Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Opsi Jaringan Tugas Amazon ECS untuk EC2
Perilaku jaringan tugas Amazon ECS yang di-host di instans Amazon EC2 bergantung pada mode *jaringan yang* ditentukan dalam definisi tugas. Kami menyarankan Anda menggunakan mode `awsvpc` jaringan kecuali Anda memiliki kebutuhan khusus untuk menggunakan mode jaringan yang berbeda.
Berikut ini adalah mode jaringan yang tersedia.
| Mode jaringan | Wadah Linux di EC2 | Wadah Windows di EC2 | Deskripsi |
| --- | --- | --- | --- |
| `awsvpc` | Ya | Ya | Tugas ini dialokasikan elastic network interface (ENI) sendiri dan alamat IPv4 atau IPv6 pribadi utama. Ini memberi tugas properti jaringan yang sama dengan instans Amazon EC2. |
| `bridge` | Ya | Tidak | Tugas ini menggunakan jaringan virtual bawaan Docker di Linux, yang berjalan di dalam setiap instans Amazon EC2 yang menghosting tugas tersebut. Jaringan virtual bawaan di Linux menggunakan driver jaringan `bridge` Docker. Ini adalah mode jaringan default di Linux jika mode jaringan tidak ditentukan dalam definisi tugas. |
| `host` | Ya | Tidak | Tugas menggunakan jaringan host yang melewati jaringan virtual bawaan Docker dengan memetakan port kontainer langsung ke ENI dari instans Amazon EC2 yang menjadi tuan rumah tugas. Pemetaan port dinamis tidak dapat digunakan dalam mode jaringan ini. Wadah dalam definisi tugas yang menggunakan mode ini harus menentukan `hostPort` nomor tertentu. Nomor port pada host tidak dapat digunakan oleh banyak tugas. Akibatnya, Anda tidak dapat menjalankan beberapa tugas dengan definisi tugas yang sama pada satu instans Amazon EC2. |
| `none` | Ya | Tidak | Tugas tidak memiliki konektivitas jaringan eksternal. |
| `default` | Tidak | Ya | Tugas ini menggunakan jaringan virtual bawaan Docker di Windows, yang berjalan di dalam setiap instans Amazon EC2 yang menghosting tugas tersebut. Jaringan virtual bawaan pada Windows menggunakan driver jaringan `nat` Docker. Ini adalah mode jaringan default di Windows jika mode jaringan tidak ditentukan dalam definisi tugas. |
Untuk informasi selengkapnya tentang Docker jaringan di Linux, lihat [Ikhtisar jaringan](https://docs.docker.com/engine/network/) di *DockerDokumentasi*.
Untuk informasi selengkapnya tentang Docker jaringan di Windows, lihat [Jaringan kontainer Windows](https://learn.microsoft.com/en-us/virtualization/windowscontainers/container-networking/architecture) di Microsoft *Container di Dokumentasi Windows*.
## Menggunakan VPC dalam IPv6 mode -only
Dalam konfigurasi IPv6 -only, tugas Amazon ECS Anda berkomunikasi secara eksklusif. IPv6 Untuk mengatur VPCs dan subnet untuk konfigurasi IPv6 -only, Anda harus menambahkan blok IPv6 CIDR ke VPC dan membuat subnet baru yang hanya menyertakan blok CIDR. IPv6 Untuk informasi selengkapnya, lihat [ IPv6 Menambahkan dukungan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html) dan [Membuat subnet di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) Pengguna Amazon *VPC*.
Anda juga harus memperbarui tabel rute dengan IPv6 target dan mengonfigurasi grup keamanan dengan IPv6 aturan. Untuk informasi selengkapnya, lihat [Mengonfigurasi tabel rute](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) dan [Mengonfigurasi aturan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) di *Panduan Pengguna Amazon VPC*.
Pertimbangan berikut berlaku untuk instans Mac:
+ Anda dapat memperbarui layanan Amazon ECS IPv4 -only atau dualstack ke IPv6 konfigurasi -only dengan memperbarui layanan secara langsung untuk IPv6 menggunakan subnet -only atau dengan membuat layanan IPv6 paralel -only dan menggunakan penerapan biru-hijau Amazon ECS untuk mengalihkan lalu lintas ke layanan baru. Untuk informasi selengkapnya tentang penerapan biru-hijau Amazon ECS, lihat. [Penerapan Amazon ECS blue/green](deployment-type-blue-green.md)
+ Layanan Amazon ECS IPv6 khusus harus menggunakan penyeimbang beban dualstack dengan grup target. IPv6 Jika Anda memigrasikan layanan Amazon ECS yang ada di belakang Application Load Balancer atau Network Load Balancer, Anda dapat membuat penyeimbang beban dualstack baru dan mengalihkan lalu lintas dari penyeimbang beban lama, atau memperbarui jenis alamat IP penyeimbang beban yang ada.
Untuk informasi selengkapnya tentang Network Load Balancer, lihat [Membuat Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html) Balancer [dan Memperbarui jenis alamat IP untuk Network Load Balancer Anda di *Panduan Pengguna* untuk Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-ip-address-type.html) Balancer. Untuk informasi selengkapnya tentang Application Load Balancer, lihat [Membuat Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) Balancer [dan Memperbarui jenis alamat IP untuk Application Load Balancer Anda di *Panduan Pengguna* untuk Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-address-type.html) Balancers.
+ IPv6-hanya konfigurasi tidak didukung padaWindows. Anda harus menggunakan Linux Amazon ECS yang dioptimalkan AMIs untuk menjalankan tugas dalam konfigurasi IPv6 -only. Untuk informasi selengkapnya tentang Linux yang dioptimalkan Amazon ECS AMIs, lihat. [Linux Amazon ECS yang dioptimalkan AMIs](ecs-optimized_AMI.md)
+ Saat Anda meluncurkan instance container untuk menjalankan tugas dalam konfigurasi IPv6 -only, Anda harus menetapkan IPv6 alamat utama untuk instance dengan menggunakan parameter `--enable-primary-ipv6` EC2.
**catatan**
Tanpa IPv6 alamat utama, tugas yang berjalan pada instance kontainer dalam mode jaringan host atau jembatan akan gagal didaftarkan dengan penyeimbang beban atau dengan. AWS Cloud Map
*Untuk informasi selengkapnya tentang `--enable-primary-ipv6` untuk menjalankan instans Amazon EC2, lihat [run-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) di Referensi Perintah.AWS CLI *
Untuk informasi selengkapnya tentang meluncurkan instance kontainer menggunakan Konsol Manajemen AWS, lihat[Meluncurkan instans penampung Amazon ECS Linux](launch_container_instance.md).
+ Secara default, agen penampung Amazon ECS akan mencoba mendeteksi kompatibilitas instans kontainer untuk konfigurasi IPv6 -only dengan melihat default IPv4 dan IPv6 rute instance. Untuk mengganti perilaku ini, Anda dapat mengatur ` ECS_INSTANCE_IP_COMPATIBILITY` parameter ke `ipv4` atau `ipv6` dalam `/etc/ecs/ecs.config` file instance.
+ Tugas harus menggunakan versi `1.99.1` atau yang lebih baru dari agen kontainer. Untuk informasi tentang cara memeriksa versi agen yang digunakan instans Anda dan memperbaruinya jika diperlukan, lihat[Memperbarui agen kontainer Amazon ECS](ecs-agent-update.md).
+ Untuk tugas Amazon ECS dalam konfigurasi IPv6 -only untuk berkomunikasi dengan titik akhir IPv4 -only, Anda dapat mengatur DNS64 dan NAT64 untuk terjemahan alamat jaringan dari ke. IPv6 IPv4 Untuk informasi selengkapnya, lihat [DNS64 dan NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-nat64-dns64.html) di *Panduan Pengguna Amazon VPC*.
+ Beban kerja Amazon ECS dalam konfigurasi IPv6 -only harus menggunakan titik akhir URI image dualstack Amazon ECR saat menarik gambar dari Amazon ECR. Untuk informasi selengkapnya, lihat [Memulai dengan membuat permintaan IPv6 di](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) *Panduan Pengguna Amazon Elastic Container Registry*.
**catatan**
Amazon ECR tidak mendukung titik akhir VPC antarmuka dualstack yang dapat digunakan tugas dalam konfigurasi -only. IPv6 Untuk informasi selengkapnya, lihat [Memulai dengan membuat permintaan IPv6 di](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) *Panduan Pengguna Amazon Elastic Container Registry*.
+ Amazon ECS Exec tidak didukung dalam konfigurasi IPv6 -only.
### Wilayah AWS yang mendukung mode IPv6 -only untuk Amazon ECS
Anda dapat menjalankan tugas dalam konfigurasi IPv6 -only di AWS wilayah berikut yang tersedia di Amazon ECS:
+ AS Timur (Ohio)
+ AS Timur (Virginia Utara)
+ AS Barat (California Utara)
+ AS Barat (Oregon)
+ Afrika (Cape Town)
+ Asia Pasifik (Hong Kong)
+ Asia Pasifik (Hyderabad)
+ Asia Pasifik (Jakarta)
+ Asia Pasifik (Melbourne)
+ Asia Pasifik (Mumbai)
+ Asia Pasifik (Osaka)
+ Asia Pasifik (Seoul)
+ Asia Pasifik (Singapura)
+ Asia Pasifik (Sydney)
+ Asia Pasifik (Tokyo)
+ (Canada (Central)
+ Kanada Barat (Calgary)
+ China (Beijing)
+ Tiongkok (Ningxia)
+ Eropa (Frankfurt)
+ Eropa (London)
+ Eropa (Milan)
+ Eropa (Paris)
+ Eropa (Spanyol)
+ Israel (Tel Aviv)
+ Timur Tengah (Bahrain)
+ Timur Tengah (UEA)
+ Amerika Selatan (Sao Paulo)
+ AWS GovCloud (AS-Timur)
+ AWS GovCloud (AS-Barat)
# Alokasikan antarmuka jaringan untuk tugas Amazon ECS
Fitur jaringan tugas yang disediakan oleh mode `awsvpc` jaringan memberikan tugas Amazon ECS properti jaringan yang sama dengan instans Amazon EC2. Menggunakan mode `awsvpc` jaringan menyederhanakan jaringan kontainer, karena Anda memiliki kontrol lebih besar atas bagaimana aplikasi Anda berkomunikasi satu sama lain dan layanan lain di dalam Anda VPCs. Mode `awsvpc` jaringan juga memberikan keamanan yang lebih besar untuk wadah Anda dengan memungkinkan Anda menggunakan grup keamanan dan alat pemantauan jaringan pada tingkat yang lebih terperinci dalam tugas Anda. Anda juga dapat menggunakan fitur jaringan Amazon EC2 lainnya seperti VPC Flow Logs untuk memantau lalu lintas ke dan dari tugas Anda. Selain itu, kontainer yang memiliki tugas yang sama dapat berkomunikasi melalui antarmuka `localhost`.
Task elastic network interface (ENI) adalah fitur Amazon ECS yang dikelola sepenuhnya. Amazon ECS membuat ENI dan menempelkannya ke instans Amazon EC2 host dengan grup keamanan yang ditentukan. Tugas mengirim dan menerima lalu lintas jaringan melalui ENI dengan cara yang sama seperti instans Amazon EC2 lakukan dengan antarmuka jaringan utama mereka. Setiap tugas ENI diberi IPv4 alamat pribadi secara default. Jika VPC Anda diaktifkan untuk mode dual-stack dan Anda menggunakan subnet dengan blok IPv6 CIDR, tugas ENI juga akan menerima alamat. IPv6 Setiap tugas hanya dapat memiliki satu ENI.
ENI ini terlihat di konsol Amazon EC2 untuk akun Anda. Akun Anda tidak dapat melepaskan atau memodifikasi. ENIs Hal ini untuk mencegah penghapusan ENI disengaja yang berkaitan dengan tugas yang sedang berjalan. Anda dapat melihat informasi lampiran ENI untuk tugas di konsol Amazon ECS atau dengan operasi [DescribeTasks](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html)API. Ketika tugas berhenti atau jika layanan menurunkan skala, tugas ENI terlepas dan dihapus.
Saat Anda membutuhkan peningkatan kepadatan ENI, gunakan pengaturan `awsvpcTrunking` akun. Amazon ECS juga membuat dan melampirkan antarmuka jaringan “trunk” untuk instance container Anda. Jaringan trunk sepenuhnya dikelola oleh Amazon ECS. Trunk ENI akan dihapus saat Anda menghentikan atau membatalkan pendaftaran instance container Anda dari klaster Amazon ECS. Untuk informasi selengkapnya tentang pengaturan `awsvpcTrunking` akun, lihat[Prasyarat](container-instance-eni.md#eni-trunking-launching).
Anda menentukan `awsvpc` dalam `networkMode` parameter definisi tugas. Untuk informasi selengkapnya, lihat [Mode jaringan](task_definition_parameters.md#network_mode).
Kemudian, ketika Anda menjalankan tugas atau membuat layanan, gunakan `networkConfiguration` parameter yang menyertakan satu atau beberapa subnet untuk menempatkan tugas Anda dan satu atau lebih grup keamanan untuk dilampirkan ke ENI. Untuk informasi selengkapnya, lihat [Konfigurasi jaringan](service_definition_parameters.md#sd-networkconfiguration). Tugas ditempatkan pada instans Amazon EC2 yang kompatibel di Availability Zone yang sama dengan subnet tersebut, dan grup keamanan yang ditentukan dikaitkan dengan ENI yang disediakan untuk tugas tersebut.
## Pertimbangan Linux
Pertimbangkan hal berikut saat menggunakan sistem operasi Linux.
+ Jika Anda menggunakan instance p5.48xlarge dalam `awsvpc` mode, Anda tidak dapat menjalankan lebih dari 1 tugas pada instance tersebut.
+ Tugas dan layanan yang menggunakan mode `awsvpc` jaringan memerlukan peran terkait layanan Amazon ECS untuk memberi Amazon ECS izin untuk melakukan panggilan ke layanan lain AWS atas nama Anda. Peran ini dibuat untuk Anda secara otomatis saat membuat klaster atau jika Anda membuat atau memperbarui layanan, di Konsol Manajemen AWS. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon ECS](using-service-linked-roles.md). Anda juga dapat membuat peran terkait layanan dengan perintah berikut: AWS CLI
```
aws iam [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) --aws-service-name ecs.amazonaws.com
```
+ Instans Amazon EC2 Linux Anda memerlukan versi `1.15.0` atau yang lebih baru dari agen penampung untuk menjalankan tugas yang menggunakan mode `awsvpc` jaringan. Jika Anda menggunakan AMI Amazon ECS yang dioptimalkan, instans Anda memerlukan setidaknya `1.15.0-4` versi `ecs-init` paket juga.
+ Amazon ECS mengisi nama host tugas dengan nama host DNS (internal) yang disediakan Amazon saat opsi dan `enableDnsHostnames` opsi `enableDnsSupport` diaktifkan di VPC Anda. Jika opsi ini tidak diaktifkan, nama host DNS tugas disetel ke nama host acak. *Untuk informasi selengkapnya tentang pengaturan DNS untuk VPC, [lihat Menggunakan DNS dengan VPC Anda di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html).*
+ Setiap tugas Amazon ECS yang menggunakan mode `awsvpc` jaringan menerima elastic network interface (ENI) sendiri, yang dilampirkan ke instans Amazon EC2 yang menghostingnya. Ada kuota default untuk jumlah antarmuka jaringan yang dapat dilampirkan ke instans Amazon EC2 Linux. Antarmuka jaringan utama dihitung sebagai satu terhadap kuota itu. Misalnya, secara default, sebuah `c5.large` instance mungkin hanya memiliki hingga tiga ENIs yang dapat dilampirkan padanya. Antarmuka jaringan utama untuk instance dihitung sebagai satu. Anda dapat melampirkan dua tambahan ENIs ke instance. Karena setiap tugas yang menggunakan mode `awsvpc` jaringan memerlukan ENI, Anda biasanya hanya dapat menjalankan dua tugas tersebut pada jenis instance ini. Untuk informasi selengkapnya tentang batas ENI default untuk setiap jenis instans, lihat [alamat IP per antarmuka jaringan per jenis instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI) di *Panduan Pengguna Amazon EC2*.
+ Amazon ECS mendukung peluncuran instans Amazon EC2 Linux yang menggunakan tipe instans yang didukung dengan peningkatan kepadatan ENI. Saat Anda memilih setelan `awsvpcTrunking` akun dan mendaftarkan instans Amazon EC2 Linux yang menggunakan jenis instans ini ke klaster Anda, instans ini memiliki kuota ENI yang lebih tinggi. Menggunakan instans ini dengan kuota yang lebih tinggi ini berarti Anda dapat menempatkan lebih banyak tugas di setiap instans Amazon EC2 Linux. Untuk menggunakan peningkatan kepadatan ENI dengan fitur trunking, instans Amazon EC2 Anda harus menggunakan agen penampung `1.28.1` versi atau yang lebih baru. Jika Anda menggunakan AMI Amazon ECS yang dioptimalkan, instans Anda juga memerlukan setidaknya `1.28.1-2` versi paket. `ecs-init` Untuk informasi lebih lanjut tentang penyertaan pada pengaturan akun `awsvpcTrunking`, lihat [Akses fitur Amazon ECS dengan pengaturan akun](ecs-account-settings.md). Untuk informasi lebih lanjut tentang trunking ENI, lihat. [Meningkatkan antarmuka jaringan instans kontainer Amazon ECS Linux](container-instance-eni.md)
+ Saat menghosting tugas yang menggunakan mode `awsvpc` jaringan di instans Amazon EC2 Linux, tugas Anda ENIs tidak diberikan alamat IP publik. Untuk mengakses internet, tugas harus diluncurkan di subnet pribadi yang dikonfigurasi untuk menggunakan gateway NAT. Untuk informasi lebih lanjut, lihat [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) dalam *Panduan Pengguna Amazon VPC*. Akses jaringan masuk harus dari dalam VPC yang menggunakan alamat IP pribadi atau dirutekan melalui penyeimbang beban dari dalam VPC. Tugas yang diluncurkan dalam subnet publik tidak memiliki akses ke internet.
+ Amazon ECS hanya mengenali ENI yang dilampirkan ke instans Amazon EC2 Linux Anda. Jika Anda ENIs melampirkan instans secara manual, Amazon ECS mungkin mencoba menambahkan tugas ke instans yang tidak memiliki cukup adaptor jaringan. Hal ini dapat mengakibatkan waktu tugas habis dan pindah ke status deprovisioning dan kemudian status berhenti. Kami menyarankan Anda untuk tidak ENIs melampirkan instans Anda secara manual.
+ Instans Amazon EC2 Linux harus terdaftar dengan `ecs.capability.task-eni` kemampuan yang harus dipertimbangkan untuk penempatan tugas dengan mode jaringan. `awsvpc` Instans yang menjalankan versi `1.15.0-4` atau yang lebih baru `ecs-init` terdaftar dengan atribut ini secara otomatis.
+ ENI yang dibuat dan dilampirkan ke instans Amazon EC2 Linux Anda tidak dapat dilepaskan secara manual atau dimodifikasi oleh akun Anda. Hal ini untuk mencegah menghapus ENI disengaja yang berhubungan dengan tugas yang sedang berjalan. Untuk melepaskan tugas, hentikan tugas. ENIs
+ Ada batas 16 subnet dan 5 grup keamanan yang dapat ditentukan dalam `awsVpcConfiguration` saat menjalankan tugas atau membuat layanan yang menggunakan mode jaringan `awsvpc`. Untuk informasi selengkapnya, lihat [AwsVpcConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_AwsVpcConfiguration.html)di *Referensi API Amazon Elastic Container Service*.
+ Saat tugas dimulai dengan mode `awsvpc` jaringan, agen penampung Amazon ECS membuat `pause` wadah tambahan untuk setiap tugas sebelum memulai kontainer dalam definisi tugas. Kemudian mengkonfigurasi namespace jaringan `pause` wadah dengan menjalankan plugin CNI. [amazon-ecs-cni-plugins ](https://github.com/aws/amazon-ecs-cni-plugins) Agen kemudian memulai sisa kontainer dalam tugas sehingga mereka berbagi tumpukan jaringan kontainer `pause`. Ini berarti bahwa semua kontainer dalam tugas yang dialamatkan oleh alamat IP dari ENI, dan mereka dapat berkomunikasi satu sama lain melalui antarmuka `localhost`.
+ Layanan dengan tugas yang menggunakan mode `awsvpc` jaringan hanya mendukung Application Load Balancer dan Network Load Balancer. Saat Anda membuat grup target apa pun untuk layanan ini, Anda harus memilih `ip` sebagai jenis target. Jangan gunakan `instance`. Ini karena tugas yang menggunakan mode `awsvpc` jaringan dikaitkan dengan ENI, bukan dengan instans Amazon EC2 Linux. Untuk informasi selengkapnya, lihat [Menggunakan penyeimbangan beban untuk mendistribusikan lalu lintas layanan Amazon ECS](service-load-balancing.md).
+ Jika VPC Anda diperbarui untuk mengubah set opsi DHCP yang digunakannya, Anda tidak dapat menerapkan perubahan ini ke tugas yang ada. Mulai tugas baru dengan perubahan ini diterapkan padanya, verifikasi bahwa mereka berfungsi dengan benar, dan kemudian hentikan tugas yang ada untuk mengubah konfigurasi jaringan ini dengan aman.
## Pertimbangan Windows
Berikut ini adalah pertimbangan ketika Anda menggunakan sistem operasi Windows:
+ Instans kontainer menggunakan Amazon ECS yang dioptimalkan Windows Server 2016 AMI tidak dapat meng-host tugas yang menggunakan mode `awsvpc` jaringan. Jika Anda memiliki klaster yang berisi Amazon ECS yang dioptimalkan Windows Server 2016 AMIs dan Windows AMIs yang mendukung mode `awsvpc` jaringan, tugas yang menggunakan mode `awsvpc` jaringan tidak diluncurkan pada instance Windows 2016 Server. Sebaliknya, mereka diluncurkan pada instance yang mendukung mode `awsvpc` jaringan.
+ Instans Windows Amazon EC2 Anda memerlukan versi `1.57.1` atau yang lebih baru dari agen penampung untuk menggunakan CloudWatch metrik untuk wadah Windows yang menggunakan mode jaringan. `awsvpc`
+ Tugas dan layanan yang menggunakan mode `awsvpc` jaringan memerlukan peran terkait layanan Amazon ECS untuk memberi Amazon ECS izin untuk melakukan panggilan ke layanan lain AWS atas nama Anda. Peran ini dibuat untuk Anda secara otomatis ketika Anda membuat klaster, atau jika Anda membuat atau memperbarui layanan di Konsol Manajemen AWS. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon ECS](using-service-linked-roles.md). Anda juga dapat membuat peran terkait layanan dengan perintah berikut AWS CLI .
```
aws iam [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) --aws-service-name ecs.amazonaws.com
```
+ Instans Windows Amazon EC2 Anda memerlukan versi `1.54.0` atau yang lebih baru dari agen penampung untuk menjalankan tugas yang menggunakan mode `awsvpc` jaringan. Saat Anda mem-bootstrap instance, Anda harus mengonfigurasi opsi yang diperlukan untuk mode `awsvpc` jaringan. Untuk informasi selengkapnya, lihat [Bootstrapping instans penampung Amazon ECS Windows untuk meneruskan data](bootstrap_windows_container_instance.md).
