Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connetti ECS le applicazioni Amazon a Internet
La maggior parte delle applicazioni containerizzate ha almeno alcuni componenti che richiedono l'accesso in uscita a Internet. Ad esempio, il backend di un'app mobile richiede l'accesso in uscita alle notifiche push.
Amazon Virtual Private Cloud offre due metodi principali per facilitare la comunicazione tra te VPC e Internet.
Sottorete pubblica e gateway Internet
Quando si utilizza una sottorete pubblica con un percorso verso un gateway Internet, l'applicazione containerizzata può essere eseguita su un host all'interno di una sottorete pubblica. VPC All'host che gestisce il contenitore viene assegnato un indirizzo IP pubblico. Questo indirizzo IP pubblico è instradabile da Internet. Per ulteriori informazioni, consulta Internet gateway nella Amazon VPC User Guide.
Questa architettura di rete facilita la comunicazione diretta tra l'host che esegue l'applicazione e altri host su Internet. La comunicazione è bidirezionale. Ciò significa che non solo puoi stabilire una connessione in uscita con qualsiasi altro host su Internet, ma anche altri host su Internet potrebbero tentare di connettersi al tuo host. Pertanto, è necessario prestare molta attenzione al gruppo di sicurezza e alle regole del firewall. Ciò garantisce che altri host su Internet non possano aprire connessioni che non desideri vengano aperte.
Ad esempio, se la tua applicazione viene eseguita su AmazonEC2, assicurati che la porta 22 per SSH l'accesso non sia aperta. In caso contrario, la tua istanza potrebbe ricevere continui tentativi di SSH connessione da parte di bot malintenzionati su Internet. Questi bot esplorano gli indirizzi IP pubblici. Dopo aver trovato una SSH porta aperta, tentano di utilizzare password con forza bruta per tentare di accedere alla tua istanza. Per questo motivo, molte organizzazioni limitano l'uso di sottoreti pubbliche e preferiscono avere la maggior parte, se non tutte, le risorse all'interno di sottoreti private.
L'uso di sottoreti pubbliche per la rete è adatto per applicazioni pubbliche che richiedono grandi quantità di larghezza di banda o una latenza minima. I casi d'uso applicabili includono lo streaming video e i servizi di gioco.
Questo approccio di rete è supportato sia quando usi Amazon ECS su Amazon EC2 sia quando lo usi su AWS Fargate.
-
AmazonEC2: puoi avviare EC2 istanze su una sottorete pubblica. Amazon ECS utilizza queste EC2 istanze come capacità del cluster e qualsiasi contenitore in esecuzione sulle istanze può utilizzare l'indirizzo IP pubblico sottostante dell'host per le reti in uscita. Questo vale sia per le modalità di rete che per quelle di
hostretebridge. Tuttavia, la modalità diawsvpcrete non fornisce attività ENIs con indirizzi IP pubblici. Pertanto, non possono utilizzare direttamente un gateway Internet. -
Fargate: quando crei il tuo ECS servizio Amazon, specifica le sottoreti pubbliche per la configurazione di rete del servizio e utilizza l'opzione Assegna indirizzo IP pubblico. Ogni attività Fargate è collegata in rete nella sottorete pubblica e dispone di un proprio indirizzo IP pubblico per la comunicazione diretta con Internet.
Sottorete e gateway privati NAT
Quando si utilizza una sottorete privata e un NAT gateway, è possibile eseguire l'applicazione containerizzata su un host che si trova in una sottorete privata. Pertanto, questo host dispone di un indirizzo IP privato che è instradabile all'interno dell'utenteVPC, ma non è instradabile da Internet. Ciò significa che altri host all'interno di VPC possono connettersi all'host utilizzando il suo indirizzo IP privato, ma gli altri host su Internet non possono effettuare comunicazioni in entrata verso l'host.
Con una sottorete privata, puoi utilizzare un gateway Network Address Translation (NAT) per consentire a un host all'interno di una sottorete privata di connettersi a Internet. Gli host su Internet ricevono una connessione in entrata che sembra provenire dall'indirizzo IP pubblico del NAT gateway che si trova all'interno di una sottorete pubblica. Il NAT gateway funge da ponte tra Internet e il privato. VPC Questa configurazione è spesso preferita per motivi di sicurezza perché significa che l'utente VPC è protetto dall'accesso diretto da parte di aggressori su Internet. Per ulteriori informazioni, consulta i NATgateway nella Amazon VPC User Guide.
Questo approccio di rete privata è adatto per scenari in cui desideri proteggere i contenitori dall'accesso esterno diretto. Gli scenari applicabili includono sistemi di elaborazione dei pagamenti o contenitori che archiviano dati e password degli utenti. Ti viene addebitato un costo per la creazione e l'utilizzo di un NAT gateway nel tuo account. NATSi applicano anche le tariffe orarie di utilizzo e di elaborazione dei dati del gateway. Ai fini della ridondanza, è necessario disporre di un NAT gateway in ogni zona di disponibilità. In questo modo, la perdita di disponibilità di una singola zona di disponibilità non compromette la connettività in uscita. Per questo motivo, se hai un carico di lavoro ridotto, potrebbe essere più conveniente utilizzare sottoreti e gateway privati. NAT
Questo approccio di rete è supportato sia quando si utilizza Amazon ECS su Amazon EC2 sia quando lo si utilizza su AWS Fargate.
-
AmazonEC2: puoi avviare EC2 istanze su una sottorete privata. I contenitori che vengono eseguiti su questi EC2 host utilizzano la rete degli host sottostanti e le richieste in uscita passano attraverso il gateway. NAT
-
Fargate: quando crei il ECS servizio Amazon, specificate le sottoreti private per la configurazione di rete del servizio e non utilizzate l'opzione Assegna indirizzo IP pubblico. Ogni attività Fargate è ospitata in una sottorete privata. Il suo traffico in uscita viene instradato attraverso qualsiasi NAT gateway associato a quella sottorete privata.
