Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Opzioni di rete di attività di Amazon ECS per EC2
<a name="task-networking"></a>

Il comportamento della rete delle attività Amazon ECS ospitate su istanze Amazon EC2 dipende dalla *modalità di rete* definita nella definizione di attività. Si consiglia di utilizzare la modalità di rete `awsvpc` a meno che non sia necessario utilizzare una modalità di rete diversa.

Di seguito sono riportate le modalità di rete disponibili.


| Modalità di rete | Container Linux su EC2 | Container Windows su EC2 | Description | 
| --- | --- | --- | --- | 
|  `awsvpc`  |  Sì   |  Sì  |  All'attività viene assegnata la propria interfaccia di rete elastica (ENI) e un indirizzo IPv4 o IPv6 privato primario. Ciò conferisce al processo le stesse proprietà di rete delle istanze Amazon EC2.  | 
|  `bridge`  |  Sì  |  No  |  L'attività utilizza la rete virtuale integrata di Docker su Linux che viene eseguita all'interno di ogni istanza Amazon EC2 che ospita l'attività. La rete virtuale integrata su Linux utilizza il driver di rete `bridge` Docker. Questa è la modalità di rete predefinita su Linux se non viene specificata una modalità di rete nella definizione di attività.  | 
|  `host`  |  Sì  |  No  |  L'attività utilizza la rete dell'host che ignora la rete virtuale integrata di Docker e mappa le porte del container direttamente all'interfaccia di rete elastica (ENI) dell'istanza Amazon EC2 che ospita l'attività. Le mappature dinamiche delle porte non possono essere utilizzate in questa modalità di rete. Un container in una definizione di attività che utilizza questa modalità deve specificare un numero di `hostPort` specifico. Un numero di porta su un host non può essere utilizzato da più attività. Di conseguenza, non sarà possibile eseguire più attività con la stessa definizione di attività su una singola istanza Amazon EC2.  | 
|  `none`  |  Sì  |  No  |  L'attività non dispone di connettività di rete esterna.  | 
|  `default`  |  No  |  Sì  |  L'attività utilizza la rete virtuale integrata di Docker che viene eseguita all'interno di ogni istanza Amazon EC2 che ospita l'attività. La rete virtuale integrata su Windows utilizza il driver di rete `nat` Docker. Questa è la modalità di rete predefinita su Windows se non viene specificata una modalità di rete nella definizione di attività.  | 

Per ulteriori informazioni sulla rete Docker su Linux, consultare [Networking overview](https://docs.docker.com/engine/network/) nella *documentazione di Docker*.

Per ulteriori informazioni sulla rete Docker su Windows, consultare [Windows container networking](https://learn.microsoft.com/en-us/virtualization/windowscontainers/container-networking/architecture) nella *documentazione di Microsoft Containers* su Windows.

## Utilizzo di un VPC in IPv6 modalità -only
<a name="networking-ipv6-only"></a>

In una configurazione IPv6 solo, le attività di Amazon ECS comunicano esclusivamente tramite. IPv6 Per configurare VPCs e creare sottoreti per una configurazione IPv6 solo, è necessario aggiungere un blocco IPv6 CIDR al VPC e creare nuove sottoreti che includano solo un blocco CIDR. IPv6 Per ulteriori informazioni, consulta [Aggiungi IPv6 supporto per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html) e [crea una sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) nella Amazon *VPC* User Guide.

È inoltre necessario aggiornare le tabelle di routing con le IPv6 destinazioni e configurare i gruppi di sicurezza con regole. IPv6 Per ulteriori informazioni, consultare [Configure route tables](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) e [Configure security group rules](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) nella *Guida per l'utente di Amazon VPC*.

Tieni presente le seguenti considerazioni:
+ Puoi aggiornare un servizio Amazon ECS IPv4 -only o dualstack a IPv6 una configurazione -only aggiornando il servizio direttamente per IPv6 utilizzare sottoreti -only o creando un servizio IPv6 solo parallelo e utilizzando le distribuzioni blu-verdi di Amazon ECS per spostare il traffico verso il nuovo servizio. Per ulteriori informazioni sulle implementazioni blu/verdi di Amazon ECS, consultare [Implementazioni Amazon ECS blue/green](deployment-type-blue-green.md).
+ Un servizio IPv6 solo Amazon ECS deve utilizzare sistemi di bilanciamento del carico dualstack con gruppi target. IPv6 Se si sta migrando un servizio di Amazon ECS esistente basato su un Application Load Balancer o un Network Load Balancer, è possibile creare un nuovo sistema di bilanciatore del carico dualstack e spostare il traffico dal vecchio bilanciatore del carico, o aggiornare il tipo di indirizzo IP del bilanciatore del carico esistente.

  Per ulteriori informazioni sui Network Load Balancer, consultare [Create a Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html) e [Update the IP address types for your Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-ip-address-type.html) nella *Guida per l'utente di Network Load Balancer*. Per ulteriori informazioni su Application Load Balancer, consultare [Create an Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) e [Update the IP address types for your Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-address-type.html) nella *Guida per l'utente di Application Load Balancer*.
+ IPv6La configurazione -only non è supportata su. Windows È necessario utilizzare Linux ottimizzato per Amazon ECS AMIs per eseguire attività in una configurazione solo IPv6. Per ulteriori informazioni su Linux ottimizzato per Amazon ECS AMIs, consulta. [Linux ottimizzato per Amazon ECS AMIs](ecs-optimized_AMI.md)
+ Quando avvii un'istanza di contenitore per eseguire attività in una configurazione IPv6 -only, devi impostare un IPv6 indirizzo primario per l'istanza utilizzando il `--enable-primary-ipv6` parametro EC2.
**Nota**  
Senza un IPv6 indirizzo primario, le attività in esecuzione sull'istanza del contenitore nelle modalità di rete host o bridge non verranno registrate con i sistemi di bilanciamento del carico o con. AWS Cloud Map

  Per ulteriori informazioni su `--enable-primary-ipv6` per eseguire le istanze di Amazon EC2, consultare [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) in *Riferimento ai comandi di AWS CLI *.

  Per ulteriori informazioni sull'avvio di istanze di container utilizzando il, vedere. Console di gestione AWS[Avvio di un'istanza di container Linux di Amazon ECS](launch_container_instance.md)
+ Per impostazione predefinita, l'agente container Amazon ECS cercherà di rilevare la compatibilità dell'istanza del contenitore per una configurazione IPv6 solo esaminando i valori predefiniti IPv4 e IPv6 i percorsi dell'istanza. Per ignorare questo comportamento, puoi impostare il parametro ` ECS_INSTANCE_IP_COMPATIBILITY` su `ipv4` o `ipv6` nel file dell'istanza `/etc/ecs/ecs.config`.
+ Le attività devono utilizzare la versione `1.99.1` o successiva dell'agente del container.. Per informazioni sul controllo della versione dell'agente utilizzata dall'istanza e sull'aggiornamento, se necessario, consultare [Aggiornamento dell'agente del container Amazon ECS](ecs-agent-update.md).
+ Per le attività di Amazon ECS in una configurazione IPv6 -only per comunicare IPv4 solo con endpoint, puoi configurare DNS64 e tradurre gli indirizzi NAT64 di rete da a. IPv6 IPv4 Per ulteriori informazioni, consulta [DNS64 e NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-nat64-dns64.html) consulta la *Amazon VPC User Guide*.
+ I carichi di lavoro Amazon ECS in una configurazione IPv6 solo devono utilizzare gli endpoint URI dell'immagine dualstack di Amazon ECR quando estraggono immagini da Amazon ECR. Per ulteriori informazioni, consulta la sezione [Guida introduttiva all'invio di richieste IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) nella *Amazon Elastic Container Registry User Guide*.
**Nota**  
Amazon ECR non supporta gli endpoint VPC con interfaccia dualstack utilizzabili dalle attività in una sola configurazione. IPv6 Per ulteriori informazioni, consulta la sezione [Guida introduttiva all'invio di richieste IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) nella *Amazon Elastic Container Registry User Guide*.
+ Amazon ECS Exec non è supportato in una configurazione di IPv6 sola configurazione.

### Regioni AWS che supporta la modalità IPv6 solo per Amazon ECS
<a name="networking-ipv6-only-regions"></a>

Puoi eseguire attività in una configurazione IPv6 solo nelle seguenti AWS regioni in cui Amazon ECS è disponibile:
+ Stati Uniti orientali (Ohio)
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti occidentali (California settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Africa (Città del Capo)
+ Asia Pacifico (Hong Kong)
+ Asia Pacific (Hyderabad)
+ Asia Pacifico (Giacarta)
+ Asia Pacifico (Melbourne)
+ Asia Pacifico (Mumbai)
+ Asia Pacifico (Osaka)
+ Asia Pacifico (Seoul)
+ Asia Pacifico (Singapore)
+ Asia Pacifico (Sydney)
+ Asia Pacifico (Tokyo)
+ Canada (Centrale)
+ Canada occidentale (Calgary)
+ Cina (Pechino)
+ Cina (Ningxia)
+ Europa (Francoforte)
+ Europa (Londra)
+ Europa (Milano)
+ Europa (Parigi)
+ Europa (Spagna)
+ Israele (Tel Aviv)
+ Medio Oriente (Bahrein)
+ Medio Oriente (Emirati Arabi Uniti)
+ Sud America (San Paolo)
+ AWS GovCloud (Stati Uniti orientali)
+ AWS GovCloud (Stati Uniti occidentali)

# Assegna un'interfaccia di rete per un'attività su Amazon ECS
<a name="task-networking-awsvpc"></a>

Le funzionalità di rete delle attività fornite dalla modalità di rete `awsvpc` forniscono alle attività Amazon ECS le stesse proprietà di rete delle istanze Amazon EC2. L'utilizzo della modalità `awsvpc` di rete semplifica il networking in container, poiché avete un maggiore controllo sul modo in cui le applicazioni comunicano tra loro e con gli altri servizi al vostro interno. VPCs La modalità di rete `awsvpc` fornisce inoltre una maggiore sicurezza per i container in quanto permette di utilizzare i gruppi di sicurezza e gli strumenti di monitoraggio di rete a un livello più granulare all'interno dei processi. È possibile anche utilizzare altre funzionalità di rete di Amazon EC2, come i log dei flussi VPC, per monitorare il traffico da e verso le attività. Inoltre, i container che appartengono alla stessa attività possono comunicare tramite l'interfaccia `localhost`.

L'interfaccia di rete elastica (ENI) dell'attività è una funzionalità completamente gestita di Amazon ECS. Amazon ECS crea l'ENI e la collega all'istanza Amazon EC2 dell'host con il gruppo di sicurezza specificato. Il processo invia e riceve il traffico di rete nell'ENI nello stesso modo con cui le istanze Amazon EC2 gestiscono le interfacce di rete primarie. Per impostazione predefinita, a ciascuna attività ENI viene assegnato un IPv4 indirizzo privato. Se il tuo VPC è abilitato per la modalità dual-stack e utilizzi una sottorete con un blocco IPv6 CIDR, anche l'attività ENI riceverà un indirizzo. IPv6 Ogni processo può avere una sola ENI. 

Queste ENI sono visibili nella console Amazon EC2 per l'account. Il tuo account non può scollegare o modificare il. ENIs Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Puoi visualizzare le informazioni sugli allegati ENI per le attività nella console Amazon ECS o con il funzionamento dell'[DescribeTasks](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html)API. Quando l'attività viene interrotta o se il servizio viene ridotto, l'ENI dell'attività viene scollegata ed eliminata.

Quando è necessaria una maggiore densità ENI, utilizzare le impostazioni dell'account `awsvpcTrunking`. Inoltre, Amazon ECS crea e collega un'interfaccia di rete “trunk” per l'istanza di container. La rete trunk è completamente gestita da Amazon ECS. L'ENI trunk viene eliminata quando termini o annulli la registrazione dell'istanza di container dal cluster Amazon ECS. Per ulteriori informazioni sulle impostazioni dell'account `awsvpcTrunking`, consultare [Prerequisiti](container-instance-eni.md#eni-trunking-launching).

Specificare `awsvpc` nel parametro `networkMode` della definizione dell'attività. Per ulteriori informazioni, consulta [Modalità di rete](task_definition_parameters.md#network_mode). 

Pertanto, quando si esegue un'attività o si crea un servizio, utilizzare un parametro `networkConfiguration` che include una o più sottoreti in cui inserire le attività e uno o più gruppi di sicurezza da collegare all'ENI. Per ulteriori informazioni, consulta [Configurazione della rete](service_definition_parameters.md#sd-networkconfiguration). Le attività vengono posizionate nelle istanze Amazon EC2 compatibili nelle stesse zone di disponibilità delle sottoreti e i gruppi di sicurezza specificati vengono associati all'ENI assegnata all'attività.