+ Amazon ECS mengisi nama host tugas dengan nama host DNS (internal) yang disediakan Amazon saat `enableDnsSupport` opsi `enableDnsHostnames` dan opsi diaktifkan di VPC Anda. Jika opsi ini tidak diaktifkan, nama host DNS tugas adalah nama host acak. *Untuk informasi selengkapnya tentang pengaturan DNS untuk VPC, [lihat Menggunakan DNS dengan VPC Anda di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html).*
+ Setiap tugas Amazon ECS yang menggunakan mode `awsvpc` jaringan menerima elastic network interface (ENI) sendiri, yang dilampirkan ke instans Amazon EC2 Windows yang menghostingnya. Ada kuota default untuk jumlah antarmuka jaringan yang dapat dilampirkan ke instans Windows Amazon EC2. Antarmuka jaringan utama dihitung sebagai satu terhadap kuota ini. Misalnya, secara default sebuah `c5.large` instance mungkin hanya memiliki hingga tiga yang ENIs melekat padanya. Antarmuka jaringan utama untuk instance dihitung sebagai salah satunya. Anda dapat melampirkan dua tambahan ENIs ke instance. Karena setiap tugas menggunakan mode jaringan `awsvpc` memerlukan ENI, Anda biasanya hanya dapat menjalankan dua tugas tersebut pada Tipe instans ini. Untuk informasi selengkapnya tentang batas ENI default untuk setiap jenis instans, lihat [alamat IP per antarmuka jaringan per jenis instans](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-eni.html#AvailableIpPerENI) di *Panduan Pengguna Amazon EC2*.
+ Saat menghosting tugas yang menggunakan mode `awsvpc` jaringan di instans Amazon EC2 Windows, tugas Anda ENIs tidak diberikan alamat IP publik. Untuk mengakses internet, luncurkan tugas di subnet pribadi yang dikonfigurasi untuk menggunakan gateway NAT. Untuk informasi lebih lanjut, lihat [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) dalam *Panduan Pengguna Amazon VPC*. Akses jaringan masuk harus dari dalam VPC yang menggunakan alamat IP pribadi atau dirutekan melalui penyeimbang beban dari dalam VPC. Tugas yang diluncurkan dalam subnet publik tidak memiliki akses ke internet.
+ Amazon ECS hanya mengenali ENI yang telah dilampirkan ke instans Amazon EC2 Windows Anda. Jika Anda ENIs melampirkan instans secara manual, Amazon ECS mungkin mencoba menambahkan tugas ke instans yang tidak memiliki cukup adaptor jaringan. Hal ini dapat mengakibatkan waktu tugas habis dan pindah ke status deprovisioning dan kemudian status berhenti. Kami menyarankan Anda untuk tidak ENIs melampirkan instans Anda secara manual.
+ Instans Windows Amazon EC2 harus terdaftar dengan `ecs.capability.task-eni` kemampuan yang harus dipertimbangkan untuk penempatan tugas dengan mode jaringan. `awsvpc`
+ Anda tidak dapat memodifikasi atau melepaskan ENI secara manual yang dibuat dan dilampirkan ke instans Windows Amazon EC2 Anda. Ini untuk mencegah Anda secara tidak sengaja menghapus ENI yang terkait dengan tugas yang sedang berjalan. Untuk melepaskan tugas, hentikan tugas. ENIs
+ Anda hanya dapat menentukan hingga 16 subnet dan 5 grup keamanan `awsVpcConfiguration` ketika Anda menjalankan tugas atau membuat layanan yang menggunakan mode `awsvpc` jaringan. Untuk informasi selengkapnya, lihat [AwsVpcConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_AwsVpcConfiguration.html)di *Referensi API Amazon Elastic Container Service*.
+ Saat tugas dimulai dengan mode `awsvpc` jaringan, agen penampung Amazon ECS membuat `pause` wadah tambahan untuk setiap tugas sebelum memulai kontainer dalam definisi tugas. Kemudian mengkonfigurasi namespace jaringan `pause` wadah dengan menjalankan plugin CNI. [amazon-ecs-cni-plugins ](https://github.com/aws/amazon-ecs-cni-plugins) Agen kemudian memulai sisa kontainer dalam tugas sehingga mereka berbagi tumpukan jaringan kontainer `pause`. Ini berarti bahwa semua kontainer dalam tugas yang dialamatkan oleh alamat IP dari ENI, dan mereka dapat berkomunikasi satu sama lain melalui antarmuka `localhost`.
+ Layanan dengan tugas yang menggunakan mode `awsvpc` jaringan hanya mendukung Application Load Balancer dan Network Load Balancer. Saat Anda membuat grup target apa pun untuk layanan ini, Anda harus memilih `ip` sebagai jenis target, bukan`instance`. Ini karena tugas yang menggunakan mode `awsvpc` jaringan dikaitkan dengan ENI, bukan dengan instans Windows Amazon EC2. Untuk informasi selengkapnya, lihat [Menggunakan penyeimbangan beban untuk mendistribusikan lalu lintas layanan Amazon ECS](service-load-balancing.md).
