View a markdown version of this page

Alokasikan antarmuka jaringan untuk tugas di Instans Terkelola Amazon ECS - Amazon Elastic Container Service
Pertimbangan untuk mode awsvpcMenggunakan VPC dalam mode tumpukan dobel

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Alokasikan antarmuka jaringan untuk tugas di Instans Terkelola Amazon ECS

Menggunakan mode awsvpc jaringan di Amazon ECS Managed Instances menyederhanakan jaringan kontainer karena Anda memiliki kontrol lebih besar atas bagaimana aplikasi Anda berkomunikasi satu sama lain dan layanan lain dalam VPC Anda. Mode awsvpc jaringan juga memberikan keamanan yang lebih besar untuk wadah Anda dengan memungkinkan Anda menggunakan grup keamanan dan alat pemantauan jaringan pada tingkat yang lebih terperinci dalam tugas Anda.

Secara default, setiap instans Amazon ECS Managed Instances memiliki trunk Elastic Network Interface (ENI) yang terpasang selama peluncuran sebagai ENI utama saat tipe instans mendukung trunking. Untuk informasi selengkapnya tentang jenis instans yang mendukung trunking ENI, lihat Instans yang didukung untuk meningkatkan antarmuka jaringan kontainer Amazon ECS.

catatan

Ketika jenis instance yang dipilih tidak mendukung ENI trunk, instance akan diluncurkan dengan ENI biasa.

Setiap tugas yang berjalan pada instance menerima ENI sendiri yang melekat pada trunk ENI, dengan alamat IP pribadi utama. Jika VPC Anda dikonfigurasi untuk mode dual-stack dan Anda menggunakan subnet dengan blok CIDR IPv6, ENI juga menerima alamat IPv6. Saat menggunakan subnet publik, Anda dapat menetapkan alamat IP publik secara opsional ke ENI utama Instans Terkelola Amazon ECS dengan mengaktifkan pengalamatan publik IPv4 untuk subnet. Untuk informasi selengkapnya, lihat Memodifikasi atribut pengalamatan IP subnet Anda di Panduan Pengguna Amazon VPC. Sebuah tugas hanya dapat memiliki satu ENI yang terkait dengannya pada satu waktu.

Wadah yang termasuk dalam tugas yang sama juga dapat berkomunikasi melalui localhost antarmuka. Untuk informasi selengkapnya tentang VPC dan subnet, lihat Cara kerja Amazon VPC di Panduan Pengguna Amazon VPC

Operasi berikut menggunakan ENI primer yang dilampirkan pada instance:

  • Unduhan gambar - Gambar kontainer diunduh dari Amazon ECR melalui ENI utama.

  • Secrets retrieval - Rahasia Secrets Manager dan kredensyal lainnya diambil melalui ENI utama.

  • Unggahan log - Log diunggah ke CloudWatch melalui ENI utama.

  • Unduhan file lingkungan - File lingkungan diunduh melalui ENI utama.

Lalu lintas aplikasi mengalir melalui tugas ENI.

Karena setiap tugas mendapatkan ENI sendiri, Anda dapat menggunakan fitur jaringan seperti VPC Flow Logs, yang dapat Anda gunakan untuk memantau lalu lintas ke dan dari tugas Anda. Untuk informasi selengkapnya, lihat Log Alur VPC di Panduan Pengguna Amazon VPC.

Anda juga bisa memanfaatkannya AWS PrivateLink. Anda dapat mengonfigurasi titik akhir antarmuka VPC sehingga Anda dapat mengakses Amazon ECS API melalui alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual. Untuk informasi selengkapnya, lihat Titik akhir AWS PrivateLink VPC antarmuka Amazon ECS ().

Mode awsvpc jaringan juga memungkinkan Anda memanfaatkan Amazon VPC Traffic Mirroring untuk keamanan dan pemantauan lalu lintas jaringan saat menggunakan jenis instans yang tidak memiliki ENI trunk terpasang. Untuk informasi selengkapnya, lihat Apa itu Pencerminan Lalu Lintas? di Panduan Pencerminan Lalu Lintas VPC Amazon.

Pertimbangan untuk mode awsvpc

  • Tugas memerlukan peran terkait layanan Amazon ECS untuk manajemen ENI. Peran ini dibuat secara otomatis saat Anda membuat klaster atau layanan.

  • Task ENIS dikelola oleh Amazon ECS dan tidak dapat dilepas atau dimodifikasi secara manual.

  • Menetapkan alamat IP publik ke tugas yang digunakan ENI assignPublicIp saat menjalankan tugas mandiri (RunTask) atau membuat atau memperbarui layanan (CreateService/UpdateService) tidak didukung.

  • Saat mengonfigurasi awsvpc jaringan di tingkat tugas, Anda harus menggunakan VPC yang sama dengan yang Anda tentukan sebagai bagian dari templat peluncuran penyedia kapasitas Instans Terkelola Amazon ECS. Anda dapat menggunakan subnet dan grup keamanan yang berbeda dari yang ditentukan dalam template peluncuran.

  • Untuk tugas mode awsvpc jaringan, gunakan tipe ip target saat mengonfigurasi grup target penyeimbang beban. Amazon ECS secara otomatis mengelola pendaftaran grup target untuk mode jaringan yang didukung.

Menggunakan VPC dalam mode tumpukan dobel

Saat menggunakan VPC dalam mode dual-stack, tugas Anda dapat berkomunikasi melalui IPv4, atau IPv6, atau keduanya. Alamat IPv4 dan IPv6 tidak bergantung satu sama lain. Oleh karena itu Anda harus mengonfigurasi perutean dan keamanan di VPC Anda secara terpisah untuk IPv4 dan IPv6. Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode dual-stack, lihat Migrasi ke IPv6 di Panduan Pengguna Amazon VPC.

Jika Anda mengonfigurasi VPC Anda dengan gateway internet atau gateway internet khusus keluar, Anda dapat menggunakan VPC Anda dalam mode dual-stack. Dengan melakukan ini, tugas yang diberi alamat IPv6 dapat mengakses internet melalui gateway internet atau gateway internet khusus egres. Gateway NAT bersifat opsional. Untuk informasi selengkapnya, lihat gateway Internet dan gateway Egress-only internet di Panduan Pengguna Amazon VPC.

Tugas Amazon ECS diberikan alamat IPv6 jika kondisi berikut terpenuhi: