Cluster Amazon ECS per il tipo di lancio esterno - Amazon Elastic Container Service
Sistemi operativi e architetture di sistema supportatiConsiderazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cluster Amazon ECS per il tipo di lancio esterno

Amazon ECS Anywhere fornisce supporto per la registrazione di una istanza esterna, ad esempio un server on-premise o una macchina virtuale (VM) nel cluster Amazon ECS. Le istanze esterne sono ottimizzate per l'esecuzione di applicazioni che generano traffico in uscita o dati di processo. Se l'applicazione richiede traffico in entrata, la mancanza di supporto Elastic Load Balancing rende l'esecuzione di questi carichi di lavoro meno efficiente. Amazon ECS ha aggiunto un nuovo tipo di avvio EXTERNAL che è possibile utilizzare per creare servizi o eseguire processi sulle istanze esterne.

Sistemi operativi e architetture di sistema supportati

Di seguito è riportato l'elenco dei sistemi operativi supportati e delle architetture di sistema.

  • Amazon Linux 2

  • Amazon Linux 2023

  • CentOS 7

  • CentOS Stream 9

  • RHEL 7, RHEL 8: né i repository di pacchetti aperti di Docker né quelli di RHEL supportano l'installazione nativa di Docker su RHEL. Prima di eseguire lo script di installazione descritto in questo documento assicurati che Docker sia installato.

  • Fedora 32, Fedora 33, Fedora 40

  • openSUSE Tumbleweed

  • Ubuntu 18, Ubuntu 20, Ubuntu 22, Ubuntu 24

  • Debian 10

    Importante

    Il supporto a lungo termine di Debian 9 (supporto LTS) è terminato il 30 giugno 2022 e non è più supportato da Amazon ECS Anywhere.

  • Debian 11

  • Debian 12

  • SUSE Enterprise Server 15

  • Le architetture CPU x86_64 e ARM64 sono supportate.

  • Sono supportate le seguenti versioni dei sistemi operativi Windows:

    • Windows Server 2022

    • Windows Server 2019

    • Windows Server 2016

    • Windows Server 20H2

Considerazioni

Prima di iniziare a utilizzare le istanze esterne, tieni presente le considerazioni riportate di seguito.

  • Puoi registrare un'istanza esterna in un cluster alla volta. Per le istruzioni su come registrare un'istanza esterna con un cluster diverso, consulta Annullamento della registrazione di un'istanza esterna Amazon ECS.

  • Le istanze esterne richiedono un ruolo IAM con cui comunicare. AWS APIs Per ulteriori informazioni, consulta Ruolo IAM di Amazon ECS Anywhere.

  • Le istanze esterne non devono avere una catena di credenziali di istanze preconfigurata definita in locale in quanto ciò interferirà con lo script di registrazione.

  • Per inviare i log dei container a CloudWatch Logs, assicurati di creare e specificare un ruolo IAM per l'esecuzione delle attività nella definizione dell'attività.

  • Quando un'istanza esterna viene registrata in un cluster, l'attributo ecs.capability.external è associato all'istanza. Questo attributo identificherà l'istanza come istanza esterna. Puoi aggiungere attributi personalizzati alle istanze esterne da utilizzare come vincolo di posizionamento dei processi. Per ulteriori informazioni, consulta Attributi personalizzati.

  • È possibile aggiungere tag di risorsa all'istanza esterna. Per ulteriori informazioni, consulta Istanze di container esterni.

  • ECS Exec è supportato sulle istanze esterne. Per ulteriori informazioni, consulta Monitora i contenitori Amazon ECS con ECS Exec.

  • Di seguito sono riportate considerazioni aggiuntive specifiche per la rete con le istanze esterne. Per ulteriori informazioni, consulta Rete .

    • Il bilanciamento del carico dei servizi non è supportato.

    • L'individuazione dei servizi non è supportata.

    • I processi eseguiti su istanze esterne devono utilizzare le modalità di rete bridge, host oppure none. La modalità di rete awsvpc non è supportata.

    • Esistono domini di servizio Amazon ECS in ogni AWS regione. Questi domini di servizio devono essere autorizzati a inviare traffico alle istanze esterne.

    • SSM Agent installato nell'istanza esterna mantiene le credenziali IAM che vengono ruotate ogni 30 minuti utilizzando un'impronta digitale hardware. Se l'istanza esterna perde la connessione a AWS, l'agente SSM aggiorna automaticamente le credenziali dopo che la connessione è stata ristabilita. Per ulteriori informazioni, consulta Convalida di server on-premise e macchine virtuali con un'impronta digitale hardware nella Guida per l'utente di AWS Systems Manager .

  • L'API UpdateContainerAgent non è supportata. Per istruzioni su come aggiornare SSM Agent o l'agente Amazon ECS nelle istanze esterne, consulta Aggiornamento dell' AWS Systems Manager agente e dell'agente container Amazon ECS su un'istanza esterna.

  • I provider di capacità Amazon ECS non sono supportati. Per creare un servizio o eseguire un processo autonomo nelle istanze esterne, utilizza il tipo di avvio EXTERNAL.

  • SELinux non è supportato.

  • L'uso di volumi Amazon EFS o la specifica di un EFSVolumeConfigurationnon sono supportati.

  • L'integrazione con App Mesh non è supportata.

  • Se utilizzi la console per creare una definizione delle attività di istanza esterna, devi creare la definizione delle attività con l'editor JSON della console.

  • Quando esegui ECS Anywhere su Windows, devi utilizzare la tua licenza Windows sull'infrastruttura on-premise.

  • Quando utilizzi un'AMI non ottimizzata per Amazon ECS, esegui i seguenti comandi sull'istanza di container esterna per configurare le regole per utilizzare i ruoli IAM per le attività. Per ulteriori informazioni, consulta Configurazione aggiuntiva dell'istanza esterna.

    $ sysctl -w net.ipv4.conf.all.route_localnet=1
$ iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679
$ iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679

Rete

Le istanze esterne di Amazon ECS sono ottimizzate per l'esecuzione di applicazioni che generano traffico in uscita o dati di processo. Se l'applicazione richiede traffico in entrata, ad esempio un servizio Web, la mancanza di supporto per Elastic Load Balancing rende l'esecuzione di questi carichi di lavoro meno efficiente perché non è disponibile il supporto per il posizionamento di questi carichi di lavoro dietro un load balancer.

Di seguito sono riportate considerazioni aggiuntive specifiche per la rete con le istanze esterne.

  • Il bilanciamento del carico dei servizi non è supportato.

  • L'individuazione dei servizi non è supportata.

  • I processi Linux eseguiti su istanze esterne devono utilizzare le modalità di rete bridge, host oppure none. La modalità di rete awsvpc non è supportata.

    Per ulteriori informazioni su ciascuna modalità di rete, consulta le opzioni di task networking di Amazon ECS per il tipo di EC2 avvio.

  • I processi Windows eseguiti su istanze esterne devono utilizzare le modalità di rete default.

  • Esistono domini del servizio Amazon ECS in ogni regione e devi disporre dell'autorizzazione per inviare traffico alle istanze esterne.

  • SSM Agent installato nell'istanza esterna mantiene le credenziali IAM che vengono ruotate ogni 30 minuti utilizzando un'impronta digitale hardware. Se l'istanza esterna perde la connessione a AWS, l'agente SSM aggiorna automaticamente le credenziali dopo che la connessione è stata ristabilita. Per ulteriori informazioni, consulta Convalida di server on-premise e macchine virtuali con un'impronta digitale hardware nella Guida per l'utente di AWS Systems Manager .

I seguenti domini vengono utilizzati per la comunicazione tra il servizio Amazon ECS e l'agente Amazon ECS installato nell'istanza esterna. Assicurati che il traffico sia consentito e che la risoluzione DNS funzioni. Per ogni endpoint, region rappresenta l'identificatore della regione per una AWS regione supportata da Amazon ECS, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Gli endpoint per tutte le regioni utilizzate devono essere consentiti. Per gli endpoint ecs-a e ecs-t, è necessario includere un asterisco (ad esempio, ecs-a-*).

  • ecs-a-*.region.amazonaws.com: questo endpoint viene utilizzato per la gestione dei processi.

  • ecs-t-*.region.amazonaws.com: questo endpoint viene utilizzato per gestire i parametri di processi e container.

  • ecs.region.amazonaws.com: questo è l'endpoint del servizio per Amazon ECS.

  • ssm.region.amazonaws.com — Questo è l'endpoint del servizio per. AWS Systems Manager

  • ec2messages.region.amazonaws.com— Questo è l'endpoint di servizio AWS Systems Manager utilizzato per comunicare tra l'agente Systems Manager e il servizio Systems Manager nel cloud.

  • ssmmessages.region.amazonaws.com: questo endpoint del servizio necessario per creare ed eliminare canali di sessione con il servizio Session Manager nel cloud.

  • Se le tue attività richiedono la comunicazione con altri AWS servizi, assicurati che tali endpoint di servizio siano consentiti. Le applicazioni di esempio includono l'uso di Amazon ECR per estrarre le immagini dei contenitori o l'utilizzo CloudWatch per i CloudWatch log. Per ulteriori informazioni, consulta Endpoint e quote in Riferimenti generali di AWS .

Amazon FSx for Windows File Server con ECS Anywhere

Per utilizzarlo Amazon FSx for Windows File Server con le istanze esterne di Amazon ECS, devi stabilire una connessione tra il tuo data center locale e il. Cloud AWS Per maggiori informazioni sulle opzioni per connettere la rete al VPC, consulta Opzioni di connettività di Amazon Virtual Private Cloud.

gMSA con ECS Anywhere

Sono supportati i seguenti casi d'uso per ECS Anywhere.

  • Active Directory è in Cloud AWS : per questa configurazione, crei una connessione tra la rete locale e l' Cloud AWS utilizzo di una connessione. AWS Direct Connect Per informazioni su come creare la connessione, consulta Opzioni di connettività di Amazon Virtual Private Cloud. Crei un Active Directory nel Cloud AWS. Per informazioni su come iniziare AWS Directory Service, consulta Configurazione AWS Directory Service nella Guida all'AWS Directory Service amministrazione. È quindi possibile aggiungere le istanze esterne al dominio utilizzando la AWS Direct Connect connessione. Per informazioni sull'utilizzo di GMSA con Amazon ECS, consulta Scopri come usare i contenitori g MSAs for EC2 Windows per Amazon ECS.

  • Active Directory si trova nel data center on-premise. - Per questa configurazione, unisci le istanze esterne all'Active Directory on-premise. Quindi utilizzi le credenziali disponibili localmente quando esegui i processi di Amazon ECS.