Externe Instances (Amazon ECS Anywhere) - Amazon Elastic Container Service

Externe Instances (Amazon ECS Anywhere)

Amazon ECS Anywhere bietet Unterstützung für die Registrierung einer externen Instance, wie einem On-Premises-Server oder einer virtuellen Maschine (VM) in Ihren Amazon ECS-Cluster. Externe Instances sind für ausgeführte Anwendungen optimiert, die ausgehenden Datenverkehr generieren oder Prozessdaten verarbeiten. Wenn Ihre Anwendung eingehenden Datenverkehr erfordert, wird die Ausführung dieser Arbeitslasten aufgrund fehlender Elastic Load Balancing-Unterstützung weniger effizient. Amazon ECS hat einen neuen EXTERNAL-Starttyp, mit dem Sie Dienste erstellen oder Tasks auf externen Instances ausführen können.

Nachfolgend finden Sie einen Überblick über die Systemarchitektur von Amazon ECS Anywhere.


            Diagramm mit der Architektur von Amazon ECS Anywhere.

Unterstützte Betriebssysteme und Systemarchitekturen

Im Folgenden ist die Liste der unterstützten Betriebssysteme und Systemarchitekturen aufgeführt.

  • Amazon Linux 2

  • CentOS 7

    Wichtig

    CentOS 8 hat am 31. Dezember 2021 sein End Of Life (EOL) erreicht und wird von Amazon ECS Anywhere nicht mehr unterstützt.

  • CentOS Stream 8

  • RHEL 7, RHEL 8 – Weder Docker noch die offenen Paket-Repositories von RHEL unterstützen die native Installation von Docker auf RHEL. Sie müssen sicherstellen, dass Docker installiert ist, bevor Sie das Installationsskript ausführen, das in diesem Dokument beschrieben wird.

  • Fedora 32, Fedora 33 – Fedora 32 und Fedora 33 verwenden standardmäßig cgroups.v2, der nicht von Amazon ECS unterstützt wird. Daher muss die Standard-Grub-Konfiguration des Servers geändert und der Server neu gestartet werden. Anweisungen finden Sie unter Ändern der cgroup-Version in der Docker-Dokumentation.

  • openSUSE Tumbleweed

  • Ubuntu 18, Ubuntu 20

  • Debian 9, Debian 10

  • SUSE Enterprise Server 15

  • Bottlerocket

  • Die x86_64- und ARM64-CPU-Architekturen werden unterstützt.

  • Die folgenden Windows-Betriebssystemversionen werden unterstützt:

    • Windows Server 2022

    • Windows Server 2019

    • Windows Server 2016

    • Windows Server 20H2

Überlegungen

Seien Sie sich der folgenden Überlegungen bewusst, bevor Sie externe Instances verwenden.

  • Sie können eine externe Instance auf einem Cluster gleichzeitig registrieren. Eine Anleitung zum Registrieren einer externen Instance bei einem anderen Cluster finden Sie unter Abmelden einer externen Instance.

  • Ihre externen Instances erfordern eine IAM-Rolle, mit der sie mit AWS APIs kommunizieren können. Weitere Informationen finden Sie unter Erforderliche IAM-Berechtigungen für externe Instances.

  • Ihre externen Instances sollten keine vorkonfigurierte Instance-Anmeldeinformationskette lokal definiert haben, da dies das Registrierungsskript beeinträchtigt.

  • Um Containerprotokolle an CloudWatch Logs zu senden, stellen Sie sicher, dass Sie eine IAM-Rolle für die Aufgabenausführung in Ihrer Aufgabendefinition erstellen und angeben. Weitere Informationen finden Sie unter Bedingte IAM-Berechtigungen.

  • Wenn eine externe Instance in einem Cluster registriert ist, wird das ecs.capability.external-Attribut mit der Instance zugeordnet. Dieses Attribut identifiziert die Instance als externe Instance. Sie können Ihren externen Instances benutzerdefinierte Attribute hinzufügen, die als Einschränkung für die Platzierung von Vorgängen verwendet werden sollen. Weitere Informationen finden Sie unter Custom attributes (Benutzerdefinierte Attribute).

  • Sie können Ihrer externen Instance Ressourcen-Tags hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Tags zu einer externen Container-Instance.

  • ECS Exec wird für externe Instances unterstützt. Weitere Informationen finden Sie unter Verwenden von Amazon ECS Exec zum Debuggen.

  • Im Folgenden finden Sie zusätzliche Überlegungen, die speziell für das Netzwerk mit Ihren externen Instances gelten. Weitere Informationen finden Sie unter Vernetzung mit ECS Anywhere.

    • Service-Load Balancing wird nicht unterstützt.

    • Service Discovery wird nicht unterstützt.

    • Tasks, die auf externen Instances ausgeführt werden, müssen die bridge, host oder none-Netzwerk-Modi verwenden. Der Netzwerkmodus awsvpc wird nicht unterstützt.

    • Es gibt Amazon-ECS-Dienstdomänen in jeder AWS-Region. Diese Dienstdomänen müssen den Datenverkehr an Ihre externen Instances senden dürfen.

    • Der auf Ihrer externen Instance installierte SSM Agent verwaltet IAM-Anmeldeinformationen, die alle 30 Minuten mit einem Hardware-Fingerabdruck gedreht werden. Wenn Ihre externe Instance die Verbindung zu AWS verliert, aktualisiert der SSM Agent die Anmeldeinformationen automatisch, nachdem die Verbindung wiederhergestellt wurde. Weitere Informationen finden Sie unter Überprüfen von On-Premises-Servern und virtuellen Maschinen mit einem Hardware-Fingerprint im AWS Systems Manager-Benutzerhandbuch.

  • Die UpdateContainerAgent-API wird nicht unterstützt. Anweisungen zum Aktualisieren des SSM Agent oder des Amazon ECS-Agenten auf Ihren externen Instances finden Sie unter Aktualisieren des AWS Systems Manager-Agent und Amazon ECS-Container-Agent auf einer externen Instance.

  • Amazon ECS-Kapazitätsanbieter werden nicht unterstützt. Um einen Service zu erstellen oder einen eigenständigen Task für Ihre externen Instances auszuführen, verwenden Sie den EXTERNAL-Starttyp.

  • SELinux wird nicht unterstützt.

  • Verwenden von Amazon EFS Volumes oder Angeben eines EFSVolumeConfiguration wird nicht unterstützt.

  • Die Integration mit App Mesh wird nicht unterstützt.

  • Wenn Sie ECS Anywhere auf Windows ausführen, müssen Sie Ihre eigene Windows-Lizenz in der On-Premises-Infrastruktur verwenden.

Vernetzung mit ECS Anywhere

Externe Amazon ECS-Instances sind für die Ausführung von Anwendungen optimiert, die ausgehenden Datenverkehr generieren oder Daten verarbeiten. Wenn Ihre Anwendung eingehenden Datenverkehr erfordert, z. B. einen Webdienst, macht das Fehlen von Elastic Load Balancing-Unterstützung die Ausführung dieser Workloads weniger effizient, da diese Workloads nicht hinter einem Load Balancer platziert werden können.

Im Folgenden finden Sie zusätzliche Überlegungen, die speziell für das Netzwerk mit Ihren externen Instances gelten.

  • Service-Load Balancing wird nicht unterstützt.

  • Service Discovery wird nicht unterstützt.

  • Linux-Aufgaben, die auf externen Instances ausgeführt werden, müssen den Netzwerkmodus bridge, host oder none verwenden. Der Netzwerkmodus awsvpc wird nicht unterstützt.

    Weitere Informationen zu den jeweiligen Netzwerkmodi finden Sie unter Auswählen eines Netzwerkmodus im Leitfaden zu bewährten Methoden für Amazon ECS.

  • Windows-Aufgaben, die auf externen Instances ausgeführt werden, müssen den default-Netzwerkmodus verwenden.

  • Es gibt Amazon-ECS-Dienstdomänen in jeder AWS-Region. Diese Dienstdomänen müssen den Datenverkehr an Ihre externen Instances senden dürfen.

