Opzioni di ECS task networking di Amazon per il tipo di lancio Fargate - Amazon Elastic Container Service
ConsiderazioniUtilizzo di una modalità dual-stack VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Opzioni di ECS task networking di Amazon per il tipo di lancio Fargate

Per impostazione predefinita, a ogni ECS attività Amazon su Fargate viene fornita un'interfaccia di rete elastica (ENI) con un indirizzo IP privato primario. Quando utilizzi una sottorete pubblica, puoi facoltativamente assegnare un indirizzo IP pubblico alle attività. ENI Se la tua VPC attività è configurata per la modalità dual-stack e utilizzi una sottorete con un IPv6 CIDR blocco, anche la tua attività riceve un indirizzo. ENI IPv6 A un'attività può essere associata solo una ENI alla volta. I container che appartengono alla stessa attività possono comunicare tramite l'interfaccia localhost. Per ulteriori informazioni sulle sottoreti VPCs e, consulta la sezione VPCsand subnet nella Amazon User Guide. VPC

Affinché un'attività su Fargate sia in grado di estrarre un'immagine del container, l'attività deve avere un routing verso Internet. Di seguito è descritto come verificare che l'attività abbia un routing verso Internet.

  • Quando utilizzi una sottorete pubblica, puoi assegnare un indirizzo IP pubblico all'attività. ENI

  • Quando si utilizza una sottorete privata, alla sottorete può essere collegato un gateway. NAT

  • Quando utilizzi immagini di container ospitate su AmazonECR, puoi configurare Amazon ECR per utilizzare un VPC endpoint di interfaccia e il recupero dell'immagine avviene sull'IPv4indirizzo privato dell'attività. Per ulteriori informazioni, consulta Amazon ECR interface VPC endpoints (AWS PrivateLink) nella Amazon Elastic Container Registry User Guide.

Poiché ogni attività ha le sue caratteristicheENI, puoi utilizzare funzionalità di rete come VPC Flow Logs, che puoi utilizzare per monitorare il traffico da e verso le tue attività. Per ulteriori informazioni, consulta VPCFlow Logs nella Amazon VPC User Guide.

Puoi anche approfittare di. AWS PrivateLink Puoi configurare un endpoint di VPC interfaccia in modo da poter accedere ad Amazon ECS APIs tramite indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra te VPC e Amazon ECS alla rete Amazon. Non hai bisogno di un gateway Internet, di un NAT dispositivo o di un gateway privato virtuale. Per ulteriori informazioni, consulta AWS PrivateLinkla Amazon ECS Best Practices Guide.

Per esempi di come utilizzare la NetworkConfiguration risorsa con AWS CloudFormation, consultaCreazione di ECS risorse Amazon utilizzando stack separati.

ENIsQuelli che vengono creati sono completamente gestiti da AWS Fargate. Inoltre, esiste una IAM politica associata che viene utilizzata per concedere le autorizzazioni per Fargate. Per le attività che utilizzano la versione della piattaforma Fargate 1.4.0 o successiva, l'attività riceve una singola ENI (denominata attivitàENI) e tutto il traffico di rete fluisce attraverso quella ENI all'interno dell'utente. VPC Questo traffico viene registrato nei log di VPC flusso. Per le attività che utilizzano la versione della piattaforma Fargate 1.3.0 e precedenti, oltre all'attivitàENI, l'attività riceve anche una versione separata di proprietà di FargateENI, che viene utilizzata per parte del traffico di rete che non è visibile nei log di flusso. VPC La tabella seguente descrive il comportamento del traffico di rete e la IAM politica richiesta per ciascuna versione della piattaforma.

Azione Flusso di traffico con piattaforma Linux versione 1.3.0 e versioni precedenti Flusso di traffico con piattaforma Linux versione 1.4.0 Flusso di traffico con piattaforma Windows versione 1.0.0 IAMautorizzazione
Recupero delle credenziali di accesso Amazon ECR Fargate possedeva ENI Compito ENI Compito ENI Ruolo IAM per l'esecuzione di attività
Pull immagine Compito ENI Compito ENI Compito ENI Ruolo IAM per l'esecuzione di attività
Invio dei log tramite un driver di log Compito ENI Compito ENI Compito ENI Ruolo IAM per l'esecuzione di attività
Invio di log FireLens per Amazon ECS Attività ENI Compito ENI Compito ENI Ruolo IAM attività
Recupero di segreti da Secrets Manager o Systems Manager Fargate possedeva ENI Compito ENI Compito ENI Ruolo IAM per l'esecuzione di attività
Traffico EFS del file system Amazon Non disponibile Attività ENI Compito ENI Ruolo IAM attività
Traffico delle applicazioni Compito ENI Compito ENI Compito ENI Ruolo IAM attività

Considerazioni

Tieni in considerazione le informazioni seguenti quando usi la rete di attività.

  • Il ruolo ECS collegato ai servizi Amazon è necessario per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri AWS servizi per tuo conto. Questo ruolo viene creato quando crei un cluster oppure quando crei o aggiorni un servizio nella AWS Management Console. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon ECS. Puoi anche creare il ruolo collegato al servizio utilizzando il seguente comando. AWS CLI 

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS compila il nome host dell'attività con un DNS nome host fornito da Amazon quando entrambe le enableDnsSupport opzioni enableDnsHostnames e sono abilitate sul tuo. VPC Se queste opzioni non sono abilitate, il DNS nome host dell'attività viene impostato su un nome host casuale. Per ulteriori informazioni sulle DNS impostazioni di aVPC, consulta Using DNS with Your VPC nella Amazon VPC User Guide.

  • È possibile specificare solo fino a 16 sottoreti e 5 gruppi di sicurezza per awsVpcConfiguration. Per ulteriori informazioni, consulta AwsVpcConfigurationAmazon Elastic Container Service API Reference.

  • Non è possibile scollegare o modificare manualmente i ENIs file creati e allegati da Fargate. Questo serve a impedire l'eliminazione accidentale di un file ENI associato a un'attività in esecuzione. Per rilasciare il ENIs comando for a task, interrompete l'operazione.

  • Se una VPC sottorete viene aggiornata per modificare il set di DHCP opzioni che utilizza, non è possibile applicare queste modifiche anche alle attività esistenti che utilizzano ilVPC. Avvia nuove attività, che riceveranno la nuova impostazione per eseguire la migrazione senza problemi durante il test della nuova modifica e quindi interrompi le attività precedenti, se non è necessario eseguire il rollback.

  • Le attività avviate in sottoreti con IPv6 CIDR blocchi ricevono un IPv6 indirizzo solo quando si utilizza la versione della piattaforma Fargate 1.4.0 o successiva per Linux o Windows. 1.0.0

  • Per le attività che utilizzano la versione della piattaforma 1.4.0 o successiva per Linux o 1.0.0 per Windows, l'attività ENIs supporta i jumbo frame. Le interfacce di rete sono configurate con un'unità di trasmissione massima (MTU), che è la dimensione del carico utile più grande che rientra in un singolo frame. Più è grandeMTU, maggiore è il carico utile dell'applicazione che può essere inserito in un singolo frame, il che riduce il sovraccarico per frame e aumenta l'efficienza. Il supporto dei frame jumbo riduce il sovraccarico quando il percorso di rete tra l'attività e la destinazione supporta frame jumbo.

  • I servizi con attività che utilizzano il tipo di avvio Fargate supportano solo Application Load Balancer e Network Load Balancer. Classic Load Balancer non è supportato. Quando crei gruppi target, devi scegliere ip come tipo di target anziché instance. Per ulteriori informazioni, consulta Usa il bilanciamento del carico per distribuire il traffico dei ECS servizi Amazon.

Utilizzo di una modalità dual-stack VPC

Quando si utilizza una VPC modalità dual-stack, le attività possono comunicare più o meno entrambe. IPv4 IPv6 IPv4e IPv6 gli indirizzi sono indipendenti l'uno dall'altro ed è necessario configurare il routing e la sicurezza separatamente per e. VPC IPv4 IPv6 Per ulteriori informazioni sulla configurazione VPC per la modalità dual-stack, consulta Migrating to nella IPv6 Amazon User Guide. VPC

Se vengono soddisfatte le seguenti condizioni, alle ECS attività Amazon su Fargate viene assegnato un IPv6 indirizzo:

  • L'impostazione ECS dualStackIPv6 del tuo account Amazon è attivata (enabled) per l'avvio IAM principale delle tue attività nella regione in cui stai avviando le tue attività. Questa impostazione può essere modificata solo utilizzando o. API AWS CLI Hai la possibilità di attivare questa impostazione per una determinata IAM entità del tuo account o per l'intero account impostando l'impostazione predefinita dell'account. Per ulteriori informazioni, consulta Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account.

  • La tua VPC e la sottorete sono abilitate perIPv6. Per ulteriori informazioni su come configurare la VPC modalità dual-stack, consulta Migrating to nella Amazon User IPv6 Guide. VPC

  • La sottorete è abilitata per l'assegnazione automatica IPv6 degli indirizzi. Per ulteriori informazioni su come configurare la sottorete, consulta Modificare l'attributo di IPv6 indirizzamento per la sottorete nella Amazon VPC User Guide.

  • L'attività o il servizio utilizza la versione della piattaforma Fargate 1.4.0 o successiva per Linux.

Se configuri il tuo VPC con un gateway Internet o un gateway Internet solo in uscita, le attività di Amazon ECS su Fargate a cui è assegnato un IPv6 indirizzo possono accedere a Internet. NATi gateway non sono necessari. Per ulteriori informazioni, consulta Gateway Internet e Gateway Internet solo Egress nella Amazon User Guide. VPC