Verbinden mit dem Internet - Amazon Elastic Container Service
Verwenden eines öffentlichen Subnetzes und eines Internet-GatewaysVerwenden eines privaten Subnetzes und eines NAT-Gateways

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbinden mit dem Internet

Die meisten containerisierten Anwendungen verfügen über mindestens einige Komponenten, die ausgehenden Zugriff auf das Internet benötigen. Beispielsweise erfordert das Backend für eine mobile App ausgehenden Zugriff auf Push-Benachrichtigungen.

Amazon Virtual Private Cloud verfügt über zwei Hauptmethoden, um die Kommunikation zwischen Ihrer VPC und dem Internet zu erleichtern.

Verwenden eines öffentlichen Subnetzes und eines Internet-Gateways

Diagramm, das die Architektur eines öffentlichen Subnetzes anzeigt, das mit einem Internet-Gateway verbunden ist.

Mithilfe eines öffentlichen Subnetz, der über eine Route zu einem Internet-Gateway verfügt, kann Ihre containerisierte Anwendung auf einem Host innerhalb einer VPC in einem öffentlichen Subnetz ausgeführt werden. Der Host, der Ihren Container ausführt, wird eine öffentliche IP-Adresse zugewiesen. Diese öffentliche IP-Adresse kann aus dem Internet geleitet werden. Weitere Informationen finden Sie unterInternet-GatewaysimAmazon-VPC Benutzerhandbuch.

Diese Netzwerkarchitektur erleichtert die direkte Kommunikation zwischen dem Host, der Ihre Anwendung ausführt, und anderen Hosts im Internet. Die Kommunikation ist bidirektional. Dies bedeutet, dass Sie nicht nur eine ausgehende Verbindung zu einem anderen Host im Internet herstellen können, sondern auch andere Hosts im Internet versuchen, eine Verbindung mit Ihrem Host herzustellen. Daher sollten Sie genau auf Ihre Sicherheitsgruppe und Firewallregeln achten. Dadurch wird sichergestellt, dass andere Hosts im Internet keine Verbindungen öffnen können, die Sie nicht öffnen möchten.

Wenn Ihre Anwendung beispielsweise auf Amazon EC2 ausgeführt wird, stellen Sie sicher, dass Port 22 für SSH-Zugriff nicht geöffnet ist. Andernfalls könnte Ihre Instanz konstante SSH-Verbindungsversuche von macilious Bots im Internet erhalten. Diese Bots durchlaufen öffentliche IP-Adressen. Nachdem sie einen offenen SSH-Port gefunden haben, versuchen sie, Passwörter zu brute-erzwingen, um auf Ihre Instanz zuzugreifen. Aus diesem Grund beschränken viele Organisationen die Verwendung öffentlicher Subnetze und bevorzugen es, die meisten, wenn nicht alle, ihre Ressourcen in privaten Subnetzen zu haben.

Die Verwendung öffentlicher Subnetze für Netzwerke eignet sich für öffentliche Anwendungen, die große Bandbreite oder minimale Latenz erfordern. Anwendbare Anwendungsfälle umfassen Video-Streaming und Gaming-Dienste.

Dieser Netzwerkansatz wird sowohl bei Verwendung von Amazon ECS in Amazon EC2 als auch bei Verwendung aufAWS Fargate.

  • Verwenden von Amazon EC2 — Sie können EC2-Instances in einem öffentlichen Subnetz starten. Amazon ECS verwendet diese EC2-Instances als Cluster-Kapazität, und alle Container, die auf den Instances ausgeführt werden, können die zugrunde liegende öffentliche IP-Adresse des Hosts für ausgehende Netzwerke verwenden. Dies gilt sowohl für diehostundbridgeNetzwerk-Modi. Allerdings ist dieawsvpc-Netzwerkmodus bietet keine Aufgaben-ENIs mit öffentlichen IP-Adressen. Daher können sie kein Internet-Gateway direkt nutzen.

