Assegna un'interfaccia di rete per un'attività Amazon ECS - Amazon Elastic Container Service
Considerazioni per LinuxConsiderazioni per WindowsUtilizzo di un VPC in modalità dual-stack

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegna un'interfaccia di rete per un'attività Amazon ECS

Le funzionalità di task networking fornite dalla modalità di awsvpc rete conferiscono alle ECS attività di Amazon le stesse proprietà di rete EC2 delle istanze Amazon. L'utilizzo della modalità di awsvpc rete semplifica il networking in container, poiché hai un maggiore controllo sul modo in cui le tue applicazioni comunicano tra loro e con gli altri servizi al tuo interno. VPCs La modalità awsvpc di rete offre inoltre una maggiore sicurezza per i container, consentendovi di utilizzare gruppi di sicurezza e strumenti di monitoraggio della rete a un livello più granulare nell'ambito delle vostre attività. Puoi anche utilizzare altre funzionalità EC2 di rete di Amazon come VPC Flow Logs per monitorare il traffico da e verso le tue attività. Inoltre, i container che appartengono alla stessa attività possono comunicare tramite l'interfaccia localhost.

La task elastic network interface (ENI) è una funzionalità completamente gestita di AmazonECS. Amazon ECS crea ENI e lo collega all'EC2istanza Amazon host con il gruppo di sicurezza specificato. L'attività invia e riceve il traffico di rete sullo stesso modo ENI in cui lo fanno EC2 le istanze Amazon con le loro interfacce di rete principali. Per impostazione predefinita, a ogni attività ENI viene assegnato un IPv4 indirizzo privato. Se hai abilitato VPC la modalità dual-stack e utilizzi una sottorete con un IPv6 CIDR blocco, l'attività ENI riceverà anche un indirizzo. IPv6 Ogni attività può averne solo una. ENI

Questi ENIs sono visibili nella EC2 console Amazon del tuo account. Il tuo account non può scollegare o modificare ilENIs. Questo serve a prevenire l'eliminazione accidentale di un ENI file associato a un'attività in esecuzione. Puoi visualizzare le informazioni sugli ENI allegati per le attività nella ECS console Amazon o DescribeTasksAPIdurante l'operazione. Quando l'attività si interrompe o se il servizio viene ridimensionato, l'attività ENI viene scollegata ed eliminata.

Quando è necessaria una maggiore ENI densità, utilizza le impostazioni dell'awsvpcTrunkingaccount. Amazon crea e collega ECS anche un'interfaccia di rete «trunk» per l'istanza del contenitore. La rete trunk è completamente gestita da AmazonECS. Il trunk ENI viene eliminato quando si termina o si annulla la registrazione dell'istanza del contenitore dal cluster Amazon. ECS Per ulteriori informazioni sull'impostazione dell'awsvpcTrunkingaccount, consulta. Prerequisiti

È necessario specificare awsvpc nel networkMode parametro della definizione dell'attività. Per ulteriori informazioni, consulta Modalità di rete.

Quindi, quando esegui un'attività o crei un servizio, utilizza il networkConfiguration parametro che include una o più sottoreti in cui inserire le attività e uno o più gruppi di sicurezza da collegare a un. ENI Per ulteriori informazioni, consulta Configurazione della rete. Le attività vengono collocate su EC2 istanze Amazon compatibili nelle stesse zone di disponibilità di tali sottoreti e i gruppi di sicurezza specificati sono associati a ENI quelli forniti per l'attività.

Considerazioni per Linux

Tieni in considerazione le informazioni seguenti durante l'utilizzo del sistema operativo Linux.

  • Se utilizzi un'istanza p5.48xlarge in awsvpc modalità, non puoi eseguire più di un'attività sull'istanza.

  • Le attività e i servizi che utilizzano la modalità di awsvpc rete richiedono il ruolo ECS collegato ai servizi Amazon per fornire ECS ad Amazon le autorizzazioni per effettuare chiamate verso altri AWS servizi per tuo conto. Questo ruolo viene creato automaticamente quando crei un cluster oppure quando crei o aggiorni un servizio nella AWS Management Console. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon ECS. Puoi anche creare il ruolo collegato al servizio con il seguente comando: AWS CLI 

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • La tua istanza Amazon EC2 Linux richiede una versione 1.15.0 o successiva dell'agente container per eseguire attività che utilizzano la modalità awsvpc di rete. Se utilizzi una versione ECS ottimizzata per AmazonAMI, anche la tua istanza necessita almeno 1.15.0-4 della versione del ecs-init pacchetto.

