Amazon ECS 上の Linux プラットフォームバージョン 1.4.0 への移行 - Amazon Elastic Container Service

Amazon ECS 上の Linux プラットフォームバージョン 1.4.0 への移行

FargateタスクのAmazon ECSをプラットフォームバージョン 1.0.01.1.01.2.0、または 1.3.0 からプラットフォームバージョン 1.4.0 に移行する場合は、次のことを考慮してください。タスクを移行する前に、そのタスクがプラットフォームバージョン 1.4.0 で正しく動作するのを確認することがベストプラクティスです。

  • タスクとの間のネットワークトラフィック動作を更新しました。プラットフォームバージョン 1.4.0 以降では、Fargate タスクでのすべての Amazon ECS は単一の Elastic Network Interface (以降タスク ENI)を受け取り、すべてのネットワークトラフィックは VPC 内でこの ENI を通過します。このトラフィックは VPC フローログを通じて表示されます。詳細については、「Fargate 起動タイプの Amazon ECS タスクのネットワークオプション」を参照してください。

  • インターフェイス VPC エンドポイントを使用する場合は、次の点を考慮してください。

    • Amazon ECR でホストされているコンテナイメージでは、次のエンドポイントが必要です。詳細については、Amazon Elastic コンテナレジストリ ユーザーガイドAmazon ECR Interface VPC エンドポイント(AWS PrivateLink)を参照してください。

      • [com.amazonaws.region.ecr.dkr] Amazon ECR VPC エンドポイント

      • [com.amazonaws.region.ecr.api] Amazon ECR VPC エンドポイント

      • Amazon S3 ゲートウェイエンドポイント

    • コンテナの機密データを取得する際にタスク定義が Secrets Manager シークレットを参照する場合は、Secrets Manager のインターフェイス VPC エンドポイントを作成する必要があります。詳細については、AWS Secrets Manager ユーザーガイドVPC EndpointでSecrets Managerを使用するを参照してください。

    • コンテナの機密データを取得する際にタスク定義が Systems Manager Parameter Store パラメータを参照する場合は、SystemsManager のインターフェイス VPC エンドポイントを作成する必要があります。詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する」を参照してください。

    • タスクに関連付けられた Elastic Network Interface (ENI) のセキュリティグループには、タスクと VPC エンドポイントとの間のトラフィックを許可するセキュリティグループルールが必要です。