## Considerazioni per Linux
<a name="linux"></a>

 Tieni in considerazione le informazioni seguenti durante l'utilizzo del sistema operativo Linux.
+ Se si utilizza un'istanza p5.48xlarge in modalità `awsvpc`, non è possibile eseguire più di un'attività sull'istanza.
+ Le attività e i servizi che utilizzano la modalità di `awsvpc` rete richiedono il ruolo collegato ai servizi Amazon ECS per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri AWS servizi per tuo conto. Questo ruolo viene creato automaticamente quando crei un cluster oppure quando crei o aggiorni un servizio nella Console di gestione AWS. Per ulteriori informazioni, consulta [Uso di ruoli collegati ai servizi per Amazon ECS](using-service-linked-roles.md). Puoi anche creare il ruolo collegato al servizio con il seguente comando: AWS CLI 

  ```
  aws iam [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) --aws-service-name ecs.amazonaws.com
  ```
+ L'istanza Linux di Amazon EC2 richiede la versione `1.15.0` o successiva dell'agente del container per eseguire processi che utilizzano la modalità di rete `awsvpc`. Se utilizzi l'AMI ottimizzata per Amazon ECS, l'istanza deve disporre almeno della versione `1.15.0-4` del pacchetto `ecs-init`.
+ Amazon ECS popola il nome host del processo con un nome host DNS (interno) fornito da Amazon quando entrambe le opzioni `enableDnsHostnames` e `enableDnsSupport` e sono abilitate nel VPC. Se queste opzioni non sono abilitate, il nome host DNS dell'attività è impostato su un nome host casuale. Per ulteriori informazioni sulle impostazioni DNS per un VPC, consulta [Utilizzo del DNS con il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) nella *Guida per l'utente di Amazon VPC*.
+ Ogni processo Amazon ECS che utilizza la modalità di rete `awsvpc` riceve la propria interfaccia di rete elastica (ENI), che è collegata all'istanza Amazon EC2 che la ospita. Esiste una quota predefinita per il numero di interfacce di rete che possono essere collegate a un'istanza Linux di Amazon EC2. L'interfaccia di rete principale viene calcolata come unica rispetto a quella quota. Ad esempio, per impostazione predefinita, è possibile allegare solo fino a tre `c5.large` ENIs istanze. L'interfaccia di rete principale per l'istanza viene calcolata come unica. È possibile allegarne altre due ENIs all'istanza. Poiché ogni attività che utilizza la modalità di rete `awsvpc` richiede un'ENI, in genere puoi eseguire solo due attività su questo tipo di istanza. Per ulteriori informazioni sui limiti ENI predefiniti per ogni tipo di istanza, consultare [IP addresses per network interface per instance type](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI) nella *Guida per l'utente di Amazon EC2*.
+ Amazon ECS supporta l'avvio di istanze Linux di Amazon EC2 che utilizzano tipi di istanze supportati con densità ENI aumentata. Quando decidi di attivare l'impostazione dell'account `awsvpcTrunking` e registri le istanze Linux di Amazon EC2 che utilizzano questi tipi di istanza nel cluster, queste istanze hanno limiti ENI più elevati. L'utilizzo di queste istanze con questa quota più elevata significa che puoi eseguire più attività su ciascuna istanza Linux di Amazon EC2. Per utilizzare la densità ENI aumentata con la funzionalità di trunking, le istanze Amazon EC2 devono utilizzare la versione `1.28.1` o successiva dell'agente del container. Se utilizzi l'AMI ottimizzata per Amazon ECS, l'istanza deve disporre almeno della versione `1.28.1-2` del pacchetto `ecs-init`. Per ulteriori informazioni sul consenso esplicito all'impostazione dell'account `awsvpcTrunking`, consulta [Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account](ecs-account-settings.md). Per ulteriori informazioni su trunking dell'ENI, consulta [Aumento delle interfacce di rete delle istanze di container Linux di Amazon ECS](container-instance-eni.md).
