas. Ini tidak didukung untuk wadah Windows aktif AWS Fargate.
## Versi platform wadah Fargate Linux
### Versi 1.4.0 atau yang lebih baru
Secara default, tugas Amazon ECS yang di-host di Fargate menggunakan `1.4.0` versi platform atau yang lebih baru menerima minimal 20 GiB penyimpanan sementara. Jumlah total penyimpanan fana dapat ditingkatkan, hingga maksimum 200 GiB. Anda dapat melakukan ini dengan menentukan `ephemeralStorage` parameter dalam definisi tugas Anda.
Citra kontainer yang ditarik, dikompresi, dan tidak dikompresi untuk tugas disimpan di penyimpanan sementara. Untuk menentukan jumlah total penyimpanan sementara yang harus digunakan tugas Anda, Anda harus mengurangi jumlah penyimpanan yang digunakan citra kontainer Anda dari jumlah total penyimpanan sementara yang dialokasikan tugas Anda.
Untuk tugas yang menggunakan versi platform `1.4.0` atau yang lebih baru yang diluncurkan pada 28 Mei 2020 atau lebih baru, penyimpanan sementara dienkripsi dengan algoritme enkripsi AES-256. Algoritma ini menggunakan kunci enkripsi yang AWS dimiliki, atau Anda dapat membuat kunci yang dikelola pelanggan Anda sendiri. Untuk informasi selengkapnya, lihat [Kunci terkelola pelanggan AWS Fargate untuk penyimpanan sementara](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/fargate-storage-encryption.html).
Untuk tugas yang menggunakan versi platform `1.4.0` atau yang lebih baru yang diluncurkan pada 18 November 2022 atau lebih baru, penggunaan penyimpanan sementara dilaporkan melalui titik akhir metadata tugas. Aplikasi Anda dalam tugas Anda dapat menanyakan titik akhir metadata tugas versi 4 untuk mendapatkan ukuran cadangan penyimpanan sementara dan jumlah yang digunakan.
Selain itu, ukuran cadangan penyimpanan sementara dan jumlah yang digunakan akan dikirim ke Amazon CloudWatch Wawasan Kontainer jika Anda mengaktifkan Wawasan Kontainer.
**catatan**
Fargate mencadangkan ruang pada disk. Ruang ini hanya digunakan oleh Fargate. Anda tidak akan dikenai biaya untuk ruang tersebut. Ruang ini tidak akan ditampilkan dalam metrik ini. Namun demikian, Anda dapat melihat penyimpanan tambahan ini di alat lain seperti `df`.
### Versi 1.3.0 atau sebelumnya
Untuk Amazon ECS pada tugas Fargate yang menggunakan `1.3.0` versi platform atau versi sebelumnya, setiap tugas menerima penyimpanan singkat berikut.
+ Penyimpanan lapisan Docker 10 GB
**catatan**
Jumlah ini mencakup artifact citra kontainer terkompresi dan tidak terkompresi.
+ Tambahan 4 GB untuk pemasangan volume. Ini dapat dipasang dan dibagikan di antara kontainer yang menggunakan `volumes``mountPoints`,, dan `volumesFrom` parameter dalam definisi tugas.
## Fargate versi platform wadah Windows
### Versi 1.0.0 atau yang lebih baru
Secara default, tugas Amazon ECS yang di-host di Fargate menggunakan `1.0.0` versi platform atau yang lebih baru menerima minimal 20 GiB penyimpanan sementara. Jumlah total penyimpanan fana dapat ditingkatkan, hingga maksimum 200 GiB. Anda dapat melakukan ini dengan menentukan `ephemeralStorage` parameter dalam definisi tugas Anda.
Citra kontainer yang ditarik, dikompresi, dan tidak dikompresi untuk tugas disimpan di penyimpanan sementara. Untuk menentukan jumlah total penyimpanan sementara yang harus digunakan tugas Anda, Anda harus mengurangi jumlah penyimpanan yang digunakan gambar kontainer Anda dari jumlah total penyimpanan sementara yang dialokasikan tugas Anda.
Untuk informasi selengkapnya, lihat [Gunakan bind mount dengan Amazon ECS](bind-mounts.md).
# Kunci yang dikelola pelanggan untuk penyimpanan AWS Fargate singkat untuk Amazon ECS
AWS Fargate mendukung kunci terkelola pelanggan untuk mengenkripsi data untuk tugas Amazon ECS yang disimpan dalam penyimpanan sementara untuk membantu pelanggan yang sensitif terhadap peraturan memenuhi kebijakan keamanan internal mereka. Pelanggan masih mendapatkan manfaat tanpa server dari Fargate, sambil memberikan visibilitas yang ditingkatkan pada enkripsi penyimpanan yang dikelola sendiri kepada auditor kepatuhan. Sementara Fargate memiliki enkripsi penyimpanan sementara yang dikelola Fargate secara default, pelanggan juga dapat menggunakan kunci yang dikelola sendiri saat mengenkripsi data sensitif seperti informasi terkait keuangan atau kesehatan.
Anda dapat mengimpor kunci Anda sendiri ke dalam AWS KMS atau membuat kunci di AWS KMS. Kunci yang dikelola sendiri ini disimpan AWS KMS dan melakukan tindakan AWS KMS siklus hidup standar seperti memutar, menonaktifkan, dan menghapus. Anda dapat mengaudit akses kunci dan penggunaan dalam CloudTrail log.
Secara default, kunci KMS mendukung 50.000 hibah per kunci. Fargate menggunakan AWS KMS hibah tunggal per tugas kunci yang dikelola pelanggan, sehingga mendukung hingga 50.000 tugas bersamaan untuk sebuah kunci. Jika Anda ingin menambah jumlah ini, Anda dapat meminta kenaikan batas, yang disetujui atas case-by-case dasar.
Fargate tidak mengenakan biaya tambahan apa pun untuk menggunakan kunci yang dikelola pelanggan. Anda hanya dikenakan harga standar untuk menggunakan AWS KMS kunci untuk penyimpanan dan permintaan API.
**Topics**
+ [Buat kunci enkripsi untuk penyimpanan sementara Fargate untuk Amazon ECS](fargate-create-storage-key.md)
+ [Mengelola AWS KMS kunci untuk penyimpanan fana Fargate untuk Amazon ECS](fargate-managing-kms-key.md)
# Buat kunci enkripsi untuk penyimpanan sementara Fargate untuk Amazon ECS
Buat kunci yang dikelola pelanggan untuk mengenkripsi data yang disimpan di penyimpanan sementara Fargate.
**catatan**
Enkripsi penyimpanan fana Fargate dengan kunci yang dikelola pelanggan tidak tersedia untuk cluster tugas Windows.
Enkripsi penyimpanan fana Fargate dengan kunci yang dikelola pelanggan tidak tersedia lebih awal dari sebelumnya. `platformVersions` `1.4.0`
Fargate menyediakan ruang pada penyimpanan sementara yang hanya digunakan oleh Fargate, dan Anda tidak ditagih untuk ruang tersebut. Alokasi mungkin berbeda dari tugas-tugas utama yang dikelola non-pelanggan, tetapi total ruang tetap sama. Anda dapat melihat perubahan ini di alat seperti`df`.
