Opzioni di task networking di Amazon ECS per il tipo di lancio Fargate - Amazon Elastic Container Service
ConsiderazioniUtilizzo di un VPC in modalità dual-stack

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Opzioni di task networking di Amazon ECS per il tipo di lancio Fargate

Di default, a ogni processo di Amazon ECS su Fargate viene fornita una interfaccia di rete elastica (ENI) con un indirizzo IP privato primario. Quando utilizzi una sottorete pubblica, puoi eventualmente assegnare un indirizzo IP pubblico all'ENI dell'attività. Se il tuo VPC è configurato per la modalità dual-stack e utilizzi una sottorete con un blocco IPv6 CIDR, anche l'ENI dell'attività riceve un indirizzo. IPv6 Un'attività può avere una sola ENI associata in un determinato momento. I container che appartengono alla stessa attività possono comunicare tramite l'interfaccia localhost. Per ulteriori informazioni sulle VPCs sottoreti, consulta How Amazon VPC works nella Amazon VPC User Guide.

Affinché un'attività su Fargate sia in grado di estrarre un'immagine del container, l'attività deve avere un routing verso Internet. Di seguito è descritto come verificare che l'attività abbia un routing verso Internet.

  • Quando utilizzi una sottorete pubblica, puoi assegnare un indirizzo IP pubblico all'ENI del processo.

  • Quando si utilizza una sottorete privata, la sottorete può avere un gateway NAT collegato.

  • Quando utilizzi immagini di container ospitate in Amazon ECR, puoi configurare Amazon ECR per utilizzare un endpoint VPC di interfaccia e il recupero dell'immagine avviene sull'indirizzo privato dell'attività. IPv4 Per ulteriori informazioni, consulta Endpoint VPC dell'interfaccia Amazon ECR (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.

Poiché ogni attività ottiene la sua ENI, puoi utilizzare funzioni di rete, come i log di flusso VPC, per monitorare il traffico da e verso le tue attività. Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l'utente di Amazon VPC.

Puoi anche approfittare di. AWS PrivateLink Puoi configurare un endpoint di interfaccia VPC in modo da poter accedere ad Amazon ECS APIs tramite indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale. Per ulteriori informazioni, consulta Endpoint AWS PrivateLink VPC dell'interfaccia Amazon ECS ().

Per esempi di come utilizzare la NetworkConfiguration risorsa con AWS CloudFormation, consulta. Creazione di risorse Amazon ECS mediante stack separati

ENIs Quelli che vengono creati sono completamente gestiti da AWS Fargate. Inoltre, esiste una policy IAM associata che viene utilizzata per concedere autorizzazioni per Fargate. Per le attività che utilizzano la piattaforma Fargate versione 1.4.0 o successiva, l'attività riceve un'unica ENI (denominata ENI di attività) e tutto il traffico di rete scorre attraverso tale ENI all'interno del VPC. Questo traffico viene registrato nei log di flusso VPC. Per le attività che utilizzano la piattaforma Fargate versione 1.3.0 e precedenti, oltre all'ENI di attività, l'attività riceve anche un'ENI di proprietà di Fargate che viene utilizzata per un traffico di rete non visibile nei log di flusso VPC. Di seguito vengono descritti il comportamento del traffico di rete e la policy IAM richiesta per ogni versione della piattaforma.

Azione Flusso di traffico con piattaforma Linux versione 1.3.0 e versioni precedenti Flusso di traffico con piattaforma Linux versione 1.4.0 Flusso di traffico con piattaforma Windows versione 1.0.0 Autorizzazione IAM
Recupero delle credenziali di accesso di Amazon ECR ENI di proprietà Fargate ENI attività ENI attività Ruolo IAM per l'esecuzione del processo
Pull immagine ENI attività ENI attività ENI attività Ruolo IAM per l'esecuzione del processo
Invio dei log tramite un driver di log ENI attività ENI attività ENI attività Ruolo IAM per l'esecuzione del processo
Invio di log FireLens per Amazon ECS ENI attività ENI attività ENI attività Ruolo IAM del processo
Recupero di segreti da Secrets Manager o Systems Manager ENI di proprietà Fargate ENI attività ENI attività Ruolo IAM per l'esecuzione del processo
Traffico del file system Amazon EFS Non disponibile ENI attività ENI attività Ruolo IAM del processo
Traffico delle applicazioni ENI attività ENI attività ENI attività Ruolo IAM del processo

Considerazioni

Tieni in considerazione le informazioni seguenti quando usi la rete di attività.

  • Il ruolo collegato ai servizi Amazon ECS è necessario per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri AWS servizi per tuo conto. Questo ruolo viene creato quando crei un cluster oppure quando crei o aggiorni un servizio nella AWS Management Console. Per ulteriori informazioni, consulta Uso di ruoli collegati ai servizi per Amazon ECS. Puoi anche creare il ruolo collegato al servizio utilizzando il seguente comando. AWS CLI 

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS popola il nome host dell'attività con un nome host DNS fornito da Amazon quando entrambe le opzioni enableDnsHostnames e enableDnsSupport sono abilitate nel VPC. Se queste opzioni non sono abilitate, il nome host DNS dell'attività è impostato su un nome host casuale. Per ulteriori informazioni sulle impostazioni DNS per un VPC, consulta Utilizzo del DNS con il VPC nella Guida per l'utente di Amazon VPC.

  • È possibile specificare solo fino a 16 sottoreti e 5 gruppi di sicurezza per awsVpcConfiguration. Per ulteriori informazioni, consulta il riferimento AwsVpcConfigurationall'API di Amazon Elastic Container Service.

  • Non è possibile scollegare o modificare manualmente i ENIs file creati e allegati da Fargate. Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Per rilasciare il comando ENIs for a task, interrompete l'operazione.

  • Se una sottorete VPC viene aggiornata per modificare la serie di opzioni DHCP utilizzate, non puoi applicare queste modifiche anche alle attività esistenti che utilizzano il VPC. Avvia nuove attività, che riceveranno la nuova impostazione per eseguire la migrazione senza problemi durante il test della nuova modifica e quindi interrompi le attività precedenti, se non è necessario eseguire il rollback.

  • Le attività avviate in sottoreti con blocchi IPv6 CIDR ricevono un IPv6 indirizzo solo quando si utilizza la versione della piattaforma Fargate 1.4.0 o successiva per Linux o Windows. 1.0.0

  • Per le attività che utilizzano la versione della piattaforma 1.4.0 o successiva per Linux o 1.0.0 per Windows, l'attività ENIs supporta i jumbo frame. Le interfacce di rete sono configurate con un'unità di trasmissione massima (MTU), ovvero la dimensione del payload più grande che si adatta all'interno di un singolo frame. Più grande è l'MTU, più il payload dell'applicazione può essere adattato all'interno di un singolo fotogramma, riducendo il sovraccarico per fotogramma e aumentando l'efficienza. Il supporto dei frame jumbo riduce il sovraccarico quando il percorso di rete tra l'attività e la destinazione supporta frame jumbo.

  • I servizi con attività che utilizzano il tipo di avvio Fargate supportano solo Application Load Balancer e Network Load Balancer. Classic Load Balancer non è supportato. Quando crei gruppi target, devi scegliere ip come tipo di target anziché instance. Per ulteriori informazioni, consulta Usa il bilanciamento del carico per distribuire il traffico del servizio Amazon ECS.

Utilizzo di un VPC in modalità dual-stack

Quando si utilizza un VPC in modalità dual-stack, le attività possono comunicare più IPv4 o meno entrambe. IPv6 IPv4 e IPv6 gli indirizzi sono indipendenti l'uno dall'altro ed è necessario configurare il routing e la sicurezza nel VPC separatamente IPv4 per e. IPv6 Per ulteriori informazioni sulla configurazione del tuo VPC per la modalità dual-stack, consulta Migrating to nella IPv6 Amazon VPC User Guide.

Se vengono soddisfatte le seguenti condizioni, alle attività di Amazon ECS su Fargate viene assegnato IPv6 un indirizzo:

  • L'impostazione del tuo dualStackIPv6 account Amazon ECS è attivata (enabled) per il responsabile IAM che avvia le tue attività nella regione in cui le stai avviando. Questa impostazione può essere modificata solo utilizzando l'API o. AWS CLI Hai la possibilità di attivare questa impostazione per un principale IAM specifico sul tuo account o per l'intero account impostando l'impostazione predefinita dell'account. Per ulteriori informazioni, consulta Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account.

  • Il VPC e la sottorete sono abilitati per. IPv6 Per ulteriori informazioni su come configurare il tuo VPC per la modalità dual-stack, consulta Migrating to nella Amazon VPC User IPv6 Guide.

  • La sottorete è abilitata per l'assegnazione automatica IPv6 degli indirizzi. Per ulteriori informazioni su come configurare la sottorete, consulta Modificare l'attributo di IPv6 indirizzamento per la sottorete nella Amazon VPC User Guide.

  • L'attività o il servizio utilizza la versione della piattaforma Fargate 1.4.0 o successiva per Linux.

Se configuri il tuo VPC con un gateway Internet o un gateway Internet solo in uscita, le attività di Amazon ECS su Fargate a cui è assegnato un indirizzo possono accedere a Internet. IPv6 I gateway NAT non sono necessari. Per ulteriori informazioni, consulta Gateway Internet e Gateway Internet egress-only nella Guida per l'utente di Amazon VPC.