Opsi jaringan tugas Amazon ECS untuk jenis peluncuran Fargate - Amazon Elastic Container Service
PertimbanganMenggunakan VPC dalam mode tumpukan dobel

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi jaringan tugas Amazon ECS untuk jenis peluncuran Fargate

Secara default, setiap tugas Amazon ECS di Fargate disediakan elastic network interface (ENI) dengan alamat IP pribadi utama. Saat menggunakan subnet publik, Anda dapat secara opsional menetapkan alamat IP publik ke ENI tugas. Jika VPC Anda dikonfigurasi untuk mode dual-stack dan Anda menggunakan subnet dengan blok IPv6 CIDR, ENI tugas Anda juga menerima alamat. IPv6 Sebuah tugas hanya dapat memiliki satu ENI yang terkait dengannya pada suatu waktu. Wadah yang termasuk dalam tugas yang sama juga dapat berkomunikasi melalui localhost antarmuka. Untuk informasi selengkapnya tentang VPCs dan subnet, lihat Cara kerja Amazon VPC di Panduan Pengguna Amazon VPC.

Untuk tugas di Fargate untuk menarik gambar kontainer, tugas harus memiliki rute ke internet. Berikut ini menjelaskan bagaimana Anda dapat memverifikasi bahwa tugas Anda memiliki rute ke internet.

  • Saat menggunakan subnet publik, Anda dapat menetapkan alamat IP publik ke ENI tugas.

  • Saat menggunakan subnet privat, subnet bisa memiliki lampiran gateway NAT.

  • Saat menggunakan gambar kontainer yang di-host di Amazon ECR, Anda dapat mengonfigurasi Amazon ECR untuk menggunakan titik akhir VPC antarmuka dan penarikan gambar terjadi di atas alamat pribadi tugas. IPv4 Untuk informasi selengkapnya, lihat Antarmuka Amazon ECR VPC endpoint AWS PrivateLink() di Panduan Pengguna Amazon Elastic Container Registry.

Karena setiap tugas mendapatkan ENI sendiri, Anda dapat menggunakan fitur jaringan seperti VPC Flow Logs, yang dapat Anda gunakan untuk memantau lalu lintas ke dan dari tugas Anda. Untuk informasi selengkapnya, lihat Log Alur VPC di Panduan Pengguna Amazon VPC.

Anda juga bisa memanfaatkannya AWS PrivateLink. Anda dapat mengonfigurasi titik akhir antarmuka VPC sehingga Anda dapat mengakses Amazon ECS APIs melalui alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual. Untuk informasi selengkapnya, lihat Titik akhir AWS PrivateLink VPC antarmuka Amazon ECS ().

Untuk contoh cara menggunakan NetworkConfiguration sumber daya AWS CloudFormation, lihatMembuat sumber daya Amazon ECS menggunakan tumpukan terpisah.

ENIs Yang dibuat sepenuhnya dikelola oleh AWS Fargate. Selain itu, ada kebijakan IAM terkait yang digunakan untuk memberikan izin untuk Fargate. Untuk tugas yang menggunakan versi platform Fargate 1.4.0 atau yang lebih baru, tugas menerima ENI tunggal (disebut sebagai tugas ENI) dan semua lalu lintas jaringan mengalir melalui ENI tersebut dalam VPC Anda. Lalu lintas ini direkam dalam log aliran VPC Anda. Untuk tugas yang menggunakan versi platform Fargate 1.3.0 dan sebelumnya, selain tugas ENI, tugas juga menerima ENI milik Fargate terpisah, yang digunakan untuk beberapa lalu lintas jaringan yang tidak terlihat di log aliran VPC. Tabel berikut menjelaskan perilaku lalu lintas jaringan dan kebijakan IAM yang diperlukan untuk setiap versi platform.

Tindakan Arus lalu lintas dengan versi platform Linux 1.3.0 dan sebelumnya Arus lalu lintas dengan versi platform Linux 1.4.0 Arus lalu lintas dengan versi platform Windows 1.0.0 Izin IAM
Mengambil kredensyal login Amazon ECR Fargate dimiliki ENI ENI tugas ENI tugas Eksekusi tugas peran IAM
Tarikan citra ENI tugas ENI tugas ENI tugas Eksekusi tugas peran IAM
Mengirim log melalui driver log ENI tugas ENI tugas ENI tugas Eksekusi tugas peran IAM
Mengirim log melalui FireLens Amazon ECS ENI tugas ENI tugas ENI tugas Tugas peran IAM
Mengambil rahasia dari Secrets Manager atau Systems Manager Fargate dimiliki ENI ENI tugas ENI tugas Eksekusi tugas peran IAM
Lalu lintas sistem file Amazon EFS Tidak tersedia ENI tugas ENI tugas Tugas peran IAM
Lalu lintas aplikasi ENI tugas ENI tugas ENI tugas Tugas peran IAM

Pertimbangan

Pertimbangkan hal berikut saat menggunakan jaringan tugas.

  • Peran terkait layanan Amazon ECS diperlukan untuk memberi Amazon ECS izin untuk melakukan panggilan ke layanan lain AWS atas nama Anda. Peran ini dibuat untuk Anda ketika Anda membuat klaster atau jika Anda membuat atau memperbarui layanan di AWS Management Console. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon ECS. Anda juga dapat membuat peran terkait layanan menggunakan perintah berikut AWS CLI .

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS mengisi nama host tugas dengan nama host DNS yang disediakan Amazon saat enableDnsSupport opsi enableDnsHostnames dan opsi diaktifkan di VPC Anda. Jika opsi ini tidak diaktifkan, nama host DNS tugas disetel ke nama host acak. Untuk informasi selengkapnya tentang pengaturan DNS untuk VPC, lihat Menggunakan DNS dengan VPC Anda di Panduan Pengguna Amazon VPC.

  • Anda hanya dapat menentukan hingga 16 subnet dan 5 grup keamanan untukawsVpcConfiguration. Untuk informasi selengkapnya, lihat AwsVpcConfigurationdi Referensi API Amazon Elastic Container Service.

  • Anda tidak dapat secara manual melepaskan atau memodifikasi ENIs yang dibuat dan dilampirkan oleh Fargate. Ini untuk mencegah penghapusan ENI yang tidak disengaja yang terkait dengan tugas yang sedang berjalan. Untuk melepaskan tugas, hentikan tugas. ENIs

  • Jika subnet VPC diperbarui untuk mengubah set opsi DHCP yang digunakannya, Anda juga tidak dapat menerapkan perubahan ini ke tugas yang ada yang menggunakan VPC. Mulai tugas baru, yang akan menerima pengaturan baru untuk bermigrasi dengan lancar saat menguji perubahan baru dan kemudian menghentikan yang lama, jika tidak diperlukan rollback.

  • Tugas yang diluncurkan di subnet dengan blok IPv6 CIDR hanya menerima IPv6 alamat saat menggunakan versi platform Fargate atau yang lebih baru untuk Linux 1.4.0 atau Windows. 1.0.0

  • Untuk tugas yang menggunakan versi platform 1.4.0 atau yang lebih baru untuk Linux atau 1.0.0 Windows, tugas ENIs mendukung bingkai jumbo. Antarmuka jaringan dikonfigurasi dengan unit transmisi maksimum (MTU), yang merupakan ukuran muatan terbesar yang muat dalam satu frame. Semakin besar MTU, semakin banyak muatan aplikasi yang termuat dalam satu frame, yang mengurangi overhead per frame dan meningkatkan efisiensi. Mendukung bingkai jumbo mengurangi overhead saat jalur jaringan antara tugas Anda dan tujuan mendukung bingkai jumbo.

  • Layanan dengan tugas yang menggunakan tipe peluncuran Fargate hanya mendukung Application Load Balancer dan Network Load Balancer. Classic Load Balancer tidak didukung. Saat Anda membuat grup target apa pun, Anda harus memilih ip sebagai jenis target, bukaninstance. Untuk informasi selengkapnya, lihat Gunakan load balancing untuk mendistribusikan lalu lintas layanan Amazon ECS.

Menggunakan VPC dalam mode tumpukan dobel

Saat menggunakan VPC dalam mode dual-stack, tugas Anda dapat berkomunikasi melalui IPv4 atau, atau IPv6 keduanya. IPv4 dan IPv6 alamat independen satu sama lain dan Anda harus mengonfigurasi perutean dan keamanan di VPC Anda secara terpisah IPv4 untuk dan. IPv6 Untuk informasi selengkapnya tentang mengonfigurasi VPC Anda untuk mode tumpukan ganda, lihat Memigrasi ke IPv6 dalam Panduan Pengguna VPC Amazon.

Jika kondisi berikut terpenuhi, tugas Amazon ECS di Fargate diberi IPv6 alamat:

  • Setelan dualStackIPv6 akun Amazon ECS Anda diaktifkan (enabled) untuk prinsipal IAM yang meluncurkan tugas Anda di Wilayah tempat Anda meluncurkan tugas. Pengaturan ini hanya dapat dimodifikasi menggunakan API atau AWS CLI. Anda memiliki opsi untuk mengaktifkan pengaturan ini untuk prinsipal IAM tertentu di akun Anda atau untuk seluruh akun Anda dengan menetapkan pengaturan default akun Anda. Untuk informasi selengkapnya, lihat Akses ECS fitur Amazon dengan pengaturan akun.

  • VPC dan subnet Anda diaktifkan untuk. IPv6 Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode tumpukan ganda, lihat Memigrasi ke dalam Panduan Pengguna VPC IPv6 Amazon.

  • Subnet Anda diaktifkan untuk alamat penetapan otomatis IPv6 . Untuk informasi selengkapnya tentang cara mengonfigurasi subnet, lihat Memodifikasi atribut IPv6 pengalamatan untuk subnet Anda di Panduan Pengguna Amazon VPC.

  • Tugas atau layanan menggunakan versi platform Fargate 1.4.0 atau yang lebih baru untuk Linux.

Jika Anda mengonfigurasi VPC Anda dengan gateway internet atau gateway internet khusus keluar, tugas Amazon ECS di Fargate yang diberi alamat dapat mengakses internet. IPv6 Gateway NAT tidak diperlukan. Untuk informasi selengkapnya, lihat gateway Internet dan gateway internet khusus eGress di Panduan Pengguna Amazon VPC.