Assegna un'interfaccia di rete per un'attività Amazon ECS - Amazon Elastic Container Service
Considerazioni per LinuxConsiderazioni per WindowsUtilizzo di un VPC in modalità dual-stack

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegna un'interfaccia di rete per un'attività Amazon ECS

Le funzionalità di task networking fornite dalla modalità di awsvpc rete conferiscono alle attività di Amazon ECS le stesse proprietà di rete delle EC2 istanze Amazon. L'utilizzo della modalità awsvpc di rete semplifica il networking in container, poiché hai un maggiore controllo sul modo in cui le tue applicazioni comunicano tra loro e con gli altri servizi all'interno dell'azienda. VPCs La modalità awsvpc di rete offre inoltre una maggiore sicurezza per i container, consentendovi di utilizzare gruppi di sicurezza e strumenti di monitoraggio della rete a un livello più granulare nell'ambito delle vostre attività. Puoi anche utilizzare altre funzionalità EC2 di rete di Amazon come VPC Flow Logs per monitorare il traffico da e verso le tue attività. Inoltre, i container che appartengono alla stessa attività possono comunicare tramite l'interfaccia localhost.

La task elastic network interface (ENI) è una funzionalità completamente gestita di Amazon ECS. Amazon ECS crea l'ENI e lo collega all' EC2 istanza Amazon host con il gruppo di sicurezza specificato. L'attività invia e riceve il traffico di rete sull'ENI nello stesso modo in cui lo fanno EC2 le istanze Amazon con le loro interfacce di rete principali. Per impostazione predefinita, a ciascuna attività ENI viene assegnato un IPv4 indirizzo privato. Se il tuo VPC è abilitato per la modalità dual-stack e utilizzi una sottorete con un blocco IPv6 CIDR, anche l'attività ENI riceverà un indirizzo. IPv6 Ogni processo può avere una sola ENI.

Questi ENIs sono visibili nella EC2 console Amazon del tuo account. Il tuo account non può scollegare o modificare il ENIs. Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Puoi visualizzare le informazioni sugli allegati ENI per le attività nella console Amazon ECS o con il funzionamento dell'DescribeTasksAPI. Quando l'attività viene interrotta o se il servizio viene ridotto, l'ENI dell'attività viene scollegata ed eliminata.

Se hai bisogno di una maggiore densità ENI, utilizza le impostazioni dell'awsvpcTrunkingaccount. Amazon ECS crea e collega anche un'interfaccia di rete «trunk» per l'istanza del contenitore. La rete trunk è completamente gestita da Amazon ECS. L'ENI trunk viene eliminata quando termini o annulli la registrazione dell'istanza di container dal cluster Amazon ECS. Per ulteriori informazioni sull'impostazione dell'awsvpcTrunkingaccount, consulta. Prerequisiti

È necessario specificare awsvpc nel networkMode parametro della definizione dell'attività. Per ulteriori informazioni, consulta Modalità di rete.

Quindi, quando esegui un'attività o crei un servizio, utilizza il networkConfiguration parametro che include una o più sottoreti in cui inserire le attività e uno o più gruppi di sicurezza da collegare a un ENI. Per ulteriori informazioni, consulta Configurazione della rete. Le attività vengono collocate su EC2 istanze Amazon compatibili nelle stesse zone di disponibilità di tali sottoreti e i gruppi di sicurezza specificati sono associati all'ENI predisposto per l'attività.

Considerazioni per Linux

Tieni in considerazione le informazioni seguenti durante l'utilizzo del sistema operativo Linux.

  • Se utilizzi un'istanza p5.48xlarge in awsvpc modalità, non puoi eseguire più di un'attività sull'istanza.

  • Le attività e i servizi che utilizzano la modalità di awsvpc rete richiedono il ruolo collegato ai servizi Amazon ECS per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri AWS servizi per tuo conto. Questo ruolo viene creato automaticamente quando crei un cluster oppure quando crei o aggiorni un servizio nella AWS Management Console. Per ulteriori informazioni, consulta Uso di ruoli collegati ai servizi per Amazon ECS. Puoi anche creare il ruolo collegato al servizio con il seguente comando: AWS CLI 

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • La tua istanza Amazon EC2 Linux richiede una versione 1.15.0 o successiva dell'agente container per eseguire attività che utilizzano la modalità awsvpc di rete. Se utilizzi l'AMI ottimizzata per Amazon ECS, l'istanza deve disporre almeno della versione 1.15.0-4 del pacchetto ecs-init.