+ Jika VPC Anda diperbarui untuk mengubah set opsi DHCP yang digunakannya, Anda tidak dapat menerapkan perubahan ini ke tugas yang ada. Mulai tugas baru dengan perubahan ini diterapkan padanya, verifikasi bahwa mereka berfungsi dengan benar, dan kemudian hentikan tugas yang ada untuk mengubah konfigurasi jaringan ini dengan aman.
+ Berikut ini tidak didukung saat Anda menggunakan mode `awsvpc` jaringan dalam konfigurasi Windows EC2:
+ Konfigurasikan tumpukan dobel
+ IPv6
+ ENI trunking
## Menggunakan VPC dalam mode tumpukan dobel
Saat menggunakan VPC dalam mode dual-stack, tugas Anda dapat berkomunikasi melalui, atau IPv4, atau IPv6 keduanya. IPv4 dan IPv6 alamat independen satu sama lain. Oleh karena itu Anda harus mengonfigurasi perutean dan keamanan di VPC Anda secara terpisah IPv4 untuk dan. IPv6 *Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode tumpukan ganda, lihat [Memigrasi ke dalam](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) Panduan Pengguna VPC IPv6 Amazon.*
Jika Anda mengonfigurasi VPC Anda dengan gateway internet atau gateway internet khusus keluar, Anda dapat menggunakan VPC Anda dalam mode dual-stack. Dengan melakukan ini, tugas-tugas yang diberi IPv6 alamat dapat mengakses internet melalui gateway internet atau gateway internet khusus egress-. Gateway NAT bersifat opsional. *Untuk informasi selengkapnya, lihat [gateway Internet dan gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) internet khusus [eGress di Panduan Pengguna Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html) VPC.*
Tugas Amazon ECS diberikan IPv6 alamat jika kondisi berikut terpenuhi:
+ Instans Amazon EC2 Linux yang menghosting tugas menggunakan versi `1.45.0` atau yang lebih baru dari agen penampung. Untuk informasi tentang cara memeriksa versi agen yang digunakan instans Anda, dan memperbaruinya jika diperlukan, lihat[Memperbarui agen kontainer Amazon ECS](ecs-agent-update.md).
+ Pengaturan akun `dualStackIPv6` diaktifkan. Untuk informasi selengkapnya, lihat [Akses fitur Amazon ECS dengan pengaturan akun](ecs-account-settings.md).
+ Tugas Anda adalah menggunakan mode jaringan `awsvpc`.
+ VPC dan subnet Anda dikonfigurasi untuk. IPv6 Konfigurasi mencakup antarmuka jaringan yang dibuat di subnet yang ditentukan. *Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode dual-stack, lihat [Memigrasi ke IPv6 dan Memodifikasi atribut IPv6 pengalamatan untuk](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) [subnet Anda di](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-ipv6) Panduan Pengguna Amazon VPC.*
# Petakan port kontainer Amazon ECS ke antarmuka jaringan instans EC2
Mode `host` jaringan hanya didukung untuk tugas Amazon ECS yang dihosting di instans Amazon EC2. Ini tidak didukung saat menggunakan Amazon ECS di Fargate.
Mode `host` jaringan adalah mode jaringan paling dasar yang didukung di Amazon ECS. Menggunakan mode host, jaringan kontainer terikat langsung ke host yang mendasari yang menjalankan wadah.
![\[Diagram yang menunjukkan arsitektur jaringan dengan kontainer menggunakan mode jaringan host.\]](http://docs.aws.amazon.com/id_id/AmazonECS/latest/developerguide/images/networkmode-host.png)
Asumsikan bahwa Anda menjalankan kontainer Node.js dengan aplikasi Express yang mendengarkan pada port yang `3000` mirip dengan yang diilustrasikan dalam diagram sebelumnya. Ketika mode `host` jaringan digunakan, kontainer menerima lalu lintas pada port 3000 menggunakan alamat IP dari instans Amazon EC2 host yang mendasarinya. Kami tidak menyarankan menggunakan mode ini.
Ada kelemahan signifikan untuk menggunakan mode jaringan ini. Anda tidak dapat menjalankan lebih dari satu instantiasi tugas pada setiap host. Ini karena hanya tugas pertama yang dapat mengikat ke port yang diperlukan pada instans Amazon EC2. Juga tidak ada cara untuk memetakan ulang port kontainer saat menggunakan mode `host` jaringan. Misalnya, jika aplikasi perlu mendengarkan nomor port tertentu, Anda tidak dapat memetakan ulang nomor port secara langsung. Sebagai gantinya, Anda harus mengelola konflik port apa pun dengan mengubah konfigurasi aplikasi.
Ada juga implikasi keamanan saat menggunakan mode `host` jaringan. Mode ini memungkinkan kontainer untuk meniru host, dan memungkinkan kontainer untuk terhubung ke layanan jaringan loopback pribadi pada host.