Kunci Multi-Wilayah tidak didukung untuk penyimpanan sementara Fargate.
Alias kunci KMS tidak didukung untuk penyimpanan sementara Fargate.
Untuk membuat kunci terkelola pelanggan (CMK) untuk mengenkripsi penyimpanan sementara untuk Fargate, ikuti langkah-langkah ini. AWS KMS
1. Arahkan [https://console---aws.amazon.com.rproxy.goskope.comke/kms](https://console.aws.amazon.com/kms).
1. Ikuti petunjuk untuk [Membuat Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
1. Saat membuat AWS KMS kunci Anda, pastikan untuk memberikan izin AWS KMS operasi yang relevan dengan layanan Fargate dalam kebijakan utama. Operasi API berikut harus diizinkan dalam kebijakan untuk menggunakan kunci terkelola pelanggan Anda dengan sumber daya klaster Amazon ECS Anda.
+ `kms:GenerateDataKeyWithoutPlainText`- Panggilan `GenerateDataKeyWithoutPlainText` untuk menghasilkan kunci data terenkripsi dari kunci yang disediakan AWS KMS .
+ `kms:CreateGrant`- Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke AWS KMS kunci tertentu, yang memungkinkan akses untuk memberikan operasi yang diperlukan Amazon ECS Fargate. Untuk informasi selengkapnya tentang [Menggunakan Hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html). Ini memungkinkan Amazon ECS Fargate untuk melakukan hal berikut:
+ Panggil `Decrypt` AWS KMS untuk mendapatkan kunci enkripsi untuk mendekripsi data penyimpanan sementara.
+ Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. `RetireGrant`
+ `kms:DescribeKey`- Menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon ECS memvalidasi kunci jika simetris dan diaktifkan.
Contoh berikut menunjukkan kebijakan AWS KMS kunci yang akan Anda terapkan pada kunci target untuk enkripsi. Untuk menggunakan contoh pernyataan kebijakan, ganti *user input placeholders* dengan informasi Anda sendiri. Seperti biasa, hanya konfigurasikan izin yang Anda butuhkan, tetapi Anda harus memberikan AWS KMS izin kepada setidaknya satu pengguna untuk menghindari kesalahan.
```
{
"Sid": "Allow generate data key access for Fargate tasks.",
"Effect": "Allow",
"Principal": { "Service":"fargate.amazonaws.com" },
"Action": [
"kms:GenerateDataKeyWithoutPlaintext"
],
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:ecs:clusterAccount": [
"customerAccountId"
],
"kms:EncryptionContext:aws:ecs:clusterName": [
"clusterName"
]
}
},
"Resource": "*"
},
{
"Sid": "Allow grant creation permission for Fargate tasks.",
"Effect": "Allow",
"Principal": { "Service":"fargate.amazonaws.com" },
"Action": [
"kms:CreateGrant"
],
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:ecs:clusterAccount": [
"customerAccountId"
],
"kms:EncryptionContext:aws:ecs:clusterName": [
"clusterName"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt"
]
}
},
"Resource": "*"
},
{
"Sid": "Allow describe key permission for cluster operator - CreateCluster and UpdateCluster.",
"Effect": "Allow",
"Principal": { "AWS":"arn:aws:iam::customerAccountId:role/customer-chosen-role" },
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
```
Tugas Fargate menggunakan kunci konteks `aws:ecs:clusterAccount` dan `aws:ecs:clusterName` enkripsi untuk operasi kriptografi dengan kunci. Pelanggan harus menambahkan izin ini untuk membatasi akses ke klaster akun and/or tertentu. Gunakan nama cluster dan bukan ARN saat Anda menentukan cluster.
Untuk informasi lebih lanjut, lihat [Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) di [Panduan Developer AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
Saat membuat atau memperbarui cluster, Anda memiliki opsi untuk menggunakan kunci kondisi`fargateEphemeralStorageKmsKeyId`. Kunci kondisi ini memungkinkan pelanggan untuk memiliki kontrol yang lebih terperinci terhadap kebijakan IAM. Pembaruan `fargateEphemeralStorageKmsKeyId` konfigurasi hanya berlaku pada penerapan layanan baru.
Berikut ini adalah contoh mengizinkan pelanggan untuk memberikan izin hanya untuk satu set AWS KMS kunci tertentu yang disetujui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateCluster",
"ecs:UpdateCluster"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:fargate-ephemeral-storage-kms-key": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
}
]
}
```
------
Berikutnya adalah contoh untuk menolak upaya untuk menghapus AWS KMS kunci yang sudah dikaitkan dengan cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": [
"ecs:CreateCluster",
"ecs:UpdateCluster"
],
"Resource": "*",
"Condition": {
"Null": {
"ecs:fargate-ephemeral-storage-kms-key": "true"
}
}
}
}
```
------
Pelanggan dapat melihat apakah tugas atau tugas layanan mereka yang tidak dikelola dienkripsi menggunakan kunci dengan menggunakan AWS CLI `describe-tasks`,`describe-cluster`, atau perintah. `describe-services`
Untuk informasi selengkapnya, lihat [Kunci kondisi untuk AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html) di [Panduan AWS KMS Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
------
#### [ Konsol Manajemen AWS ]
1. Buka konsol di [https://console.aws.amazon.com/ecs/v2](https://console.aws.amazon.com/ecs/v2).
1. Pilih **Cluster** di navigasi kiri dan **Buat cluster** di kanan atas, atau pilih cluster yang ada. Untuk klaster yang ada, pilih **Perbarui cluster** di kanan atas.
1. Di bawah bagian **Enkripsi** alur kerja, Anda akan memiliki opsi untuk memilih AWS KMS kunci Anda di bawah **Penyimpanan terkelola dan penyimpanan** sementara **Fargate**. Anda juga dapat memilih untuk **membuat AWS KMS kunci** dari sini.
1. Pilih **Buat** setelah Anda selesai membuat klaster baru atau **Perbarui**, jika Anda memperbarui yang sudah ada.
------
#### [ AWS CLI ]
Berikut ini adalah contoh membuat cluster dan mengonfigurasi penyimpanan sementara Fargate Anda menggunakan (ganti *red* nilainya dengan AWS CLI milik Anda sendiri):
```
aws ecs create-cluster --cluster clusterName \
--configuration '{"managedStorageConfiguration":{"fargateEphemeralStorageKmsKeyId":"arn:aws:kms:us-west-2:012345678901:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"}}'
{
"cluster": {
"clusterArn": "arn:aws:ecs:us-west-2:012345678901:cluster/clusterName",
"clusterName": "clusterName",
"configuration": {
"managedStorageConfiguration": {
"fargateEphemeralStorageKmsKeyId": "arn:aws:kms:us-west-2:012345678901:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
},
"status": "ACTIVE",
"registeredContainerInstancesCount": 0,
"runningTasksCount": 0,
"pendingTasksCount": 0,
"activeServicesCount": 0,
"statistics": [],
"tags": [],
"settings": [],
"capacityProviders": [],
"defaultCapacityProviderStrategy": []
},
"clusterCount": 5
}
```
------
#### [ CloudFormation ]
Berikut ini adalah contoh template untuk membuat cluster dan mengonfigurasi penyimpanan sementara Fargate Anda menggunakan (ganti *red* nilainya dengan CloudFormation milik Anda sendiri):
```
AWSTemplateFormatVersion: 2010-09-09
Resources:
MyCluster:
Type: AWS::ECS::Cluster
Properties:
ClusterName: "clusterName"
Configuration:
ManagedStorageConfiguration:
FargateEphemeralStorageKmsKeyId: "arn:aws:kms:us-west-2:012345678901:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
# Mengelola AWS KMS kunci untuk penyimpanan fana Fargate untuk Amazon ECS
Setelah membuat atau mengimpor AWS KMS kunci Anda untuk mengenkripsi penyimpanan sementara Fargate Anda, Anda mengelolanya dengan cara yang sama seperti yang Anda lakukan pada kunci lainnya. AWS KMS
**Rotasi AWS KMS tombol otomatis**
Anda dapat mengaktifkan rotasi tombol otomatis atau memutarnya secara manual. Rotasi kunci otomatis memutar kunci untuk Anda setiap tahun dengan menghasilkan materi kriptografi baru untuk kunci tersebut. AWS KMS juga menyimpan semua versi sebelumnya dari materi kriptografi, sehingga Anda akan dapat mendekripsi data apa pun yang menggunakan versi kunci sebelumnya. Materi yang diputar tidak akan dihapus AWS KMS sampai Anda menghapus kunci.
Rotasi tombol otomatis bersifat opsional dan dapat diaktifkan atau dinonaktifkan kapan saja.
**Menonaktifkan atau mencabut kunci AWS KMS**
Jika Anda menonaktifkan kunci yang dikelola pelanggan AWS KMS, itu tidak berdampak pada menjalankan tugas, dan mereka terus berfungsi melalui siklus hidupnya. Jika tugas baru menggunakan kunci yang dinonaktifkan atau dicabut, tugas gagal karena tidak dapat mengakses kunci. Anda harus mengatur CloudWatch alarm atau serupa untuk memastikan kunci yang dinonaktifkan tidak pernah diperlukan untuk mendekripsi data yang sudah dienkripsi.
**Menghapus kunci AWS KMS**
Menghapus kunci harus selalu menjadi pilihan terakhir dan hanya boleh dilakukan jika Anda yakin kunci yang dihapus tidak pernah diperlukan lagi. Tugas baru yang mencoba menggunakan kunci yang dihapus akan gagal karena mereka tidak dapat mengaksesnya. AWS KMS menyarankan untuk menonaktifkan kunci alih-alih menghapusnya. Jika Anda merasa perlu untuk menghapus kunci, kami sarankan menonaktifkannya terlebih dahulu dan mengatur CloudWatch alarm untuk memastikan itu tidak diperlukan. Jika Anda menghapus kunci, AWS KMS sediakan setidaknya tujuh hari untuk mengubah pikiran Anda.
**Akses AWS KMS kunci audit**
Anda dapat menggunakan CloudTrail log untuk mengaudit akses ke AWS KMS kunci Anda. Anda dapat memeriksa AWS KMS operasi`CreateGrant`,`GenerateDataKeyWithoutPlaintext`, dan`Decrypt`. Operasi ini juga menunjukkan `aws:ecs:clusterAccount` dan `aws:ecs:clusterName` sebagai bagian dari `EncryptionContext` login CloudTrail.
Berikut ini adalah contoh CloudTrail peristiwa untuk`GenerateDataKeyWithoutPlaintext`,`GenerateDataKeyWithoutPlaintext (DryRun)`,`CreateGrant`,`CreateGrant (DryRun)`, dan `RetireGrant` (ganti *red* nilai dengan milik Anda sendiri).
------
#### [ GenerateDataKeyWithoutPlaintext ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ec2-frontend-api.amazonaws.com"
},
"eventTime": "2024-04-23T18:08:13Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "ec2-frontend-api.amazonaws.com",
"userAgent": "ec2-frontend-api.amazonaws.com",
"requestParameters": {
"numberOfBytes": 64,
"keyId": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"encryptionContext": {
"aws:ecs:clusterAccount": "account-id",
"aws:ebs:id": "vol-xxxxxxx",
"aws:ecs:clusterName": "cluster-name"
}
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "account-id",
"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlaintext (DryRun) ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "fargate.amazonaws.com"
},
"eventTime": "2024-04-23T18:08:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "fargate.amazonaws.com",
"userAgent": "fargate.amazonaws.com",
"errorCode": "DryRunOperationException",
"errorMessage": "The request would have succeeded, but the DryRun option is set.",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"dryRun": true,
"numberOfBytes": 64,
"encryptionContext": {
"aws:ecs:clusterAccount": "account-id",
"aws:ecs:clusterName": "cluster-name"
}
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "account-id",
"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ec2-frontend-api.amazonaws.com"
},
"eventTime": "2024-04-23T18:08:13Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "ec2-frontend-api.amazonaws.com",
"userAgent": "ec2-frontend-api.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"granteePrincipal": "fargate.us-west-2.amazonaws.com",
"operations": [
"Decrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:ecs:clusterAccount": "account-id",
"aws:ebs:id": "vol-xxxx",
"aws:ecs:clusterName": "cluster-name"
}
},
"retiringPrincipal": "ec2.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"keyId": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "account-id",
"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant (DryRun) ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "fargate.amazonaws.com"
},
"eventTime": "2024-04-23T18:08:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "fargate.amazonaws.com",
"userAgent": "fargate.amazonaws.com",
"errorCode": "DryRunOperationException",
"errorMessage": "The request would have succeeded, but the DryRun option is set.",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"granteePrincipal": "fargate.us-west-2.amazonaws.com",
"dryRun": true,
"operations": [
"Decrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:ecs:clusterAccount": "account-id",
"aws:ecs:clusterName": "cluster-name"
}
}
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "account-id",
"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventCategory": "Management"
}
```
------
#### [ RetireGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2024-04-20T18:37:38Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"additionalEventData": {
"grantId": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:account-id:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "account-id",
"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventCategory": "Management"
}
```
------
# Tugas pensiun dan pemeliharaan untuk AWS Fargate di Amazon ECS
AWS bertanggung jawab untuk menjaga infrastruktur yang mendasari AWS Fargate. AWS menentukan kapan revisi versi platform perlu diganti dengan revisi baru untuk infrastruktur. Ini dikenal sebagai pensiun tugas. AWS mengirimkan pemberitahuan pensiun tugas ketika revisi versi platform dihentikan. Kami secara rutin memperbarui versi platform kami yang didukung untuk memperkenalkan revisi baru yang berisi pembaruan pada perangkat lunak runtime Fargate dan dependensi yang mendasarinya seperti sistem operasi dan runtime kontainer. Setelah revisi yang lebih baru tersedia, kami menghentikan revisi lama untuk memastikan semua beban kerja pelanggan berjalan pada revisi terbaru dari versi platform Fargate. Ketika revisi dihentikan, semua tugas yang berjalan pada revisi itu dihentikan.