+ Quando si ospitano attività che utilizzano la modalità di `awsvpc` rete su istanze Amazon EC2 Linux, alle attività ENIs non vengono assegnati indirizzi IP pubblici. Per accedere a Internet, le attività devono essere avviate in una sottorete privata configurata per l'utilizzo di un gateway NAT. Per ulteriori informazioni, consulta [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) nella *Guida per l’utente di Amazon VPC*. L'accesso di rete in entrata deve avvenire all'interno di un VPC che utilizza l'indirizzo IP privato oppure deve essere instradato attraverso un load balancer dall'interno del VPC. Le attività avviate all'interno di sottoreti pubbliche non hanno accesso a Internet.
+ Amazon ECS riconosce solo le ENI che collega alle istanze Linux di Amazon EC2. Se ti colleghi manualmente ENIs alle tue istanze, Amazon ECS potrebbe tentare di aggiungere un'attività a un'istanza che non dispone di adattatori di rete sufficienti. Ciò può comportare il timeout dell'attività e il passaggio a uno stato di deprovisioning e quindi allo stato di arresto. Ti consigliamo di non collegarti manualmente ENIs alle tue istanze.
+ Le istanze Linux di Amazon EC2 devono essere registrate con la funzionalità `ecs.capability.task-eni` per essere considerate per il posizionamento di processi con la modalità di rete `awsvpc`. Le istanze che eseguono la versione `1.15.0-4` o successiva di `ecs-init` vengono registrate automaticamente con questo attributo.
+ Le ENI che vengono create e collegate alle tue istanze Linux di Amazon EC2 non possono essere scollegate manualmente o modificate dall'account. Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Per rilasciare il comando ENIs for a task, interrompete l'operazione.
+ È possibile specificare solo 16 sottoreti e 5 gruppi di sicurezza in `awsVpcConfiguration` durante l'esecuzione di un'attività o la creazione di un servizio che utilizza la modalità di rete `awsvpc`. Per ulteriori informazioni, consulta il *riferimento [AwsVpcConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_AwsVpcConfiguration.html)all'API di Amazon Elastic Container Service*.
+ Quando un processo viene avviato con la modalità di rete `awsvpc`, l'agente del container di Amazon ECS crea un container `pause` aggiuntivo per ciascun processo prima di avviare i container nella definizione di attività. Quindi configura lo spazio dei nomi di rete del `pause` contenitore eseguendo i plugin CNI. [amazon-ecs-cni-plugins ](https://github.com/aws/amazon-ecs-cni-plugins) Quindi l'agente avvia il resto dei container nell'attività in modo che condividano lo stack di rete del container `pause`. Questo significa che tutti i container in un'attività sono indirizzabili tramite gli indirizzi IP dell'ENI e che possono comunicare tra loro sull'interfaccia `localhost`.
+ I servizi con attività che utilizzano la modalità di rete `awsvpc` supportano solo Application Load Balancer e Network Load Balancer. Inoltre, quando crei gruppi target per questi servizi, devi scegliere `ip` come tipo di target. Non usare `instance`. Questo perché i processi che utilizzano la modalità di rete `awsvpc` sono associate a un'ENI e non a un'istanza Linux di Amazon EC2. Per ulteriori informazioni, consulta [Usa il bilanciamento del carico per distribuire il traffico del servizio Amazon ECS](service-load-balancing.md).
+ Se il VPC viene aggiornato per modificare le opzioni DHCP utilizzate, non puoi applicare queste modifiche alle attività esistenti. Avvia nuove attività con queste modifiche applicate, verifica che funzionino correttamente e quindi interrompi le attività esistenti per modificare in modo sicuro queste configurazioni di rete.

## Considerazioni per Windows
<a name="windows"></a>

 Le seguenti considerazioni sono relative all'utilizzo del sistema operativo Windows:
+ Le istanze di container che utilizzano l'AMI Windows Server 2016 ottimizzata per Amazon ECS non possono ospitare attività che utilizzano la modalità di rete `awsvpc`. Se disponi di un cluster che contiene Windows Server 2016 ottimizzato per Amazon ECS AMIs e Windows AMIs che supporta la modalità di `awsvpc` rete, le attività che utilizzano la modalità di `awsvpc` rete non vengono avviate sulle istanze di Windows 2016 Server. Piuttosto, vengono avviati su istanze che supportano le modalità di rete `awsvpc`.
+ L'istanza Windows di Amazon EC2 richiede una versione `1.57.1` o successiva dell'agente contenitore per utilizzare i CloudWatch parametri per i contenitori Windows che utilizzano la `awsvpc` modalità di rete.
+ Le attività e i servizi che utilizzano la modalità di `awsvpc` rete richiedono il ruolo collegato ai servizi Amazon ECS per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri AWS servizi per tuo conto. Questo ruolo viene creato automaticamente quando crei un cluster oppure quando crei o aggiorni un servizio nella Console di gestione AWS. Per ulteriori informazioni, consulta [Uso di ruoli collegati ai servizi per Amazon ECS](using-service-linked-roles.md). Puoi anche creare il ruolo collegato al servizio con il seguente comando. AWS CLI 

  ```
  aws iam [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) --aws-service-name ecs.amazonaws.com
  ```
+ L'istanza Windows di Amazon EC2 richiede la versione `1.54.0` o successiva dell'agente del container per eseguire processi che utilizzano la modalità di rete `awsvpc`. Quando avvii l'istanza, devi configurare le opzioni necessarie per la modalità di rete `awsvpc`. Per ulteriori informazioni, consulta [Bootstrap di istanze di container Windows Amazon ECS per il trasferimento dei dati](bootstrap_windows_container_instance.md).
+ Amazon ECS popola il nome host dell'attività con un nome host DNS (interno) fornito da Amazon quando entrambe le opzioni `enableDnsHostnames` e `enableDnsSupport` sono abilitate nel VPC. Se queste opzioni non sono abilitate, il nome host DNS dell'attività sarà un nome host casuale. Per ulteriori informazioni sulle impostazioni DNS per un VPC, consulta [Utilizzo del DNS con il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) nella *Guida per l'utente di Amazon VPC*.
+ Ogni processo Amazon ECS che utilizza la modalità di rete `awsvpc` riceve la propria interfaccia di rete elastica (ENI), che è collegata all'istanza Windows di Amazon EC2 che la ospita. Esiste una quota predefinita per il numero di interfacce di rete che possono essere collegate a un'istanza Windows di Amazon EC2. L'interfaccia di rete principale viene calcolata come unica rispetto a questa quota. Ad esempio, per impostazione predefinita, a un'`c5.large`istanza possono essere ENIs associate solo fino a tre istanze. L'interfaccia di rete principale per l'istanza viene calcolata come una di quelle. È possibile allegarne altre due ENIs all'istanza. Poiché ogni attività che utilizza la modalità di rete `awsvpc` richiede un'ENI, in genere puoi eseguire solo due attività su questo tipo di istanza. Per ulteriori informazioni sui limiti ENI predefiniti per ogni tipo di istanza, consultare [IP addresses per network interface per instance type](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-eni.html#AvailableIpPerENI) nella *Guida per l'utente di Amazon EC2*.
+ Quando si ospitano attività che utilizzano la modalità di `awsvpc` rete su istanze Windows di Amazon EC2, alle attività ENIs non vengono assegnati indirizzi IP pubblici. Per accedere a Internet, avvia le attività in una sottorete privata configurata per l'utilizzo di un gateway NAT. Per ulteriori informazioni, consulta [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) nella *Guida per l’utente di Amazon VPC*. L'accesso di rete in entrata deve avvenire all'interno del VPC utilizzando l'indirizzo IP privato oppure deve essere instradato attraverso un load balancer all'interno del VPC. Le attività avviate all'interno di sottoreti pubbliche non hanno accesso a Internet.
+ Amazon ECS tiene conto solo delle ENI che collega all'istanza Windows di Amazon EC2. Se ti colleghi manualmente ENIs alle tue istanze, Amazon ECS potrebbe tentare di aggiungere un'attività a un'istanza che non dispone di adattatori di rete sufficienti. Ciò può comportare il timeout dell'attività e il passaggio a uno stato di deprovisioning e quindi allo stato di arresto. Ti consigliamo di non collegarti manualmente ENIs alle tue istanze.
+ Le istanze Windows di Amazon EC2 devono essere registrate con la funzionalità `ecs.capability.task-eni` per essere considerate per il posizionamento di processi con la modalità di rete `awsvpc`. 
+  Non puoi modificare o scollegare manualmente le ENI che vengono create e collegate alle tue istanze Windows di Amazon EC2. Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Per rilasciare il comando ENIs for a task, interrompete l'operazione.
+  Puoi specificare solo fino a 16 sottoreti e 5 gruppi di sicurezza in `awsVpcConfiguration`quando esegui un'attività o crei un servizio che utilizza la modalità di rete `awsvpc`. Per ulteriori informazioni, consulta il *riferimento [AwsVpcConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_AwsVpcConfiguration.html)all'API di Amazon Elastic Container Service*.
+ Quando un processo viene avviato con la modalità di rete `awsvpc`, l'agente del container di Amazon ECS crea un container `pause` aggiuntivo per ciascun processo prima di avviare i container nella definizione di attività. Quindi configura lo spazio dei nomi di rete del `pause` contenitore eseguendo i plugin CNI. [amazon-ecs-cni-plugins ](https://github.com/aws/amazon-ecs-cni-plugins) Quindi l'agente avvia il resto dei container nell'attività in modo che condividano lo stack di rete del container `pause`. Questo significa che tutti i container in un'attività sono indirizzabili tramite gli indirizzi IP dell'ENI e che possono comunicare tra loro sull'interfaccia `localhost`.
+ I servizi con attività che utilizzano la modalità di rete `awsvpc` supportano solo Application Load Balancer e Network Load Balancer. Quando crei gruppi target per questi servizi, devi scegliere `ip` come tipo di target anziché `instance`. Questo perché i processi che utilizzano la modalità di rete `awsvpc` sono associati a un'ENI e non a un'istanza Windows di Amazon EC2. Per ulteriori informazioni, consulta [Usa il bilanciamento del carico per distribuire il traffico del servizio Amazon ECS](service-load-balancing.md).
+ Se il VPC viene aggiornato per modificare le opzioni DHCP utilizzate, non puoi applicare queste modifiche alle attività esistenti. Avvia nuove attività con queste modifiche applicate, verifica che funzionino correttamente e quindi interrompi le attività esistenti per modificare in modo sicuro queste configurazioni di rete.
+ Gli elementi seguenti non sono supportati quando si utilizza la modalità di rete `awsvpc` in una configurazione Windows EC2:
  + Configurazione dual-stack
  + IPv6
  + Trunking ENI

## Utilizzo di un VPC in modalità dual-stack
<a name="task-networking-vpc-dual-stack"></a>

Quando si utilizza un VPC in modalità dual-stack, le attività possono comunicare più IPv4 o meno entrambe. IPv6 IPv4 e IPv6 gli indirizzi sono indipendenti l'uno dall'altro. Pertanto è necessario configurare il routing e la sicurezza nel VPC separatamente IPv4 per e. IPv6 *Per ulteriori informazioni su come configurare il tuo VPC per la modalità dual-stack, consulta [Migrating to nella](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) Amazon VPC User IPv6 Guide.*

Se hai configurato il tuo VPC con un gateway Internet o un gateway Internet solo in uscita, puoi utilizzare il VPC in modalità dual-stack. In questo modo, le attività a cui viene assegnato un IPv6 indirizzo possono accedere a Internet tramite un gateway Internet o un gateway Internet solo in uscita. I gateway NAT sono opzionali. Per ulteriori informazioni, consulta [Gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) e [Gateway Internet egress-only](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html) nella *Guida per l'utente di Amazon VPC*.

Alle attività di Amazon ECS viene assegnato un IPv6 indirizzo se vengono soddisfatte le seguenti condizioni:
+ L'istanza Linux di Amazon EC2 che ospita l'attività sta usando la versione `1.45.0` o successiva dell'agente del container. Per informazioni sul controllo della versione dell'agente utilizzata dall'istanza e sull'aggiornamento, se necessario, consulta [Aggiornamento dell'agente del container Amazon ECS](ecs-agent-update.md).
+ L'impostazione dell'account `dualStackIPv6` è abilitata. Per ulteriori informazioni, consulta [Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account](ecs-account-settings.md).
+ Il tuo processo sta usando la modalità di rete `awsvpc`.
+ Il VPC e la sottorete sono configurati per. IPv6 La configurazione include le interfacce di rete create nella sottorete specificata. *Per ulteriori informazioni su come configurare il tuo VPC per la modalità dual-stack, consulta [Migrazione IPv6 e modifica dell'attributo di IPv6 indirizzamento per](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) [la tua sottorete nella](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-ipv6) Amazon VPC User Guide.*

# Mappare le porte dei container di Amazon ECS all'interfaccia di rete dell'istanza EC2
<a name="networking-networkmode-host"></a>

La modalità di rete `host` è supportata solo per le attività Amazon ECS ospitate sulle istanze Amazon EC2. Non è supportata quando si utilizza Fargate con Amazon ECS.

La modalità di rete `host` è la modalità di rete più semplice supportata in Amazon ECS. Utilizzando la modalità host, la rete del container è collegata direttamente all'host sottostante che esegue il container.

![\[Diagramma che mostra l'architettura di una rete con container che utilizzano la modalità di rete host.\]](http://docs.aws.amazon.com/it_it/AmazonECS/latest/developerguide/images/networkmode-host.png)


Si supponga di eseguire un container Node.js con un'applicazione Express in ascolto sulla porta `3000` simile a quella illustrata nel diagramma precedente. Quando si utilizza la modalità di rete `host`, il container riceve il traffico sulla porta 3000 utilizzando l'indirizzo IP dell'istanza Amazon EC2 dell'host sottostante. Ti consigliamo di non utilizzare questa modalità.

L'utilizzo di questa modalità di rete presenta notevoli svantaggi. È possibile creare solo una singola istanza di un'attività su ciascun host, dal momento che solo la prima attività può essere associata alla porta richiesta sull'istanza Amazon EC2. Inoltre, non è possibile rimappare una porta del container quando si utilizza la modalità di rete `host`. Ad esempio, se un'applicazione deve essere in ascolto su un determinato numero di porta, non è possibile rimappare direttamente il numero di porta. È invece necessario gestire eventuali conflitti di porte modificando la configurazione dell'applicazione.

L'utilizzo della modalità di rete `host` comporta anche implicazioni in termini di sicurezza. Questa modalità consente ai container di impersonare l'host e di connettersi ai servizi di rete loopback privati sull'host.

# Utilizzare la rete virtuale di Docker per le attività di Amazon ECS Linux
<a name="networking-networkmode-bridge"></a>

La modalità di rete `bridge` è supportata solo per le attività Amazon ECS ospitate sulle istanze Amazon EC2.

Con la modalità `bridge`, stai utilizzando un bridge di rete virtuale per creare un livello tra l'host e la rete del container. In questo modo, puoi creare mappature delle porte che rimappano una porta host su una porta container. Le mappature possono essere statiche o dinamiche.

![\[Diagramma che mostra l'architettura di una rete utilizzando la modalità di rete bridge con la mappatura statica delle porte.\]](http://docs.aws.amazon.com/it_it/AmazonECS/latest/developerguide/images/networkmode-bridge.png)


Con una mappatura statica delle porte, puoi definire in modo esplicito la porta host da mappare alla porta container. Nell'esempio precedente, la porta `80` dell'host viene mappata sulla porta `3000` del container. Per comunicare con l'applicazione containerizzata, invia il traffico alla porta `80` all'indirizzo IP dell'istanza Amazon EC2. Dal punto di vista dell'applicazione containerizzata, essa rileva il traffico in entrata sulla porta `3000`.

Se vuoi modificare solo la porta del traffico, la mappatura statica rappresenta la soluzione migliore. Tuttavia, presenta lo stesso svantaggio dell'utilizzo della modalità di rete `host`. È possibile creare solo una singola istanza di un'attività su ciascun host, dal momento che la mappatura statica delle porte consente di mappare solo un solo container sulla porta 80.

Per risolvere questo problema, prendi in considerazione l'utilizzo della modalità di rete `bridge` con una mappatura dinamica delle porte, come illustrato nel diagramma seguente.

![\[Diagramma che mostra l'architettura di una rete utilizzando la modalità di rete bridge con la mappatura dinamica delle porte.\]](http://docs.aws.amazon.com/it_it/AmazonECS/latest/developerguide/images/networkmode-bridge-dynamic.png)


Se non si specifica una porta host nella mappatura delle porte, Docker sceglie una porta casuale e inutilizzata dall'intervallo di porte provvisorie e la assegna come porta host pubblica per il container. Ad esempio, all'applicazione Node.js in ascolto sulla porta `3000` del container potrebbe essere assegnato un numero di porta elevato e casuale, ad esempio `47760`, sull'host Amazon EC2. In questo modo è possibile eseguire più copie del container sull'host. Inoltre, a ciascun container può essere assegnata una propria porta sull'host. Ogni copia del container riceve il traffico sulla porta `3000`. Tuttavia, i client che inviano traffico a questi container utilizzano le porte host assegnate casualmente.

Amazon ECS consente di tenere traccia delle porte assegnate casualmente per ogni attività. A tale scopo, aggiorna automaticamente i gruppi target del sistema di bilanciamento del carico e il rilevamento dei AWS Cloud Map servizi in modo da avere l'elenco degli indirizzi IP e delle porte delle attività. Ciò semplifica l'utilizzo dei servizi che operano in modalità `bridge` con porte dinamiche.

Tuttavia, uno svantaggio dell'utilizzo della modalità di rete `bridge` è la difficoltà di bloccare le comunicazioni tra servizi. Poiché i servizi possono essere assegnati a qualsiasi porta casuale e inutilizzata, è necessario aprire ampi intervalli di porte tra gli host. Tuttavia, non è semplice creare regole specifiche in modo che un determinato servizio possa comunicare solo con un altro servizio specifico. I servizi non dispongono di porte specifiche da utilizzare per le regole di rete dei gruppi di sicurezza.

## Configurazione della modalità di rete bridge per IPv6 carichi di lavoro solo
<a name="networking-networkmode-bridge-ipv6-only"></a>

Per configurare la `bridge` modalità di comunicazione IPv6, è necessario aggiornare Docker le impostazioni del demone. Aggiornare `/etc/docker/daemon.json` come segue:

```
{
  "ipv6": true,
  "fixed-cidr-v6": "2001:db8:1::/64",
  "ip6tables": true,
  "experimental": true
}
```

Dopo aver aggiornato le impostazioni del daemon Docker, sarà necessario riavviarlo.

**Nota**  
Quando aggiorni e riavvii il daemon, Docker abilita l' IPv6inoltro sull'istanza, il che può comportare la perdita delle route predefinite sulle istanze che utilizzano un'AMI Amazon Linux 2. Per evitare ciò, usa il seguente comando per aggiungere una route predefinita tramite il gateway della sottorete. IPv6   

```
ip route add default via FE80:EC2::1 dev eth0 metric 100
```