Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Jaringan tugas Amazon ECS untuk Instans Terkelola Amazon ECS
Perilaku jaringan tugas Amazon ECS yang berjalan di Instans Terkelola Amazon ECS ditentukan oleh *mode jaringan* yang ditentukan dalam definisi tugas. Anda harus menentukan mode jaringan dalam definisi tugas. Anda tidak akan dapat menjalankan tugas di Instans Terkelola Amazon ECS menggunakan definisi tugas yang tidak menentukan mode jaringan. Instans Terkelola Amazon ECS mendukung mode jaringan berikut, memastikan kompatibilitas mundur untuk memigrasi beban kerja dari Fargate atau Amazon ECS di Amazon EC2:
| Mode jaringan | Deskripsi |
| --- | --- |
| `awsvpc` | Setiap tugas menerima elastic network interface (ENI) dan alamat IPv4 pribadi. Ini menyediakan properti jaringan yang sama dengan instans Amazon EC2 dan kompatibel dengan tugas Fargate tradisional. Menggunakan trunking ENI untuk kepadatan tugas tinggi. |
| `host` | Tugas berbagi namespace jaringan host secara langsung. Jaringan kontainer terkait dengan instance host yang mendasarinya. |
## Menggunakan VPC dalam IPv6 mode -only
Dalam konfigurasi IPv6 -only, tugas Amazon ECS Anda berkomunikasi secara eksklusif. IPv6 Untuk mengatur VPCs dan subnet untuk konfigurasi IPv6 -only, Anda harus menambahkan blok IPv6 CIDR ke VPC dan membuat subnet yang hanya menyertakan blok CIDR. IPv6 Untuk informasi selengkapnya, lihat [ IPv6 Menambahkan dukungan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html) dan [Membuat subnet di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) Pengguna Amazon *VPC*. Anda juga harus memperbarui tabel rute dengan IPv6 target dan mengonfigurasi grup keamanan dengan IPv6 aturan. Untuk informasi selengkapnya, lihat [Mengonfigurasi tabel rute](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) dan [Mengonfigurasi aturan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) di *Panduan Pengguna Amazon VPC*.
Pertimbangan berikut berlaku untuk instans Mac:
+ Anda dapat memperbarui layanan Amazon ECS IPv4 -only atau dualstack ke IPv6 konfigurasi -only dengan memperbarui layanan secara langsung untuk IPv6 menggunakan subnet -only atau dengan membuat layanan IPv6 paralel -only dan menggunakan penerapan biru-hijau Amazon ECS untuk mengalihkan lalu lintas ke layanan baru. Untuk informasi selengkapnya tentang penerapan biru-hijau Amazon ECS, lihat. [Penerapan Amazon ECS blue/green](deployment-type-blue-green.md)
+ Layanan Amazon ECS IPv6 khusus harus menggunakan penyeimbang beban dualstack dengan grup target. IPv6 Jika Anda memigrasikan layanan Amazon ECS yang ada di belakang Application Load Balancer atau Network Load Balancer, Anda dapat membuat penyeimbang beban dualstack baru dan mengalihkan lalu lintas dari penyeimbang beban lama, atau memperbarui jenis alamat IP penyeimbang beban yang ada.
Untuk informasi selengkapnya tentang Network Load Balancer, lihat [Membuat Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html) Balancer [dan Memperbarui jenis alamat IP untuk Network Load Balancer Anda di *Panduan Pengguna* untuk Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-ip-address-type.html) Balancer. Untuk informasi selengkapnya tentang Application Load Balancer, lihat [Membuat Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) Balancer [dan Memperbarui jenis alamat IP untuk Application Load Balancer Anda di *Panduan Pengguna* untuk Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-address-type.html) Balancers.
+ Untuk tugas Amazon ECS dalam konfigurasi IPv6 -only untuk berkomunikasi dengan titik akhir IPv4 -only, Anda dapat mengatur DNS64 dan NAT64 untuk terjemahan alamat jaringan dari ke. IPv6 IPv4 Untuk informasi selengkapnya, lihat [DNS64 dan NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-nat64-dns64.html) di *Panduan Pengguna Amazon VPC*.
+ Beban kerja Amazon ECS dalam konfigurasi IPv6 -only harus menggunakan titik akhir URI image dualstack Amazon ECR saat menarik gambar dari Amazon ECR. Untuk informasi selengkapnya, lihat [Memulai dengan membuat permintaan IPv6 di](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) *Panduan Pengguna Amazon Elastic Container Registry*.
**catatan**
Amazon ECR tidak mendukung titik akhir VPC antarmuka dualstack yang dapat digunakan tugas dalam konfigurasi -only. IPv6 Untuk informasi selengkapnya, lihat [Memulai dengan membuat permintaan IPv6 di](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) *Panduan Pengguna Amazon Elastic Container Registry*.
+ Amazon ECS Exec tidak didukung dalam konfigurasi IPv6 -only.
# Alokasikan antarmuka jaringan untuk tugas di Instans Terkelola Amazon ECS
Menggunakan mode `awsvpc` jaringan di Amazon ECS Managed Instances menyederhanakan jaringan kontainer karena Anda memiliki kontrol lebih besar atas bagaimana aplikasi Anda berkomunikasi satu sama lain dan layanan lain di dalam Anda. VPCs Mode `awsvpc` jaringan juga memberikan keamanan yang lebih besar untuk wadah Anda dengan memungkinkan Anda menggunakan grup keamanan dan alat pemantauan jaringan pada tingkat yang lebih terperinci dalam tugas Anda.
Secara default, setiap instans Amazon ECS Managed Instances memiliki trunk Elastic Network Interface (ENI) yang terpasang selama peluncuran sebagai ENI utama saat tipe instans mendukung trunking. Untuk informasi selengkapnya tentang jenis instans yang mendukung trunking ENI, lihat [Instans yang didukung untuk meningkatkan antarmuka jaringan kontainer Amazon ECS.](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/eni-trunking-supported-instance-types.html)
**catatan**
Ketika jenis instance yang dipilih tidak mendukung trunk ENIs, instance akan diluncurkan dengan ENI biasa.
Setiap tugas yang berjalan pada instance menerima ENI sendiri yang melekat pada trunk ENI, dengan alamat IP pribadi utama. Jika VPC Anda dikonfigurasi untuk mode dual-stack dan Anda menggunakan subnet dengan blok IPv6 CIDR, ENI juga menerima alamat. IPv6 Saat menggunakan subnet publik, Anda dapat menetapkan alamat IP publik secara opsional ke ENI utama Instans Terkelola Amazon ECS dengan mengaktifkan pengalamatan IPv4 publik untuk subnet. Untuk informasi selengkapnya, lihat [Memodifikasi atribut pengalamatan IP subnet Anda di Panduan](https://docs.aws.amazon.com//vpc/latest/userguide/subnet-public-ip.html) Pengguna Amazon *VPC*. Sebuah tugas hanya dapat memiliki satu ENI yang terkait dengannya pada suatu waktu.
Wadah yang termasuk dalam tugas yang sama juga dapat berkomunikasi melalui `localhost` antarmuka. Untuk informasi selengkapnya tentang VPCs dan subnet, lihat [Cara kerja Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) di Panduan Pengguna *Amazon VPC*
Operasi berikut menggunakan ENI primer yang dilampirkan pada instance:
+ **Unduhan gambar** - Gambar kontainer diunduh dari Amazon ECR melalui ENI utama.
+ **Secrets retrieval** - Rahasia Secrets Manager dan kredensyal lainnya diambil melalui ENI utama.
+ **Unggahan log** - Log diunggah ke CloudWatch melalui ENI utama.
+ **Unduhan file lingkungan** - File lingkungan diunduh melalui ENI utama.
Lalu lintas aplikasi mengalir melalui tugas ENI.
Karena setiap tugas mendapatkan ENI sendiri, Anda dapat menggunakan fitur jaringan seperti VPC Flow Logs, yang dapat Anda gunakan untuk memantau lalu lintas ke dan dari tugas Anda. Untuk informasi selengkapnya, lihat [Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) di *Panduan Pengguna Amazon VPC*.
Anda juga bisa memanfaatkannya AWS PrivateLink. Anda dapat mengonfigurasi titik akhir antarmuka VPC sehingga Anda dapat mengakses Amazon ECS APIs melalui alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual. Untuk informasi selengkapnya, lihat [Titik akhir AWS PrivateLink VPC antarmuka Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) ().
Mode `awsvpc` jaringan juga memungkinkan Anda memanfaatkan Amazon VPC Traffic Mirroring untuk keamanan dan pemantauan lalu lintas jaringan saat menggunakan jenis instans yang tidak memiliki bagasi terpasang. ENIs Untuk informasi selengkapnya, lihat [Apa itu Pencerminan Lalu Lintas](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)? di Panduan *Pencerminan Lalu Lintas VPC Amazon*.
## Pertimbangan untuk mode `awsvpc`
+ Tugas memerlukan peran terkait layanan Amazon ECS untuk manajemen ENI. Peran ini dibuat secara otomatis saat Anda membuat klaster atau layanan.
+ Tugas ENIs dikelola oleh Amazon ECS dan tidak dapat dilepas atau dimodifikasi secara manual.
+ Menetapkan alamat IP publik ke tugas yang digunakan ENI `assignPublicIp` saat menjalankan tugas mandiri (`RunTask`) atau membuat atau memperbarui layanan (`CreateService`/`UpdateService`) tidak didukung.
+ Saat mengonfigurasi `awsvpc` jaringan di tingkat tugas, Anda harus menggunakan VPC yang sama dengan yang Anda tentukan sebagai bagian dari templat peluncuran penyedia kapasitas Instans Terkelola Amazon ECS. Anda dapat menggunakan subnet dan grup keamanan yang berbeda dari yang ditentukan dalam template peluncuran.
+ Untuk tugas mode `awsvpc` jaringan, gunakan tipe `ip` target saat mengonfigurasi grup target penyeimbang beban. Amazon ECS secara otomatis mengelola pendaftaran grup target untuk mode jaringan yang didukung.
## Menggunakan VPC dalam mode tumpukan dobel
Saat menggunakan VPC dalam mode dual-stack, tugas Anda dapat berkomunikasi melalui, atau IPv4, atau IPv6 keduanya. IPv4 dan IPv6 alamat independen satu sama lain. Oleh karena itu Anda harus mengonfigurasi perutean dan keamanan di VPC Anda secara terpisah IPv4 untuk dan. IPv6 *Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode tumpukan ganda, lihat [Memigrasi ke dalam](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) Panduan Pengguna VPC IPv6 Amazon.*
Jika Anda mengonfigurasi VPC Anda dengan gateway internet atau gateway internet khusus keluar, Anda dapat menggunakan VPC Anda dalam mode dual-stack. Dengan melakukan ini, tugas-tugas yang diberi IPv6 alamat dapat mengakses internet melalui gateway internet atau gateway internet khusus egress-. Gateway NAT bersifat opsional. *Untuk informasi selengkapnya, lihat [gateway Internet dan gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) internet khusus [eGress di Panduan Pengguna Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html) VPC.*
Tugas Amazon ECS diberikan IPv6 alamat jika kondisi berikut terpenuhi:
+ Instans Instans Terkelola Amazon ECS yang menghosting tugas menggunakan versi `1.45.0` atau yang lebih baru dari agen penampung. Untuk informasi tentang cara memeriksa versi agen yang digunakan instans Anda, dan memperbaruinya jika diperlukan, lihat[Memperbarui agen kontainer Amazon ECS](ecs-agent-update.md).
+ Pengaturan akun `dualStackIPv6` diaktifkan. Untuk informasi selengkapnya, lihat [Akses fitur Amazon ECS dengan pengaturan akun](ecs-account-settings.md).
+ Tugas Anda adalah menggunakan mode jaringan `awsvpc`.
+ VPC dan subnet Anda dikonfigurasi untuk. IPv6 Konfigurasi mencakup antarmuka jaringan yang dibuat di subnet yang ditentukan. *Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode dual-stack, lihat [Memigrasi ke IPv6 dan Memodifikasi atribut IPv6 pengalamatan untuk](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) [subnet Anda di](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-ipv6) Panduan Pengguna Amazon VPC.*
# Mode jaringan host
Dalam `host` mode, tugas berbagi namespace jaringan host secara langsung. Konfigurasi jaringan container terkait dengan instans host Instans Terkelola Amazon ECS yang mendasari yang Anda tentukan menggunakan `networkConfiguration` parameter saat membuat penyedia kapasitas Instans Terkelola Amazon ECS. ``
Ada kelemahan signifikan untuk menggunakan mode jaringan ini. Anda tidak dapat menjalankan lebih dari satu instantiasi tugas pada setiap host. Ini karena hanya tugas pertama yang dapat mengikat ke port yang diperlukan pada instans Amazon EC2. Juga tidak ada cara untuk memetakan ulang port kontainer saat menggunakan mode `host` jaringan. Misalnya, jika aplikasi perlu mendengarkan nomor port tertentu, Anda tidak dapat memetakan ulang nomor port secara langsung. Sebagai gantinya, Anda harus mengelola konflik port apa pun dengan mengubah konfigurasi aplikasi.
Ada juga implikasi keamanan saat menggunakan mode `host` jaringan. Mode ini memungkinkan kontainer untuk meniru host, dan memungkinkan kontainer untuk terhubung ke layanan jaringan loopback pribadi pada host.
Gunakan mode host hanya ketika Anda memerlukan akses langsung ke jaringan host atau saat memigrasi aplikasi yang memerlukan akses jaringan tingkat host.