  • Amazon ECS popola il nome host del processo con un nome host DNS (interno) fornito da Amazon quando entrambe le opzioni enableDnsHostnames e enableDnsSupport e sono abilitate nel VPC. Se queste opzioni non sono abilitate, il nome host DNS dell'attività è impostato su un nome host casuale. Per ulteriori informazioni sulle impostazioni DNS per un VPC, consulta Utilizzo del DNS con il VPC nella Guida per l'utente di Amazon VPC.

  • Ogni attività Amazon ECS che utilizza la modalità di awsvpc rete riceve la propria elastic network interface (ENI), collegata all' EC2 istanza Amazon che la ospita. Esiste una quota predefinita per il numero di interfacce di rete che possono essere collegate a un'istanza Amazon EC2 Linux. L'interfaccia di rete principale viene calcolata come unica rispetto a quella quota. Ad esempio, per impostazione predefinita, un'c5.largeistanza può avere solo fino a tre ENIs che possono essere collegate ad essa. L'interfaccia di rete principale per l'istanza viene calcolata come unica. È possibile allegarne altre due ENIs all'istanza. Poiché ogni attività che utilizza la modalità di rete awsvpc richiede un'ENI, in genere puoi eseguire solo due attività su questo tipo di istanza. Per ulteriori informazioni sui limiti ENI predefiniti per ogni tipo di istanza, consulta Indirizzi IP per interfaccia di rete per tipo di istanza nella Amazon EC2 User Guide.

  • Amazon ECS supporta il lancio di istanze Amazon EC2 Linux che utilizzano tipi di istanze supportati con una maggiore densità ENI. Quando attivi l'impostazione dell'awsvpcTrunkingaccount e registri istanze Amazon EC2 Linux che utilizzano questi tipi di istanze nel tuo cluster, queste istanze hanno una quota ENI più elevata. L'utilizzo di queste istanze con questa quota più elevata significa che puoi inserire più attività su ciascuna istanza Amazon EC2 Linux. Per utilizzare la maggiore densità ENI con la funzionalità di trunking, l' EC2 istanza Amazon deve utilizzare una versione 1.28.1 o successiva dell'agente container. Se utilizzi l'AMI ottimizzata per Amazon ECS, l'istanza deve disporre almeno della versione 1.28.1-2 del pacchetto ecs-init. Per ulteriori informazioni sul consenso esplicito all'impostazione dell'account awsvpcTrunking, consulta Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account. Per ulteriori informazioni su trunking dell'ENI, consulta Aumento delle interfacce di rete di istanze di container Amazon ECS Linux.

  • Quando si ospitano attività che utilizzano la modalità di awsvpc rete su istanze Amazon EC2 Linux, alle attività ENIs non vengono assegnati indirizzi IP pubblici. Per accedere a Internet, le attività devono essere avviate in una sottorete privata configurata per l'utilizzo di un gateway NAT. Per ulteriori informazioni, consulta Gateway NAT nella Guida per l'utente di Amazon VPC. L'accesso di rete in entrata deve avvenire all'interno di un VPC che utilizza l'indirizzo IP privato oppure deve essere instradato attraverso un load balancer dall'interno del VPC. Le attività avviate all'interno di sottoreti pubbliche non hanno accesso a Internet.

  • Amazon ECS riconosce solo ENIs ciò che è collegato alle tue istanze Amazon EC2 Linux. Se ti colleghi manualmente ENIs alle tue istanze, Amazon ECS potrebbe tentare di aggiungere un'attività a un'istanza che non dispone di adattatori di rete sufficienti. Ciò può comportare il timeout dell'attività e il passaggio a uno stato di deprovisioning e quindi allo stato di arresto. Ti consigliamo di non collegarti ENIs alle istanze manualmente.

  • Le istanze Amazon EC2 Linux devono essere registrate con la ecs.capability.task-eni capacità di essere prese in considerazione per il posizionamento delle attività in modalità awsvpc rete. Le istanze che eseguono la versione 1.15.0-4 o successiva di ecs-init vengono registrate automaticamente con questo attributo.

  • Le istanze create e collegate alle tue istanze Amazon EC2 Linux non possono essere scollegate manualmente o modificate dal tuo account. ENIs Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Per rilasciare il comando ENIs for a task, interrompi l'operazione.

  • È possibile specificare solo 16 sottoreti e 5 gruppi di sicurezza in awsVpcConfiguration durante l'esecuzione di un'attività o la creazione di un servizio che utilizza la modalità di rete awsvpc. Per ulteriori informazioni, consulta il riferimento AwsVpcConfigurationall'API di Amazon Elastic Container Service.

  • Quando un processo viene avviato con la modalità di rete awsvpc, l'agente del container di Amazon ECS crea un container pause aggiuntivo per ciascun processo prima di avviare i container nella definizione di attività. Quindi configura lo spazio dei nomi di rete del pause contenitore eseguendo i plugin CNI. amazon-ecs-cni-plugins Quindi l'agente avvia il resto dei container nell'attività in modo che condividano lo stack di rete del container pause. Questo significa che tutti i container in un'attività sono indirizzabili tramite gli indirizzi IP dell'ENI e che possono comunicare tra loro sull'interfaccia localhost.

  • I servizi con attività che utilizzano la modalità di rete awsvpc supportano solo Application Load Balancer e Network Load Balancer. Inoltre, quando crei gruppi target per questi servizi, devi scegliere ip come tipo di target. Non usare instance. Questo perché le attività che utilizzano la modalità di awsvpc rete sono associate a un'ENI, non a un'istanza Amazon EC2 Linux. Per ulteriori informazioni, consulta Usa il bilanciamento del carico per distribuire il traffico del servizio Amazon ECS.

  • Se il VPC viene aggiornato per modificare le opzioni DHCP utilizzate, non puoi applicare queste modifiche alle attività esistenti. Avvia nuove attività con queste modifiche applicate, verifica che funzionino correttamente e quindi interrompi le attività esistenti per modificare in modo sicuro queste configurazioni di rete.

Considerazioni per Windows

Le seguenti considerazioni sono relative all'utilizzo del sistema operativo Windows:

  • Le istanze di container che utilizzano l'AMI Windows Server 2016 ottimizzata per Amazon ECS non possono ospitare attività che utilizzano la modalità di rete awsvpc. Se disponi di un cluster che contiene Windows Server 2016 ottimizzato per Amazon ECS AMIs e Windows AMIs che supporta la modalità di awsvpc rete, le attività che utilizzano la modalità di awsvpc rete non vengono avviate sulle istanze di Windows 2016 Server. Piuttosto, vengono avviati su istanze che supportano le modalità di rete awsvpc.

  • La tua istanza Amazon EC2 Windows richiede una versione 1.57.1 o successiva dell'agente contenitore per utilizzare i CloudWatch parametri per i contenitori Windows che utilizzano la modalità di awsvpc rete.

  • Le attività e i servizi che utilizzano la modalità di awsvpc rete richiedono il ruolo collegato ai servizi Amazon ECS per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri AWS servizi per tuo conto. Questo ruolo viene creato automaticamente quando crei un cluster oppure quando crei o aggiorni un servizio nella AWS Management Console. Per ulteriori informazioni, consulta Uso di ruoli collegati ai servizi per Amazon ECS. Puoi anche creare il ruolo collegato al servizio con il seguente comando. AWS CLI 

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • La tua istanza Amazon EC2 Windows richiede una versione 1.54.0 o successiva dell'agente contenitore per eseguire attività che utilizzano la modalità awsvpc di rete. Quando avvii l'istanza, devi configurare le opzioni necessarie per la modalità di rete awsvpc. Per ulteriori informazioni, consulta Avvio delle istanze di container Amazon ECS Windows per il trasferimento di dati.

  • Amazon ECS popola il nome host dell'attività con un nome host DNS (interno) fornito da Amazon quando entrambe le opzioni enableDnsHostnames e enableDnsSupport sono abilitate nel VPC. Se queste opzioni non sono abilitate, il nome host DNS dell'attività sarà un nome host casuale. Per ulteriori informazioni sulle impostazioni DNS per un VPC, consulta Utilizzo del DNS con il VPC nella Guida per l'utente di Amazon VPC.

  • Ogni attività Amazon ECS che utilizza la modalità di awsvpc rete riceve la propria elastic network interface (ENI), collegata all'istanza Amazon EC2 Windows che la ospita. Esiste una quota predefinita per il numero di interfacce di rete che possono essere collegate a un'istanza Amazon EC2 Windows. L'interfaccia di rete principale viene calcolata come unica rispetto a questa quota. Ad esempio, per impostazione predefinita, a un'c5.largeistanza possono essere ENIs collegate solo fino a tre istanze. L'interfaccia di rete principale per l'istanza viene calcolata come una di quelle. È possibile allegarne altre due ENIs all'istanza. Poiché ogni attività che utilizza la modalità di rete awsvpc richiede un'ENI, in genere puoi eseguire solo due attività su questo tipo di istanza. Per ulteriori informazioni sui limiti ENI predefiniti per ogni tipo di istanza, consulta Indirizzi IP per interfaccia di rete per tipo di istanza nella Amazon EC2 User Guide.

