```
# 使用 AWS CLI 配置 Amazon ECS Service Connect
您可以创建 Fargate 任务的 Amazon ECS 服务,该任务将 Service Connect 和 AWS CLI 结合使用。
**注意**
您可以使用双堆栈服务端点通过 IPv4 和 IPv6 从 AWS CLI、SDK 和 Amazon ECS API 与 Amazon ECS 进行交互。有关更多信息,请参阅 [使用 Amazon ECS 双堆栈端点](dual-stack-endpoint.md)。
## 先决条件
以下是 Service Connect 的先决条件:
+ 验证安装并配置了最新版本的 AWS CLI。有关更多信息,请参阅[安装或更新到最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
+ 您的 IAM 用户具有 [AmazonECS\$1FullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonECS_FullAccess) IAM 策略示例中指定的必需权限。
+ 您已创建要使用的 VPC、子网、路由表和安全组。有关更多信息,请参阅 [创建虚拟私有云](get-set-up-for-amazon-ecs.md#create-a-vpc)。
+ 您有一个名为 `ecsTaskExecutionRole` 的任务执行角色,并且 `AmazonECSTaskExecutionRolePolicy` 托管策略已附加到该角色。此角色允许 Fargate 将 NGINX 应用程序日志和 Service Connect 代理日志写入 Amazon CloudWatch Logs。有关更多信息,请参阅 [创建任务执行 角色](task_execution_IAM_role.md#create-task-execution-role)。
## 第 1 步:创建集群
请按照以下步骤创建 Amazon ECS 集群和命名空间。
**要创建 Amazon ECS 集群和 AWS Cloud Map 命名空间。**
1. 创建要使用的名为 `tutorial` 的 Amazon ECS 集群。参数 `--service-connect-defaults` 设置集群的默认命名空间。在示例输出中,此账户和 AWS 区域 中不存在名称 `service-connect` 的 AWS Cloud Map 命名空间,因此命名空间由 Amazon ECS 创建。命名空间是在账户中的 AWS Cloud Map 中创建的,所有其他命名空间都可见,因此请使用表明目的的名称。
```
aws ecs create-cluster --cluster-name tutorial --service-connect-defaults namespace=service-connect
```
输出:
```
{
"cluster": {
"clusterArn": "arn:aws:ecs:us-west-2:123456789012:cluster/tutorial",
"clusterName": "tutorial",
"serviceConnectDefaults": {
"namespace": "arn:aws:servicediscovery:us-west-2:123456789012:namespace/ns-EXAMPLE"
},
"status": "PROVISIONING",
"registeredContainerInstancesCount": 0,
"runningTasksCount": 0,
"pendingTasksCount": 0,
"activeServicesCount": 0,
"statistics": [],
"tags": [],
"settings": [
{
"name": "containerInsights",
"value": "disabled"
}
],
"capacityProviders": [],
"defaultCapacityProviderStrategy": [],
"attachments": [
{
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"type": "sc",
"status": "ATTACHING",
"details": []
}
],
"attachmentsStatus": "UPDATE_IN_PROGRESS"
}
}
}
```
1. 验证集群是否已创建:
```
aws ecs describe-clusters --clusters tutorial
```
输出:
```
{
"clusters": [
{
"clusterArn": "arn:aws:ecs:us-west-2:123456789012:cluster/tutorial",
"clusterName": "tutorial",
"serviceConnectDefaults": {
"namespace": "arn:aws:servicediscovery:us-west-2:123456789012:namespace/ns-EXAMPLE"
},
"status": "ACTIVE",
"registeredContainerInstancesCount": 0,
"runningTasksCount": 0,
"pendingTasksCount": 0,
"activeServicesCount": 0,
"statistics": [],
"tags": [],
"settings": [],
"capacityProviders": [],
"defaultCapacityProviderStrategy": []
}
],
"failures": []
}
```
1. (可选)验证命名空间是否是在 AWS Cloud Map 中创建的。您可以使用在 AWS Cloud Map 中创建的 AWS 管理控制台 或普通 AWS CLI 配置。
例如,使用 AWS CLI:
```
aws servicediscovery get-namespace --id ns-EXAMPLE
```
输出:
```
{
"Namespace": {
"Id": "ns-EXAMPLE",
"Arn": "arn:aws:servicediscovery:us-west-2:123456789012:namespace/ns-EXAMPLE",
"Name": "service-connect",
"Type": "HTTP",
"Properties": {
"DnsProperties": {
"SOA": {}
},
"HttpProperties": {
"HttpName": "service-connect"
}
},
"CreateDate": 1661749852.422,
"CreatorRequestId": "service-connect"
}
}
```
## 步骤 2:为服务器创建服务
Service Connect 功能旨在互连 Amazon ECS 上的多个应用程序。这些应用程序中至少有一个需要提供 Web 服务才能连接。在此步骤中,您将创建:
+ 使用未经修改的官方 NGINX 容器映像并包括 Service Connect 配置的任务定义。
+ Amazon ECS 服务定义,用于配置 Service Connect,从而为该服务的流量提供服务发现和服务网格代理。该配置重复使用集群配置中的默认命名空间,以减少您为每项服务所做的服务配置量。
+ Amazon ECS 服务。它使用任务定义运行一项任务,并为 Service Connect 代理插入一个额外的容器。代理侦听任务定义的容器端口映射中的端口。在 Amazon ECS 中运行的客户端应用程序中,客户端任务中的代理侦听与任务定义端口名、服务发现名称或服务客户端别名以及来自客户端别名的端口号的出站连接。
**使用 Service Connect 创建 Web 服务**
1. 注册与 Fargate 兼容的任务定义并使用 `awsvpc` 网络模式。按照以下步骤进行操作:
1. 使用以下任务定义的内容创建名为 `service-connect-nginx.json` 的文件。
此任务定义通过向端口映射添加 `name` 和 `appProtocol` 参数来配置 Service Connect。使用多个端口时,端口名称使该端口在服务配置中更易于识别。默认情况下,端口名也用作命名空间中其他应用程序使用的可发现名称。
任务定义包含任务 IAM 角色,因为该服务已启用 ECS Exec。
**重要**
此任务定义使用 `logConfiguration` 从 `stdout` 和 `stderr` 向 Amazon CloudWatch Logs 发送 nginx 输出。此任务执行角色不具有创建 CloudWatch Logs 日志组所需的额外权限。使用 AWS 管理控制台 或 AWS CLI 在 CloudWatch Logs 中创建日志组。如果您不想将 nginx 日志发送到 CloudWatch Logs,可以删除 `logConfiguration`。
用您的 AWS 账户 ID 替换任务执行角色中的 AWS 账户 ID。
```
{
"family": "service-connect-nginx",
"executionRoleArn": "arn:aws:iam::123456789012:role/ecsTaskExecutionRole",
"taskRoleArn": "arn:aws:iam::123456789012:role/ecsTaskRole",
"networkMode": "awsvpc",
"containerDefinitions": [
{
"name": "webserver",
"image": "public.ecr.aws/docker/library/nginx:latest",
"cpu": 100,
"portMappings": [
{
"name": "nginx",
"containerPort": 80,
"protocol": "tcp",
"appProtocol": "http"
}
],
"essential": true,
"logConfiguration": {
"logDriver": "awslogs",
"options": {
"awslogs-group": "/ecs/service-connect-nginx",
"awslogs-region": "region",
"awslogs-stream-prefix": "nginx"
}
}
}
],
"cpu": "256",
"memory": "512"
}
```
1. 使用 `service-connect-nginx.json` 文件注册任务定义:
```
aws ecs register-task-definition --cli-input-json file://service-connect-nginx.json
```
1. 创建服务:
1. 使用您将要创建的 Amazon ECS 服务的内容,创建名为 `service-connect-nginx-service.json` 的文件。此示例会使用在上一步中创建的任务定义。由于示例任务定义使用 `awsvpc` 网络模式,`awsvpcConfiguration` 是必需的。
创建 ECS 服务时,请指定 Fargate 和支持 Service Connect 的 `LATEST` 平台版本。`securityGroups` 和 `subnets` 必须属于符合使用 Amazon ECS 要求的 VPC。您可以从 Amazon VPC 控制台获取安全组和子网 ID。
此服务通过添加 `serviceConnectConfiguration` 参数来配置 Service Connect。不需要命名空间,因为集群配置了默认命名空间。在命名空间中的 ECS 中运行的客户端应用程序通过使用 `portName` 和 `clientAliases` 中的端口连接到此服务。例如,可使用 `http://nginx:80/` 访问此服务,因为 nginx 在根位置 `/` 提供了欢迎页面。不在 Amazon ECS 中运行或不在同一命名空间中的外部应用程序可以使用任务的 IP 地址和任务定义中的端口号,通过 Service Connect 代理访问此应用程序。对于您的 `tls` 配置,请为您的 IAM 角色的 `awsPcaAuthorityArn`、`kmsKey` 和 `roleArn` 添加证书 `arn`。
此服务使用 `logConfiguration` 将 Service Connect 代理输出从 `stdout` 和 `stderr` 发送到 Amazon CloudWatch Logs。此任务执行角色不具有创建 CloudWatch Logs 日志组所需的额外权限。使用 AWS 管理控制台 或 AWS CLI 在 CloudWatch Logs 中创建日志组。我们建议您创建此日志组并将代理日志存储在 CloudWatch Logs 中。如果您不想将代理日志发送到 CloudWatch Logs,可以删除 `logConfiguration`。
```
{
"cluster": "tutorial",
"deploymentConfiguration": {
"maximumPercent": 200,
"minimumHealthyPercent": 0
},
"deploymentController": {
"type": "ECS"
},
"desiredCount": 1,
"enableECSManagedTags": true,
"enableExecuteCommand": true,
"launchType": "FARGATE",
"networkConfiguration": {
"awsvpcConfiguration": {
"assignPublicIp": "ENABLED",
"securityGroups": [
"sg-EXAMPLE"
],
"subnets": [
"subnet-EXAMPLE",
"subnet-EXAMPLE",
"subnet-EXAMPLE"
]
}
},
"platformVersion": "LATEST",
"propagateTags": "SERVICE",
"serviceName": "service-connect-nginx-service",
"serviceConnectConfiguration": {
"enabled": true,
"services": [
{
"portName": "nginx",
"clientAliases": [
{
"port": 80
}
],
"tls": {
"issuerCertificateAuthority": {
"awsPcaAuthorityArn": "certificateArn"
},
"kmsKey": "kmsKey",
"roleArn": "iamRoleArn"
}
}
],
"logConfiguration": {
"logDriver": "awslogs",
"options": {
"awslogs-group": "/ecs/service-connect-proxy",
"awslogs-region": "region",
"awslogs-stream-prefix": "service-connect-proxy"
}
}
},
"taskDefinition": "service-connect-nginx"
}
```
1. 使用 `service-connect-nginx-service.json` 文件创建服务:
```
aws ecs create-service --cluster tutorial --cli-input-json file://service-connect-nginx-service.json
```
输出:
```
{
"service": {
"serviceArn": "arn:aws:ecs:us-west-2:123456789012:service/tutorial/service-connect-nginx-service",
"serviceName": "service-connect-nginx-service",
"clusterArn": "arn:aws:ecs:us-west-2:123456789012:cluster/tutorial",
"loadBalancers": [],
"serviceRegistries": [],
"status": "ACTIVE",
"desiredCount": 1,
"runningCount": 0,
"pendingCount": 0,
"launchType": "FARGATE",
"platformVersion": "LATEST",
"platformFamily": "Linux",
"taskDefinition": "arn:aws:ecs:us-west-2:123456789012:task-definition/service-connect-nginx:1",
"deploymentConfiguration": {
"deploymentCircuitBreaker": {
"enable": false,
"rollback": false
},
"maximumPercent": 200,
"minimumHealthyPercent": 0
},
"deployments": [
{
"id": "ecs-svc/3763308422771520962",
"status": "PRIMARY",
"taskDefinition": "arn:aws:ecs:us-west-2:123456789012:task-definition/service-connect-nginx:1",
"desiredCount": 1,
"pendingCount": 0,
"runningCount": 0,
"failedTasks": 0,
"createdAt": 1661210032.602,
"updatedAt": 1661210032.602,
"launchType": "FARGATE",
"platformVersion": "1.4.0",
"platformFamily": "Linux",
"networkConfiguration": {
"awsvpcConfiguration": {
"assignPublicIp": "ENABLED",
"securityGroups": [
"sg-EXAMPLE"
],
"subnets": [
"subnet-EXAMPLEf",
"subnet-EXAMPLE",
"subnet-EXAMPLE"
]
}
},
"rolloutState": "IN_PROGRESS",
"rolloutStateReason": "ECS deployment ecs-svc/3763308422771520962 in progress.",
"failedLaunchTaskCount": 0,
"replacedTaskCount": 0,
"serviceConnectConfiguration": {
"enabled": true,
"namespace": "service-connect",
"services": [
{
"portName": "nginx",
"clientAliases": [
{
"port": 80
}
]
}
],
"logConfiguration": {
"logDriver": "awslogs",
"options": {
"awslogs-group": "/ecs/service-connect-proxy",
"awslogs-region": "us-west-2",
"awslogs-stream-prefix": "service-connect-proxy"
},
"secretOptions": []
}
},
"serviceConnectResources": [
{
"discoveryName": "nginx",
"discoveryArn": "arn:aws:servicediscovery:us-west-2:123456789012:service/srv-EXAMPLE"
}
]
}
],
"roleArn": "arn:aws:iam::123456789012:role/aws-service-role/ecs.amazonaws.com/AWSServiceRoleForECS",
"version": 0,
"events": [],
"createdAt": 1661210032.602,
"placementConstraints": [],
"placementStrategy": [],
"networkConfiguration": {
"awsvpcConfiguration": {
"assignPublicIp": "ENABLED",
"securityGroups": [
"sg-EXAMPLE"
],
"subnets": [
"subnet-EXAMPLE",
"subnet-EXAMPLE",
"subnet-EXAMPLE"
]
}
},
"schedulingStrategy": "REPLICA",
"enableECSManagedTags": true,
"propagateTags": "SERVICE",
"enableExecuteCommand": true
}
}
```
您提供的 `serviceConnectConfiguration` 出现在输出的第一个*部署*中。当您以需要更改任务的方式更改 ECS 服务时,Amazon ECS 会创建新的部署。
## 步骤 3:验证是否可以连接
要验证 Service Connect 是否已配置并正常运行,请按照以下步骤从外部应用程序连接到 Web 服务。然后,查看 CloudWatch 中 Service Connect 代理创建的其他指标。
**从外部应用程序连接到 Web 服务**
+ 使用任务 IP 地址连接到任务 IP 地址和容器端口
使用 AWS CLI 并利用 `aws ecs list-tasks --cluster tutorial` 获取任务 ID。
如果您的子网和安全组允许来自任务定义的端口上的公共互联网流量,则可以从计算机连接到公有 IP。但是“describe-tasks”无法获得公有 IP,因此这些步骤包括前往 Amazon EC2 AWS 管理控制台 或 AWS CLI 获取弹性网络接口的详细信息。
在此示例中,同一 VPC 中的 Amazon EC2 实例使用任务的私有 IP。应用程序是 nginx,但 `server: envoy` 标头显示使用了 Service Connect 代理。Service Connect 代理正在从任务定义侦听容器端口。
```
$ curl -v 10.0.19.50:80/
* Trying 10.0.19.50:80...
* Connected to 10.0.19.50 (10.0.19.50) port 80 (#0)
> GET / HTTP/1.1
> Host: 10.0.19.50
> User-Agent: curl/7.79.1
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< server: envoy
< date: Tue, 23 Aug 2022 03:53:06 GMT
< content-type: text/html
< content-length: 612
< last-modified: Tue, 16 Apr 2019 13:08:19 GMT
< etag: "5cb5d3c3-264"
< accept-ranges: bytes
< x-envoy-upstream-service-time: 0
<
Welcome to nginx!
Welcome to nginx!
If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.
For online documentation and support please refer to
nginx.org.
Commercial support is available at
nginx.com.
Thank you for using nginx.
```
**查看 Service Connect 指标**
Service Connect 代理在 CloudWatch 指标中创建应用程序(HTTP、HTTP2、gRPC 或 TCP 连接)指标。使用 CloudWatch 控制台时,请查看 Amazon ECS 命名空间下的 **DiscoveryName**、(**DiscoveryName、ServiceName、ClusterName**)、**TargetDiscoveryName** 和(**TargetDiscoveryName、ServiceName、ClusterName**)等其他指标维度。有关这些指标和维度的更多信息,请参阅《Amazon CloudWatch Logs 用户指南》中的[查看可用指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html)。
# 使用服务发现连接具有 DNS 名称的 Amazon ECS 服务
您的 Amazon ECS 服务可以选择配置为使用 Amazon ECS 服务发现。服务发现使用 AWS Cloud Map API 操作,用于托管 Amazon ECS 服务的 HTTP 和 DNS 命名空间。有关更多信息,请参阅 [AWS Cloud Map 开发人员指南](https://docs.aws.amazon.com/cloud-map/latest/dg/Welcome.html) 中的*什么是 AWS Cloud Map*。
服务发现在以下 AWS 区域可用:
| 区域名称 | 区域 |
| --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 |
| 美国东部(俄亥俄州) | us-east-2 |
| 美国西部(北加利福尼亚) | us-west-1 |
| 美国西部(俄勒冈州) | us-west-2 |
| 非洲(开普敦) | af-south-1 |
| 亚太地区(香港) | ap-east-1 |
| 亚太地区(台北) | ap-east-2 |
| 亚太地区(孟买) | ap-south-1 |
| 亚太地区(海得拉巴) | ap-south-2 |
| 亚太地区(东京) | ap-northeast-1 |
| 亚太地区(首尔) | ap-northeast-2 |
| 亚太地区(大阪) | ap-northeast-3 |
| 亚太地区(新加坡) | ap-southeast-1 |
| 亚太地区(悉尼) | ap-southeast-2 |
| 亚太地区(雅加达) | ap-southeast-3 |
| 亚太地区(墨尔本) | ap-southeast-4 |
| 亚太地区(马来西亚) | ap-southeast-5 |
| 亚太地区(新西兰) | ap-southeast-6 |
| 亚太地区(泰国) | ap-southeast-7 |
| 加拿大(中部) | ca-central-1 |
| 加拿大西部(卡尔加里) | ca-west-1 |
| 中国(北京) | cn-north-1 |
| 中国(宁夏) | cn-northwest-1 |
| 欧洲地区(法兰克福) | eu-central-1 |
| 欧洲(苏黎世) | eu-central-2 |
| 欧洲地区(爱尔兰) | eu-west-1 |
| 欧洲地区(伦敦) | eu-west-2 |
| 欧洲地区(巴黎) | eu-west-3 |
| 欧洲地区(米兰) | eu-south-1 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 |
| 以色列(特拉维夫) | il-central-1 |
| 欧洲(西班牙) | eu-south-2 |
| 中东(阿联酋) | me-central-1 |
| 墨西哥(中部) | mx-central-1 |
| 中东(巴林) | me-south-1 |
| 南美洲(圣保罗) | sa-east-1 |
| AWS GovCloud(美国东部) | us-gov-east-1 |
| AWS GovCloud(美国西部) | us-gov-west-1 |
## 服务发现概念
服务发现包括以下组件:
+ **服务发现命名空间**:共享相同域名的服务发现服务的逻辑组,例如 `example.com`,这是您想要路由流量的位置。您可以通过调用 `aws servicediscovery create-private-dns-namespace` 命令或在 Amazon ECS 控制台中创建命名空间。您可以使用 `aws servicediscovery list-namespaces` 命令来查看有关当前账户创建的命名空间的摘要信息。有关服务发现命令的更多信息,请参阅 *`[create-private-dns-namespace](https://docs.aws.amazon.com/cli/latest/reference/servicediscovery/create-private-dns-namespace.html)`(服务发现)`[list-namespaces](https://docs.aws.amazon.com/cli/latest/reference/servicediscovery/list-namespaces.html)` 参考指南*中的 AWS Cloud Map 和 AWS CLI。
+ **服务发现服务**:存在于服务发现命名空间中,由命名空间的服务名称和 DNS 配置组成。它提供了以下核心组件:
+ **服务注册**:让您可通过 DNS 或 AWS Cloud Map API 操作查找服务,并获取一个或多个可用于连接到该服务的可用端点。
+ **服务发现实例**:存在于服务发现中并包含与服务目录中的每个 Amazon ECS 服务相关联的属性。
+ **实例属性**:将以下元数据添加为配置为使用服务发现的每个 Amazon ECS 服务的自定义属性:
+ **`AWS_INSTANCE_IPV4`** -对于 `A` 记录,为 Route 53 响应 DNS 查询而返回和 AWS Cloud Map 在发现实例详细信息时返回的 IPv4 地址,例如 `192.0.2.44`。
+ **`AWS_INSTANCE_IPV6`**:对于 `AAAA` 记录,为 Route 53 响应 DNS 查询而返回和 AWS Cloud Map 在发现实例详细信息时返回的 IPv6 地址,例如 ` 2001:0db8:85a3:0000:0000:abcd:0001:2345`。为 Amazon ECS 双堆栈服务添加了 `AWS_INSTANCE_IPv4` 和 `AWS_INSTANCE_IPv6`。对 Amazon ECS 仅 IPv6 服务仅添加了 `AWS_INSTANCE_IPv6`。
+ **`AWS_INSTANCE_PORT`** – 与服务发现服务关联的端口值。
+ **`AVAILABILITY_ZONE`** – 任务启动到的可用区。对于使用 EC2 的任务,这是容器实例存在于的可用区。对于使用 Fargate 的任务,这是弹性网络接口存在于的可用区。
+ **`REGION`** – 任务存在于的区域。
+ **`ECS_SERVICE_NAME`** – 任务属于的 Amazon ECS 服务的名称。
+ **`ECS_CLUSTER_NAME`** – 任务属于的 Amazon ECS 集群的名称。
+ **`EC2_INSTANCE_ID`**:在其上放置任务的容器实例的 ID。如果任务使用 Fargate,则不会添加此自定义属性。
+ **`ECS_TASK_DEFINITION_FAMILY`**:任务使用的任务定义系列。
+ **`ECS_TASK_SET_EXTERNAL_ID`**:如果为外部部署创建任务集并将任务集与服务发现注册表关联,`ECS_TASK_SET_EXTERNAL_ID` 属性将包含任务集的外部 ID。
+ **Amazon ECS 运行状况检查**:Amazon ECS 执行定期容器级别的运行状况检查。如果端点不传递运行状况检查,则会将其从 DNS 路由中删除并标记为不正常。
## 服务发现注意事项
使用服务发现时应注意以下事项:
+ Fargate 上使用平台版本1.1.0或更高版本的任务支持服务发现。有关更多信息,请参阅 [适用于 Amazon ECS 的 Fargate 平台版本](platform-fargate.md)。
+ 配置为使用服务发现的服务每个服务限制为 1,000 个任务。这是由于 Route 53 服务配额造成的。
+ Amazon ECS 控制台中的创建服务工作流程仅支持向私有 DNS 命名空间注册服务。在创建 AWS Cloud Map 私有 DNS 命名空间时,将自动创建 Route 53 私有托管区域。
+ 必须配置 VPC DNS 属性才能成功解析 DNS。有关如何配置属性的信息,请参阅 *Amazon VPC 用户指南*中 [VPC 中的 DNS 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)。
+ Amazon ECS 不支持将服务注册到共享的 AWS Cloud Map 命名空间。
+ 为服务发现服务创建的 DNS 记录将始终注册任务的私有 IP 地址,而不是公有 IP 地址,即使使用公共命名空间也是如此。
+ 服务发现要求任务指定 `awsvpc`、`bridge` 或 `host` 网络模式(不支持 `none`)。
+ 如果服务任务定义使用 `awsvpc` 网络模式,您可以为每个服务任务创建 `A` 或 `SRV` 记录的任意组合。如果您使用 `SRV` 记录,则需要端口。如果服务使用双堆栈子网,则还可以创建 `AAAA` 记录。如果服务使用仅 IPv6 子网,则无法创建 `A` 记录。
+ 如果服务任务定义使用 `bridge` 或 `host` 网络模式,则 SRV 记录是唯一受支持的 DNS 记录类型。为每个服务任务创建 SRV 记录。SRV 记录必须从任务定义中指定容器名称和容器端口组合。
+ 服务发现服务的 DNS 记录可以在 VPC 中查询。它们采用以下格式:`.`。
+ 在服务名称上执行 DNS 查询时,`A` 和 `AAAA` 记录会返回一组与任务对应的 IP 地址。`SRV` 记录会返回每个任务的一组 IP 地址和端口。
+ 如果您有不超过 8 条正常的记录,Route 53 会向所有 DNS 查询提供所有正常记录。
+ 如果所有记录都不正常,Route 53 会向 DNS 查询提供最多 8 条不正常的记录。
+ 您可以为负载均衡器后面的服务配置服务发现,但服务发现流量会始终路由至此任务而不会路由至负载均衡器。
+ 服务发现不支持使用 Classic Load Balancers。
+ 我们建议对服务发现服务使用由 Amazon ECS 管理的容器级别的运行状况检查。
+ **HealthCheckCustomConfig** – Amazon ECS 代表您管理运行状况检查。Amazon ECS 使用来自容器和运行状况检查的信息以及您的任务状态,通过 AWS Cloud Map 更新运行状况。在创建服务发现服务时,使用 `--health-check-custom-config` 参数来指定。有关更多信息,请参阅 *AWS Cloud Map API 参考*中的 [HealthCheckCustomConfig](https://docs.aws.amazon.com/cloud-map/latest/api/API_HealthCheckCustomConfig.html)。
+ 使用服务发现时创建的 AWS Cloud Map 资源必须手动清理。
+ 在容器运行状况检查返回值之前,任务和实例将注册为 `UNHEALTHY`。如果运行状况检查通过,则状态更新为 `HEALTHY`。如果容器运行状况检查失败,则服务发现实例将被注销。
## 服务发现定价
使用 Amazon ECS 服务发现的客户需要为 Route 53 资源和 AWS Cloud Map 发现 API 操作付费。这涉及到创建 Route 53 托管区域和查询服务注册表的成本。更多信息,请参阅 *AWS Cloud Map 开发人员指南*中的 [AWS Cloud Map 定价](https://docs.aws.amazon.com/cloud-map/latest/dg/cloud-map-pricing.html)。
Amazon ECS 执行容器级别的运行状况检查并将其公开到 AWS Cloud Map 自定义运行状况检查 API 操作。目前将此提供给客户没有任何额外成本。如果您为公开任务配置其他网络运行状况检查,则需要为这些运行状况检查付费。
# 创建使用服务发现的 Amazon ECS 服务
了解如何创建包含 Fargate 任务的务,该任务将服务发现和 AWS CLI 结合使用。
有关支持服务发现的 AWS 区域 的列表,请参阅 [使用服务发现连接具有 DNS 名称的 Amazon ECS 服务](service-discovery.md)。
有关支持 Fargate 的区域的信息,请参阅 [Amazon ECS 在 AWS Fargate 上的支持区域](AWS_Fargate-Regions.md)。
**注意**
您可以使用双堆栈服务端点通过 IPv4 和 IPv6 从 AWS CLI、SDK 和 Amazon ECS API 与 Amazon ECS 进行交互。有关更多信息,请参阅 [使用 Amazon ECS 双堆栈端点](dual-stack-endpoint.md)。
## 先决条件
在开始本教程之前,请确保满足以下先决条件:
+ 安装并配置了最新版本的 AWS CLI。有关更多信息,请参阅[安装或更新到最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
+ 完成 [设置以使用 Amazon ECS](get-set-up-for-amazon-ecs.md) 中所述的步骤。
+ 您的 IAM 用户具有 [AmazonECS\$1FullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonECS_FullAccess) IAM 策略示例中指定的必需权限。
+ 您至少创建了一个 VPC 和一个安全组。有关更多信息,请参阅 [创建虚拟私有云](get-set-up-for-amazon-ecs.md#create-a-vpc)。
## 步骤 1:在 AWS Cloud Map 中创建服务发现资源
按照以下步骤创建服务发现命名空间和服务发现服务:
1. 创建一个私有 Cloud Map 服务发现命名空间。此示例会创建一个名为 `tutorial` 的命名空间。将 *vpc-abcd1234* 替换为现有 VPC 之一的 ID。
```
aws servicediscovery create-private-dns-namespace \
--name tutorial \
--vpc vpc-abcd1234
```
此命令的输出如下。
```
{
"OperationId": "h2qe3s6dxftvvt7riu6lfy2f6c3jlhf4-je6chs2e"
}
```
1. 使用上一步输出中的 `OperationId`,验证私有命名空间是否已经成功创建。记下命名空间 ID,因为您在后续命令中会使用它。
```
aws servicediscovery get-operation \
--operation-id h2qe3s6dxftvvt7riu6lfy2f6c3jlhf4-je6chs2e
```
输出如下所示。
```
{
"Operation": {
"Id": "h2qe3s6dxftvvt7riu6lfy2f6c3jlhf4-je6chs2e",
"Type": "CREATE_NAMESPACE",
"Status": "SUCCESS",
"CreateDate": 1519777852.502,
"UpdateDate": 1519777856.086,
"Targets": {
"NAMESPACE": "ns-uejictsjen2i4eeg"
}
}
}
```
1. 使用上一步输出中的 `NAMESPACE` ID 创建服务发现服务。此示例创建一个名为 `myapplication` 的服务。记下服务 ID 和 ARN,因为您会在后续命令中使用它们。
```
aws servicediscovery create-service \
--name myapplication \
--dns-config "NamespaceId="ns-uejictsjen2i4eeg",DnsRecords=[{Type="A",TTL="300"}]" \
--health-check-custom-config FailureThreshold=1
```
输出如下所示。
```
{
"Service": {
"Id": "srv-utcrh6wavdkggqtk",
"Arn": "arn:aws:servicediscovery:region:aws_account_id:service/srv-utcrh6wavdkggqtk",
"Name": "myapplication",
"DnsConfig": {
"NamespaceId": "ns-uejictsjen2i4eeg",
"DnsRecords": [
{
"Type": "A",
"TTL": 300
}
]
},
"HealthCheckCustomConfig": {
"FailureThreshold": 1
},
"CreatorRequestId": "e49a8797-b735-481b-a657-b74d1d6734eb"
}
}
```
## 步骤 2:创建 Amazon ECS 资源
使用以下步骤创建您的 Amazon ECS 集群、任务定义和服务:
1. 创建 Amazon ECS 集群。此示例会创建一个名为 `tutorial` 的集群。
```
aws ecs create-cluster \
--cluster-name tutorial
```
1. 注册与 Fargate 兼容的任务定义并使用 `awsvpc` 网络模式。按照以下步骤进行操作:
1. 使用以下任务定义的内容创建名为 `fargate-task.json` 的文件。
```
{
"family": "tutorial-task-def",
"networkMode": "awsvpc",
"containerDefinitions": [
{
"name": "sample-app",
"image": "public.ecr.aws/docker/library/httpd:2.4",
"portMappings": [
{
"containerPort": 80,
"hostPort": 80,
"protocol": "tcp"
}
],
"essential": true,
"entryPoint": [
"sh",
"-c"
],
"command": [
"/bin/sh -c \"echo ' Amazon ECS Sample App Amazon ECS Sample App
Congratulations!
