View a markdown version of this page

Assegna un'interfaccia di rete per le attività sulle istanze gestite da Amazon ECS - Amazon Elastic Container Service
Considerazioni per la modalità awsvpcUtilizzo di un VPC in modalità dual-stack

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegna un'interfaccia di rete per le attività sulle istanze gestite da Amazon ECS

La modalità di rete awsvpc nelle istanze gestite da Amazon ECS semplifica le reti dei container offrendo maggiore controllo sul modo in cui le applicazioni comunicano tra loro e con gli altri servizi all'interno dei VPC. La modalità di rete awsvpc fornisce inoltre una maggiore sicurezza per i container in quanto permette di utilizzare i gruppi di sicurezza e gli strumenti di monitoraggio di rete a un livello più granulare all'interno dei processi.

Per impostazione predefinita, ogni istanza di Istanze gestite da Amazon ECS ha un trunk interfaccia di rete elastica (ENI) collegato durante il lancio come ENI principale quando il tipo di istanza supporta il trunking. Per ulteriori informazioni sui tipi di istanza che supportano il trunking ENI, consulta Supported instances for increased Amazon ECS container network interfaces.

Nota

Quando il tipo di istanza scelto non supporta gli ENI trunk, l'istanza verrà avviata con un ENI normale.

Ogni attività eseguita sull'istanza riceve il proprio ENI collegato al trunk ENI, con un indirizzo IP privato principale. Se il VPC è configurato per la modalità dual-stack e si utilizza una sottorete con un intervallo CIDR IPv6, anche l'ENI riceverà un indirizzo IPv6. Quando si utilizza una sottorete pubblica, è eventualmente possibile assegnare un indirizzo IP pubblico all'ENI primario di Amazon ECS Managed Instance abilitando l'indirizzo pubblico IPv4 per la sottorete. Per ulteriori informazioni, consultare Modify the IP addressing attributes of your subnet nella Guida per l'utente di Amazon VPC. Un'attività può avere una sola ENI associata in un determinato momento.

I container che appartengono alla stessa attività possono comunicare tramite l'interfaccia localhost. Per ulteriori informazioni su VPC e sottoreti, consultare How Amazon VPC works nella Guida per l'utente di Amazon VPC

Le seguenti operazioni utilizzano l'ENI primario collegato all'istanza:

  • Download delle immagini: le immagini dei container vengono scaricate da Amazon ECR tramite l'ENI principale.

  • Recupero dei segreti: i segreti e le altre credenziali di Secrets Manager vengono recuperati tramite l'ENI primario.

  • Caricamenti di log: i log vengono caricati CloudWatch tramite l'ENI principale.

  • Download dei file di ambiente: i file di ambiente vengono scaricati tramite l'ENI principale.

Il traffico delle applicazioni fluisce attraverso l'attività ENI.

Poiché ogni attività ottiene la sua ENI, puoi utilizzare funzioni di rete, come i log di flusso VPC, per monitorare il traffico da e verso le tue attività. Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l’utente di Amazon VPC.

Puoi anche approfittare di. AWS PrivateLink Puoi configurare un endpoint dell'interfaccia VPC in modo da poter accedere alle API di Amazon ECS tramite indirizzi IP privati. AWS PrivateLink limita il traffico di rete tra il VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale. Per ulteriori informazioni, consultare Amazon ECS interface VPC endpoints (AWS PrivateLink).

La modalità di awsvpc rete consente inoltre di sfruttare Amazon VPC Traffic Mirroring per la sicurezza e il monitoraggio del traffico di rete quando si utilizzano tipi di istanze che non dispongono di ENI trunk. Per ulteriori informazioni, consultare What is Traffic Mirroring? nella Guida di Mirroring del traffico Amazon VPC.

Considerazioni per la modalità awsvpc

  • Le attività richiedono il ruolo collegato ai servizi Amazon ECS per la gestione ENI. Questo ruolo viene creato automaticamente quando crei un cluster o un servizio.

  • Le attività ENI sono gestite da Amazon ECS e non possono essere scollegate o modificate manualmente.

  • L'assegnazione di un indirizzo IP pubblico all'attività ENI utilizzando assignPublicIp durante l'esecuzione di un'attività autonoma (RunTask) o la creazione o l'aggiornamento di un servizio (CreateService/UpdateService) non è supportata.

  • Quando configuri la rete awsvpc a livello di attività, devi utilizzare lo stesso VPC specificato come parte del modello di lancio del provider di capacità di Istanze gestite da Amazon ECS. Puoi utilizzare sottoreti e gruppi di sicurezza diversi da quelli specificati nel modello di lancio.

  • Per le attività nella modalità di rete awsvpc, utilizzare il tipo di destinazione ip durante la configurazione dei gruppi di destinazione del bilanciatore del carico. Amazon ECS gestisce automaticamente la registrazione del gruppo target per le modalità di rete supportate.

Utilizzo di un VPC in modalità dual-stack

Quando si utilizza un VPC in modalità dual-stack, i processi possono comunicare via IPv4, IPv6 o entrambi. Gli indirizzi IPv4 e IPv6 sono indipendenti l'uno dall'altro. Pertanto, è necessario configurare il routing e la sicurezza del VPC in modo separato per IPv4 e IPv6. Per ulteriori informazioni sulla configurazione del VPC per la modalità dual-stack, consulta Migrazione a IPv6 nella Guida per l'utente di Amazon VPC.

Se hai configurato il tuo VPC con un gateway Internet o un gateway Internet solo in uscita, puoi utilizzare il VPC in modalità dual-stack. In questo modo, le attività a cui viene assegnato un indirizzo IPv6 possono accedere a Internet tramite un gateway Internet o un gateway Internet solo egress. I gateway NAT sono opzionali. Per ulteriori informazioni, consulta la sezione Gateway Internet e Egress-onlyInternet Gateway nella Amazon VPC User Guide.

Ai processi Amazon ECS viene assegnato un indirizzo IPv6 se sono soddisfatte le seguenti condizioni: