# Rede de tarefas do Amazon ECS para instâncias gerenciadas do Amazon ECS
O comportamento da rede das tarefas do Amazon ECS executadas em instâncias gerenciadas do Amazon ECS é determinado pelo *modo de rede* especificado na definição da tarefa. Especifique um modo de rede na definição da tarefa. Você não poderá executar tarefas nas instâncias gerenciadas do Amazon ECS usando uma definição de tarefa que não especifique um modo de rede. As instâncias gerenciadas do Amazon ECS oferecem suporte aos seguintes modos de rede, garantindo compatibilidade com versões anteriores para migrar workloads do Fargate ou do Amazon ECS no Amazon EC2:
| Modo de rede | Descrição |
| --- | --- |
| `awsvpc` | Cada tarefa recebe sua própria interface de rede elástica (ENI) e endereço IPv4 privado. Isso fornece as mesmas propriedades de rede que as instâncias do Amazon EC2 e é compatível com as tarefas tradicionais do Fargate. Usa entroncamento ENI para alta densidade de tarefas. |
| `host` | As tarefas compartilham diretamente o namespace de rede do host. A rede de contêineres está vinculada à instância host subjacente. |
## Usar uma VPC no modo somente IPv6
Em uma configuração somente IPv6, suas tarefas do Amazon ECS se comunicam exclusivamente via IPv6. Para configurar VPCs e sub-redes para uma configuração somente IPv6, adicione um bloco CIDR IPv6 à VPC e crie sub-redes que incluam apenas um bloco CIDR IPv6. Para obter mais informações, consulte [Adicionar suporte IPv6 para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html) e [Criar uma sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) no *Guia do usuário da Amazon VPC*. Atualize também as tabelas de rotas com destinos IPv6 e configure grupos de segurança com regras IPv6. Para obter mais informações, consulte [Configurar tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) e [Configurar regras de grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) no *Guia do usuário da Amazon VPC*.
As seguintes considerações se aplicam:
+ Você pode atualizar um serviço somente IPv4 ou de pilha dupla do Amazon ECS para uma configuração somente IPv6 atualizando o serviço diretamente para usar sub-redes somente IPv6 ou criando um serviço somente IPv6 paralelo e usando implantações azul-verde do Amazon ECS para transferir o tráfego para o novo serviço. Para obter mais informações sobre implantações azul/verde do Amazon ECS, consulte [Implantações azuis/verdes do Amazon ECS](deployment-type-blue-green.md).
+ Um serviço somente IPv6 do Amazon ECS deve usar balanceadores de carga de pilha dupla com grupos-de destino IPv6. Se você estiver migrando um serviço do Amazon ECS existente que está por trás de um Application Load Balancer ou de um Network Load Balancer, será possível criar um novo balanceador de carga de pilha dupla e transferir o tráfego do balanceador de carga antigo ou atualizar o tipo de endereço IP do balanceador de carga existente.
Para obter mais informações sobre Network Load Balancers consulte [Criar um Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html) e [Atualizar os tipos de endereço IP do seu Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-ip-address-type.html) no *Guia do usuário para Network Load Balancers*. Para obter mais informações sobre Application Load Balancers, consulte [Criar um Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) e [Atualizar os tipos de endereço IP do seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-address-type.html) no *Guia do usuário para Application Load Balancers*.
+ Para tarefas do Amazon ECS em uma configuração somente IPv6 para se comunicar com endpoints somente IPv4, você pode configurar DNS64 e NAT64 para converter endereços de rede de IPv6 para IPv4. Para obter mais informações, consulte [DNS64 e NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-nat64-dns64.html), no *Guia do usuário da Amazon VPC*.
+ As workloads do Amazon ECS em uma configuração somente IPv6 devem usar endpoints de URI de imagem de pilha dupla do Amazon ECR ao extrair imagens do Amazon ECR. Para obter mais informações, consulte [Como começar a fazer solicitações via IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) no *Guia do usuário do Amazon Elastic Container Registry*.
**nota**
O Amazon ECR não oferece suporte a endpoints da VPC de interface de pilha dupla que as tarefas de uma configuração somente IPv6 possam usar. Para obter mais informações, consulte [Como começar a fazer solicitações via IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) no *Guia do usuário do Amazon Elastic Container Registry*.