  • Der auf Ihrer externen Instance installierte SSM Agent verwaltet IAM-Anmeldeinformationen, die alle 30 Minuten mit einem Hardware-Fingerabdruck gedreht werden. Wenn Ihre externe Instance die Verbindung zu AWS verliert, aktualisiert der SSM Agent die Anmeldeinformationen automatisch, nachdem die Verbindung wiederhergestellt wurde. Weitere Informationen finden Sie unter Überprüfen von On-Premises-Servern und virtuellen Maschinen mit einem Hardware-Fingerprint im AWS Systems Manager-Benutzerhandbuch.

Die folgenden Domänen werden für die Kommunikation zwischen dem Amazon ECS-Service und dem Amazon ECS-Agent verwendet, der auf Ihrer externen Instance installiert ist. Stellen Sie sicher, dass Datenverkehr zulässig ist und die DNS-Auflösung funktioniert. Für jeden Endpunkt repräsentiert Region die Regions-ID für eine von Amazon ECS unterstützte AWS-Region, z. B. us-east-2 für die Region USA Ost (Ohio). Die Endpunkte für alle Regionen, die Sie verwenden, sollten zulässig sein. Für Endpunkte ecs-a und ecs-t sollten Sie ein Sternchen (z. B. ecs-a-*) einschließen.

  • ecs-a-*.region.amazonaws.com – Dieser Endpunkt wird beim Verwalten von Aufgaben verwendet.

  • ecs-t-*.region.amazonaws.com – Dieser Endpunkt wird zum Verwalten von Task- und Container-Metriken verwendet.

  • ecs.region.amazonaws.com – Dies ist der Service-Endpunkt für Amazon ECS.

  • ssm.region.amazonaws.com : Das ist der Service-Endpunkt für AWS Systems Manager.

  • ec2messages.region.amazonaws.com: Das ist der Service-Endpunkt, der von AWS Systems Manager für die Kommunikation zwischen dem Systems Manager-Agenten und dem Systems Manager-Service in der Cloud verwendet wird.

  • ssmmessages.region.amazonaws.com: Dieser Service-Endpunkt ist zum Erstellen und Löschen von Sitzungskanälen mit dem Session Manager-Service in der Cloud erforderlich..

  • Wenn Ihre Aufgaben eine Kommunikation mit anderen AWS-Diensten verwenden, stellen Sie sicher, dass diese Dienstendpunkte zulässig sind. Beispielanwendungen umfassen die Verwendung von Amazon ECR zum Abrufen von Container-Images oder die Verwendung von CloudWatch für CloudWatch Logs. Weitere Informationen finden Sie unter Service-Endpunkte in Allgemeine AWS-Referenz.

Amazon FSx for Windows File Server mit ECS Anywhere

Um Amazon FSx for Windows File Server mit externen Amazon-ECS-Instances zu verwenden, müssen Sie eine Verbindung zwischen Ihrem On-Premises-Rechenzentrum und der AWS Cloud herstellen. Informationen zu den Optionen zum Verbinden Ihres Netzwerks mit Ihrer VPC finden Sie unter Verbindungsoptionen für Amazon Virtual Private Cloud.

gMSA mit ECS Anywhere

Die folgenden Anwendungsfälle werden für ECS Anywhere unterstützt.

  • Das Active Directory befindet sich in der AWS Cloud – Für diese Konfiguration erstellen Sie eine Verbindung zwischen Ihrem On-Premises-Netzwerk und der AWS Cloud mithilfe einer AWS Direct Connect-Verbindung. Informationen zum Erstellen der Verbindung finden Sie unter Konnektivitätsoptionen für Amazon Virtual Private Cloud. Sie erstellen ein Active Directory in der AWS Cloud. Informationen zu den ersten Schritten mit AWS Directory Service finden Sie unter Einrichten von AWS Directory Service im Administrationshandbuch zu AWS Directory Service. Anschließend können Sie Ihre externen Instances über die AWS Direct Connect-Verbindung mit der Domäne verbinden. Informationen zum Arbeiten mit gMSA mit Amazon ECS finden Sie unter Verwenden von gMSAs für Windows-Container.

  • Das Active Directory befindet sich im On-Premises-Rechenzentrum. – Für diese Konfiguration verbinden Sie Ihre externen Instances mit dem On-Premises-Active-Directory. Sie verwenden dann die lokal verfügbaren Anmeldeinformationen, wenn Sie die Amazon-ECS-Aufgaben ausführen.