本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon ECS 介面 VPC 端點 (AWS PrivateLink)
您可以設定 Amazon ECS 以使用介面 VPC 端點來改善 VPC 的安全狀態。介面端點採用 AWS PrivateLink技術,可讓您APIs使用私有 IP 地址私下存取 Amazon ECS。 AWS PrivateLink 限制 VPC 和 Amazon ECS 之間的所有網路流量與 Amazon 網路。您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。
如需 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱 Amazon VPC 使用者指南中的 Word 端點。 VPC
考量事項
自 2023 年 12 月 23 日起,區域端點的考量事項
設定 Amazon VPC 的介面 ECS 端點之前,請注意下列考量事項:
-
您必須具有下列區域特定的 VPC 端點:
注意
如果您未設定所有端點,您的流量會經過公有端點,而不是 VPC 端點。
-
com.amazonaws.region.ecs-agent -
com.amazonaws.region.ecs-telemetry -
com.amazonaws.region.ecs
例如,加拿大西部 (卡加利) (ca-west-1) 區域需要下列 VPC 端點:
-
com.amazonaws.ca-west-1.ecs-agent -
com.amazonaws.ca-west-1.ecs-telemetry -
com.amazonaws.ca-west-1.ecs
-
-
當您使用範本在新區域中建立 AWS 資源,且範本已從 2023 年 12 月 23 日之前引進的 區域複製時,視複製自 區域而定,請執行下列其中一個操作。
例如,複製自 區域是美國東部 (維吉尼亞北部) (us-east-1)。複製到 區域是加拿大西部 (卡加利) (ca-west-1) 。
組態 動作 從 區域複製沒有任何 VPC 端點。
為新區域建立所有三個 VPC 端點 (例如
com.amazonaws.ca-west-1.ecs-agent)。從 區域複製包含區域特定的 VPC 端點。
-
為新區域建立所有三個 VPC 端點 (例如
com.amazonaws.ca-west-1.ecs-agent)。 -
刪除從 區域複製的所有三個 VPC 端點 (例如
com.amazonaws.us-east-1.ecs-agent)。
-
Fargate 啟動類型的 Amazon ECS VPC 端點考量事項
當在部署 Fargate 任務的同一個 VPC ecr.api中存在 ecr.dkrWord VPC端點時,將使用 VPC 端點。如果沒有 VPC 端點,則會使用 Fargate 介面。
設定 Amazon VPC 的介面 ECS 端點之前,請注意下列考量事項:
-
使用 Fargate 啟動類型的任務不需要 Amazon ECS 的介面 VPC 端點,但您可能需要 Amazon ECR、Secrets Manager 或 Amazon CloudWatch Logs 的介面 Word VPC端點,如下列各點所述。
-
若要允許任務從 Amazon ECR 提取私有映像,您必須為 Amazon VPC 建立介面 ECR 端點。如需詳細資訊,請參閱 Amazon Elastic Container Registry 使用者指南中的介面VPC端點 (AWS PrivateLink)。
重要
如果您將 Amazon ECR 設定為使用介面 VPC 端點,您可以建立任務執行角色,其中包含條件索引鍵,以限制對特定 VPC 或 VPC 端點的存取。如需詳細資訊,請參閱Fargate 任務透過介面端點許可提取 Amazon ECR 映像。
-
若要允許任務從 Secrets Manager 提取敏感資料,您必須為 Secrets Manager 建立介面 VPC 端點。如需詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的將 Secrets Manager 與 VPC 端點搭配使用。
-
如果您的 VPC 沒有網際網路閘道,且您的任務使用
awslogs日誌驅動程式將日誌資訊傳送至 CloudWatch Logs,您必須建立介面 VPC 端點 for CloudWatch Logs。如需詳細資訊,請參閱 Amazon CloudWatch Logs 使用者指南中的搭配使用 Word Logs 與介面 VPC 端點。 CloudWatch
-
-
VPC 端點目前不支援跨區域請求。請確定您在計劃對 Amazon ECS 發出 API 呼叫的相同區域中建立端點。例如,假設您想在美國東部 (維吉尼亞北部) 執行任務。然後,您必須在美國東部 (維吉尼亞北部) 建立 Amazon ECS VPC端點。在任何其他區域中建立的 Amazon ECS VPC端點無法在美國東部 (維吉尼亞北部) 執行任務。
-
VPC 端點僅支援透過 Amazon Route 53 的 Amazon 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱 Amazon DHCP 使用者指南中的 Word 選項集。 VPC
-
