Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Considerazioni sulla sicurezza di Fargate per Amazon ECS
Ogni attività dispone di una capacità di infrastruttura dedicata, perché Fargate esegue ciascun carico di lavoro su un ambiente virtuale isolato. I carichi di lavoro eseguiti su Fargate non condividono interfacce di reteCPU, storage temporaneo o memoria con altre attività. È possibile eseguire più container all'interno di un'attività, inclusi container di applicazioni e container sidecar (o semplicemente sidecar). Un sidecar è un contenitore che viene eseguito insieme a un contenitore di applicazioni in un'ECSattività Amazon. Sebbene il container dell'applicazione esegua il codice applicativo di base, i processi in esecuzione nei sidecar possono potenziare l'applicazione. I sidecar consentono di separare le funzioni dell'applicazione in container dedicati e di semplificare così l'aggiornamento di parti dell'applicazione.
I container che fanno parte della stessa attività condividono le risorse per il tipo di lancio Fargate, perché verranno sempre eseguiti sullo stesso host e condivideranno le risorse di elaborazione. Questi container condividono anche l'archiviazione temporanea fornita da Fargate. I container Linux in un'attività condividono gli spazi dei nomi di rete, inclusi l'indirizzo IP e le porte di rete. All'interno di un'attività, i container che appartengono a tale attività possono comunicare tra loro attraverso localhost.
L'ambiente di runtime di Fargate impedisce l'utilizzo di determinate funzionalità del controller supportate nelle istanze. EC2 Quando progetti carichi di lavoro in esecuzione su Fargate, tieni presente gli aspetti seguenti:
-
Nessun container o accesso privilegiato: funzionalità come i container o l'accesso privilegiato non sono attualmente disponibili su Fargate. Ciò influirà su casi d'uso come l'esecuzione di Docker in Docker.
-
Accesso limitato alle funzionalità di Linux: l'ambiente in cui i container vengono eseguiti su Fargate è bloccato. Le funzionalità Linux aggiuntive, come CAP _ _ ADMIN e SYS _ CAP NET _ADMIN, sono limitate per impedire un aumento dei privilegi. Fargate supporta l'aggiunta della funzionalità CAP_ SYS _ PTRACE Linux alle attività per consentire agli strumenti di osservabilità e sicurezza implementati all'interno dell'attività di monitorare l'applicazione containerizzata.
-
Nessun accesso all'host sottostante: né i clienti né AWS gli operatori possono connettersi a un host che esegue i carichi di lavoro dei clienti. È possibile utilizzare ECS exec per eseguire comandi o inserire una shell in un contenitore in esecuzione su Fargate. È possibile utilizzare ECS exec per raccogliere informazioni diagnostiche per il debug. Fargate impedisce inoltre ai container di accedere alle risorse dell'host sottostante, come il file system, i dispositivi, le reti e il runtime di container.
-
Rete: è possibile utilizzare i gruppi di sicurezza e la rete ACLs per controllare il traffico in entrata e in uscita. Le attività Fargate ricevono un indirizzo IP dalla sottorete configurata nel tuo. VPC