Bewährte Methoden für die Verbindung von Amazon ECS mit AWS Services innerhalb Ihrer VPC - Amazon Elastic Container Service
NAT-GatewayAWS PrivateLink

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Verbindung von Amazon ECS mit AWS Services innerhalb Ihrer VPC

Damit Amazon ECS ordnungsgemäß funktioniert, muss der Amazon ECS-Container-Agent, der auf jedem Host ausgeführt wird, mit der Amazon ECS-Steuerebene kommunizieren. Wenn Sie Ihre Container-Images in Amazon ECR speichern, müssen die Amazon EC2 EC2-Hosts mit dem Amazon ECR-Serviceendpunkt und mit Amazon S3 kommunizieren, wo die Bildebenen gespeichert sind. Wenn Sie andere AWS Dienste für Ihre containerisierte Anwendung verwenden, z. B. persistente Daten, die in DynamoDB gespeichert sind, überprüfen Sie, ob diese Dienste auch über die erforderliche Netzwerkunterstützung verfügen.

NAT-Gateway

Die Verwendung eines NAT-Gateways ist der einfachste Weg, um sicherzustellen, dass Ihre Amazon ECS-Aufgaben auf andere AWS Services zugreifen können. Weitere Informationen zu diesem Ansatz finden Sie unterPrivates Subnetz und NAT-Gateway.

Diagramm, das die Architektur eines Netzwerks zeigt, das ein NAT-Gateway verwendet.

Im Folgenden sind die Nachteile dieses Ansatzes aufgeführt:

  • Sie können nicht einschränken, mit welchen Zielen das NAT-Gateway kommunizieren kann. Sie können auch nicht einschränken, mit welchen Zielen Ihre Back-End-Stufe kommunizieren kann, ohne die gesamte ausgehende Kommunikation von Ihrer VPC zu unterbrechen.

  • NAT-Gateways berechnen für jedes GB an Daten, das übertragen wird. Wenn Sie das NAT-Gateway für einen der folgenden Vorgänge verwenden, wird Ihnen jedes GB Bandbreite in Rechnung gestellt:

    • Große Dateien von Amazon S3 herunterladen

    • Durchführen einer großen Anzahl von Datenbankabfragen an DynamoDB

    • Bilder aus Amazon ECR abrufen

    Darüber hinaus unterstützen NAT-Gateways eine Bandbreite von 5 Gbit/s und skalieren automatisch auf bis zu 45 Gbit/s. Wenn Sie über ein einzelnes NAT-Gateway routen, können Anwendungen, die Verbindungen mit sehr hoher Bandbreite benötigen, auf Netzwerkeinschränkungen stoßen. Um das Problem zu umgehen, können Sie Ihre Arbeitslast auf mehrere Subnetze aufteilen und jedem Subnetz ein eigenes NAT-Gateway zuweisen.

AWS PrivateLink bietet private Konnektivität zwischen VPCs, AWS Diensten und Ihren lokalen Netzwerken, ohne dass Ihr Datenverkehr dem öffentlichen Internet ausgesetzt wird.

Ein VPC-Endpunkt ermöglicht private Verbindungen zwischen Ihrer VPC und unterstützten AWS Diensten und VPC-Endpunktdiensten. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht. Ein VPC-Endpunkt benötigt kein Internet-Gateway, kein Virtual Private Gateway, kein NAT-Gerät, keine VPN-Verbindung oder AWS Direct Connect Verbindung. Amazon EC2 EC2-Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Ressourcen im Service zu kommunizieren.

Das folgende Diagramm zeigt, wie die Kommunikation mit AWS Diensten funktioniert, wenn Sie VPC-Endpunkte anstelle eines Internet-Gateways verwenden. AWS PrivateLink stellt Elastic Network Interfaces (ENIs) innerhalb des Subnetzes bereit, und VPC-Routing-Regeln werden verwendet, um jegliche Kommunikation an den Service-Hostnamen über die ENI direkt an den Zieldienst zu senden. AWS Dieser Datenverkehr muss nicht mehr das NAT-Gateway oder das Internet-Gateway verwenden.

Diagramm, das die Architektur eines Netzwerks zeigt mit AWS PrivateLink

Im Folgenden sind einige der gängigen VPC-Endpunkte aufgeführt, die mit dem Amazon ECS-Service verwendet werden.

Viele andere AWS Dienste unterstützen VPC-Endpunkte. Wenn Sie einen AWS Dienst intensiv nutzen, sollten Sie die spezifische Dokumentation für diesen Dienst und die Erstellung eines VPC-Endpunkts für diesen Datenverkehr nachschlagen.