+ Não há suporte para o Amazon ECS Exec em uma configuração somente IPv6.
# Alocar uma interface de rede para tarefas nas instâncias gerenciadas do Amazon ECS
O uso do modo de rede `awsvpc` nas instâncias gerenciadas do Amazon ECS simplifica a rede de contêineres porque você tem mais controle sobre como as aplicações se comunicam entre si e com outros serviços dentro das VPCs. O modo de rede `awsvpc` também fornece maior segurança para os contêineres, permitindo que você use grupos de segurança e ferramentas de monitoramento de rede em um nível mais granular dentro das tarefas.
Por padrão, cada instância gerenciada do Amazon ECS tem uma interface de rede elástica (ENI) de tronco conectada durante a inicialização como ENI primária quando o tipo de instância aceita entroncamento. Para obter mais informações sobre tipos de instância que oferecem suporte ao entroncamento ENI, consulte [Instâncias compatíveis para aumentar as interfaces de rede de contêineres do Amazon ECS.](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/eni-trunking-supported-instance-types.html)
**nota**
Quando o tipo de instância escolhido não for compatível com ENIs de tronco, a instância será inicializada com uma ENI normal.
Cada tarefa executada na instância recebe sua própria ENI anexada à ENI do tronco, com um endereço IP privado primário. Se a VPC estiver configurada para o modo de pilha dupla e você usar uma sub-rede com um bloco CIDR IPv6, a ENI também receberá um endereço IPv6. Ao usar uma sub-rede pública, você tem a opção de atribuir um endereço IP público à ENI primária da instância gerenciada do Amazon ECS habilitando o endereçamento público IPv4 para a sub-rede. Para obter mais informações, consulte [Modificar os atributos de endereçamento IP da sua sub-rede](https://docs.aws.amazon.com//vpc/latest/userguide/subnet-public-ip.html) no *Guia do usuário da Amazon VPC*. Uma tarefa só pode ter uma ENI associada a ela de cada vez.
Os contêineres que pertencem à mesma tarefa também podem se comunicar por meio da interface `localhost`. Para obter mais informações sobre VPCs e sub-redes, consulte [Como a Amazon VPC funciona](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) no *Guia do usuário da Amazon VPC*
As seguintes operações usam a ENI primária anexada à instância:
+ **Downloads de imagens**: as imagens de contêiner são baixadas do Amazon ECR por meio da ENI principal.
+ **Recuperação de segredos**: os segredos e outras credenciais do Secrets Manager são recuperados por meio da ENI primária.
+ **Uploads de logs**: os logs são enviados por upload para o CloudWatch por meio da ENI primária.
+ **Downloads de arquivos de ambiente**: os arquivos de ambiente são baixados por meio da ENI principal.
O tráfego da aplicação flui pela ENI da tarefa.
Como cada tarefa tem sua própria ENI, você pode usar recursos de rede, como os logs de fluxo de VPC, que podem ser usados para monitorar o tráfego de e para suas tarefas. Para obter mais informações, consulte [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário do Amazon Virtual Private Cloud*.
Você também pode utilizar AWS PrivateLink. É possível configurar um endpoint de interface VPC para que você possa acessar APIs do Amazon ECS por meio de endereços IP privados. AWS PrivateLink restringe todo o tráfego de rede entre sua VPC e o Amazon ECS para a rede da Amazon. Você não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual. Para obter mais informações, consulte [Endpoints da VPC da interface do Amazon ECS (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html).
O modo de rede `awsvpc` também permite que você utilize o Amazon VPC Traffic Mirroring para segurança e monitoramento do tráfego de rede ao usar tipos de instância que não têm ENIs de tronco anexadas. Para obter mais informações, consulte [O que é Traffic Mirroring](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) no *Guia do Amazon VPC Traffic Mirroring*.
## Considerações sobre o modo `awsvpc`
+ As tarefas exigem o perfil vinculado ao serviço do Amazon ECS para o gerenciamento da ENI. Esse perfil é criado automaticamente quando você cria um cluster ou um serviço.
+ As ENIs de tarefas são gerenciados pelo Amazon ECS e não podem ser desanexados ou modificados manualmente.
+ A atribuição de um endereço IP público à ENI de tarefa usando `assignPublicIp` ao executar uma tarefa autônoma (`RunTask`), criar ou atualizar um serviço (`CreateService`/`UpdateService`) não é compatível.
+ Quando você configurar a rede `awsvpc` no nível da tarefa, use a mesma VPC especificada como parte do modelo de inicialização do provedor de capacidade de instâncias gerenciadas do Amazon ECS. Você pode usar sub-redes e grupos de segurança diferentes dos especificados no modelo de inicialização.
+ Para tarefas no modo de rede `awsvpc`, use o tipo de destino `ip` ao configurar grupos de destino do balanceador de carga. O Amazon ECS gerencia automaticamente o registro do grupo de destino para os modos de rede compatíveis.
## Usar uma VPC no modo de pilha dupla
Ao usar uma VPC no modo de pilha dupla, as tarefas podem se comunicar por IPv4, IPv6 ou ambos. Os endereços IPv4 e IPv6 são independentes um do outro. Portanto, é preciso configurar o encaminhamento e a segurança na VPC separadamente para IPv4 e IPv6. Para obter mais informações sobre como configurar a VPC para o modo de pilha dupla, consulte [Migrar para IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) no *Guia do usuário da Amazon VPC*.
Se tiver configurado sua VPC com um gateway da Internet ou um gateway da Internet somente saída, será possível utilizar sua VPC no modo de pilha dupla. Fazendo isso, as tarefas que obtêm um endereço IPv6 podem acessar a Internet por meio de um gateway da Internet ou um gateway da Internet somente saída. Gateways NAT são opcionais. Para obter mais informações, consulte [Gateways da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) e [Gateways da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html) somente de saída no *Guia do usuário da Amazon VPC*.
As tarefas do Amazon ECS receberão um endereço IPv6 se as seguintes condições forem atendidas:
+ A instância gerenciada do Amazon ECS que hospeda a tarefa está usando a versão `1.45.0` ou posterior do agente de contêiner. Para obter informações sobre como verificar a versão do agente que a instância está usando e atualizá-la, se necessário, consulte [Atualizar o agente de contêiner do Amazon ECS](ecs-agent-update.md).
+ A configuração `dualStackIPv6` da conta está habilitada. Para obter mais informações, consulte [Acesso aos recursos do Amazon ECS com as configurações de conta](ecs-account-settings.md).
+ Sua tarefa está usando o modo de rede `awsvpc`.
+ Sua VPC e sua sub-rede estão configuradas para IPv6. A configuração inclui as interfaces de rede criadas na sub-rede especificada. Para obter mais informações sobre como configurar a VPC para o modo de pilha dupla, consulte [Migrar para IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) e [Modificar o atributo de endereçamento IPv6 para a sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-ipv6) no *Guia do usuário da Amazon VPC*.
# Modo de rede do host
No modo `host`, as tarefas compartilham diretamente o namespace de rede do host. A configuração de rede do contêiner está vinculada à instância host subjacente das instâncias gerenciadas do Amazon ECS que você especifica usando o parâmetro `networkConfiguration` ao criar um provedor de capacidade de instâncias gerenciadas do Amazon ECS.``
Existem desvantagens significativas em usar esse modo de rede. Você não pode executar mais do que uma única instanciação de uma tarefa em cada host. Isso ocorre porque somente a primeira tarefa pode ser vinculada à porta necessária na instância do Amazon EC2. Também não há como remapear uma porta de contêiner quando ela estiver usando o modo de rede `host`. Por exemplo, se uma aplicação precisar escutar um determinado número de porta, você não poderá remapear o número da porta diretamente. Em vez disso, você deverá gerenciar quaisquer conflitos de portas alterando a configuração da aplicação.
Também há implicações de segurança com o uso do modo de rede `host`. Esse modo permite que os contêineres representem o host e permite que os contêineres se conectem a serviços de rede de loopback privados no host.
Use o modo host somente quando precisar de acesso direto à rede do host ou ao migrar aplicações que exijam acesso de rede do host.