Tugas Amazon ECS dapat dikategorikan sebagai tugas layanan atau tugas mandiri. Tugas layanan digunakan sebagai bagian dari layanan dan dikendalikan oleh jadwal Amazon ECS. Untuk informasi selengkapnya, lihat [Layanan-layanan Amazon ECS](ecs_services.md). Tugas mandiri adalah tugas yang dimulai oleh Amazon ECS `RunTask` API, baik secara langsung atau oleh penjadwal eksternal seperti tugas terjadwal (yang dimulai oleh Amazon EventBridge), AWS Batch atau. AWS Step Functions Anda tidak perlu mengambil tindakan apa pun dalam menanggapi pensiun tugas untuk tugas layanan Anda karena penjadwal Amazon ECS secara otomatis menggantikan tugas.
Untuk tugas mandiri, Anda mungkin perlu melakukan penanganan tambahan dalam menanggapi pensiun tugas. Untuk informasi selengkapnya, lihat [Bisakah Amazon ECS secara otomatis menangani tugas mandiri?](#task-retirement-standalone-tasks).
Untuk tugas layanan, Anda tidak perlu mengambil tindakan apa pun untuk pensiun tugas kecuali Anda ingin mengganti tugas-tugas ini sebelum AWS melakukannya. Ketika penjadwal Amazon ECS menghentikan tugas, ia menggunakan `maximumPercent` dan meluncurkan tugas baru dalam upaya untuk mempertahankan jumlah yang diinginkan untuk layanan. Ikuti praktik terbaik untuk meminimalkan dampak pensiun tugas. `maximumPercent`Nilai default untuk layanan menggunakan penjadwal layanan REPLICA adalah 200%. Oleh karena itu, ketika AWS Fargate mulai pensiun tugas, Amazon ECS pertama-tama menjadwalkan tugas baru, dan kemudian menunggu sampai tugas itu berjalan, sebelum menghentikan tugas lama. Saat Anda menetapkan `maximumPercent` nilainya menjadi 100%, Amazon ECS menghentikan tugas terlebih dahulu, lalu menggantinya.
Untuk pensiun tugas mandiri, AWS hentikan tugas pada atau setelah tanggal pensiun tugas. Amazon ECS tidak meluncurkan tugas pengganti saat tugas dihentikan. Jika Anda memerlukan tugas-tugas ini untuk terus berjalan, Anda harus menghentikan tugas yang sedang berjalan dan meluncurkan tugas pengganti sebelum waktu yang ditunjukkan dalam pemberitahuan. Oleh karena itu, kami menyarankan agar pelanggan memantau keadaan tugas mandiri dan jika diperlukan, terapkan logika untuk mengganti tugas yang dihentikan.
Ketika tugas dihentikan di salah satu skenario, Anda dapat menjalankannya`describe-tasks`. `stoppedReason`Dalam tanggapannya adalah`ECS is performing maintenance on the underlying infrastructure hosting the task`.
Pemeliharaan tugas berlaku ketika ada revisi versi platform baru perlu diganti dengan revisi baru. Jika ada masalah dengan host Fargate yang mendasarinya, Amazon ECS menggantikan host tanpa pemberitahuan pensiun tugas.
## Ikhtisar pemberitahuan pensiun tugas
Saat AWS menandai revisi versi platform sebagai perlu dihentikan, kami mengidentifikasi semua tugas yang berjalan pada revisi versi platform tersebut di semua Wilayah.
Ilustrasi berikut menunjukkan siklus hidup revisi versi platform Fargate dari peluncuran revisi baru ke pensiun revisi platform.
![\[Diagram yang menunjukkan siklus hidup pensiun tugas Fargate.\]](http://docs.aws.amazon.com/id_id/AmazonECS/latest/developerguide/images/fargate-task-retirement.png)
Informasi berikut memberikan rincian.
+ Setelah revisi versi platform baru diluncurkan, semua tugas baru dijadwalkan pada revisi ini.
+ Tugas yang ada yang telah dijadwalkan dan berjalan tetap pada revisi yang awalnya ditempatkan selama durasi tugas dan tidak dimigrasikan ke revisi baru.
+ Tugas baru, misalnya sebagai bagian dari pembaruan layanan atau pensiun tugas Fargate, ditempatkan pada revisi versi platform terbaru yang tersedia pada saat peluncuran.
Pemberitahuan pensiun tugas dikirim melalui AWS Health Dasbor serta melalui email ke alamat email yang terdaftar dan mencakup informasi berikut:
+ Tanggal pensiun tugas - Tugas dihentikan pada atau setelah tanggal ini.
+ Untuk tugas mandiri, IDs tugas.
+ Untuk tugas layanan, ID cluster tempat layanan berjalan dan layanan. IDs
+ Langkah selanjutnya yang perlu Anda ambil.
Biasanya, kami mengirim satu pemberitahuan masing-masing untuk layanan dan tugas mandiri di masing-masing Wilayah AWS. Namun, dalam kasus tertentu Anda mungkin menerima lebih dari satu peristiwa untuk setiap jenis tugas, misalnya ketika ada terlalu banyak tugas yang harus dihentikan yang akan melampaui batas dalam mekanisme pemberitahuan kami.
Anda dapat mengidentifikasi tugas yang dijadwalkan untuk pensiun dengan cara berikut:
+ The Dasbor Health
AWS Health pemberitahuan dapat dikirim melalui Amazon EventBridge ke penyimpanan arsip seperti Amazon Simple Storage Service, mengambil tindakan otomatis seperti menjalankan AWS Lambda fungsi, atau sistem notifikasi lainnya seperti Amazon Simple Notification Service. Untuk informasi selengkapnya, lihat [Memantau AWS Health peristiwa dengan Amazon EventBridge](https://docs.aws.amazon.com/health/latest/ug/cloudwatch-events-health.html). Untuk konfigurasi sampel untuk mengirim notifikasi ke Amazon Chime, Slack, atau Microsoft Teams, lihat repositori [AWS Health Aware](https://github.com/aws-samples/aws-health-aware) aktif. GitHub
Berikut ini adalah contoh EventBridge acara.
```
{
"version": "0",
"id": "3c268027-f43c-0171-7425-1d799EXAMPLE",
"detail-type": "AWS Health Event",
"source": "aws.health",
"account": "123456789012",
"time": "2023-08-16T23:18:51Z",
"region": "us-east-1",
"resources": [
"cluster|service",
"cluster|service"
],
"detail": {
"eventArn": "arn:aws:health:us-east-1::event/ECS/AWS_ECS_TASK_PATCHING_RETIREMENT/AWS_ECS_TASK_PATCHING_RETIREMENT_test1",
"service": "ECS",
"eventScopeCode": "ACCOUNT_SPECIFIC",
"communicationId": "7988399e2e6fb0b905ddc88e0e2de1fd17e4c9fa60349577446d95a18EXAMPLE",
"lastUpdatedTime": "Wed, 16 Aug 2023 23:18:52 GMT",
"eventRegion": "us-east-1",
"eventTypeCode": "AWS_ECS_TASK_PATCHING_RETIREMENT",
"eventTypeCategory": "scheduledChange",
"startTime": "Wed, 16 Aug 2023 23:18:51 GMT",
"endTime": "Fri, 18 Aug 2023 23:18:51 GMT",
"eventDescription": [
{
"language": "en_US",
"latestDescription": "\\nA software update has been deployed to Fargate which includes CVE patches or other critical patches. No action is required on your part. All new tasks launched automatically uses the latest software version. For existing tasks, your tasks need to be restarted in order for these updates to apply. Your tasks running as part of the following ECS Services will be automatically updated beginning Wed, 16 Aug 2023 23:18:51 GMT.\\n\\nAfter Wed, 16 Aug 2023 23:18:51 GMT, the ECS scheduler will gradually replace these tasks, respecting the deployment settings for your service. Typically, services should see little to no interruption during the update and no action is required. When AWS stops tasks, AWS uses the minimum healthy percent (1) and launches a new task in an attempt to maintain the desired count for the service. By default, the minimum healthy percent of a service is 100 percent, so a new task is started first before a task is stopped. Service tasks are routinely replaced in the same way when you scale the service or deploy configuration changes or deploy task definition revisions. If you would like to control the timing of this restart you can update the service before Wed, 16 Aug 2023 23:18:51 GMT, by running the update-service command from the ECS command-line interface specifying force-new-deployment for services using Rolling update deployment type. For example:\\n\\n$ aws ecs update-service -service service_name \\\n--cluster cluster_name -force-new-deployment\\n\\nFor services using Blue/Green deployment type with AWS CodeDeploy:\\nPlease refer to create-deployment document (2) and create new deployment using same task definition revision.\\n\\nFor further details on ECS deployment types, please refer to ECS Deployment Developer Guide (1).\\nFor further details on Fargate's update process, please refer to the AWS Fargate User Guide (3).\\nIf you have any questions or concerns, please contact AWS Support (4).\\n\\n(1) https://docs.aws.amazon.com/AmazonECS/latest/developerguide/deployment-types.html\\n(2) https://docs.aws.amazon.com/cli/latest/reference/deploy/create-deployment.html\\n(3) https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html\\n(4) https://aws.amazon.com/support\\n\\nA list of your affected resources(s) can be found in the 'Affected resources' tab in the 'Cluster/ Service' format in the AWS Health Dashboard. \\n\\n"
}
],
"affectedEntities": [
{
"entityValue": "arn:aws:ecs:eu-west-1:111222333444:task/examplecluster/00805ce1d81940b5a37398e5a2c23333"
},
{
"entityValue": "arn:aws:ecs:eu-west-1:111222333444:task/examplecluster/00805ce1d81940b5a37398e5a2c25555"
}
}
]
}
}
```
+ Email
Email dikirim ke email terdaftar untuk Akun AWS ID.
Untuk informasi tentang cara mempersiapkan pensiun tugas, lihat[Bersiaplah untuk pensiun tugas AWS Fargate di Amazon ECS](prepare-task-retirement.md).
## Bisakah saya memilih keluar dari pensiun tugas?
Tidak. Sebagai bagian dari model tanggung jawab AWS bersama, AWS bertanggung jawab untuk mengelola dan memelihara infrastruktur yang mendasarinya AWS Fargate. Ini termasuk melakukan pembaruan platform berkala untuk memastikan keamanan dan stabilitas. Pembaruan ini diterapkan secara otomatis oleh AWS dan bukan sesuatu yang dapat dipilih pelanggan. Ini adalah manfaat utama menggunakan AWS Fargate dibandingkan dengan menjalankan beban kerja Anda pada instans EC2, tanggung jawab untuk mempertahankan platform yang mendasarinya ditangani oleh. AWS Model ini memungkinkan Anda untuk fokus pada aplikasi Anda daripada pemeliharaan infrastruktur. Dengan menerapkan pembaruan platform ini secara otomatis, AWS dapat menjaga lingkungan Fargate up-to-date dan aman, tanpa tindakan apa pun yang diperlukan dari Anda sebagai pelanggan. Ini membantu menyediakan lingkungan kontainer yang andal dan aman untuk menjalankan beban kerja Anda di Fargate.
## Bisakah saya mendapatkan pemberitahuan pensiun tugas melalui AWS layanan lain?
AWS mengirimkan pemberitahuan pensiun tugas ke Dasbor Health dan ke kontak email utama di Akun AWS. Dasbor Health Ini menyediakan sejumlah integrasi ke AWS layanan lain, termasuk EventBridge. Anda dapat menggunakan EventBridge untuk mengotomatiskan visibilitas pemberitahuan (Misalnya. meneruskan pesan ke alat). ChatOps Untuk informasi selengkapnya, lihat [Ringkasan solusi: Menangkap pemberitahuan pensiun tugas](https://aws.amazon.com/blogs/containers/improving-operational-visibility-with-aws-fargate-task-retirement-notifications/).
## Bisakah saya mengubah pensiun tugas setelah dijadwalkan?
Tidak. Jadwal didasarkan pada tugas waktu tunggu pensiun yang memiliki default 7 hari. Jika Anda membutuhkan lebih banyak waktu, Anda dapat memilih untuk mengkonfigurasi periode tunggu hingga 14 hari. Untuk informasi selengkapnya, lihat [Langkah 2: Tangkap pemberitahuan pensiun tugas untuk memperingatkan tim dan mengambil tindakan](prepare-task-retirement.md#prepare-task-retirement-capture-task-events).
Mulai 12/18/2025, Amazon ECS memungkinkan Anda mengonfigurasi jendela [acara Amazon EC2 untuk tugas Fargate](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/event-windows.html) Anda. Jika Anda memerlukan kontrol yang tepat atas waktu pensiun tugas yang tepat, misalnya, menjadwalkannya selama akhir pekan untuk menghindari gangguan selama jam kerja, Anda dapat mengonfigurasi jendela acara Amazon EC2 untuk tugas, layanan, atau cluster Anda, lihat. [Langkah 1: Atur waktu tunggu tugas atau gunakan jendela acara Amazon EC2](prepare-task-retirement.md#prepare-task-retirement-set-time) Perhatikan bahwa perubahan dalam konfigurasi ini berlaku untuk pensiun yang akan dijadwalkan di masa depan. Pensiun yang dijadwalkan saat ini tidak terpengaruh. Selain itu, saat Anda mengonfigurasi jendela acara Amazon EC2 untuk tugas Fargate Anda, itu lebih diutamakan daripada konfigurasi waktu tunggu pensiun tugas Anda. Jika Anda memiliki masalah lebih lanjut, hubungi Dukungan.
## Bagaimana Amazon ECS menangani tugas yang merupakan bagian dari layanan?
Untuk tugas layanan, Anda tidak perlu mengambil tindakan apa pun dalam menanggapi pensiun tugas kecuali Anda ingin mengganti tugas-tugas ini sebelum AWS melakukannya. Ketika penjadwal Amazon ECS menghentikan tugas, ia menggunakan persentase sehat minimum dan meluncurkan tugas baru dalam upaya untuk mempertahankan jumlah yang diinginkan untuk layanan. Untuk meminimalkan dampak pensiun tugas Fargate, beban kerja harus diterapkan mengikuti praktik terbaik Amazon ECS. Misalnya, saat menerapkan aplikasi stateless sebagai layanan Amazon ECS, seperti server web atau API, pelanggan harus menerapkan beberapa replika tugas dan menyetel ke 100%. minimumHealthyPercent Secara default, persentase kesehatan minimum dari suatu layanan adalah 100 persen. Oleh karena itu, ketika Fargate mulai pensiun tugas, Amazon ECS pertama-tama menjadwalkan tugas baru dan menunggu tugas itu berjalan, sebelum menghentikan tugas lama. Tugas layanan secara rutin diganti sebagai bagian dari pensiun tugas dengan cara yang sama saat Anda menskalakan layanan, menerapkan perubahan konfigurasi, atau menerapkan revisi definisi tugas. Untuk mempersiapkan proses pensiun tugas, lihat[Bersiaplah untuk pensiun tugas AWS Fargate di Amazon ECS](prepare-task-retirement.md).
## Bisakah Amazon ECS secara otomatis menangani tugas mandiri?
Tidak. AWS tidak dapat membuat tugas pengganti untuk tugas mandiri yang dimulai oleh`RunTask`, tugas terjadwal (misalnya melalui EventBridge Scheduler) AWS Batch, atau. AWS Step Functions Amazon ECS hanya mengelola tugas yang merupakan bagian dari layanan.
## Memecahkan masalah ketersediaan layanan selama pensiun tugas
Jika Amazon ECS tidak dapat memulai tugas pengganti selama pensiun tugas, ketersediaan layanan Anda mungkin terpengaruh. Hal ini dapat terjadi karena konfigurasi pelanggan yang salah, seperti:
+ Peran IAM yang hilang atau tidak dikonfigurasi dengan benar
+ Kapasitas yang tidak mencukupi dalam subnet target
+ Kesalahan konfigurasi grup keamanan
+ Kesalahan definisi tugas
Ketika Amazon ECS tidak dapat meluncurkan tugas pengganti, tugas yang sudah pensiun dihentikan tanpa penggantian, mengurangi kapasitas layanan yang tersedia dan berpotensi menyebabkan gangguan layanan. Pantau jumlah tugas dan CloudWatch metrik Amazon layanan Anda untuk memastikan tugas pengganti berhasil diluncurkan selama acara pensiun.
# Bersiaplah untuk pensiun tugas AWS Fargate di Amazon ECS
Untuk mempersiapkan pensiun tugas, lakukan operasi berikut:
1. Atur masa tunggu pensiun tugas atau gunakan jendela acara Amazon EC2.
1. Tangkap pemberitahuan pensiun tugas untuk memberi tahu anggota tim.
1. Anda dapat memastikan semua tugas layanan Anda berjalan pada revisi platform terbaru dengan memperbarui layanan dengan opsi penerapan paksa. Langkah ini bersifat opsional.
## Langkah 1: Atur waktu tunggu tugas atau gunakan jendela acara Amazon EC2
Anda memiliki dua opsi pengaturan akun untuk mengonfigurasi waktu Fargate memulai pensiun tugas: dan. `fargateTaskRetirementWaitPeriod` `fargateEventWindows`
**Menggunakan pengaturan fargateTaskRetirement WaitPeriod akun**
Anda dapat mengkonfigurasi waktu Fargate memulai tugas pensiun. Periode tunggu default adalah 7 hari. Untuk beban kerja yang memerlukan aplikasi pembaruan segera, pilih pengaturan langsung (`0`). Jika Anda membutuhkan lebih banyak waktu, konfigurasikan opsi`7`, atau `14` hari.
Kami menyarankan Anda memilih masa tunggu yang lebih pendek untuk mengambil revisi versi platform yang lebih baru lebih cepat.
Konfigurasikan periode tunggu dengan menjalankan `put-account-setting-default` atau `put-account-setting` sebagai pengguna root atau pengguna administratif. Gunakan `fargateTaskRetirementWaitPeriod` opsi untuk `name` dan `value` opsi yang disetel ke salah satu nilai berikut:
+ `0`- AWS mengirim pemberitahuan, dan segera mulai pensiun tugas yang terpengaruh.
+ `7`- AWS mengirim pemberitahuan, dan menunggu 7 hari kalender sebelum mulai pensiun tugas yang terpengaruh. Ini adalah opsi default.
+ `14`- AWS mengirim pemberitahuan, dan menunggu 14 hari kalender sebelum mulai pensiun tugas yang terpengaruh.
Untuk informasi selengkapnya, lihat, [put-account-setting-default](https://docs.aws.amazon.com/cli/latest/reference/ecs/put-account-setting-default.html)dan [put-account-setting](https://docs.aws.amazon.com/cli/latest/reference/ecs/put-account-setting.html)di *Referensi API Amazon Elastic Container Service*.
**Menggunakan pengaturan fargateEventWindows akun**
Mulai 12/18/2025, Amazon ECS memungkinkan Anda mengonfigurasi jendela [acara Amazon EC2 untuk tugas Fargate](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/event-windows.html) Anda. Jika Anda memerlukan kontrol yang tepat atas waktu pensiun tugas yang tepat, misalnya, menjadwalkannya selama akhir pekan untuk menghindari gangguan selama jam kerja, Anda dapat mengonfigurasi jendela acara Amazon EC2 untuk tugas, layanan, atau cluster Anda.
Saat Anda menggunakan jendela acara, Fargate memastikan bahwa tugas Anda berjalan setidaknya 3 hari sebelum dihentikan dalam jendela berikutnya yang tersedia, kecuali dihentikan oleh tindakan yang diprakarsai pengguna atau peristiwa kesehatan kritis seperti degradasi perangkat keras yang mendasarinya.
Atur pengaturan `fargateEventWindows` akun ke`enabled`. Anda dapat menggunakan salah satu dari berikut ini APIs: `put-account-setting-default` atau `put-account-setting` sebagai pengguna root atau pengguna administratif.
Setiap jendela acara Amazon EC2 harus terbuka setidaknya 4 jam per minggu, dan setiap rentang waktu harus minimal 2 jam. Untuk cluster dan layanan besar, kami sarankan untuk mengonfigurasi jendela acara dengan durasi yang lama (8 jam atau lebih) atau rentang waktu yang lebih sering terjadi setidaknya sekali setiap 3 hari. Anda dapat meninjau lebih lanjut pertimbangan untuk jendela peristiwa Amazon EC2 di AWS Fargate panduan [pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/event-windows.html#event-windows-considerations) memastikan bahwa tugas Anda berjalan setidaknya 3 hari sebelum dihentikan, kecuali dihentikan oleh tindakan yang diprakarsai pengguna atau peristiwa kesehatan penting seperti degradasi perangkat keras yang mendasarinya.
**penting**
Penggantian tugas dalam jendela acara adalah upaya terbaik. Jika Anda melihat tugas dihentikan di luar jendela acara Anda, pertimbangkan untuk memperluas durasi (8 jam atau lebih) atau meningkatkan frekuensi (setidaknya sekali setiap 3 hari).