# Gunakan Docker jaringan virtual untuk tugas-tugas Amazon ECS Linux
Mode `bridge` jaringan hanya didukung untuk tugas Amazon ECS yang dihosting di instans Amazon EC2.
Dengan `bridge` mode, Anda menggunakan jembatan jaringan virtual untuk membuat lapisan antara host dan jaringan wadah. Dengan cara ini, Anda dapat membuat pemetaan port yang memetakan ulang port host ke port kontainer. Pemetaan dapat berupa statis atau dinamis.
![\[Diagram yang menunjukkan arsitektur jaringan menggunakan mode jaringan jembatan dengan pemetaan port statis.\]](http://docs.aws.amazon.com/id_id/AmazonECS/latest/developerguide/images/networkmode-bridge.png)
Dengan pemetaan port statis, Anda dapat secara eksplisit menentukan port host mana yang ingin Anda petakan ke port kontainer. Menggunakan contoh di atas, port `80` pada host sedang dipetakan ke port `3000` pada container. Untuk berkomunikasi dengan aplikasi kontainer, Anda mengirim lalu lintas ke port `80` ke alamat IP instans Amazon EC2. Dari perspektif aplikasi kontainer, ia melihat lalu lintas masuk di port. `3000`
Jika Anda hanya ingin mengubah port lalu lintas, maka pemetaan port statis cocok. Namun, ini masih memiliki kelemahan yang sama dengan menggunakan mode `host` jaringan. Anda tidak dapat menjalankan lebih dari satu instantiasi tugas pada setiap host. Ini karena pemetaan port statis hanya memungkinkan satu kontainer untuk dipetakan ke port 80.
Untuk mengatasi masalah ini, pertimbangkan untuk menggunakan mode `bridge` jaringan dengan pemetaan port dinamis seperti yang ditunjukkan pada diagram berikut.
![\[Diagram yang menunjukkan arsitektur jaringan menggunakan mode jaringan jembatan dengan pemetaan port dinamis.\]](http://docs.aws.amazon.com/id_id/AmazonECS/latest/developerguide/images/networkmode-bridge-dynamic.png)
Dengan tidak menentukan port host dalam pemetaan port, Anda dapat Docker memilih port acak yang tidak digunakan dari rentang port sementara dan menetapkannya sebagai port host publik untuk wadah. Misalnya, aplikasi Node.js yang mendengarkan pada port `3000` pada kontainer mungkin diberi port nomor tinggi acak seperti `47760` pada host Amazon EC2. Melakukan ini berarti Anda dapat menjalankan beberapa salinan wadah itu di host. Selain itu, setiap kontainer dapat diberi port sendiri di host. Setiap salinan kontainer menerima lalu lintas di pelabuhan`3000`. Namun, klien yang mengirim lalu lintas ke kontainer ini menggunakan port host yang ditetapkan secara acak.
Amazon ECS membantu Anda melacak port yang ditetapkan secara acak untuk setiap tugas. Hal ini dilakukan dengan secara otomatis memperbarui kelompok target load balancer dan penemuan AWS Cloud Map layanan untuk memiliki daftar alamat IP tugas dan port. Ini membuatnya lebih mudah untuk menggunakan layanan yang beroperasi menggunakan `bridge` mode dengan port dinamis.
Namun, salah satu kelemahan menggunakan mode `bridge` jaringan adalah sulit untuk mengunci komunikasi layanan ke layanan. Karena layanan mungkin ditetapkan ke port acak dan tidak terpakai, maka perlu untuk membuka rentang port yang luas antar host. Namun, tidak mudah untuk membuat aturan khusus sehingga layanan tertentu hanya dapat berkomunikasi dengan satu layanan spesifik lainnya. Layanan tidak memiliki port khusus untuk digunakan untuk aturan jaringan grup keamanan.
## Mengkonfigurasi mode jaringan jembatan untuk beban kerja IPv6 -only
Untuk mengonfigurasi `bridge` mode komunikasi IPv6, Anda harus memperbarui pengaturan Docker daemon. Perbarui `/etc/docker/daemon.json` dengan yang berikut ini:
```
{
"ipv6": true,
"fixed-cidr-v6": "2001:db8:1::/64",
"ip6tables": true,
"experimental": true
}
```
Setelah memperbarui pengaturan Docker daemon, Anda harus memulai ulang daemon.
**catatan**
Saat Anda memperbarui dan memulai ulang daemon, Docker aktifkan IPv6 penerusan pada instance, yang dapat mengakibatkan hilangnya rute default pada instance yang menggunakan Amazon Linux 2 AMI. Untuk menghindari hal ini, gunakan perintah berikut untuk menambahkan rute default melalui IPv6 gateway subnet.
```
ip route add default via FE80:EC2::1 dev eth0 metric 100
```