  • Verwenden von Fargate — Wenn Sie Ihren Amazon ECS-Service erstellen, geben Sie öffentliche Subnetze für die Netzwerkkonfiguration Ihres Dienstes an und stellen Sie sicher, dass dieZuweisen einer öffentlichen IP-Adresseaktiviert ist. Jede Fargate Aufgabe ist im öffentlichen Subnetz vernetzt und verfügt über eine eigene öffentliche IP-Adresse für die direkte Kommunikation mit dem Internet.

Verwenden eines privaten Subnetzes und eines NAT-Gateways

Diagramm, das die Architektur eines privaten Subnetzes anzeigt, das mit einem NAT-Gateway verbunden ist.

Mithilfe eines privaten Subnetzes und eines NAT-Gateways können Sie die containerisierte Anwendung auf einem Host ausführen, der sich in einem privaten Subnetz befindet. Daher verfügt dieser Host über eine private IP-Adresse, die innerhalb Ihrer VPC routingfähig ist, aber nicht aus dem Internet routingfähig ist. Dies bedeutet, dass andere Hosts innerhalb der VPC Verbindungen mit dem Host über seine private IP-Adresse herstellen können, andere Hosts im Internet jedoch keine eingehende Kommunikation zum Host vornehmen können.

Mithilfe eines NAT-Gateways (Network Address Translation) können Sie eine Internetverbindung zwischen einem Host in einem privaten Subnetz und dem Internet herstellen. Hosts im Internet erhalten eine eingehende Verbindung, die scheinbar von der öffentlichen IP-Adresse des NAT-Gateways innerhalb eines öffentlichen Subnetzes zu kommen scheint. Das NAT-Gateway dient als Brücke zwischen dem Internet und der privaten VPC. Diese Konfiguration wird häufig aus Sicherheitsgründen bevorzugt, da dies bedeutet, dass Ihre VPC vor direktem Zugriff durch Angreifer im Internet geschützt ist. Weitere Informationen finden Sie unterNAT-GatewaysimAmazon-VPC Benutzerhandbuch.

Dieser private Netzwerkansatz eignet sich für Szenarien, in denen Sie Ihre Container vor direktem externen Zugriff schützen möchten. Anwendbare Szenarien sind Zahlungsverarbeitungssysteme oder Container, die Benutzerdaten und Passwörter speichern. Sie werden für das Erstellen und Verwenden eines NAT-Gateways in Ihrem Konto berechnet. Es gelten die Stunden- und Datenverarbeitungsraten für NAT-Gateways Sie sollten für Redundanzzwecke ein NAT-Gateway in jeder Availability Zone haben. Auf diese Weise beeinträchtigt der Verlust der Verfügbarkeit einer einzelnen Availability Zone Ihre ausgehende Konnektivität nicht. Aus diesem Grund kann es bei geringer Arbeitslast kostengünstiger sein, private Subnetze und NAT-Gateways zu verwenden.

Dieser Netzwerkansatz wird sowohl bei der Verwendung von Amazon ECS auf Amazon EC2 als auch bei Verwendung aufAWS Fargate.

  • Verwenden von Amazon EC2 — Sie können EC2-Instances in einem privaten Subnetz starten. Die Container, die auf diesen EC2-Hosts ausgeführt werden, verwenden das zugrunde liegende Hostnetzwerk, und ausgehende Anforderungen gehen über das NAT-Gateway.

  • Verwenden von Fargate — Wenn Sie Ihren Amazon ECS-Service erstellen, geben Sie private Subnetze für die Netzwerkkonfiguration Ihres Dienstes an und aktivieren Sie nicht die OptionZuweisen einer öffentlichen IP-Adresse-Option. Jede Fargate Aufgabe wird in einem privaten Subnetz gehostet. Der ausgehende Datenverkehr wird über jedes NAT-Gateway weitergeleitet, das Sie diesem privaten Subnetz zugeordnet haben.