Your application is now running on a container in Amazon ECS.
' > /usr/local/apache2/htdocs/index.html && httpd-foreground\""
]
}
],
"requiresCompatibilities": [
"FARGATE"
],
"cpu": "256",
"memory": "512"
}
```
1. 使用 `fargate-task.json` 注册任务定义。
```
aws ecs register-task-definition \
--cli-input-json file://fargate-task.json
```
1. 按照以下步骤创建 ECS 服务:
1. 使用您将要创建的 ECS 服务的内容,创建名为 `ecs-service-discovery.json` 的文件。此示例会使用在上一步中创建的任务定义。由于示例任务定义使用 `awsvpc` 网络模式,`awsvpcConfiguration` 是必需的。
创建 ECS 服务时,请指定 Fargate 和支持服务发现的 `LATEST` 平台版本。在 AWS Cloud Map 中创建服务发现服务时,`registryArn` 是返回的 ARN。`securityGroups` 和 `subnets` 必须属于用于创建 Cloud Map 命名空间的 VPC。您可以从 Amazon VPC 控制台获取安全组和子网 ID。
```
{
"cluster": "tutorial",
"serviceName": "ecs-service-discovery",
"taskDefinition": "tutorial-task-def",
"serviceRegistries": [
{
"registryArn": "arn:aws:servicediscovery:region:aws_account_id:service/srv-utcrh6wavdkggqtk"
}
],
"launchType": "FARGATE",
"platformVersion": "LATEST",
"networkConfiguration": {
"awsvpcConfiguration": {
"assignPublicIp": "ENABLED",
"securityGroups": [ "sg-abcd1234" ],
"subnets": [ "subnet-abcd1234" ]
}
},
"desiredCount": 1
}
```
1. 使用 `ecs-service-discovery.json` 创建 ECS 服务。
```
aws ecs create-service \
--cli-input-json file://ecs-service-discovery.json
```
## 步骤 3:验证 AWS Cloud Map 中的服务发现
您可以通过查询您的服务发现信息来验证所有内容是否已正确创建。配置服务发现后,您可以使用 AWS Cloud Map API 操作或从 VPC 内的实例调用 `dig`。按照以下步骤进行操作:
1. 通过使用服务发现服务 ID,列出服务发现实例。记下用于资源清理的实例 ID(以粗体标记)。
```
aws servicediscovery list-instances \
--service-id srv-utcrh6wavdkggqtk
```
输出如下所示。
```
{
"Instances": [
{
"Id": "16becc26-8558-4af1-9fbd-f81be062a266",
"Attributes": {
"AWS_INSTANCE_IPV4": "172.31.87.2"
"AWS_INSTANCE_PORT": "80",
"AVAILABILITY_ZONE": "us-east-1a",
"REGION": "us-east-1",
"ECS_SERVICE_NAME": "ecs-service-discovery",
"ECS_CLUSTER_NAME": "tutorial",
"ECS_TASK_DEFINITION_FAMILY": "tutorial-task-def"
}
}
]
}
```
1. 使用服务发现命名空间、服务和 ECS 集群名称等其他参数来查询有关服务发现实例的详细信息。
```
aws servicediscovery discover-instances \
--namespace-name tutorial \
--service-name myapplication \
--query-parameters ECS_CLUSTER_NAME=tutorial
```
1. 在 Route 53 托管区域中为服务发现服务创建的 DNS 记录可使用以下 AWS CLI 命令进行查询:
1. 使用命名空间 ID 获取有关命名空间的信息,其中包括 Route 53 托管区域 ID。
```
aws servicediscovery \
get-namespace --id ns-uejictsjen2i4eeg
```
输出如下所示。
```
{
"Namespace": {
"Id": "ns-uejictsjen2i4eeg",
"Arn": "arn:aws:servicediscovery:region:aws_account_id:namespace/ns-uejictsjen2i4eeg",
"Name": "tutorial",
"Type": "DNS_PRIVATE",
"Properties": {
"DnsProperties": {
"HostedZoneId": "Z35JQ4ZFDRYPLV"
}
},
"CreateDate": 1519777852.502,
"CreatorRequestId": "9049a1d5-25e4-4115-8625-96dbda9a6093"
}
}
```
1. 使用上一步中的 Route 53 托管区域 ID(请参阅粗体文本),获取托管区域的资源记录集。
```
aws route53 list-resource-record-sets \
--hosted-zone-id Z35JQ4ZFDRYPLV
```
1. 您还可以使用 `dig` 从 VPC 中的实例查询 DNS。
```
dig +short myapplication.tutorial
```
## 步骤 4:清除
完成本教程后,清除相关资源,以避免因未使用的资源产生费用。按照以下步骤进行操作:
1. 使用您之前记下的服务 ID 和实例 ID,注销服务发现服务实例。
```
aws servicediscovery deregister-instance \
--service-id srv-utcrh6wavdkggqtk \
--instance-id 16becc26-8558-4af1-9fbd-f81be062a266
```
输出如下所示。
```
{
"OperationId": "xhu73bsertlyffhm3faqi7kumsmx274n-jh0zimzv"
}
```
1. 使用上一步输出中的 `OperationId`,验证服务发现服务实例是否已成功注消。
```
aws servicediscovery get-operation \
--operation-id xhu73bsertlyffhm3faqi7kumsmx274n-jh0zimzv
```
```
{
"Operation": {
"Id": "xhu73bsertlyffhm3faqi7kumsmx274n-jh0zimzv",
"Type": "DEREGISTER_INSTANCE",
"Status": "SUCCESS",
"CreateDate": 1525984073.707,
"UpdateDate": 1525984076.426,
"Targets": {
"INSTANCE": "16becc26-8558-4af1-9fbd-f81be062a266",
"ROUTE_53_CHANGE_ID": "C5NSRG1J4I1FH",
"SERVICE": "srv-utcrh6wavdkggqtk"
}
}
}
```
1. 使用服务 ID 删除服务发现服务。
```
aws servicediscovery delete-service \
--id srv-utcrh6wavdkggqtk
```
1. 使用命名空间 ID 删除服务发现命名空间。
```
aws servicediscovery delete-namespace \
--id ns-uejictsjen2i4eeg
```
输出如下所示。
```
{
"OperationId": "c3ncqglftesw4ibgj5baz6ktaoh6cg4t-jh0ztysj"
}
```
1. 使用上一步输出中的 `OperationId`,验证服务发现命名空间是否已成功删除。
```
aws servicediscovery get-operation \
--operation-id c3ncqglftesw4ibgj5baz6ktaoh6cg4t-jh0ztysj
```
输出如下所示。
```
{
"Operation": {
"Id": "c3ncqglftesw4ibgj5baz6ktaoh6cg4t-jh0ztysj",
"Type": "DELETE_NAMESPACE",
"Status": "SUCCESS",
"CreateDate": 1525984602.211,
"UpdateDate": 1525984602.558,
"Targets": {
"NAMESPACE": "ns-rymlehshst7hhukh",
"ROUTE_53_CHANGE_ID": "CJP2A2M86XW3O"
}
}
}
```
1. 将 Amazon ECS 服务的预期数量更新为 `0`。您必须执行此操作才能在下一步中删除该服务。
```
aws ecs update-service \
--cluster tutorial \
--service ecs-service-discovery \
--desired-count 0
```
1. 删除 Amazon ECS 服务。
```
aws ecs delete-service \
--cluster tutorial \
--service ecs-service-discovery
```
1. 删除 Amazon ECS 集群。
```
aws ecs delete-cluster \
--cluster tutorial
```
# 使用 Amazon VPC Lattice 连接、观察和保护 Amazon ECS 服务
Amazon VPC Lattice 是一项完全托管的应用程序联网服务,Amazon ECS 客户无需修改其代码即可观察、保护和监控在不同 AWS 计算服务、VPC 和账户之间构建的应用程序。
VPC Lattice 使用目标组,即计算资源的集合。这些目标可以运行您的应用程序或服务,可以是 Amazon EC2 实例、IP 地址、Lambda 函数和应用程序负载均衡器。通过将其使用的 Amazon ECS 服务与 VPC Lattice 目标组相关联,客户现在可以在 VPC Lattice 中启用 Amazon ECS 任务作为 IP 目标。启动注册服务的任务时,Amazon ECS 会自动向 VPC Lattice 目标组注册任务。
**注意**
使用五种 VPC Lattice 配置时,部署时间可能会比使用较少配置时稍长一些。
当满足条件时,侦听器规则将用于将流量转发到指定的目标组。侦听器使用您在端口配置的协议检查连接请求。服务根据您在配置侦听器时定义的规则将请求路由到其已注册目标。
根据 VPC Lattice 运行状况检查,如果任务运行状况不佳,Amazon ECS 还会自动替换该任务。与 VPC Lattice 关联后,Amazon ECS 客户还可以利用 VPC Lattice 中的许多其他跨计算连接、安全和可观测性功能,例如使用 AWS Resource Access Manager 跨集群、VPC 和账户连接到服务、用于授权和身份验证的 IAM 集成以及高级流量管理功能。
Amazon ECS 客户可以通过以下方式享受 VPC Lattice 的优势。
+ 提高开发人员的工作效率:VPC Lattice 允许您专注于构建功能,从而提高开发人员的工作效率,而 VPC Lattice 则以统一的方式处理所有计算平台上的联网、安全和可观测性问题。
+ 更好的安全状况:VPC Lattice 使您的开发人员能够轻松验证和保护跨应用程序和计算平台的通信,在传输过程中强制加密,并使用 VPC Lattice 身份验证策略应用精细的访问控制。这使您能够实现更好的安全状况,以满足行业领先的监管和合规性要求。
+ 提高应用程序的可扩展性和韧性:VPC Lattice 允许您创建一个由已部署的应用程序组成的网络,并实现路径、标头和基于方法的路由、身份验证、授权和监控等功能。这些优势是在不增加工作负载资源开销的情况下提供的,并且可以支持每秒生成数百万个请求的多集群部署,而不会增加明显的延迟。
+ 通过异构基础设施实现灵活部署:VPC Lattice 可为所有计算服务(例如Amazon ECS、Fargate、Amazon EC2、Amazon EKS 和 Lambda)提供一致的功能,并允许您的组织灵活地为每个应用程序选择合适的基础设施。
## 了解 VPC Lattice 如何与其他 Amazon ECS 服务配合使用
将 VPC Lattice 与 Amazon ECS 配合使用可能会改变您使用其他 Amazon ECS 服务的方式,而其他方面保持不变。
**应用程序负载均衡器**
您不再需要创建特定的应用程序负载均衡器来与 VPC Lattice 中的应用程序负载均衡器目标组类型一起使用,以便该负载均衡器链接到 Amazon ECS 服务。您只需要使用 VPC Lattice 目标组配置 Amazon ECS 服务即可。您也可以选择同时将应用程序负载均衡器与 Amazon ECS 配合使用。
**Amazon ECS 滚动部署**
只有 Amazon ECS 滚动部署可以与 VPC Lattice 配合使用,而 Amazon ECS 在部署期间可以安全地将任务带入服务并从服务中移除。不支持代码部署和蓝绿部署。
要了解有关 VPC Lattice 的更多信息,请参阅 [Amazon VPC Lattice 用户指南](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html)。
# 创建支持 VPC Lattice 的服务
您可以使用 AWS 管理控制台 或 AWS CLI 创建支持 VPC Lattice 的服务。
## 先决条件
在开始本教程之前,请确保满足以下先决条件:
+ 安装并配置了最新版本的 AWS CLI。有关更多信息,请参阅[安装 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html)。
**注意**
您可以使用双堆栈服务端点通过 IPv4 和 IPv6 从 AWS CLI、SDK 和 Amazon ECS API 与 Amazon ECS 进行交互。有关更多信息,请参阅 [使用 Amazon ECS 双堆栈端点](dual-stack-endpoint.md)。
+ 完成 [设置以使用 Amazon ECS](get-set-up-for-amazon-ecs.md) 中所述的步骤。
+ 您的 IAM 用户具有 [AmazonECS\$1FullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonECS_FullAccess) IAM 策略示例中指定的必需权限。
## 使用 AWS 管理控制台 创建支持 VPC Lattice 的服务
按照以下步骤使用 AWS 管理控制台 创建支持 VPC Lattice 的服务。
1. 在 [https://console.aws.amazon.com/ecs/v2](https://console.aws.amazon.com/ecs/v2) 打开控制台。
1. 在导航页面中,选择**集群**。
1. 在**集群**页面上,选择要在其中创建服务的集群。
1. 在 **Services**(服务)选项卡上,选择 **Create**(创建)。
如果您以前从未创建过服务,请按照[使用控制台创建 Amazon ECS 服务](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-service-console-v2.html)中的步骤进行操作,然后在进入 VPC Lattice 部分后继续执行这些步骤。
1. 勾选按钮,选择**开启 VPC Lattice**。
1. 要使用现有的角色,则对于 **Amazon ECS 的 ECS 基础设施角色**,请选择您已经创建的角色,以便在创建 VPC Lattice 目标组时使用。要创建新角色,请**创建 ECS 基础设施角色**。
1. 选择 **VPC**。
**VPC** 取决于您在注册任务定义时选择的联网模式。如果将 `host` 或 `network` 模式与 EC2 结合使用,请选择您的 VPC。
对于 `awsvpc` 模式,系统会根据您在**联网**下选择的 VPC 自动选择 VPC,并且无法更改。
1. 在**目标组**下,选择一个或多个目标组。您需要选择至少 1 个目标组,最多可选择 5 个目标组。要添加更多目标组,请选择**添加目标组**。为您选择的每个目标组选择**端口名称**、**协议**和**端口**。要删除目标组,请选择**移除**。
**注意**
如果要添加现有目标组,则需要使用 AWS CLI。有关如何使用 AWS CLI 添加目标组的说明,请参阅《AWS Command Line Interface 参考》中的 [register-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/register-targets.html)**。
虽然 VPC Lattice 服务可以有多个目标组,但每个目标组只能添加到一个服务中。
要在仅 IPv6 配置中创建服务,请选择 IP 地址类型为 `IPv6` 的目标组。
1. 然后,您可以导航到 VPC Lattice 控制台继续进行设置。进入控制台后,您可以在侦听器默认操作或现有 VPC Lattice 服务的规则中加入新的目标组。
有关更多信息,请参阅 [Listener rules for your VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/listener-rules.html)。
**重要**
您需要允许安全组使用入站规则 `vpc-lattice` 前缀,否则任务和运行状况检查可能会失败。
## 使用 AWS CLI 创建支持 VPC Lattice 的服务
使用 AWS CLI 创建支持 VPC Lattice 的服务。将每个*用户输入占位符*替换为您自己的信息。
1. 创建目标组配置文件。以下示例名为 `tg-config.json`
```
{
"ipAddressType": "IPV4",
"port": 443,
"protocol": "HTTPS",
"protocolVersion": "HTTP1",
"vpcIdentifier": "vpc-f1663d9868EXAMPLE"
}
```
1. 使用以下命令创建 VPC Lattice 目标组。
```
aws vpc-lattice create-target-group \
--name my-lattice-target-group-ip \
--type IP \
--config file://tg-config.json
```
**注意**
要在仅 IPv6 配置中创建服务,请创建 IP 地址类型为 `IPv6` 的目标组。有关更多信息,请参阅《AWS CLI 命令参考》**中的 [create-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-target-group.html)。
输出示例:
```
{
"arn": "arn:aws:vpc-lattice:us-east-2:123456789012:targetgroup/tg-0eaa4b9ab4EXAMPLE",
"config": {
"healthCheck": {
"enabled": true,
"healthCheckIntervalSeconds": 30,
"healthCheckTimeoutSeconds": 5,
"healthyThresholdCount": 5,
"matcher": {
"httpCode": "200"
},
"path": "/",
"protocol": "HTTPS",
"protocolVersion": "HTTP1",
"unhealthyThresholdCount": 2
},
"ipAddressType": "IPV4",
"port": 443,
"protocol": "HTTPS",
"protocolVersion": "HTTP1",
"vpcIdentifier": "vpc-f1663d9868EXAMPLE"
},
"id": "tg-0eaa4b9ab4EXAMPLE",
"name": "my-lattice-target-group-ip",
"status": "CREATE_IN_PROGRESS",
"type": "IP"
}
```
1. 以下名为 *ecs-service-vpc-lattice.json* 的 JSON 文件是用于将 Amazon ECS 服务附加到 VPC Lattice 目标组的示例。以下示例中的 `portName` 与您在任务定义 `portMappings` 属性 `name` 字段中定义的相同。
```
{
"serviceName": "ecs-service-vpc-lattice",
"taskDefinition": "ecs-task-def",
"vpcLatticeConfigurations": [
{
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-0eaa4b9ab4EXAMPLE",
"portName": "testvpclattice",
"roleArn": "arn:aws:iam::123456789012:role/ecsInfrastructureRoleVpcLattice"
}
],
"desiredCount": 5,
"role": "ecsServiceRole"
}
```
使用以下命令创建 Amazon ECS 服务,并使用上面的 json 示例将其附加到 VPC Lattice 目标组。
```
aws ecs create-service \
--cluster clusterName \
--serviceName ecs-service-vpc-lattice \
--cli-input-json file://ecs-service-vpc-lattice.json
```
**注意**
Amazon ECS Anywhere 不支持 VPC Lattice。