  • Amazon ECS compila il nome host dell'attività con un DNS nome host (interno) fornito da Amazon quando entrambe le enableDnsSupport opzioni enableDnsHostnames e sono abilitate sul tuo. VPC Se queste opzioni non sono abilitate, il DNS nome host dell'attività viene impostato su un nome host casuale. Per ulteriori informazioni sulle DNS impostazioni di aVPC, consulta Using DNS with Your VPC nella Amazon VPC User Guide.

  • Ogni ECS attività Amazon che utilizza la modalità di awsvpc rete riceve la propria elastic network interface (ENI), collegata all'EC2istanza Amazon che la ospita. Esiste una quota predefinita per il numero di interfacce di rete che possono essere collegate a un'istanza Amazon EC2 Linux. L'interfaccia di rete principale viene calcolata come unica rispetto a quella quota. Ad esempio, per impostazione predefinita, un'c5.largeistanza può avere solo fino a tre ENIs che possono essere collegate ad essa. L'interfaccia di rete principale per l'istanza viene calcolata come unica. È possibile allegarne altre due ENIs all'istanza. Poiché ogni attività che utilizza la modalità di awsvpc rete richiede unaENI, in genere è possibile eseguire solo due di queste attività su questo tipo di istanza. Per ulteriori informazioni sui ENI limiti predefiniti per ogni tipo di istanza, consulta Indirizzi IP per interfaccia di rete per tipo di istanza nella Amazon EC2 User Guide.

  • Amazon ECS supporta il lancio di istanze Amazon EC2 Linux che utilizzano tipi di istanze supportati con maggiore ENI densità. Quando attivi l'impostazione dell'awsvpcTrunkingaccount e registri istanze Amazon EC2 Linux che utilizzano questi tipi di istanze nel tuo cluster, queste istanze hanno una quota più elevataENI. L'utilizzo di queste istanze con questa quota più elevata significa che puoi inserire più attività su ciascuna istanza Amazon EC2 Linux. Per utilizzare la maggiore ENI densità con la funzionalità di trunking, l'EC2istanza Amazon deve utilizzare una versione 1.28.1 o successiva dell'agente container. Se utilizzi una versione ECS ottimizzata per AmazonAMI, la tua istanza richiede anche almeno una versione 1.28.1-2 del ecs-init pacchetto. Per ulteriori informazioni sul consenso esplicito all'impostazione dell'account awsvpcTrunking, consulta Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account. Per ulteriori informazioni sul ENI trunking, consulta. Aumento delle interfacce di rete delle istanze di container Amazon ECS Linux

  • Quando si ospitano attività che utilizzano la modalità di awsvpc rete su istanze Amazon EC2 Linux, alle attività ENIs non vengono assegnati indirizzi IP pubblici. Per accedere a Internet, le attività devono essere avviate in una sottorete privata configurata per utilizzare un NAT gateway. Per ulteriori informazioni, consulta i NATgateway nella Amazon VPC User Guide. L'accesso alla rete in entrata deve avvenire dall'interno di una rete VPC che utilizza l'indirizzo IP privato o deve essere instradato attraverso un sistema di bilanciamento del carico dall'interno di. VPC Le attività avviate all'interno di sottoreti pubbliche non hanno accesso a Internet.

  • Amazon ECS riconosce solo ENIs ciò che è collegato alle tue istanze Amazon EC2 Linux. Se ti colleghi manualmente ENIs alle tue istanze, Amazon ECS potrebbe tentare di aggiungere un'attività a un'istanza che non dispone di adattatori di rete sufficienti. Ciò può comportare il timeout dell'attività e il passaggio a uno stato di deprovisioning e quindi allo stato di arresto. Ti consigliamo di non collegarlo manualmente ENIs alle tue istanze.

  • Le istanze Amazon EC2 Linux devono essere registrate con la ecs.capability.task-eni capacità di essere prese in considerazione per il posizionamento delle attività in modalità awsvpc rete. Le istanze che eseguono la versione 1.15.0-4 o successiva di ecs-init vengono registrate automaticamente con questo attributo.

  • Le istanze create e collegate alle tue istanze Amazon EC2 Linux non possono essere scollegate manualmente o modificate dal tuo account. ENIs Questo serve a prevenire l'eliminazione accidentale di un file ENI associato a un'attività in esecuzione. Per rilasciare il ENIs comando for a task, interrompete l'operazione.

  • È possibile specificare solo 16 sottoreti e 5 gruppi di sicurezza in awsVpcConfiguration durante l'esecuzione di un'attività o la creazione di un servizio che utilizza la modalità di rete awsvpc. Per ulteriori informazioni, consulta AwsVpcConfigurationAmazon Elastic Container Service API Reference.

