Prácticas recomendadas para conectar Amazon ECS a los servicios de AWS desde su VPC
Para que Amazon ECS funcione correctamente, el agente de contenedor de Amazon ECS, que se ejecuta en cada host, debe comunicarse con el plano de control de Amazon ECS. Si va a almacenar las imágenes del contenedor en Amazon ECR, los hosts de Amazon EC2 deben comunicarse con el punto de conexión del servicio de Amazon ECR y con Amazon S3, donde se almacenan las capas de las imágenes. Si utiliza otros servicios de AWS para la aplicación en contenedores, como los datos persistentes almacenados en DynamoDB, compruebe que estos servicios también cuenten con el soporte de red necesario.
Puerta de enlace de NAT
El uso de una puerta de enlace NAT es la forma más sencilla de garantizar que sus tareas de Amazon ECS puedan acceder a otros servicios de AWS. Para obtener más información acerca de este enfoque, consulte Subred privada y puerta de enlace NAT.
A continuación, se muestran las desventajas de utilizar este enfoque:
-
No se pueden limitar los destinos con los que puede comunicarse la puerta de enlace NAT. Tampoco se pueden limitar los destinos con los que puede comunicarse su nivel de backend sin interrumpir todas las comunicaciones salientes de su VPC.
-
Las puertas de enlace NAT cobran por cada GB de datos que pasan por ellas. Si utiliza la puerta de enlace NAT para alguna de las siguientes operaciones, se le cobrará por cada GB de ancho de banda utilizado:
-
Descarga de archivos grandes desde Amazon S3
-
Realización de consultas extensivas sobre bases de datos en DynamoDB
-
Extracción de imágenes desde Amazon ECR
Además, las puertas de enlace NAT admiten 5 Gbps de ancho de banda y escalan automáticamente hasta 45 Gbps. Si el enrutamiento se realiza a través de una única puerta de enlace NAT, las aplicaciones que requieren conexiones de ancho de banda muy elevado pueden experimentar limitaciones de red. Como solución alternativa, puede dividir la carga de trabajo en varias subredes y asignar a cada subred su propia puerta de enlace NAT.
-
AWS PrivateLink
AWS PrivateLink proporciona conectividad privada entre las VPC, los servicios de AWS y las redes en las instalaciones sin exponer el tráfico a la Internet pública.
Un punto de conexión de VPC habilita conexiones privadas entre la VPC y los servicios de AWS, así como los servicios de punto de conexión de VPC admitidos. El tráfico entre su VPC y el servicio no sale de la red de Amazon. Un punto de conexión de VPC no requiere una puerta de enlace de Internet, una puerta de enlace privada virtual, un dispositivo NAT, una conexión de VPN ni una conexión de AWS Direct Connect. Las instancias de Amazon EC2 en su VPC no necesitan direcciones IP públicas para comunicarse con los recursos del servicio.
El siguiente diagrama muestra cómo funciona la comunicación con los servicios de AWS cuando se utilizan puntos de conexión de VPC en lugar de una puerta de enlace de Internet. AWS PrivateLink proporciona interfaces de red elásticas (ENI) dentro de la subred y las reglas de enrutamiento de VPC se utilizan para enviar cualquier comunicación al nombre de host del servicio a través de la ENI, directamente al servicio de destino de AWS. Este tráfico ya no necesita usar la puerta de enlace NAT ni la puerta de enlace de Internet.
A continuación, se enumeran algunos de los puntos de conexión de VPC comunes que se utilizan con el servicio de Amazon ECS.
Otros servicios de AWS son compatibles con puntos de conexión de VPC. Si hace un uso intensivo de algún servicio de AWS, debe consultar la documentación específica de ese servicio y saber cómo crear un punto de conexión de VPC para ese tráfico.
