Titik akhir VPC antarmuka Amazon ECS ()AWS PrivateLink - Amazon Elastic Container Service
Pertimbangan Membuat Endpoint VPC untuk Amazon ECSMembuat kebijakan titik akhir VPC untuk Amazon ECS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Titik akhir VPC antarmuka Amazon ECS ()AWS PrivateLink

Anda dapat meningkatkan postur keamanan VPC Anda dengan mengonfigurasi Amazon ECS untuk menggunakan titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses Amazon ECS secara pribadi APIs dengan menggunakan alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual.

Untuk informasi selengkapnya tentang AWS PrivateLink dan titik akhir VPC, lihat titik akhir VPC di Panduan Pengguna Amazon VPC.

Pertimbangan

Pertimbangan untuk titik akhir di Wilayah diperkenalkan mulai 23 Desember 2023

Sebelum Anda mengatur titik akhir VPC antarmuka untuk Amazon ECS, perhatikan pertimbangan berikut:

  • Anda harus memiliki titik akhir VPC khusus Wilayah berikut:

    catatan

    Jika Anda tidak mengonfigurasi semua titik akhir, lalu lintas Anda akan melewati titik akhir publik, bukan titik akhir VPC Anda.

    • com.amazonaws.region.ecs-agent

    • com.amazonaws.region.ecs-telemetry

    • com.amazonaws.region.ecs

    Misalnya, Wilayah Kanada Barat (Calgary) (ca-west-1) membutuhkan titik akhir VPC berikut:

    • com.amazonaws.ca-west-1.ecs-agent

    • com.amazonaws.ca-west-1.ecs-telemetry

    • com.amazonaws.ca-west-1.ecs

  • Saat Anda menggunakan templat untuk membuat AWS sumber daya di Wilayah baru dan templat disalin dari Wilayah yang diperkenalkan sebelum 23 Desember 2023, tergantung pada salinan-dari Wilayah, lakukan salah satu operasi berikut.

    Misalnya, copy-from Region adalah US East (Virginia N.) (us-east-1). Wilayah copy-to adalah Kanada Barat (Calgary) (ca-west-1).

    Konfigurasi Tindakan

    Wilayah yang disalin dari tidak memiliki titik akhir VPC.

    Buat ketiga titik akhir VPC untuk Wilayah baru (misalnya,). com.amazonaws.ca-west-1.ecs-agent

    Wilayah yang disalin dari berisi titik akhir VPC khusus Wilayah.

    1. Buat ketiga titik akhir VPC untuk Wilayah baru (misalnya,). com.amazonaws.ca-west-1.ecs-agent

    2. Hapus ketiga titik akhir VPC untuk salinan-dari Wilayah (misalnya,). com.amazonaws.us-east-1.ecs-agent

Pertimbangan untuk titik akhir Amazon ECS VPC untuk jenis peluncuran Fargate

Ketika ada titik akhir VPC untuk ecr.dkr dan ecr.api di VPC yang sama di mana tugas Fargate diterapkan, itu akan menggunakan titik akhir VPC. Jika tidak ada titik akhir VPC, itu akan menggunakan antarmuka Fargate.

Sebelum Anda mengatur titik akhir VPC antarmuka untuk Amazon ECS, perhatikan pertimbangan berikut:

  • Tugas yang menggunakan tipe peluncuran Fargate tidak memerlukan titik akhir VPC antarmuka untuk Amazon ECS, tetapi Anda mungkin memerlukan titik akhir VPC antarmuka untuk Amazon ECR, Secrets Manager, atau Amazon Logs yang dijelaskan dalam poin berikut. CloudWatch

    • Untuk memungkinkan tugas Anda menarik gambar pribadi dari Amazon ECR, Anda harus membuat titik akhir VPC antarmuka untuk Amazon ECR. Untuk informasi selengkapnya, lihat Antarmuka VPC Endpoints (AWS PrivateLink) di Panduan Pengguna Amazon Elastic Container Registry.

      penting

      Jika Anda mengonfigurasi Amazon ECR untuk menggunakan titik akhir VPC antarmuka, Anda dapat membuat peran eksekusi tugas yang menyertakan kunci kondisi untuk membatasi akses ke titik akhir VPC atau VPC tertentu. Untuk informasi selengkapnya, lihat Tugas Fargate menarik gambar Amazon ECR melalui izin titik akhir antarmuka.

    • Untuk memungkinkan tugas Anda menarik data sensitif dari Secrets Manager, Anda harus membuat titik akhir VPC antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat Menggunakan Secrets Manager dengan VPC Endpoint dalam Panduan Pengguna AWS Secrets Manager .

    • Jika VPC Anda tidak memiliki gateway internet dan tugas Anda menggunakan driver awslogs log untuk mengirim informasi log ke Log, Anda harus membuat antarmuka VPC endpoint untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat Menggunakan CloudWatch Log dengan Titik Akhir VPC Antarmuka di Panduan Pengguna Amazon CloudWatch Logs.

  • VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan panggilan API ke Amazon ECS. Misalnya, asumsikan bahwa Anda ingin menjalankan tugas di AS Timur (Virginia N.). Kemudian, Anda harus membuat titik akhir Amazon ECS VPC di US East (Virginia N.). Titik akhir VPC Amazon ECS yang dibuat di wilayah lain mana pun tidak dapat menjalankan tugas di AS Timur (Virginia Utara).

  • Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat Pengaturan DHCP dalam Panduan Pengguna Amazon VPC.

  • Grup keamanan yang terpasang pada titik akhir VPC harus mengizinkan koneksi masuk pada port TCP 443 dari subnet pribadi VPC.

  • Manajemen Service Connect dari proxy Envoy menggunakan titik akhir VPCcom.amazonaws.region.ecs-agent. Bila Anda tidak menggunakan endpoint VPC, manajemen Service Connect dari proxy Envoy menggunakan endpoint di Region tersebutecs-sc. Untuk daftar titik akhir Amazon ECS di setiap Wilayah, lihat titik akhir dan kuota Amazon ECS.

Pertimbangan untuk titik akhir Amazon ECS VPC untuk jenis peluncuran EC2

Sebelum Anda mengatur titik akhir VPC antarmuka untuk Amazon ECS, perhatikan pertimbangan berikut:

  • Tugas yang menggunakan tipe EC2 peluncuran mengharuskan instance container yang diluncurkan untuk menjalankan versi 1.25.1 atau yang lebih baru dari agen penampung Amazon ECS. Untuk informasi selengkapnya, lihat Manajemen instans penampung Amazon ECS Linux.

  • Untuk memungkinkan tugas Anda menarik data sensitif dari Secrets Manager, Anda harus membuat titik akhir VPC antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat Menggunakan Secrets Manager dengan VPC Endpoint dalam Panduan Pengguna AWS Secrets Manager .

  • Jika VPC Anda tidak memiliki gateway internet dan tugas Anda menggunakan driver awslogs log untuk mengirim informasi log ke Log, Anda harus membuat antarmuka VPC endpoint untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat Menggunakan CloudWatch Log dengan Titik Akhir VPC Antarmuka di Panduan Pengguna Amazon CloudWatch Logs.

  • VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan panggilan API ke Amazon ECS. Misalnya, asumsikan bahwa Anda ingin menjalankan tugas di AS Timur (Virginia N.). Kemudian, Anda harus membuat titik akhir Amazon ECS VPC di US East (Virginia N.). Titik akhir VPC Amazon ECS yang dibuat di Wilayah lain mana pun tidak dapat menjalankan tugas di AS Timur (Virginia Utara).

  • Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat Pengaturan DHCP dalam Panduan Pengguna Amazon VPC.

  • Grup keamanan yang terpasang pada titik akhir VPC harus mengizinkan koneksi masuk pada port TCP 443 dari subnet pribadi VPC.

Membuat Endpoint VPC untuk Amazon ECS

Untuk membuat titik akhir VPC untuk layanan Amazon ECS, gunakan prosedur Access an AWS service menggunakan antarmuka VPC endpoint di Panduan Pengguna Amazon VPC untuk membuat titik akhir berikut. Jika Anda memiliki instans kontainer yang berada dalam VPC Anda, Anda harus membuat titik akhir dalam urutan terdaftar mereka. Urutan langkah tidak membuat masalah jika Anda berencana untuk membuat VPC endpoint terlebih dahulu kemudian instans kontainer Anda.

catatan

Jika Anda tidak mengonfigurasi semua titik akhir, lalu lintas Anda akan melewati titik akhir publik, bukan titik akhir VPC Anda.

Saat Anda membuat titik akhir, Amazon ECS juga membuat nama DNS pribadi untuk titik akhir. Misalnya, untuk ecs-agent dan ecs-a.region.amazonaws.com ecs-t.region.amazonaws.com untuk ecs-telemetri.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

catatan

regionmewakili pengenal Wilayah untuk AWS Wilayah yang didukung oleh Amazon ECS, seperti us-east-2 untuk Wilayah AS Timur (Ohio).

ecs-agentTitik akhir menggunakan ecs:poll API, dan ecs-telemetry titik akhir menggunakan API ecs:poll danecs:StartTelemetrySession.

Jika Anda memiliki tugas yang ada yang menggunakan tipe EC2 peluncuran, setelah Anda membuat titik akhir VPC, setiap instance container perlu mengambil konfigurasi baru. Agar hal ini terjadi, Anda harus me-reboot setiap instance kontainer atau memulai ulang agen penampung Amazon ECS pada setiap instance kontainer. Untuk memulai ulang agen kontainer, lakukan hal berikut.

Untuk memulai ulang agen kontainer Amazon ECS

  1. Masuk ke instans kontainer Anda melalui SSH.

  2. Hentikan kontainer agen.

    sudo docker stop ecs-agent

  3. Mulai kontainer agen.

    sudo docker start ecs-agent

Setelah Anda membuat titik akhir VPC dan memulai ulang agen penampung Amazon ECS di setiap instance container, semua tugas yang baru diluncurkan akan mengambil konfigurasi baru.

Membuat kebijakan titik akhir VPC untuk Amazon ECS

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke Amazon ECS. Kebijakan titik akhir menentukan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon ECS

Berikut ini adalah contoh kebijakan endpoint untuk Amazon ECS. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke izin untuk membuat dan mencantumkan klaster. ListClustersTindakan CreateCluster dan tidak menerima sumber daya apa pun, sehingga definisi sumber daya diatur ke* untuk semua sumber daya. 

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}