  • Quando un'attività viene avviata con la modalità di awsvpc rete, l'agente Amazon ECS Container crea un pause contenitore aggiuntivo per ogni attività prima di avviare i contenitori nella definizione dell'attività. Quindi configura lo spazio dei nomi di rete del pause contenitore eseguendo i plugin. amazon-ecs-cni-plugins CNI Quindi l'agente avvia il resto dei container nell'attività in modo che condividano lo stack di rete del container pause. Ciò significa che tutti i contenitori di un'attività sono indirizzabili tramite gli indirizzi IP di e possono comunicare tra loro tramite l'ENIinterfaccia. localhost

  • I servizi con attività che utilizzano la modalità di rete awsvpc supportano solo Application Load Balancer e Network Load Balancer. Inoltre, quando crei gruppi target per questi servizi, devi scegliere ip come tipo di target. Non usare instance. Questo perché le attività che utilizzano la modalità di awsvpc rete sono associate a un'ENIistanza Amazon Linux e non a un'istanza Amazon EC2 Linux. Per ulteriori informazioni, consulta Usa il bilanciamento del carico per distribuire il traffico dei ECS servizi Amazon.

  • Se il tuo VPC è aggiornato per modificare il set di DHCP opzioni che utilizza, non puoi applicare queste modifiche alle attività esistenti. Avvia nuove attività con queste modifiche applicate, verifica che funzionino correttamente e quindi interrompi le attività esistenti per modificare in modo sicuro queste configurazioni di rete.

Considerazioni per Windows

Le seguenti considerazioni sono relative all'utilizzo del sistema operativo Windows:

  • Le istanze di container che utilizzano Windows Server 2016 ECS ottimizzato per Amazon non AMI possono ospitare attività che utilizzano la modalità awsvpc di rete. Se disponi di un cluster che contiene Windows Server 2016 ECS ottimizzato per Amazon AMIs e Windows AMIs che supporta la modalità di awsvpc rete, le attività che utilizzano la modalità di awsvpc rete non vengono avviate sulle istanze di Windows 2016 Server. Piuttosto, vengono avviati su istanze che supportano le modalità di rete awsvpc.

  • La tua istanza Amazon EC2 Windows richiede una versione 1.57.1 o successiva dell'agente contenitore per utilizzare i CloudWatch parametri per i contenitori Windows che utilizzano la modalità di awsvpc rete.

  • Le attività e i servizi che utilizzano la modalità di awsvpc rete richiedono il ruolo ECS collegato ai servizi Amazon per fornire ECS ad Amazon le autorizzazioni per effettuare chiamate verso altri AWS servizi per tuo conto. Questo ruolo viene creato automaticamente quando crei un cluster oppure quando crei o aggiorni un servizio nella AWS Management Console. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon ECS. Puoi anche creare il ruolo collegato al servizio con il seguente comando. AWS CLI 

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • La tua istanza Amazon EC2 Windows richiede una versione 1.54.0 o successiva dell'agente contenitore per eseguire attività che utilizzano la modalità awsvpc di rete. Quando avvii l'istanza, devi configurare le opzioni necessarie per la modalità di rete awsvpc. Per ulteriori informazioni, consulta Avvio delle istanze di container Amazon ECS Windows per il trasferimento di dati.

  • Amazon ECS compila il nome host dell'attività con un DNS nome host (interno) fornito da Amazon quando entrambe le enableDnsSupport opzioni enableDnsHostnames e sono abilitate sul tuo. VPC Se queste opzioni non sono abilitate, il DNS nome host dell'attività è un nome host casuale. Per ulteriori informazioni sulle DNS impostazioni di aVPC, consulta Using DNS with Your VPC nella Amazon VPC User Guide.

  • Ogni ECS attività Amazon che utilizza la modalità di awsvpc rete riceve la propria elastic network interface (ENI), collegata all'istanza Amazon EC2 Windows che la ospita. Esiste una quota predefinita per il numero di interfacce di rete che possono essere collegate a un'istanza Amazon EC2 Windows. L'interfaccia di rete principale viene calcolata come unica rispetto a questa quota. Ad esempio, per impostazione predefinita, a un'c5.largeistanza possono essere ENIs collegate solo fino a tre istanze. L'interfaccia di rete principale per l'istanza viene calcolata come una di quelle. È possibile allegarne altre due ENIs all'istanza. Poiché ogni attività che utilizza la modalità di awsvpc rete richiede unaENI, in genere è possibile eseguire solo due di queste attività su questo tipo di istanza. Per ulteriori informazioni sui ENI limiti predefiniti per ogni tipo di istanza, consulta Indirizzi IP per interfaccia di rete per tipo di istanza nella Amazon EC2 User Guide.