  • Quando si ospitano attività che utilizzano la modalità di awsvpc rete su istanze Amazon EC2 Windows, alle attività ENIs non vengono assegnati indirizzi IP pubblici. Per accedere a Internet, avvia le attività in una sottorete privata configurata per l'utilizzo di un gateway NAT. Per ulteriori informazioni, consulta Gateway NAT nella Guida per l'utente di Amazon VPC. L'accesso di rete in entrata deve avvenire all'interno del VPC utilizzando l'indirizzo IP privato oppure deve essere instradato attraverso un load balancer all'interno del VPC. Le attività avviate all'interno di sottoreti pubbliche non hanno accesso a Internet.

  • Amazon ECS riconosce solo ENIs ciò che è collegato alla tua istanza Amazon EC2 Windows. Se ti colleghi manualmente ENIs alle tue istanze, Amazon ECS potrebbe tentare di aggiungere un'attività a un'istanza che non dispone di adattatori di rete sufficienti. Ciò può comportare il timeout dell'attività e il passaggio a uno stato di deprovisioning e quindi allo stato di arresto. Ti consigliamo di non collegarti ENIs alle istanze manualmente.

  • Le istanze di Amazon EC2 Windows devono essere registrate con la ecs.capability.task-eni capacità di essere prese in considerazione per il posizionamento delle attività in modalità awsvpc rete.

  • Non puoi modificare o scollegare ENIs manualmente le istanze create e collegate alle tue istanze Amazon EC2 Windows. Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Per rilasciare il comando ENIs for a task, interrompi l'operazione.

  • Puoi specificare solo fino a 16 sottoreti e 5 gruppi di sicurezza in awsVpcConfigurationquando esegui un'attività o crei un servizio che utilizza la modalità di rete awsvpc. Per ulteriori informazioni, consulta il riferimento AwsVpcConfigurationall'API di Amazon Elastic Container Service.

  • Quando un processo viene avviato con la modalità di rete awsvpc, l'agente del container di Amazon ECS crea un container pause aggiuntivo per ciascun processo prima di avviare i container nella definizione di attività. Quindi configura lo spazio dei nomi di rete del pause contenitore eseguendo i plugin CNI. amazon-ecs-cni-plugins Quindi l'agente avvia il resto dei container nell'attività in modo che condividano lo stack di rete del container pause. Questo significa che tutti i container in un'attività sono indirizzabili tramite gli indirizzi IP dell'ENI e che possono comunicare tra loro sull'interfaccia localhost.

  • I servizi con attività che utilizzano la modalità di rete awsvpc supportano solo Application Load Balancer e Network Load Balancer. Quando crei gruppi target per questi servizi, devi scegliere ip come tipo di target anziché instance. Questo perché le attività che utilizzano la modalità di awsvpc rete sono associate a un'ENI, non a un'istanza Amazon EC2 Windows. Per ulteriori informazioni, consulta Usa il bilanciamento del carico per distribuire il traffico del servizio Amazon ECS.

  • Se il VPC viene aggiornato per modificare le opzioni DHCP utilizzate, non puoi applicare queste modifiche alle attività esistenti. Avvia nuove attività con queste modifiche applicate, verifica che funzionino correttamente e quindi interrompi le attività esistenti per modificare in modo sicuro queste configurazioni di rete.

  • Quanto segue non è supportato quando si utilizza la modalità awsvpc di rete in una configurazione EC2 Windows:

    • Configurazione dual-stack

    • IPv6

    • Trunking ENI

Utilizzo di un VPC in modalità dual-stack

Quando si utilizza un VPC in modalità dual-stack, le attività possono comunicare o entrambe IPv4. IPv6 IPv4 e IPv6 gli indirizzi sono indipendenti l'uno dall'altro. Pertanto è necessario configurare il routing e la sicurezza nel VPC separatamente IPv4 per e. IPv6 Per ulteriori informazioni su come configurare il tuo VPC per la modalità dual-stack, consulta Migrating to nella Amazon VPC User IPv6 Guide.

Se hai configurato il tuo VPC con un gateway Internet o un gateway Internet solo in uscita, puoi utilizzare il VPC in modalità dual-stack. In questo modo, le attività a cui viene assegnato un IPv6 indirizzo possono accedere a Internet tramite un gateway Internet o un gateway Internet solo in uscita. I gateway NAT sono opzionali. Per ulteriori informazioni, consulta Gateway Internet e Gateway Internet egress-only nella Guida per l'utente di Amazon VPC.

Alle attività di Amazon ECS viene assegnato un IPv6 indirizzo se vengono soddisfatte le seguenti condizioni: