Amazon ECS 介面VPC端點 (AWS PrivateLink) - Amazon Elastic Container Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon ECS 介面VPC端點 (AWS PrivateLink)

您可以透過VPC設定 Amazon ECS使用介面VPC端點來改善 的安全狀態。介面端點採用 AWS PrivateLink,這項技術可讓您使用私有 IP 地址以私有ECSAPIs方式存取 Amazon。 AWS PrivateLink 會限制 VPC和 Amazon 之間ECS與 Amazon 網路之間的所有網路流量。您不需要網際網路閘道、NAT裝置或虛擬私有閘道。

如需 AWS PrivateLink 和 VPC端點的詳細資訊,請參閱 Amazon VPC使用者指南 中的VPC端點

考量事項

自 2023 年 12 月 23 日起,區域端點的考量事項

設定 Amazon 的介面VPC端點之前ECS,請注意下列考量事項:

  • 您必須具有下列區域特定的VPC端點:

    注意

    如果您未設定所有端點,您的流量會經過公有端點,而不是VPC端點。

    • com.amazonaws.region.ecs-agent

    • com.amazonaws.region.ecs-telemetry

    • com.amazonaws.region.ecs

    例如,加拿大西部 (卡加利) (ca-west-1) 區域需要下列VPC端點:

    • com.amazonaws.ca-west-1.ecs-agent

    • com.amazonaws.ca-west-1.ecs-telemetry

    • com.amazonaws.ca-west-1.ecs

  • 當您使用範本在新 區域中建立 AWS 資源,且範本已從 2023 年 12 月 23 日之前引進的 區域複製時,視複製自 區域而定,請執行下列其中一個操作。

    例如,複製自 區域是美國東部 (維吉尼亞北部) (us-east-1)。複製至區域為加拿大西部 (卡加利) (ca-west-1) 。

    組態 動作

    從 區域複製沒有任何VPC端點。

    為新區域建立所有三個VPC端點 (例如 com.amazonaws.ca-west-1.ecs-agent)。

    從區域中複製包含區域特定的VPC端點。

    1. 為新區域建立所有三個VPC端點 (例如 com.amazonaws.ca-west-1.ecs-agent)。

    2. 刪除從 區域複製的所有三個VPC端點 (例如 com.amazonaws.us-east-1.ecs-agent)。

Fargate 啟動類型的 Amazon ECSVPC端點考量事項

當有部署 Fargate 任務VPC的 VPC ecr.dkrecr.api 端點時,它將使用VPC端點。如果沒有VPC端點,則會使用 Fargate 介面。

設定 Amazon 的介面VPC端點之前ECS,請注意下列考量事項:

  • 使用 Fargate 啟動類型的任務不需要 Amazon 的介面VPC端點ECS,但您可能需要以下幾點所述的 Amazon ECR、Secrets Manager 或 Amazon CloudWatch Logs 的介面VPC端點。

    • 若要允許任務從 Amazon 提取私有映像ECR,您必須建立 Amazon 的介面VPC端點ECR。如需詳細資訊,請參閱 Amazon Elastic Container Registry 使用者指南 中的介面VPC端點 (AWS PrivateLink)

      重要

      如果您ECR將 Amazon 設定為使用介面VPC端點,您可以建立任務執行角色,其中包含條件索引鍵,以限制對特定VPC或VPC端點的存取。如需詳細資訊,請參閱Fargate 任務透過介面端點許可提取 Amazon ECR映像

    • 若要允許任務從 Secrets Manager 提取敏感資料,您必須為 Secrets Manager 建立介面VPC端點。如需詳細資訊,請參閱 AWS Secrets Manager 使用者指南 中的將 Secrets Manager 與VPC端點搭配使用

    • 如果您的 VPC沒有網際網路閘道,而且您的任務使用awslogs日誌驅動程式將日誌資訊傳送至 CloudWatch 日誌,則必須為 CloudWatch 日誌建立介面VPC端點。如需詳細資訊,請參閱 Amazon CloudWatch Logs 使用者指南 中的將日誌與介面VPC端點搭配使用。 CloudWatch

  • VPC 端點目前不支援跨區域請求。確保您在計劃向 Amazon 發出API呼叫的相同區域中建立端點ECS。例如,假設您想在美國東部 (維吉尼亞北部) 執行任務。然後,您必須在美國東部 (維吉尼亞北部) 建立 Amazon ECSVPC端點。在任何其他區域中建立的 Amazon ECSVPC端點無法在美國東部 (維吉尼亞北部) 執行任務。

  • VPC 端點僅支援DNS透過 Amazon Route 53 提供的 Amazon。如果您想要使用自己的 DNS,您可以使用條件式DNS轉送。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的DHCP選項集

  • 連接至VPC端點的安全群組必須允許TCP連接埠 443 上來自 私有子網路的傳入連線VPC。

  • Envoy 代理的 Service Connect 管理會使用 com.amazonaws.region.ecs-agentVPC端點。當您不使用VPC端點時,Envoy 代理的 Service Connect 管理會使用該區域中的ecs-sc端點。如需每個區域中 Amazon ECS端點的清單,請參閱 Amazon ECS端點和配額

EC2 啟動類型的 Amazon ECSVPC端點考量事項

設定 Amazon 的介面VPC端點之前ECS,請注意下列考量事項:

  • 使用EC2啟動類型的任務需要啟動的容器執行個體來執行 Amazon ECS容器代理程式的版本1.25.1或更新版本。如需詳細資訊,請參閱Amazon ECS Linux 容器執行個體管理

  • 若要允許任務從 Secrets Manager 提取敏感資料,您必須為 Secrets Manager 建立介面VPC端點。如需詳細資訊,請參閱 AWS Secrets Manager 使用者指南 中的將 Secrets Manager 與VPC端點搭配使用

  • 如果您的 VPC沒有網際網路閘道,且您的任務使用awslogs日誌驅動程式將日誌資訊傳送至 CloudWatch 日誌,則必須為 CloudWatch 日誌建立介面VPC端點。如需詳細資訊,請參閱 Amazon CloudWatch Logs 使用者指南 中的將日誌與介面VPC端點搭配使用。 CloudWatch

  • VPC 端點目前不支援跨區域請求。確保您在計劃向 Amazon 發出API呼叫的相同區域中建立端點ECS。例如,假設您想在美國東部 (維吉尼亞北部) 執行任務。然後,您必須在美國東部 (維吉尼亞北部) 建立 Amazon ECSVPC端點。在任何其他 區域中建立的 Amazon ECSVPC端點無法在美國東部 (維吉尼亞北部) 執行任務。

  • VPC 端點僅支援DNS透過 Amazon Route 53 提供的 Amazon。如果您想要使用自己的 DNS,您可以使用條件式DNS轉送。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的DHCP選項集

  • 連接至VPC端點的安全群組必須允許TCP連接埠 443 上來自 私有子網路的傳入連線VPC。

建立 Amazon 的VPC端點 ECS

若要建立 Amazon ECS服務的VPC端點,請使用 Amazon VPC使用者指南中的建立介面端點程序來建立下列端點。如果您的 中有現有的容器執行個體VPC,您應該按照端點列出的順序建立端點。如果您打算在建立VPC端點後建立容器執行個體,順序並不重要。

注意

如果您未設定所有端點,您的流量會經過公有端點,而不是VPC端點。

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

注意

region 代表 AWS Amazon 支援之 區域的區域識別符ECS,例如us-east-2美國東部 (俄亥俄) 區域。

ecs-agent 端點使用 ecs:poll API,而ecs-telemetry端點使用 ecs:pollecs:StartTelemetrySession API。

如果您有使用EC2啟動類型的現有任務,則在建立VPC端點之後,每個容器執行個體都需要提取新組態。若要發生這種情況,您必須重新啟動每個容器執行個體,或重新啟動每個ECS容器執行個體上的 Amazon 容器代理程式。若要重新開機容器代理程式,請執行下列動作:

重新啟動 Amazon ECS容器代理程式
  1. 透過 登入您的容器執行個體SSH。

  2. 停用容器代理程式。

    sudo docker stop ecs-agent
  3. 啟動容器代理程式。

    sudo docker start ecs-agent

在您建立VPC端點並在每個ECS容器執行個體上重新啟動 Amazon 容器代理程式之後,所有新啟動的任務都會取得新的組態。

為 Amazon 建立VPC端點政策 ECS

您可以將端點政策連接至控制 Amazon 存取的VPC端點ECS。此政策會指定下列資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 Amazon VPC使用者指南 中的使用VPC端點控制對 服務的存取

範例:Amazon ECS動作的VPC端點政策

以下是 Amazon 端點政策的範例ECS。在連接至端點後,此政策會授予存取許可,以允許建立並列出叢集。CreateClusterListClusters 動作不接受任何資源,因此資源定義已針對所有資源設為 *。

{ "Statement":[ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": [ "*" ] } ] }