連接至 VPC 端點的安全群組必須允許 TCP 連接埠 443 上的傳入連線來自 VPC 的私有子網路。
-
Envoy 代理的 Service Connect 管理會使用 VPC
com.amazonaws.端點。當您不使用 VPC 端點時,Envoy 代理的 Service Connect 管理會使用該區域中的region.ecs-agentecs-sc端點。如需每個區域中 Amazon ECS 端點的清單,請參閱 Amazon ECS 端點和配額。
Amazon ECS VPC 端點對 EC2 啟動類型的考量
設定 Amazon VPC 的介面 ECS 端點之前,請注意下列考量事項:
-
使用 EC2 啟動類型的任務需要啟動的容器執行個體來執行 Amazon ECS 容器代理程式的版本
1.25.1或更新版本。如需詳細資訊,請參閱Amazon ECS Linux 容器執行個體管理。 -
若要允許任務從 Secrets Manager 提取敏感資料,您必須為 Secrets Manager 建立介面 VPC 端點。如需詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的將 Secrets Manager 與 VPC 端點搭配使用。
-
如果您的 VPC 沒有網際網路閘道,且您的任務使用
awslogs日誌驅動程式將日誌資訊傳送至 CloudWatch Logs,您必須建立介面 VPC 端點 for CloudWatch Logs。如需詳細資訊,請參閱 Amazon CloudWatch Logs 使用者指南中的搭配使用 Word Logs 與介面 VPC 端點。 CloudWatch -
VPC 端點目前不支援跨區域請求。請確定您在計劃對 Amazon ECS 發出 API 呼叫的相同區域中建立端點。例如,假設您想在美國東部 (維吉尼亞北部) 執行任務。然後,您必須在美國東部 (維吉尼亞北部) 建立 Amazon ECS VPC端點。在任何其他區域中建立的 Amazon ECS VPC端點無法在美國東部 (維吉尼亞北部) 執行任務。
-
VPC 端點僅支援透過 Amazon Route 53 的 Amazon 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱 Amazon DHCP 使用者指南中的 Word 選項集。 VPC
-
連接至 VPC 端點的安全群組必須允許 TCP 連接埠 443 上的傳入連線來自 VPC 的私有子網路。
建立 Amazon VPC 的 ECS 端點
若要為 Amazon ECS 服務建立 VPC 端點,請使用 Amazon Word 使用者指南中的AWS 使用介面 Word VPC端點程序存取服務來建立下列端點。 VPC 如果您的 VPC 中有現有的容器執行個體,您應該按照其列出的順序建立端點。如果您打算在建立 VPC 端點後建立容器執行個體,順序並不重要。
注意
如果您未設定所有端點,您的流量會經過公有端點,而不是 VPC 端點。
當您建立端點時,Amazon ECS 也會為端點建立私有 DNS 名稱。例如,ecs-a---region.amazonaws.com.rproxy.goskope.comecs-agent 和 ecs-t.region.amazonaws.com ecs-telemetry。
-
com.amazonaws.region.ecs-agent -
com.amazonaws.region.ecs-telemetry -
com.amazonaws.region.ecs
注意
region 代表 AWS Amazon ECS 支援之區域的區域識別符,例如us-east-2美國東部 (俄亥俄) 區域。
ecs-agent 端點使用 ecs:poll API,而ecs-telemetry端點使用 ecs:poll和 ecs:StartTelemetrySession API。
如果您有使用 EC2 啟動類型的現有任務,則在建立 VPC 端點之後,每個容器執行個體都需要提取新的組態。若要發生這種情況,您必須重新啟動每個容器執行個體,或重新啟動每個容器執行個體上的 Amazon ECS 容器代理程式。若要重新開機容器代理程式,請執行下列動作:
重新啟動 Amazon ECS 容器代理程式
-
透過 SSH 登入您的容器執行個體。
-
停用容器代理程式。
sudo docker stop ecs-agent -
啟動容器代理程式。
sudo docker start ecs-agent
在您建立 VPC 端點並在每個容器執行個體上重新啟動 Amazon ECS 容器代理程式之後,所有新啟動的任務都會取得新的組態。
為 Amazon VPC 建立 ECS 端點政策
您可以將端點政策連接至控制 Amazon VPC 存取的 ECS 端點。此政策會指定下列資訊:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 Word 端點控制對 服務的存取。 VPC
範例:Amazon VPC 動作的 ECS 端點政策
以下是 Amazon ECS 端點政策的範例。在連接至端點後,此政策會授予存取許可,以允許建立並列出叢集。CreateCluster 和 ListClusters 動作不接受任何資源,因此資源定義已針對所有資源設為 *。
{ "Statement":[ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": [ "*" ] } ] }