Untuk menerapkan jendela acara Amazon EC2 ke pensiun tugas Fargate Anda:
+ Atur pengaturan `fargateEventWindows` akun ke`enabled`. Anda dapat menggunakan salah satu dari berikut ini APIs: `put-account-setting-default` atau `put-account-setting` sebagai pengguna root atau pengguna administratif. Perhatikan bahwa ini adalah pengaktifan satu kali untuk penggunaan fitur jendela acara Amazon EC2 untuk tugas Fargate Anda.
+ Buat jendela acara Amazon EC2 melalui konsol AWS atau AWS CLI. Untuk membuat jendela acara menggunakan CLI, gunakan EC2 `create-instance-event-window` API dengan rentang waktu atau ekspresi cron. Catat `InstanceEventWindowId` dari tanggapannya.
```
aws ec2 create-instance-event-window \
--time-range StartWeekDay=monday,StartHour=2,EndWeekDay=wednesday,EndHour=8 \
--tag-specifications "ResourceType=instance-event-window,Tags=[{Key=K1,Value=V1" \
--name myEventWindowName
```
Atau, Anda dapat menggunakan ekspresi cron saat membuat jendela acara EC2.
```
aws ec2 create-instance-event-window \
--cron-expression "* 21-23 * * 2,3" \
--tag-specifications "ResourceType=instance-event-window,Tags=[{Key=K1,Value=V1" \
--name myEventWindowName
```
+ Anda kemudian dapat mengaitkan jendela acara dengan layanan, cluster, atau semua tugas tertentu di akun Anda menggunakan EC2 API`associate-instance-event-window`.
+ Untuk tugas layanan ECS
```
aws ec2 associate-instance-event-window \
--instance-event-window-id iew-0abcdef1234567890 \
--association-target "InstanceTags=[{Key=aws:ecs:serviceArn,Value=your-service-arn}]"
```
+ Untuk cluster ECS
```
aws ec2 associate-instance-event-window \
--instance-event-window-id iew-0abcdef1234567890 \
--association-target "InstanceTags=[{Key=aws:ecs:clusterArn,Value=your-cluster-arn}]"
```
+ Untuk mengaitkan jendela acara dengan semua tugas di akun
```
aws ec2 associate-instance-event-window \
--instance-event-window-id iew-0abcdef1234567890 \
--association-target "InstanceTags=[{Key=aws:ecs:fargateTask,Value=true}]"
```
Anda dapat menggunakan lebih dari satu pasangan kunci-nilai untuk mengaitkan jendela acara dengan beberapa layanan atau cluster.
Fargate akan memilih jendela acara untuk setiap tugas dalam urutan sebagai berikut:
+ Jika ada jendela acara yang terkait dengan layanan tugas, itu akan digunakan. Ini tidak berlaku untuk tugas mandiri atau tidak terkelola.
+ Jika ada jendela acara yang terkait dengan cluster tugas, itu akan digunakan.
+ Jika ada jendela acara yang disetel untuk semua tugas Fargate, itu akan digunakan.
+ `fargateTaskRetirementWaitPeriod`Pengaturan akan digunakan jika tidak ada jendela acara yang cocok dengan tugas.
**Mengkonfigurasi jendela acara untuk pemeliharaan tugas Fargate**
Pertimbangkan kasus ketika Anda menjalankan beberapa layanan ECS di Fargate dengan persyaratan ketersediaan yang berbeda. Anda ingin kontrol yang tepat atas pensiun tugas. Anda dapat mengonfigurasi beberapa jendela acara sebagai berikut:
+ **Pemeliharaan default untuk semua tugas Fargate**: Buat jendela acara untuk pemeliharaan rutin selama jam sibuk (12 pagi hingga 4 pagi setiap hari) dan kaitkan dengan semua tugas Fargate menggunakan tag. ` aws:ecs:fargateTask`
+ **Pemeliharaan khusus akhir pekan untuk klaster pengembangan**: Untuk klaster pengembangan dengan layanan yang dapat mentolerir gangguan pada akhir pekan, buat jendela akhir pekan 24 jam (Sabtu dan Minggu, sepanjang hari) dan kaitkan dengan cluster menggunakan tag dengan ARN cluster Anda. `aws:ecs:clusterArn`
+ **Jendela terbatas untuk layanan mission-critical: Untuk layanan** pemrosesan pembayaran mission-critical yang memerlukan uptime tinggi selama hari kerja, batasi pemeliharaan hingga akhir pekan dini hari (Sabtu dan Minggu, 12:00 hingga 4AM) dan kaitkan dengan layanan khusus menggunakan tag dengan layanan ARN Anda. `aws:ecs:serviceArn`
Dengan konfigurasi ini, layanan pembayaran menggunakan jendela khusus akhir pekan yang spesifik, layanan dan tugas cluster pengembangan menggunakan jendela 24 jam akhir pekan, dan semua tugas Fargate lainnya menggunakan jendela pemeliharaan harian default.
Untuk informasi selengkapnya, lihat, [put-account-setting-default](https://docs.aws.amazon.com/cli/latest/reference/ecs/put-account-setting-default.html)dan [put-account-setting](https://docs.aws.amazon.com/cli/latest/reference/ecs/put-account-setting.html)di *Referensi API Amazon Elastic Container Service*.
## Langkah 2: Tangkap pemberitahuan pensiun tugas untuk memperingatkan tim dan mengambil tindakan
Ketika ada pensiun tugas yang akan datang, AWS kirimkan pemberitahuan pensiun tugas ke AWS Health Dasbor, dan ke kontak email utama di Akun AWS. AWS Health Dasbor menyediakan sejumlah integrasi ke AWS layanan lain, termasuk Amazon EventBridge. Anda dapat menggunakan EventBridge untuk membangun otomatisasi dari pemberitahuan pensiun tugas, seperti meningkatkan visibilitas pensiun yang akan datang dengan meneruskan pesan ke alat. ChatOps AWS Health Aware adalah sumber daya yang menunjukkan kekuatan AWS Health Dasbor dan bagaimana notifikasi dapat didistribusikan ke seluruh organisasi. Anda dapat meneruskan pemberitahuan pensiun tugas ke aplikasi obrolan, seperti Slack.
Ilustrasi berikut menunjukkan gambaran solusi.
![\[Diagram yang menunjukkan solusi Fargate untuk menangkap pemberitahuan pensiun tugas Fargate.\]](http://docs.aws.amazon.com/id_id/AmazonECS/latest/developerguide/images/fargate-task-retirement-solution.png)
Informasi berikut memberikan rincian.
+ Fargate mengirimkan pemberitahuan pensiun tugas ke Dasbor. AWS Health
+ AWS Health Dasbor mengirim email ke kontak email utama di Akun AWS, dan memberi tahu EventBridge.
+ EventBridge memiliki aturan yang menangkap pemberitahuan pensiun.
Aturan mencari acara dengan Jenis Detail Acara: `"AWS Health Event" and the Event Detail Type Code: "AWS_ECS_TASK_PATCHING_RETIREMENT"`
+ Aturan tersebut memicu fungsi Lambda yang meneruskan informasi ke Slack menggunakan Slack Incoming Webhook. Untuk informasi selengkapnya, lihat [Webhook Masuk](https://slack.com/marketplace/A0F7XDUAZ-incoming-webhooks).
Untuk contoh kode, lihat [Menangkap Pemberitahuan Pensiun AWS Fargate Tugas](https://github.com/aws-samples/capturing-aws-fargate-task-retirement-notifications/tree/main) di Github.
## Langkah 3: Kontrol penggantian tugas
Anda tidak dapat mengontrol waktu yang tepat dari pensiun tugas, namun, Anda dapat menentukan waktu tunggu. Jika Anda ingin mengontrol penggantian tugas sesuai jadwal Anda sendiri, Anda dapat menangkap pemberitahuan pensiun tugas untuk terlebih dahulu memahami tanggal pensiun tugas. Anda kemudian dapat menerapkan kembali layanan Anda untuk meluncurkan tugas pengganti, dan juga mengganti tugas mandiri apa pun. Untuk layanan yang menggunakan penerapan bergulir, Anda memperbarui layanan menggunakan opsi sebelum waktu mulai `update-service` pensiun. `force-deployment`
`update-service`Contoh berikut menggunakan `force-deployment` opsi.
```
aws ecs update-service —-service service_name \
--cluster cluster_name \
--force-new-deployment
```
Untuk layanan yang menggunakan blue/green penerapan, Anda perlu membuat penerapan baru di. AWS CodeDeploy*Untuk informasi tentang cara membuat penerapan, lihat [create-deployment](https://docs.aws.amazon.com/cli/latest/reference/deploy/create-deployment.html) di Referensi.AWS Command Line Interface *
# Wilayah yang Didukung untuk Amazon ECS di Fargate AWS
Anda dapat menggunakan tabel berikut untuk memverifikasi dukungan Wilayah untuk kontainer Linux di AWS Fargate dan kontainer Windows di AWS Fargate.
## Wadah Linux di AWS Fargate
Kontainer Amazon ECS Linux aktif AWS Fargate didukung dalam hal berikut Wilayah AWS ini. Availability Zone IDs yang didukung dicatat bila berlaku.
| Nama Wilayah | Wilayah |
| --- | --- |
| US East (Ohio) | us-east-2 |
| US East (N. Virginia) | us-east-1 |
| AS Barat (California Utara) | us-west-1 (& hanya`usw1-az1`) `usw1-az3` |
| AS Barat (Oregon) | us-west-2 |
| Kanada (Pusat) | ca-central-1 |
| Kanada Barat (Calgary) | ca-west-1 |
| Meksiko (Tengah) | mx-pusat-1 |
| Africa (Cape Town) | af-selatan-1 |
| Asia Pasifik (Hong Kong) | ap-timur-1 |
| Asia Pasifik (Mumbai) | ap-south-1 |
| Asia Pasifik (Tokyo) | `apne1-az1`ap-northeast-1 (,, & hanya) `apne1-az2` `apne1-az4` |
| Asia Pasifik (Seoul) | ap-northeast-2 |
| Asia Pacific (Osaka) | ap-northeast-3 |
| Asia Pasifik (Hyderabad) | ap-south-2 |
| Asia Pasifik (Singapura) | ap-southeast-1 |
| Asia Pacific (Sydney) | ap-southeast-2 |
| Asia Pasifik (Thailand) | ap-tenggara 7 |
| Asia Pasifik (Jakarta) | ap-southeast-3 |
| Asia Pacific (Melbourne) | ap-southeast-4 |
| Asia Pasifik (Malaysia) | ap-southeast-5 |
| Kanada (Pusat) | ca-central-1 |
| Kanada Barat (Calgary) | ca-west-1 |
| Tiongkok (Beijing) | cn-north-1 (& hanya) `cnn1-az1` `cnn1-az2` |
| Tiongkok (Ningxia) | cn-northwest-1 |
| Europe (Frankfurt) | eu-central-1 |
| Europe (Zurich) | eu-central-2 |
| Eropa (Irlandia) | eu-west-1 |
| Europe (London) | eu-west-2 |
| Europe (Paris) | eu-west-3 |
| Europe (Milan) | eu-south-1 |
| Eropa (Spanyol) | eu-south-2 |
| Eropa (Stockholm) | eu-north-1 |
| South America (Sao Paulo) | sa-east-1 |
| Israel (Tel Aviv) | il-central-1 |
| Timur Tengah (Bahrain) | me-south-1 |
| Timur Tengah (UAE) | me-central-1 |
| AWS GovCloud (AS-Timur) | us-gov-east-1 |
| AWS GovCloud (AS-Barat) | us-gov-west-1 |
## Wadah Windows di AWS Fargate
Amazon ECS Windows container AWS Fargate aktif didukung sebagai berikut Wilayah AWS. Availability Zone IDs yang didukung dicatat bila berlaku.
| Nama Wilayah | Wilayah |
| --- | --- |
| US East (Ohio) | us-east-2 |
| AS Timur (Virginia Utara) | us-east-1 `use1-az1` (,,`use1-az2`,, `use1-az4` & hanya) `use1-az5` `use1-az6` |
| AS Barat (California Utara) | us-west-1 (& hanya`usw1-az1`) `usw1-az3` |
| AS Barat (Oregon) | as-barat-2 |
| Afrika (Cape Town) | af-selatan-1 |
| Asia Pasifik (Hong Kong) | ap-timur-1 |
| Asia Pasifik (Mumbai) | ap-south-1 |
| Asia Pasifik (Hyderabad) | ap-south-2 |
| Asia Pacific (Osaka) | ap-northeast-3 |
| Asia Pacific (Seoul) | ap-northeast-2 |
| Asia Pacific (Singapore) | ap-southeast-1 |
| Asia Pacific (Sydney) | ap-southeast-2 |
| Asia Pacific (Melbourne) | ap-southeast-4 |
| Asia Pasifik (Malaysia) | ap-southeast-5 |
| Asia Pasifik (Tokyo) | `apne1-az1`ap-northeast-1 (,, & hanya) `apne1-az2` `apne1-az4` |
| Kanada (Pusat) | ca-central-1 (& hanya) `cac1-az1` `cac1-az2` |
| Kanada Barat (Calgary) | ca-west-1 |
| Tiongkok (Beijing) | cn-north-1 (& hanya) `cnn1-az1` `cnn1-az2` |
| Tiongkok (Ningxia) | cn-northwest-1 |
| Europe (Frankfurt) | eu-central-1 |
| Europe (Zurich) | eu-central-2 |
| Eropa (Irlandia) | eu-west-1 |
| Europe (London) | eu-west-2 |
| Europe (Paris) | eu-west-3 |
| Europe (Milan) | eu-south-1 |
| Eropa (Spanyol) | eu-south-2 |
| Eropa (Stockholm) | eu-north-1 |
| South America (Sao Paulo) | sa-east-1 |
| Israel (Tel Aviv) | il-central-1 |
| Timur Tengah (UAE) | me-central-1 |
| Timur Tengah (Bahrain) | me-south-1 |