  • Quando si ospitano attività che utilizzano la modalità di awsvpc rete su istanze Amazon EC2 Windows, alle attività ENIs non vengono assegnati indirizzi IP pubblici. Per accedere a Internet, avvia le attività in una sottorete privata configurata per utilizzare un NAT gateway. Per ulteriori informazioni, consulta i NATgateway nella Amazon VPC User Guide. L'accesso alla rete in entrata deve avvenire dall'interno, VPC ovvero utilizzando l'indirizzo IP privato, oppure deve essere instradato tramite un sistema di bilanciamento del carico dall'interno di. VPC Le attività avviate all'interno di sottoreti pubbliche non hanno accesso a Internet.

  • Amazon ECS riconosce solo ENIs ciò che è collegato alla tua istanza Amazon EC2 Windows. Se ti colleghi manualmente ENIs alle tue istanze, Amazon ECS potrebbe tentare di aggiungere un'attività a un'istanza che non dispone di adattatori di rete sufficienti. Ciò può comportare il timeout dell'attività e il passaggio a uno stato di deprovisioning e quindi allo stato di arresto. Ti consigliamo di non collegarlo manualmente ENIs alle tue istanze.

  • Le istanze di Amazon EC2 Windows devono essere registrate per ecs.capability.task-eni poter essere prese in considerazione per il posizionamento delle attività in modalità awsvpc rete.

  • Non puoi modificare o scollegare ENIs manualmente le istanze create e collegate alle tue istanze Amazon EC2 Windows. Questo serve per evitare di eliminare accidentalmente un file associato a un'ENIattività in esecuzione. Per rilasciare il comando ENIs for a task, interrompete l'operazione.

  • Puoi specificare solo fino a 16 sottoreti e 5 gruppi di sicurezza in awsVpcConfigurationquando esegui un'attività o crei un servizio che utilizza la modalità di rete awsvpc. Per ulteriori informazioni, consulta AwsVpcConfigurationAmazon Elastic Container Service API Reference.

  • Quando un'attività viene avviata con la modalità di awsvpc rete, l'agente Amazon ECS Container crea un pause contenitore aggiuntivo per ogni attività prima di avviare i contenitori nella definizione dell'attività. Quindi configura lo spazio dei nomi di rete del pause contenitore eseguendo i plugin. amazon-ecs-cni-plugins CNI Quindi l'agente avvia il resto dei container nell'attività in modo che condividano lo stack di rete del container pause. Ciò significa che tutti i contenitori di un'attività sono indirizzabili tramite gli indirizzi IP di e possono comunicare tra loro tramite l'ENIinterfaccia. localhost

  • I servizi con attività che utilizzano la modalità di rete awsvpc supportano solo Application Load Balancer e Network Load Balancer. Quando crei gruppi target per questi servizi, devi scegliere ip come tipo di target anziché instance. Questo perché le attività che utilizzano la modalità di awsvpc rete sono associate a un'ENIistanza Amazon EC2 Windows e non a un'istanza. Per ulteriori informazioni, consulta Usa il bilanciamento del carico per distribuire il traffico dei ECS servizi Amazon.

  • Se il tuo VPC è aggiornato per modificare il set di DHCP opzioni che utilizza, non puoi applicare queste modifiche alle attività esistenti. Avvia nuove attività con queste modifiche applicate, verifica che funzionino correttamente e quindi interrompi le attività esistenti per modificare in modo sicuro queste configurazioni di rete.

  • Quanto segue non è supportato quando si utilizza la modalità awsvpc di rete in una configurazione EC2 Windows:

    • Configurazione dual-stack

    • IPv6

    • ENItrunking

Utilizzo di un VPC in modalità dual-stack

Quando si utilizza una VPC modalità dual-stack, le attività possono comunicare più IPv4 o meno entrambe. IPv6 IPv4e IPv6 gli indirizzi sono indipendenti l'uno dall'altro. Pertanto è necessario configurare il routing e la sicurezza VPC separatamente per IPv4 eIPv6. Per ulteriori informazioni su come configurare la VPC modalità dual-stack, consulta Migrating to nella Amazon User IPv6 Guide. VPC

Se hai configurato il tuo VPC con un gateway Internet o un gateway Internet solo in uscita, puoi utilizzarlo in modalità dual-stack. VPC In questo modo, le attività a cui viene assegnato un IPv6 indirizzo possono accedere a Internet tramite un gateway Internet o un gateway Internet solo in uscita. NATi gateway sono opzionali. Per ulteriori informazioni, consulta Gateway Internet e Gateway Internet solo Egress nella Amazon User Guide. VPC

Ad Amazon ECS Tasks viene assegnato un IPv6 indirizzo se sono soddisfatte le seguenti condizioni: