本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 外部執行個體的 Amazon ECS 叢集
Amazon ECS Anywhere 支援將*外部執行個體* (例如內部部署伺服器或虛擬機器 (VM)) 註冊到 Amazon ECS 叢集。外部執行個體已進行優化,可執行產生傳出流量或處理資料的應用程式。如果您的應用程式需要傳入流量,缺乏 Elastic Load Balancing 支援會使這些工作負載的執行效率降低。Amazon ECS 新增了一個新的 `EXTERNAL` 啟動類型,可用來在外部執行個體上建立服務或執行任務。
## 支援的作業系統和系統架構
以下是支援的作業系統清單。支援 `x86_64` 和 `ARM64` CPU 架構。
+ Amazon Linux 2023
+ Ubuntu 20、Ubuntu 22、Ubuntu 24
+ RHEL 9 — 在執行 [ECS Anywhere 安裝指令碼](https://github.com/aws/amazon-ecs-agent/blob/master/scripts/ecs-anywhere-install.sh)之前,您必須確保已安裝 Docker。如需詳細資訊,請參閱 [Docker 文件中的在 RHEL 上安裝 Docker 引擎](https://docs.docker.com/engine/install/rhel/)。
從 2026 年 8 月 7 日開始,Amazon ECS Anywhere 不再支援下列作業系統:
+ Amazon Linux 2
+ CentOS Stream 9
+ RHEL 7、RHEL 8
+ Fedora 32、Fedora 33、Fedora 40
+ openSUSE Tumbleweed
+ Ubuntu 18
+ Debian 9、Debian 10、Debian 11、Debian 12
+ SUSE Enterprise Server 15
+ Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 20H2
## 考量事項
在您開始使用外部執行個體之前,請注意下列考量事項。
+ 您可以一次向一個叢集註冊外部執行個體。如需有關如何向其他叢集註冊外部執行個體的說明,請參閱 [取消註冊 Amazon ECS 外部執行個體](ecs-anywhere-deregistration.md)。
+ 您的外部執行個體需要允許其與 AWS APIs IAM 角色。如需詳細資訊,請參閱[Amazon ECS Anywhere IAM 角色](iam-role-ecsanywhere.md)。
+ 您的外部執行個體不應該在本機定義預先設定的執行個體憑證鏈結,因為這會干擾註冊指令碼。
+ 若要將容器日誌傳送至 CloudWatch Logs,請確定您已在任務定義中建立並指定任務執行 IAM 角色。
+ 當外部執行個體註冊到叢集時,`ecs.capability.external` 屬性會與執行個體相關聯。此屬性會將執行個體視為外部執行個體。您可以將自訂屬性新增至外部執行個體,以作為任務置放條件限制。如需詳細資訊,請參閱[自訂屬性](task-placement-constraints.md#ecs-custom-attributes)。
+ 您可以將資源標籤新增至外部執行個體。如需詳細資訊,請參閱[將標籤新增至 Amazon ECS 的外部容器執行個體](instance-details-tags-external.md)。
+ 外部執行個體支援 ECS Exec。如需詳細資訊,請參閱[使用 ECS Exec 監控 Amazon ECS 容器](ecs-exec.md)。
+ 以下是與外部執行個體聯網時特有的其他考量。如需詳細資訊,請參閱[聯網](#ecs-anywhere-networking)。
+ 不支援服務負載平衡。
+ 不支援服務探索。
+ 在外部執行個體上執行的任務必須使用 `bridge`、`host` 或`none` 網路模式。不支援 `awsvpc` 網路模式。
+ 每個 AWS 區域都有 Amazon ECS 服務網域。必須允許這些服務網域將流量傳送到您的外部執行個體。
+ 安裝在外部執行個體上的 SSM Agent 會維護 IAM 憑證,會使用硬體指紋每 30 分鐘輪換這些憑證。如果您的外部執行個體失去與 的連線 AWS,SSM Agent 會在重新建立連線後自動重新整理登入資料。如需詳細資訊,請參閱 *AWS Systems Manager 使用者指南*中的[使用硬體指紋驗證內部部署伺服器和虛擬機器](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-technical-details.html#fingerprint-validation)。
+ 只要執行個體位於純 IPv6 子網路中,即可在採用純 IPv6 組態的外部執行個體上執行 Linux 任務。如需詳細資訊,請參閱[在純 IPv6 模式下使用 VPC](task-networking.md#networking-ipv6-only)。
+ 不支援 `UpdateContainerAgent` API。如需有關如何更新外部執行個體上的 SSM Agent 或 Amazon ECS 代理程式的說明,請參閱 [更新外部執行個體上的 AWS Systems Manager 代理程式和 Amazon ECS 容器代理程式](ecs-anywhere-updates.md)。
+ 不支援 Amazon ECS 容量提供者。若要在外部執行個體上建立服務或執行獨立任務,請使用 `EXTERNAL` 啟動類型。
+ 不支援 SELinux。
+ 不支援使用 Amazon EFS 磁碟區或指定 `EFSVolumeConfiguration`。
+ 不支援與 App Mesh 整合。
+ 如果您使用主控台建立外部執行個體任務定義,則必須使用主控台 JSON 編輯器建立任務定義。
+ 當您使用非 Amazon ECS 最佳化 AMI 時,請在外部容器執行個體上執行下列命令,以設定規則將 IAM 角色用於任務。如需詳細資訊,請參閱[外部執行個體的額外組態](task-iam-roles.md#enable_task_iam_roles)。
```
$ sysctl -w net.ipv4.conf.all.route_localnet=1
$ iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679
$ iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679
```
### 聯網
Amazon ECS 外部執行個體已進行優化,可執行產生傳出流量或處理資料的應用程式。如果您的應用程式需要傳入流量 (例如 Web 服務),則缺少 Elastic Load Balancing 支援會使執行這些工作負載效率降低,因為不支援將這些工作負載置於負載平衡器之後。
以下是與外部執行個體聯網時特有的其他考量。
+ 不支援服務負載平衡。
+ 不支援服務探索。
+ 在外部執行個體上執行的 Linux 任務必須使用 `bridge`、`host` 或`none` 網路模式。不支援 `awsvpc` 網路模式。
如需有關每個網路模式的詳細資訊,請參閱 [EC2 執行個體的 Amazon ECS 任務聯網選項](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html)。
+ 只要執行個體位於純 IPv6 子網路中,即可在採用純 IPv6 組態的外部執行個體上執行 Linux 任務。如需詳細資訊,請參閱[在純 IPv6 模式下使用 VPC](task-networking.md#networking-ipv6-only)。
+ 每個區域中有 Amazon ECS 服務網域,且必須允許將流量傳送到您的外部執行個體。
+ 安裝在外部執行個體上的 SSM Agent 會維護 IAM 憑證,會使用硬體指紋每 30 分鐘輪換這些憑證。如果您的外部執行個體失去與 的連線 AWS,SSM Agent 會在重新建立連線後自動重新整理登入資料。如需詳細資訊,請參閱 *AWS Systems Manager 使用者指南*中的[使用硬體指紋驗證內部部署伺服器和虛擬機器](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-technical-details.html#fingerprint-validation)。
下列網域用於 Amazon ECS 服務與外部執行個體上安裝的 Amazon ECS 代理程式之間的通訊。請確定允許流量,而且 DNS 解析可以運作。對於每個端點,*區域*表示 Amazon ECS 支援的 AWS 區域的區域識別符,例如美國東部 (俄亥俄) 區域的 `us-east-2`。應允許您使用的所有區域的端點。對於 `ecs-a` 和 `ecs-t` 端點,應該包含星號 (例如 `ecs-a-*`)。
+ `ecs-a-*.region.amazonaws.com` - 管理任務時會使用此端點。
+ `ecs-t-*.region.amazonaws.com` - 此端點可用來管理任務和容器指標。
+ `ecs.region.amazonaws.com` - 這是適用於 Amazon ECS 的服務端點。
+ `ssm.region.amazonaws.com ` — 這是 的服務端點 AWS Systems Manager。
+ `ec2messages.region.amazonaws.com` — 這是服務端點, AWS Systems Manager 用於在 Systems Manager 代理程式與雲端中的 Systems Manager 服務之間進行通訊。
+ `ssmmessages.region.amazonaws.com` — 必須使用這個服務端點建立和刪除連往雲端工作階段管理員服務的工作階段管道。
+ 如果您的任務需要與任何其他 AWS 服務通訊,請確定允許這些服務端點。應用程式範例包括使用 Amazon ECR 來提取容器映像或將 CloudWatch 用於 CloudWatch Logs。如需詳細資訊,請參閱 *AWS 一般參考*中的[服務端點](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)。
### Amazon FSx for Windows File Server 搭配 ECS Anywhere
**重要**
Amazon ECS Anywhere 的 Windows 支援已棄用。本節不再適用。
若要 Amazon FSx for Windows File Server 搭配 Amazon ECS 外部執行個體使用 ,您必須在內部部署資料中心與 之間建立連線 AWS 雲端。如需關於將您的網路連線至 VPC 連線選項的資訊,請參閱 [Amazon Virtual Private Cloud 連線能力選項](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)。
### gMSA 搭配 ECS Anywhere
**重要**
Amazon ECS Anywhere 的 Windows 支援已棄用。本節不再適用。
當 Windows 是支援的作業系統時,ECS Anywhere 支援下列使用案例。
+ Active Directory 位於 AWS 雲端 - 對於此組態,您可以使用 連線在內部部署網路與 AWS 雲端 之間建立 AWS Direct Connect 連線。如需有關如何建立連線的資訊,請參閱 [Amazon Virtual Private Cloud 連線選項](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)。請在 AWS 雲端建立一個 Active Directory。如需有關如何開始使用 的資訊 AWS Directory Service,請參閱《 *AWS Directory Service 管理指南*》中的[設定 AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setting_up.html)。然後,您可以使用 AWS Direct Connect 連線將外部執行個體加入網域。如需搭配 Amazon ECS 使用 gMSA 的詳細資訊,請參閱[了解如何在 Amazon ECS 上為 EC2 Windows 容器使用 gMSA](windows-gmsa.md)。
+ Active Directory 位於內部部署資料中心。- 對於此組態,您將外部執行個體加入到內部部署 Active Directory。然後,您可以在執行 Amazon ECS 任務時使用本機可用的憑證。