本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
從內部ECS將 Amazon 連接到 AWS 服務的最佳實踐 VPC
ECS若要讓 Amazon 正常運作,在每台主機上執行的 Amazon ECS 容器代理程式必須與 Amazon ECS 控制平面進行通訊。如果您要在 Amazon 中存放容器映像ECR,Amazon EC2 主機必須與 Amazon ECR 服務端點通訊,以及存放映像層的 Amazon S3 通訊。如果您針對容器化應用程式使用其他 AWS 服務 (例如持續儲存在 DynamoDB 中的資料),請仔細檢查這些服務是否也具有必要的網路支援。
NAT閘道
使用NAT閘道是確保 Amazon ECS 任務可存取其他 AWS 服務的最簡單方法。如需此方法的詳細資訊,請參閱私有子網路和NAT閘道。
以下是使用此方法的缺點:
-
您無法限制NAT閘道可與哪些目的地通訊。您也無法限制後端層可以通訊的目的地,而不會中斷來自您VPC的.
-
NAT通過的每 GB 資料都會收取閘道費用。如果您使用NAT閘道進行下列任何作業,則需支付每 GB 頻寬的費用:
-
從 Amazon S3 下載大文件
-
對 DynamoDB 執行大量的資料庫查詢
-
從 Amazon 拉圖像 ECR
此外,NAT閘道器還支援 5 Gbps 的頻寬,並可自動擴充至 45 Gbps。如果您透過單一NAT閘道進行路由,需要極高頻寬連線的應用程式可能會遇到網路限制。因應措施是,您可以將工作負載劃分到多個子網路,並為每個子網路提供自己的NAT閘道。
-
AWS PrivateLink
AWS PrivateLink 提供 AWS 服務與內部部署網路之間VPCs的私人連線,而不會將流量暴露到公用網際網路。
VPC端點允許您VPC和支援的服務和VPC端點 AWS 服務之間的私人連線。您VPC與其他服務之間的流量不會離開 Amazon 網絡。VPC端點不需要網際網路閘道、虛擬私有閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線。您中的 Amazon EC2 執行個體VPC不需要公有 IP 地址即可與服務中的資源通訊。
下圖顯示當您使用VPC端點而非網際網路閘道時,與 AWS 服務通訊的運作方式。 AWS PrivateLink 在子網路內規定彈性網路介面 (ENIs),而VPC路由規則則則用來透過將任何通訊傳送至服務主機名稱ENI,直接傳送至目的地 AWS 服務。此流量不再需要使用NAT閘道或網際網路閘道。
以下是與 Amazon ECS 服務搭配使用的一些常見VPC端點。
許多其他 AWS 服務支援VPC端點。如果您大量使用任何 AWS 服務,則應查詢該服務的特定文件,以及如何為該流量建立VPC端點。
